Välkommen till CISO Corner, Dark Readings veckosammanfattning av artiklar som är skräddarsydda specifikt för läsare av säkerhetsoperationer och säkerhetsledare. Varje vecka kommer vi att erbjuda artiklar från hela vår nyhetsverksamhet, The Edge, DR Technology, DR Global och vår kommentarsektion. Vi är fast beslutna att ge dig en mångsidig uppsättning perspektiv för att stödja arbetet med att operationalisera cybersäkerhetsstrategier, för ledare i organisationer av alla former och storlekar.

I det här numret av CISO Corner:

5 hårda sanningar om tillståndet för molnsäkerhet 2024

Av Ericka Chickowski, bidragande skribent, Dark Reading

Dark Reading pratar molnsäkerhet med John Kindervag, gudfadern för noll förtroende.

De flesta organisationer arbetar inte fullt ut mogna molnsäkerhetsmetoder, trots att nästan hälften av intrången har sitt ursprung i molnet och nästan 4.1 miljoner dollar förlorat på molnintrång under det senaste året.

Det är ett stort problem, enligt gudfadern för nollförtroendesäkerhet, John Kindervag, som konceptualiserade och populariserade nollförtroendesäkerhetsmodellen som analytiker på Forrester. Han säger till Dark Reading att det finns några svåra sanningar att möta för att vända saker och ting.

1. Du blir inte säkrare bara genom att gå till molnet: Molnet är inte naturligt säkrare än de flesta lokala miljöer: hyperskala molnleverantörer kan vara väldigt bra på att skydda infrastruktur, men kontrollen och ansvaret de har över sina kunders säkerhetsställning är mycket begränsad. Och modellen med delat ansvar fungerar inte riktigt.

2. Inbyggda säkerhetskontroller är svåra att hantera i en hybridvärld: Kvaliteten är inkonsekvent när det gäller att erbjuda kunder mer kontroll över deras arbetsbelastningar, identiteter och synlighet, men säkerhetskontroller som kan hanteras över alla flera moln är svårfångade.

3. Identitet sparar inte ditt moln: Med så mycket tonvikt på molnidentitetshantering och oproportionerlig uppmärksamhet på identitetskomponenten i noll förtroende, är det viktigt för organisationer att förstå att identitet bara är en del av en välbalanserad frukost för noll förtroende i molnet.

4. Alltför många företag vet inte vad de försöker skydda: Varje tillgång eller system eller process kommer att bära sin egen unika risk, men organisationer saknar en tydlig uppfattning om vad som finns i molnet eller vad som ansluter till molnet, än mindre vad som behöver skyddas.

5. Molnbaserade utvecklingsincitament är uteslutna: Alltför många organisationer har helt enkelt inte de rätta incitamentstrukturerna för utvecklare att baka in säkerhet när de går – och i själva verket har många perversa incitament som i slutändan uppmuntrar till osäker praktik. "Jag tycker om att säga att DevOps-appen är IT-teknikernas Ricky Bobbys. De vill bara gå fort, säger Kindervag.

Läs mer: 5 hårda sanningar om tillståndet för molnsäkerhet 2024

Relaterat: Zero Trust tar över: 63 % av organisationerna implementerar globalt

MITRE ATT&CKED: InfoSecs mest betrodda namn faller till Ivanti Bugs

Av Nate Nelson, bidragande skribent, Dark Reading

Ironin går förlorad för få, eftersom en hotaktör från en nationalstat använde åtta MITER-tekniker för att bryta mot MITER själv – inklusive att utnyttja Ivanti-buggarna som angripare har svärmat på i månader.

Utländska nationalstatshackare har använt sårbara Ivanti edge-enheter att få tre månaders "djup" åtkomst till ett av MITER Corps oklassificerade nätverk.

MITRE, förvaltare av den allestädes närvarande ATT&CK-ordlistan över allmänt kända cyberattackstekniker, gick tidigare i 15 år utan en större incident. Stammen tog av i januari när, som så många andra organisationer, dess Ivanti-gateway-enheter utnyttjades.

Intrånget påverkade Networked Experimentation, Research and Virtualization Environment (NERVE), ett oklassificerat, samarbetsnätverk som organisationen använder för forskning, utveckling och prototyper. Omfattningen av NERVskadorna (pun intended) utvärderas för närvarande.

Oavsett vad de hade för mål hade hackarna gott om tid att genomföra dem. Även om kompromissen inträffade i januari, kunde MITER bara upptäcka den i april, vilket lämnade ett kvartsårsgap däremellan.

Läs mer: MITRE ATT&CKED: InfoSecs mest betrodda namn faller till Ivanti Bugs

Relaterat: Top MITRE ATT&CK-tekniker och hur man försvarar sig mot dem

Lektioner för CISOs från OWASP:s LLM Topp 10

Kommentar av Kevin Bocek, Chief Innovation Officer, Venafi

Det är dags att börja reglera LLM:er för att säkerställa att de är korrekt utbildade och redo att hantera affärsuppgörelser som kan påverka resultatet.

OWASP släppte nyligen sin topp 10-lista för applikationer för stora språkmodeller (LLM), så utvecklare, designers, arkitekter och chefer har nu 10 områden att tydligt fokusera på när det kommer till säkerhetsproblem.

Nästan alla topp 10 LLM-hoten centrera kring en kompromiss av autentisering för de identiteter som används i modellerna. De olika attackmetoderna kör hela skalan och påverkar inte bara identiteten för modellinmatningar utan även identiteten för själva modellerna, såväl som deras utdata och handlingar. Detta har en knock-on-effekt och kräver autentisering i kodsigneringen och skapande processer för att stoppa sårbarheten vid källan.

Medan mer än hälften av de 10 största riskerna är sådana som i huvudsak är mildrade och kräver kill-switchen för AI, kommer företag att behöva utvärdera sina alternativ när de implementerar nya LLM:er. Om de rätta verktygen finns på plats för att autentisera indata och modeller, såväl som modellernas handlingar, kommer företag att vara bättre rustade att utnyttja AI-kill-switch-idén och förhindra ytterligare förstörelse.

Läs mer: Lektioner för CISOs från OWASP:s LLM Topp 10

Relaterat: Bugcrowd tillkännager sårbarhetsklassificeringar för LLM:er

Cyberattack Gold: SBOMs erbjuder en enkel inventering av sårbar programvara

Av Rob Lemos, bidragande skribent, Dark Reading

Angripare kommer sannolikt att använda mjukvaruförteckningar (SBOM) för att söka efter programvara som är potentiellt sårbar för specifika mjukvarubrister.

Regeringen och säkerhetskänsliga företag kräver i allt högre grad att mjukvarutillverkare ska förse dem med mjukvaruförteckningar (SBOM) för att hantera risker i leveranskedjan – men detta skapar en ny kategori av oro.

I ett nötskal: En angripare som bestämmer vilken programvara ett riktat företag kör, kan hämta den tillhörande SBOM och analysera applikationens komponenter för svagheter, allt utan att skicka ett enda paket, säger Larry Pesce, chef för produktsäkerhetsforskning och analys på programvara leveranskedjans säkerhetsföretag Finite State.

Han är en före detta penetrationstestare på 20 år som planerar att varna för risken i en presentation om "Onda SBOMs" på RSA-konferensen i maj. Han kommer att visa att SBOMs har tillräckligt med information för att angripare ska kunna göra det söka efter specifika CVE:er i en databas med SBOM:er och hitta en applikation som sannolikt är sårbar. Ännu bättre för angripare, SBOM kommer också att lista andra komponenter och verktyg på enheten som angriparen kan använda för att "leva av landet" efter kompromiss, säger han.

Läs mer: Cyberattack Gold: SBOMs erbjuder en enkel inventering av sårbar programvara

Relaterat: Southern Company bygger SBOM för elkrafttransformatorstation

Global: Licensierad till Bill? Nations Mandate Certifiering & Licensure of Cybersecurity Pros

Av Robert Lemos, bidragande författare, Dark Reading

Malaysia, Singapore och Ghana är bland de första länderna att anta lagar som kräver cybersäkerhet företag – och i vissa fall enskilda konsulter – att få licenser för att göra affärer, men farhågor kvarstår.

Malaysia har anslutit sig till minst två andra nationer — Singapore och Ghana — genom att anta lagar som kräver att cybersäkerhetsproffs eller deras företag är certifierade och licensierade för att tillhandahålla vissa cybersäkerhetstjänster i deras land.

Även om lagstiftningens mandat ännu inte har fastställts, "kommer det här sannolikt att gälla tjänsteleverantörer som tillhandahåller tjänster för att skydda informations- och kommunikationsteknikutrustning från en annan person - [till exempel] leverantörer av penetrationstestning och säkerhetsoperationscenter", enligt Malaysia-baserade advokatbyrå Christopher & Lee Ong.

Asien-Stillahavsområdet Singapore har redan krävt licenser från leverantörer av cybersäkerhetstjänster (CSP) under de senaste två åren, och den västafrikanska nationen Ghana, som kräver licensiering och ackreditering av cybersäkerhetsproffs. Mer allmänt har regeringar som Europeiska unionen normaliserat cybersäkerhetscertifieringar, medan andra byråer - som den amerikanska delstaten New York - kräver certifiering och licenser för cybersäkerhetskapacitet i specifika branscher.

Men vissa experter ser potentiellt farliga konsekvenser av dessa drag.

Läs mer: Licensierad till Bill? Nations Mandate Certifiering & Licensure of Cybersecurity Pros

Relaterat: Singapore sätter höga krav på beredskap för cybersäkerhet

J&J Spin-Off CISO om att maximera cybersäkerhet

Av Karen D. Schwartz, bidragande skribent, Dark Reading

Hur CISO från Kenvue, ett konsumenthälsovårdsföretag som kom från Johnson & Johnson, kombinerade verktyg och nya idéer för att bygga ut säkerhetsprogrammet.

Johnson & Johnsons Mike Wagner hjälpte till att forma Fortune 100-företagets säkerhetsstrategi och säkerhetsstapel; nu är han den första CISO av J&J:s år gamla spinoff för konsumentsjukvård, Kenvue, med uppgift att skapa en strömlinjeformad och kostnadseffektiv arkitektur med maximal säkerhet.

Den här artikeln bryter ner stegen som Wagner och hans team arbetade igenom, som inkluderar:

Definiera nyckelroller: Arkitekter och ingenjörer för att implementera verktyg; IAM-experter (identity and access management) för att möjliggöra säker autentisering; riskhanteringsledare att anpassa säkerheten till företagens prioriteringar; säkerhetsoperationspersonal för incidentrespons; och engagerad personal för varje cyberfunktion.

Bädda in maskininlärning och AI: Arbetsuppgifter inkluderar automatisering av IAM; effektivisera leverantörskontroll; beteendeanalys; och förbättra hotdetektion.

Välj vilka verktyg och processer som ska behållas och vilka som ska ersättas: Medan J&J:s cybersäkerhetsarkitektur är ett lapptäcke av system skapade av årtionden av förvärv; uppgifterna här inkluderade inventering av J&Js verktyg; kartlägga dem till Kenvues verksamhetsmodell; och identifiera nya nödvändiga förmågor.

Wagner säger att det finns mer att göra. Därefter planerar han att luta sig in i moderna säkerhetsstrategier, inklusive antagande av noll förtroende och förbättring av tekniska kontroller.

Läs mer: J&J Spin-Off CISO om att maximera cybersäkerhet

Relaterat: En titt på Visas AI-verktyg mot bedrägeri

SolarWinds 2024: Var går cyberupplysningar härifrån?

Kommentar av Tom Tovar, VD & Co-Creator, Appdome

Få uppdaterade råd om hur, när och var vi bör avslöja cybersäkerhetsincidenter enligt SEC:s fyradagarsregel efter SolarWinds, och gå med i uppmaningen att förnya regeln för att åtgärda först.

I en värld efter SolarWinds bör vi flytta till en saneringssäker hamn för cybersäkerhetsrisker och incidenter. Specifikt, om något företag åtgärdar bristerna eller attacken inom fyra dagars tidsram, bör det kunna (a) undvika ett bedrägeripåstående (dvs. inget att prata om) eller (b) använda standardprocessen 10Q och 10K, inklusive avsnittet Management Discussion and Analysis, för att avslöja incidenten.

Den 30 oktober lämnade SEC in en bedrägeriklagomål mot SolarWinds och dess chefsinformationssäkerhetschef, och hävdade att även om SolarWinds anställda och chefer kände till de ökande riskerna, sårbarheterna och attackerna mot SolarWinds produkter över tid, "avslöjade SolarWinds cybersäkerhetsrisk avslöjande inte dem på något sätt."

För att hjälpa till att förebygga ansvarsproblem i dessa situationer skulle en säker hamn för sanering ge företag en fullständig fyradagarsperiod för att utvärdera och reagera på en incident. Ta dig sedan tid att avslöja händelsen ordentligt om den åtgärdas. Resultatet är mer betoning på cyberrespons och mindre påverkan på ett företags offentliga aktie. 8Ks kan fortfarande användas för olösta cybersäkerhetsincidenter.

Läs mer: SolarWinds 2024: Var går cyberupplysningar härifrån?

Relaterat: Vad SolarWinds betyder för DevSecOps

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti