ยินดีต้อนรับสู่ CISO Corner บทความสรุปรายสัปดาห์ของ Dark Reading ซึ่งจัดทำขึ้นโดยเฉพาะสำหรับผู้อ่านปฏิบัติการด้านความปลอดภัยและผู้นำด้านความปลอดภัย ทุกสัปดาห์ เรานำเสนอบทความที่รวบรวมมาจากการดำเนินงานข่าวของเรา, The Edge, เทคโนโลยี DR, DR Global และส่วนความเห็นของเรา เรามุ่งมั่นที่จะนำเสนอชุดมุมมองที่หลากหลายให้กับคุณเพื่อสนับสนุนงานในการดำเนินกลยุทธ์ความปลอดภัยทางไซเบอร์สำหรับผู้นำในองค์กรทุกรูปแบบและขนาด

ใน CISO Corner ฉบับนี้:

บริษัทที่มีธรรมาภิบาลทางไซเบอร์สร้างมูลค่าเพิ่มเกือบ 4 เท่า

โดย David Strom นักเขียนที่มีส่วนร่วม Dark Reading

ผู้ที่มีคณะกรรมการพิเศษที่มีผู้เชี่ยวชาญในโลกไซเบอร์แทนที่จะพึ่งพาคณะกรรมการทั้งคณะ มีแนวโน้มที่จะปรับปรุงประสิทธิภาพด้านความปลอดภัยและการเงินมากกว่า

บริษัทที่พยายามปฏิบัติตามแนวทางเพื่อการกำกับดูแลความปลอดภัยทางไซเบอร์ที่ดีขึ้น ได้สร้างมูลค่าผู้ถือหุ้นเกือบสี่เท่า เมื่อเทียบกับบริษัทที่ไม่ได้ปฏิบัติตาม

นั่นคือบทสรุปของการสำรวจใหม่ที่ร่วมกันจัดทำโดย Bitsight และ Diligent Institute ซึ่งวัดความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากปัจจัยเสี่ยงที่แตกต่างกัน 23 ประการ เช่น การปรากฏตัวของการติดเชื้อบอทเน็ตเซิร์ฟเวอร์ที่โฮสต์มัลแวร์ ใบรับรองการเข้ารหัสที่ล้าสมัยสำหรับการสื่อสารบนเว็บและอีเมล และพอร์ตเครือข่ายแบบเปิดบนเซิร์ฟเวอร์สาธารณะ

รายงานยังพบว่าการมีคณะกรรมการแยกต่างหากที่เน้นความเสี่ยงเฉพาะทางและการปฏิบัติตามการตรวจสอบจะให้ผลลัพธ์ที่ดีที่สุด “คณะกรรมการที่ใช้การกำกับดูแลทางไซเบอร์ผ่านคณะกรรมการเฉพาะทางที่มีสมาชิกผู้เชี่ยวชาญด้านไซเบอร์ แทนที่จะอาศัยคณะกรรมการทั้งคณะ มีแนวโน้มที่จะปรับปรุงมาตรการรักษาความปลอดภัยโดยรวมและประสิทธิภาพทางการเงิน” Ladi Adefala ที่ปรึกษาด้านความปลอดภัยทางไซเบอร์และซีอีโอของ Omega315 เห็นด้วย

อ่านเพิ่มเติม: บริษัทที่มีธรรมาภิบาลทางไซเบอร์สร้างมูลค่าเพิ่มเกือบ 4 เท่า

ที่เกี่ยวข้อง ด้วยการแบน TikTok เวลาสำหรับการกำกับดูแลการดำเนินงานมาถึงแล้ว

แม้แต่มืออาชีพทางไซเบอร์ก็ยังถูกโกง: การโจมตีแบบ Vishing ในชีวิตจริง

โดย Elizabeth Montalbano นักเขียนร่วม Dark Reading

ผู้โจมตีที่ประสบความสำเร็จมุ่งเน้นไปที่การบงการทางจิตวิทยาของอารมณ์ของมนุษย์ ซึ่งเป็นเหตุผลว่าทำไมใครก็ตาม แม้แต่ผู้เชี่ยวชาญด้านไซเบอร์หรือผู้เชี่ยวชาญด้านเทคโนโลยี ก็สามารถตกเป็นเหยื่อได้

เริ่มต้นด้วยการโทรเมื่อเวลาประมาณ 10 น. ของวันอังคาร จากหมายเลขโทรศัพท์มือถือที่ไม่รู้จัก ฉันทำงานกับคอมพิวเตอร์ที่บ้าน และมักจะไม่รับสายจากคนที่ฉันไม่รู้จัก ด้วยเหตุผลบางอย่าง ฉันจึงตัดสินใจหยุดสิ่งที่ฉันทำอยู่และรับสายนั้น

นั่นเป็นความผิดพลาดครั้งแรกของฉันในหลาย ๆ ครั้งที่ฉันจะทำในอีกสี่ชั่วโมงข้างหน้า ซึ่งในระหว่างนั้นฉันก็ทำแบบนั้น เหยื่อของแคมเปญ vishing หรือฟิชชิ่งด้วยเสียง- เมื่อการทดสอบสิ้นสุดลง ฉันได้โอนเงินเกือบ 5,000 ยูโรจากบัญชีธนาคารของฉันและ Bitcoin ไปยังผู้หลอกลวง ธนาคารของฉันสามารถยกเลิกการโอนเงินส่วนใหญ่ได้ อย่างไรก็ตาม ฉันเสียเงิน €1,000 ที่ฉันส่งไปยังกระเป๋าเงิน Bitcoin ของผู้โจมตี

ผู้เชี่ยวชาญกล่าวว่าไม่สำคัญว่าคุณมีความเชี่ยวชาญมากเพียงใดในการรู้จักกลยุทธ์ที่ผู้โจมตีใช้หรือมีประสบการณ์ในการตรวจจับกลโกง กุญแจสู่ความสำเร็จของผู้โจมตีคือสิ่งที่เก่ากว่าเทคโนโลยี เนื่องจากมันอยู่ที่การควบคุมสิ่งที่ทำให้เราเป็นมนุษย์: อารมณ์ของเรา

อ่านเพิ่มเติม: อย่ารับโทรศัพท์: การโจมตีแบบ Vishing ในชีวิตจริง

ที่เกี่ยวข้อง แฮกเกอร์ชาวเกาหลีเหนือมุ่งเป้าไปที่นักวิจัยด้านความปลอดภัย — อีกครั้ง

การลดความเสี่ยงจากบุคคลที่สามต้องอาศัยความร่วมมือและแนวทางที่ละเอียดถี่ถ้วน

ความเห็นโดย Matt Mettenheimer รองผู้อำนวยการที่ปรึกษาด้านไซเบอร์ แนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ S-RM

ปัญหาอาจดูน่ากังวล แต่องค์กรส่วนใหญ่มีเอเจนซี่และความยืดหยุ่นในการจัดการกับความเสี่ยงจากบุคคลที่สามมากกว่าที่คิด

ความเสี่ยงจากบุคคลที่สามถือเป็นความท้าทายที่ไม่เหมือนใครสำหรับองค์กร เมื่อดูเผินๆ บุคคลที่สามอาจดูน่าเชื่อถือได้ แต่หากไม่มีความโปร่งใสอย่างสมบูรณ์ในการทำงานภายในของผู้จำหน่ายบุคคลที่สาม องค์กรจะมั่นใจได้อย่างไรว่าข้อมูลที่ได้รับความไว้วางใจนั้นปลอดภัย

บ่อยครั้งที่องค์กรมองข้ามคำถามเร่งด่วนนี้ เนื่องจากความสัมพันธ์อันยาวนานที่พวกเขามีกับผู้จำหน่ายบุคคลที่สาม แต่การเกิดขึ้นของผู้จำหน่ายบุคคลที่สี่และห้าควรจูงใจองค์กรให้รักษาความปลอดภัยข้อมูลภายนอกของตน ทำ การตรวจสอบความปลอดภัยอย่างเหมาะสมกับผู้จำหน่ายบุคคลที่สาม ตอนนี้ต้องรวมการค้นหาว่าบุคคลที่สามว่าจ้างข้อมูลลูกค้าส่วนตัวจากภายนอกให้กับฝ่ายดาวน์สตรีมเพิ่มเติม ซึ่งพวกเขาน่าจะทำเช่นนั้น เนื่องมาจากความแพร่หลายของบริการ SaaS

โชคดีที่มีห้าขั้นตอนง่ายๆ ที่ทำได้ทันทีซึ่งเป็นแนวทางเริ่มต้นสำหรับองค์กรในการลดความเสี่ยงจากบุคคลที่สามได้สำเร็จ

อ่านเพิ่มเติม: การลดความเสี่ยงจากบุคคลที่สามต้องอาศัยความร่วมมือและแนวทางที่ละเอียดถี่ถ้วน

ที่เกี่ยวข้อง Cl0p อ้างสิทธิ์การโจมตี MOVEit; นี่คือวิธีที่แก๊งทำ

รัฐบาลออสเตรเลียเพิ่มความปลอดภัยทางไซเบอร์เป็นสองเท่าจากการโจมตีครั้งใหญ่

โดย John Leyden นักเขียนร่วม Dark Reading Global

รัฐบาลเสนอกฎระเบียบด้านความปลอดภัยทางไซเบอร์ที่ทันสมัยและครอบคลุมมากขึ้นสำหรับธุรกิจ รัฐบาล และผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญในระดับล่าง

จุดอ่อนในความสามารถในการตอบสนองต่อเหตุการณ์ทางไซเบอร์ของออสเตรเลียถูกเปิดเผยในเดือนกันยายน 2022 การโจมตีทางไซเบอร์ต่อผู้ให้บริการโทรคมนาคม Optusตามมาในเดือนตุลาคมด้วยการโจมตีโดยใช้แรนซัมแวร์กับ Medibank ผู้ให้บริการประกันสุขภาพ

ด้วยเหตุนี้ รัฐบาลออสเตรเลียจึงกำลังวางแผนที่จะปรับปรุงกฎหมายและข้อบังคับด้านความปลอดภัยทางไซเบอร์ โดยมีการประกาศยุทธศาสตร์ที่จะวางตำแหน่งประเทศให้เป็นผู้นำระดับโลกในด้านความปลอดภัยทางไซเบอร์ภายในปี 2030

นอกจากจะจัดการกับช่องว่างในกฎหมายอาชญากรรมในโลกไซเบอร์ที่มีอยู่แล้ว ผู้บัญญัติกฎหมายของออสเตรเลียยังหวังที่จะแก้ไขพระราชบัญญัติความมั่นคงด้านโครงสร้างพื้นฐานที่สำคัญ (SOCI) ประจำปี 2018 ของประเทศ เพื่อให้ความสำคัญกับการป้องกันภัยคุกคาม การแบ่งปันข้อมูล และการตอบสนองต่อเหตุการณ์ทางไซเบอร์ให้มากขึ้น

อ่านเพิ่มเติม: รัฐบาลออสเตรเลียเพิ่มความปลอดภัยทางไซเบอร์เป็นสองเท่าจากการโจมตีครั้งใหญ่

ที่เกี่ยวข้อง ท่าเรือของออสเตรเลียกลับมาดำเนินการอีกครั้งหลังจากการหยุดชะงักทางไซเบอร์ทำให้หมดอำนาจ

คู่มือ CISO เกี่ยวกับการกำหนดประเด็นสำคัญและความเสี่ยง

ความเห็นโดย Peter Dyson หัวหน้าฝ่ายวิเคราะห์ข้อมูล Kovrr

สำหรับ CISO จำนวนมาก “ความสำคัญ” ยังคงเป็นคำที่คลุมเครือ ถึงกระนั้น พวกเขาจำเป็นต้องสามารถหารือเกี่ยวกับสาระสำคัญและความเสี่ยงกับคณะกรรมการของตนได้

ขณะนี้ ก.ล.ต. กำหนดให้บริษัทมหาชนจำกัด ประเมินว่าเหตุการณ์ทางไซเบอร์เป็น "สาระสำคัญ" หรือไม่ เพื่อเป็นเกณฑ์ในการรายงาน แต่สำหรับ CISO จำนวนมาก สาระสำคัญยังคงเป็นคำที่คลุมเครือ และเปิดกว้างสำหรับการตีความโดยพิจารณาจากสภาพแวดล้อมด้านความปลอดภัยทางไซเบอร์ที่เป็นเอกลักษณ์ขององค์กร

แก่นแท้ของความสับสนเกี่ยวกับประเด็นสำคัญคือการพิจารณาว่าอะไรถือเป็น "การสูญเสียวัตถุ" บางคนพิจารณาว่าสาระสำคัญมีผลกระทบต่อ 0.01% ของรายได้ของปีก่อน ซึ่งเท่ากับจุดรายได้ประมาณหนึ่งเกณฑ์ (ซึ่งเท่ากับหนึ่งชั่วโมงของรายได้สำหรับบริษัทใน Fortune 1000)

ด้วยการทดสอบเกณฑ์ที่แตกต่างกันโดยเทียบกับเกณฑ์มาตรฐานอุตสาหกรรม องค์กรต่างๆ จะได้รับความเข้าใจที่ชัดเจนยิ่งขึ้นเกี่ยวกับความเสี่ยงต่อการโจมตีทางไซเบอร์ที่สำคัญ

อ่านเพิ่มเติม: คู่มือ CISO เกี่ยวกับการกำหนดประเด็นสำคัญและความเสี่ยง

ที่เกี่ยวข้อง พรูเด็นเชียลยื่นคำบอกกล่าวการละเมิดโดยสมัครใจต่อสำนักงาน ก.ล.ต

Zero-Day Bonanza ผลักดันให้เกิดการเอารัดเอาเปรียบองค์กรมากขึ้น

โดย Becky Bracken บรรณาธิการอาวุโส Dark Reading

ศัตรูขั้นสูงมุ่งเน้นไปที่เทคโนโลยีระดับองค์กรและผู้ขายของพวกเขามากขึ้น ในขณะที่แพลตฟอร์มผู้ใช้ปลายทางกำลังประสบความสำเร็จในการยับยั้งการโจมตีแบบซีโร่เดย์ด้วยการลงทุนด้านความปลอดภัยทางไซเบอร์ ตามที่ Google ระบุ

มีช่องโหว่แบบ Zero-day ที่ถูกใช้ประโยชน์ในป่าในปี 50 เพิ่มขึ้น 2023% มากกว่าในปี 2022 องค์กรต่างๆ ได้รับผลกระทบอย่างหนักเป็นพิเศษ

จากการวิจัยของ Mandiant และ Google Threat Analysis Group (TAG) พบว่าศัตรูที่มีความซับซ้อนซึ่งได้รับการสนับสนุนจากรัฐชาติกำลังใช้ประโยชน์จากพื้นผิวการโจมตีขององค์กรที่แผ่ขยายออกไป รอยเท้าที่ประกอบด้วยซอฟต์แวร์จากผู้ขายหลายราย ส่วนประกอบของบุคคลที่สาม และไลบรารีที่กว้างขวาง เป็นแหล่งล่าสัตว์ที่อุดมสมบูรณ์สำหรับผู้ที่มีความสามารถในการพัฒนาการโจมตีแบบ Zero-day

กลุ่มอาชญากรรมทางไซเบอร์มุ่งเน้นไปที่ซอฟต์แวร์รักษาความปลอดภัยเป็นพิเศษ ได้แก่ เกตเวย์ความปลอดภัยอีเมล Barracuda- อุปกรณ์ Cisco Adaptive Security; Ivanti Endpoint Manager, อุปกรณ์เคลื่อนที่ และ Sentry; และ Trend Micro Apex One การวิจัยเพิ่มเติม

อ่านเพิ่มเติม: Zero-Day Bonanza ผลักดันให้เกิดการเอารัดเอาเปรียบองค์กรมากขึ้น

ที่เกี่ยวข้อง ผู้โจมตีใช้ประโยชน์จาก Microsoft Security-Bypass Zero-Day Bugs

ได้รับการแก้ไขด้านความปลอดภัยในวาระการประชุมคณะกรรมการ

ความเห็นโดย Matt Middleton-Leal กรรมการผู้จัดการของ EMEA North, Qualys

ทีมไอทีสามารถทนต่อการตรวจสอบอย่างละเอียดได้ดีขึ้นโดยช่วยให้คณะกรรมการเข้าใจความเสี่ยงและวิธีการแก้ไข รวมถึงการอธิบายวิสัยทัศน์ระยะยาวในการบริหารความเสี่ยง

ซีอีโอในอดีตอาจไม่นอนไม่หลับว่าทีมรักษาความปลอดภัยของตนเข้าใกล้ CVE ที่เฉพาะเจาะจงอย่างไร แต่ด้วย CVE สำหรับข้อบกพร่องที่เป็นอันตรายเช่น Apache Log4j องค์กรหลายแห่งยังคงไม่ได้รับการติดตั้งแพตช์ การแก้ไขด้านความปลอดภัยจึงกลายเป็นประเด็นสำคัญในวงกว้างมากขึ้น นั่นหมายความว่ามีการขอให้ผู้นำด้านความปลอดภัยจำนวนมากขึ้นให้ข้อมูลเชิงลึกว่าพวกเขาจัดการความเสี่ยงจากมุมมองทางธุรกิจได้ดีเพียงใด

สิ่งนี้นำไปสู่คำถามที่ยาก โดยเฉพาะอย่างยิ่งเกี่ยวกับงบประมาณและวิธีการใช้งาน

CISO ส่วนใหญ่ถูกล่อลวงให้ใช้ข้อมูลเกี่ยวกับหลักการหลักด้านความปลอดภัยด้านไอที เช่น จำนวนปัญหาที่หยุดลง การอัปเดตที่ใช้งาน ประเด็นสำคัญที่ได้รับการแก้ไข แต่หากไม่เปรียบเทียบกับความเสี่ยงและปัญหาทางธุรกิจอื่นๆ อาจเป็นเรื่องยากที่จะให้ความสนใจและแสดงให้เห็นว่า CISO กำลังดำเนินการอยู่ .

เพื่อเอาชนะปัญหาเหล่านี้ เราต้องใช้การเปรียบเทียบและข้อมูลบริบทเพื่อบอกเล่าเรื่องราวเกี่ยวกับความเสี่ยง การระบุตัวเลขพื้นฐานเกี่ยวกับจำนวนแพตช์ที่ใช้งานไม่ได้อธิบายถึงความพยายามจำนวนมากในการแก้ไขปัญหาสำคัญที่เป็นอันตรายต่อแอปพลิเคชันที่สร้างรายได้ นอกจากนี้ยังไม่ได้แสดงให้เห็นว่าทีมของคุณดำเนินการกับทีมอื่นอย่างไร โดยพื้นฐานแล้ว คุณต้องการแสดงให้เห็นว่าบอร์ดดูดีอย่างไร และคุณยังคงส่งมอบผลงานต่อไปอย่างไรเมื่อเวลาผ่านไป

อ่านเพิ่มเติม: ได้รับการแก้ไขด้านความปลอดภัยในวาระการประชุมคณะกรรมการ

ที่เกี่ยวข้อง สิ่งที่ห้องประชุมขาดหายไป: CISO

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation