Ласкаво просимо до CISO Corner, щотижневого дайджесту статей Dark Reading, спеціально розробленого для читачів і лідерів безпеки. Щотижня ми пропонуватимемо статті, зібрані з наших новин, The Edge, DR Technology, DR Global і нашого розділу коментарів. Ми прагнемо запропонувати вам різноманітний набір точок зору для підтримки роботи із введення в дію стратегій кібербезпеки для керівників організацій усіх форм і розмірів.

У цьому випуску CISO Corner:

5 важких істин про стан безпеки в хмарі 2024

Автор: Еріка Чіковскі, співавтор, Dark Reading

Dark Reading обговорює хмарну безпеку з Джоном Кіндервагом, хрещеним батьком нульової довіри.

Більшість організацій не працюють повною мірою зрілі практики хмарної безпеки, незважаючи на те, що майже половина зламів походить із хмари та майже 4.1 мільйона доларів США, втрачених через злам у хмарі минулого року.

За словами хрещеного батька безпеки з нульовою довірою Джона Кіндервага, який концептуалізував і популяризував модель безпеки з нульовою довірою, будучи аналітиком Forrester, це велика проблема. Він каже Dark Reading, що для того, щоб змінити ситуацію, потрібно дивитися в очі деяким важким правдам.

1. Ви не станете безпечнішим, просто перейшовши в хмару: Хмара за своєю природою не є більш безпечною, ніж більшість локальних середовищ: постачальники гіпермасштабованих хмар можуть добре захищати інфраструктуру, але контроль і відповідальність, яку вони несуть за стан безпеки своїх клієнтів, дуже обмежені. І модель спільної відповідальності насправді не працює.

2. У гібридному світі важко керувати вбудованими засобами безпеки: Якість є непостійною, коли йдеться про те, щоб запропонувати клієнтам більше контролю над їхніми робочими навантаженнями, ідентифікацією та видимістю, але елементи керування безпекою, якими можна керувати в усіх численних хмарах, невловимі.

3. Ідентичність не врятує вашу хмару: З огляду на таку велику увагу на управлінні ідентифікацією в хмарі та непропорційну увагу до компоненту ідентифікації в умовах нульової довіри, організаціям важливо розуміти, що ідентифікація є лише частиною добре збалансованого сніданку для нульової довіри до хмари.

4. Дуже багато компаній не знають, що вони намагаються захистити: Кожен актив, система чи процес несе власний унікальний ризик, але організаціям бракує чіткого уявлення про те, що знаходиться в хмарі або що підключається до хмари, не кажучи вже про те, що потребує захисту.

5. Стимули розробки на основі хмарних технологій не в порядку: Занадто багато організацій просто не мають правильних структур стимулів для розробників, щоб постійно працювати над безпекою — і, насправді, у багатьох є спотворені стимули, які в кінцевому підсумку заохочують небезпечну практику. «Мені подобається говорити, що люди, які розробляють програму DevOps, — це Рікі Боббі ІТ. Вони просто хочуть йти швидко», — каже Кіндерваг.

Детальніше: 5 важких істин про стан безпеки в хмарі 2024

За темою: Нульова довіра: 63% організацій впроваджують у всьому світі

MITRE ATT&CKED: Найнадійнішим ім’ям InfoSec став Ivanti Bugs

Автор: Нейт Нельсон, співавтор, Dark Reading

Мало хто втрачає іронію, оскільки суб’єкт загрози національній державі використав вісім методів MITER, щоб зламати сам MITER, включаючи використання помилок Ivanti, які зловмисники використовували протягом місяців.

Іноземні хакери національних держав використовували вразливі пристрої Ivanti edge отримати тримісячний «глибокий» доступ до однієї з незасекречених мереж MITER Corp.

MITRE, керуючий повсюдним глосарієм ATT&CK загальновідомих методів кібератак, раніше 15 років обходився без серйозних інцидентів. Смуга перервалася в січні, коли, як і в багатьох інших організаціях, її шлюзові пристрої Ivanti були використані.

Порушення вплинуло на мережеве середовище експериментів, досліджень і віртуалізації (NERVE), некласифіковану спільну мережу, яку організація використовує для досліджень, розробки та створення прототипів. Ступінь пошкодження НЕРВА (каламбур) наразі оцінюється.

Якими б не були їхні цілі, у хакерів було достатньо часу для їх реалізації. Хоча компроміс стався в січні, MITRE зміг виявити його лише в квітні, залишивши між ними чверть року.

Детальніше: MITRE ATT&CKED: Найнадійнішим ім’ям InfoSec став Ivanti Bugs

За темою: Найкращі методи MITRE ATT&CK і як захиститися від них

Уроки для CISO з топ-10 LLM від OWASP

Коментар Кевіна Боцека, директора з інновацій Venafi

Настав час почати регулювати LLMs, щоб переконатися, що вони добре навчені та готові виконувати ділові угоди, які можуть вплинути на кінцевий результат.

OWASP нещодавно опублікував свій список 10 найпопулярніших програм великої мовної моделі (LLM), тож розробники, дизайнери, архітектори та менеджери тепер мають 10 сфер, на яких слід чітко зосередитися, коли йдеться про проблеми безпеки.

Майже всі 10 найбільших загроз LLM зосереджено навколо компромісу автентифікації для ідентифікаторів, що використовуються в моделях. Різні методи атаки охоплюють широкий діапазон, впливаючи не лише на ідентифікаційні дані моделей, але й на ідентифікаційні дані самих моделей, а також на їхні результати та дії. Це має додатковий ефект і вимагає автентифікації в процесах підписання коду та створення, щоб зупинити вразливість у джерелі.

Хоча більше половини з 10 найпоширеніших ризиків є ризиками, які по суті пом’якшені та вимагають відключення штучного інтелекту, компаніям потрібно буде оцінити свої варіанти під час розгортання нових LLM. Якщо потрібні інструменти для автентифікації вхідних даних і моделей, а також дій моделей, компанії будуть краще підготовлені, щоб використовувати ідею аварійного перемикання та запобігати подальшому руйнуванню.

Детальніше: Уроки для CISO з топ-10 LLM від OWASP

За темою: Bugcrowd оголошує рейтинги вразливостей для LLM

Золото кібератак: SBOM пропонують легкий перелік вразливого програмного забезпечення

Роб Лемос, співавтор, Dark Reading

Зловмисники, ймовірно, використовуватимуть специфікації програмного забезпечення (SBOM) для пошуку програмного забезпечення, потенційно вразливого до певних недоліків програмного забезпечення.

Урядові та чутливі до безпеки компанії все частіше вимагають від виробників програмного забезпечення надання їм специфікацій програмного забезпечення (SBOM) для усунення ризиків у ланцюжку поставок — але це створює нову категорію занепокоєння.

У двох словах: зловмисник, який визначає, яке програмне забезпечення використовує цільова компанія, може отримати пов’язаний SBOM і проаналізувати компоненти програми на наявність слабких місць, не надсилаючи жодного пакету, – каже Ларрі Пеше, директор із досліджень безпеки продуктів і аналізу програмного забезпечення. фірма з безпеки ланцюга постачання Finite State.

Він колишній тестувальник проникнення з 20-річним стажем, який планує попередити про ризик у презентації «Злі SBOM» на конференції RSA у травні. Він покаже, що SBOM мають достатньо інформації, щоб дозволити зловмисникам пошук конкретних CVE в базі даних SBOM і знайти програму, яка ймовірно вразлива. За його словами, ще краще для зловмисників те, що SBOM також перелічить інші компоненти та утиліти на пристрої, які зловмисник може використовувати для «життя за рахунок землі» після зламу.

Детальніше: Золото кібератак: SBOM пропонують легкий перелік вразливого програмного забезпечення

За темою: Південна компанія будує SBOM для ПС

Глобально: маєте ліцензію на Білла? Сертифікація та ліцензування спеціалістів із кібербезпеки в країнах

Автор: Роберт Лемос, співавтор, Dark Reading

Малайзія, Сінгапур і Гана є одними з перших країн, які прийняли закони, що вимагають кібербезпеки фірмам — а в деяких випадках і окремим консультантам — отримати ліцензії на ведення бізнесу, але побоювання залишаються.

Малайзія приєдналася щонайменше до двох інших країн — Сінгапур і Гана — у прийнятті законів, які вимагають, щоб спеціалісти з кібербезпеки або їхні фірми були сертифіковані та отримали ліцензію на надання деяких послуг з кібербезпеки в їхній країні.

Хоча повноваження законодавства ще належить визначити, «ймовірно, це стосуватиметься постачальників послуг, які надають послуги із захисту інформаційно-комунікаційних пристроїв іншої особи — [наприклад] постачальників тестів на проникнення та операційних центрів безпеки», — повідомляє малайзійська компанія. юридична фірма Christopher & Lee Ong.

Сусід із Азіатсько-Тихоокеанського регіону Сінгапур вже вимагав ліцензування постачальників послуг кібербезпеки (CSP) протягом останніх двох років, а західноафриканська країна Гана вимагає ліцензування та акредитації фахівців з кібербезпеки. У більш широкому плані уряди, такі як Європейський Союз, нормалізували сертифікацію кібербезпеки, тоді як інші агенції, такі як штат Нью-Йорк США, вимагають сертифікації та ліцензій на можливості кібербезпеки в певних галузях.

Однак деякі експерти бачать потенційно небезпечні наслідки цих кроків.

Детальніше: Ліцензія на Білла? Сертифікація та ліцензування спеціалістів із кібербезпеки в країнах

За темою: Сінгапур встановлює високу планку готовності до кібербезпеки

J&J Spin-Off CISO щодо максимізації кібербезпеки

Автор: Карен Д. Шварц, співавтор, Dark Reading

Як CISO Kenvue, компанії з охорони здоров’я, що виникла з Johnson & Johnson, об’єднав інструменти та нові ідеї для створення програми безпеки.

Майк Вагнер з Johnson & Johnson допоміг сформувати підхід до безпеки компанії зі списку Fortune 100 і систему безпеки; тепер він є першим CISO річної компанії J&J у сфері охорони здоров’я, Kenvue, якому доручено створити оптимізовану та економічно ефективну архітектуру з максимальною безпекою.

У цій статті описано кроки, які пройшли Вагнер і його команда, зокрема:

Визначте ключові ролі: Архітектори та інженери для впровадження інструментів; експерти з управління ідентифікацією та доступом (IAM) для безпечної автентифікації; лідери управління ризиками узгодити безпеку з пріоритетами бізнесу; персонал служби безпеки для реагування на інциденти; і виділений персонал для кожної кіберфункції.

Вставте машинне навчання та ШІ: Завдання включають автоматизацію IAM; спрощення перевірки постачальників; аналіз поведінки; і покращення виявлення загроз.

Виберіть, які інструменти та процеси зберегти, а які замінити: У той час як архітектура кібербезпеки J&J — це набір систем, створених десятиліттями придбань; завдання включають інвентаризацію інструментів J&J; зіставлення їх із операційною моделлю Kenvue; та визначення нових необхідних можливостей.

Вагнер каже, що є ще багато чого зробити. Далі він планує застосувати сучасні стратегії безпеки, включаючи нульову довіру та вдосконалення технічного контролю.

Детальніше: J&J Spin-Off CISO щодо максимізації кібербезпеки

За темою: Ознайомтеся з інструментами штучного інтелекту Visa для боротьби з шахрайством

SolarWinds 2024: куди поділися кіберрозкриття інформації?

Коментар Тома Товара, генерального директора та співавтора Appdome

Отримайте оновлені поради щодо того, як, коли та де ми повинні розкривати інциденти кібербезпеки згідно з чотириденним правилом SEC після SolarWinds, і приєднайтеся до заклику змінити правило, щоб спочатку виправити ситуацію.

У світі після SolarWinds ми повинні перейти до безпечної гавані для відновлення ризиків та інцидентів кібербезпеки. Зокрема, якщо будь-яка компанія усуне недоліки або атаку протягом чотирьох днів, вона повинна мати можливість (а) уникнути заяви про шахрайство (тобто нема про що говорити) або (б) використовувати стандартний процес 10Q і 10K, включно з розділом обговорення та аналізу керівництва, щоб розкрити інцидент.

30 жовтня SEC подала a скарга на шахрайство проти SolarWinds і її головного спеціаліста з інформаційної безпеки, стверджуючи, що хоча співробітники та керівники SolarWinds знали про зростаючі ризики, уразливості та атаки на продукти SolarWinds з часом, «розкриття ризиків кібербезпеки SolarWinds жодним чином не розкривало їх».

Щоб запобігти проблемам з відповідальністю в таких ситуаціях, безпечна гавань із відновлення надасть компаніям повний чотириденний термін для оцінки інциденту та реагування на нього. Потім, якщо це виправлено, знайдіть час, щоб належним чином розкрити інцидент. Результатом є більший акцент на кіберреагування та менший вплив на публічні акції компанії. 8K все ще можна використовувати для невирішених інцидентів кібербезпеки.

Детальніше: SolarWinds 2024: куди поділися кіберрозкриття інформації?

За темою: Що означає SolarWinds для DevSecOps

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti