Chào mừng bạn đến với CISO Corner, bản tóm tắt hàng tuần của Dark Reading gồm các bài viết được thiết kế riêng cho độc giả hoạt động bảo mật và các nhà lãnh đạo bảo mật. Hàng tuần, chúng tôi sẽ cung cấp các bài viết thu thập được từ hoạt động tin tức của chúng tôi, The Edge, DR Technology, DR Global và phần Bình luận của chúng tôi. Chúng tôi cam kết mang đến cho bạn nhiều quan điểm đa dạng để hỗ trợ công việc vận hành các chiến lược an ninh mạng cho các nhà lãnh đạo tại các tổ chức thuộc mọi hình thức và quy mô.

Trong số này của Góc CISO:

5 sự thật phũ phàng về tình trạng bảo mật đám mây năm 2024

Bởi Ericka Chickowski, Nhà văn đóng góp, Dark Reading

Dark Reading nói chuyện về vấn đề bảo mật đám mây với John Kindervag, cha đỡ đầu của Zero Trust.

Hầu hết các tổ chức không làm việc đầy đủ thực tiễn bảo mật đám mây trưởng thành, mặc dù gần một nửa số vụ vi phạm bắt nguồn từ đám mây và gần 4.1 triệu USD bị mất do các vụ vi phạm trên đám mây trong năm qua.

Đó là một vấn đề lớn, theo John Kindervag, cha đỡ đầu của bảo mật không tin cậy, người đã khái niệm hóa và phổ biến mô hình bảo mật không tin cậy với tư cách là nhà phân tích tại Forrester. Anh ấy nói với Dark Reading rằng có một số sự thật khó khăn phải đối mặt để xoay chuyển tình thế.

1. Bạn không trở nên an toàn hơn chỉ bằng cách truy cập đám mây: Đám mây về bản chất không an toàn hơn hầu hết các môi trường tại chỗ: các nhà cung cấp đám mây siêu quy mô có thể rất giỏi trong việc bảo vệ cơ sở hạ tầng, nhưng khả năng kiểm soát và trách nhiệm của họ đối với tình trạng bảo mật của khách hàng là rất hạn chế. Và mô hình chia sẻ trách nhiệm không thực sự hiệu quả.

2. Khó quản lý các biện pháp kiểm soát bảo mật gốc trong thế giới kết hợp: Chất lượng không nhất quán khi cung cấp cho khách hàng nhiều quyền kiểm soát hơn đối với khối lượng công việc, danh tính và khả năng hiển thị của họ, nhưng các biện pháp kiểm soát bảo mật có thể được quản lý trên tất cả nhiều đám mây thì khó nắm bắt.

3. Danh tính sẽ không cứu được đám mây của bạn: Với sự nhấn mạnh quá nhiều vào việc quản lý danh tính trên đám mây và sự chú ý không cân xứng vào thành phần nhận dạng trong mô hình không tin cậy, điều quan trọng là các tổ chức phải hiểu rằng danh tính chỉ là một phần của bữa sáng cân bằng cho việc không tin cậy vào đám mây.

4. Quá nhiều công ty không biết họ đang cố gắng bảo vệ điều gì: Mỗi tài sản, hệ thống hoặc quy trình sẽ có rủi ro riêng, nhưng các tổ chức thiếu ý tưởng rõ ràng về những gì trên đám mây hoặc những gì kết nối với đám mây, chưa nói đến những gì cần bảo vệ.

5. Các ưu đãi phát triển trên nền tảng đám mây đã hết hiệu lực: Quá nhiều tổ chức đơn giản là không có cơ cấu khuyến khích phù hợp để các nhà phát triển tăng cường bảo mật khi họ hoạt động — và trên thực tế, nhiều tổ chức có những khuyến khích trái ngược dẫn đến việc khuyến khích thực hành không an toàn. “Tôi muốn nói rằng những người làm ứng dụng DevOps là Ricky Bobbys của lĩnh vực CNTT. Họ chỉ muốn đi nhanh,” Kindervag nói.

Tìm hiểu thêm: 5 sự thật phũ phàng về tình trạng bảo mật đám mây năm 2024

Liên quan: Zero Trust tiếp quản: 63% tổ chức đang triển khai trên toàn cầu

MITER ATT&CKED: Tên đáng tin cậy nhất của InfoSec rơi vào tay lỗi Ivanti

Bởi Nate Nelson, Nhà văn đóng góp, Dark Reading

Điều trớ trêu là ít người xảy ra, khi một kẻ đe dọa quốc gia-nhà nước đã sử dụng tám kỹ thuật MITER để xâm phạm chính MITER - bao gồm cả việc khai thác các lỗi Ivanti mà những kẻ tấn công đã tràn ngập trong nhiều tháng.

Tin tặc quốc gia nước ngoài đã sử dụng thiết bị Ivanti edge dễ bị tổn thương để có được quyền truy cập “sâu” trị giá ba tháng vào một trong các mạng không được phân loại của MITER Corp.

MITER, người quản lý bảng chú giải thuật ngữ ATT&CK phổ biến về các kỹ thuật tấn công mạng thường được biết đến, trước đó đã trải qua 15 năm không xảy ra sự cố lớn nào. Kỉ lục này đã xảy ra vào tháng XNUMX khi giống như nhiều tổ chức khác, các thiết bị cổng Ivanti của họ bị khai thác.

Vi phạm đã ảnh hưởng đến Môi trường Thử nghiệm, Nghiên cứu và Ảo hóa Mạng (NERVE), một mạng cộng tác, không được phân loại mà tổ chức sử dụng để nghiên cứu, phát triển và tạo nguyên mẫu. Mức độ thiệt hại THẦN KINH (ý định chơi chữ) hiện đang được đánh giá.

Dù mục tiêu của họ là gì thì tin tặc vẫn có nhiều thời gian để thực hiện chúng. Mặc dù sự xâm phạm xảy ra vào tháng 1, MITER chỉ có thể phát hiện ra nó vào tháng 4, để lại khoảng cách một quý ở giữa.

Tìm hiểu thêm: MITER ATT&CKED: Tên đáng tin cậy nhất của InfoSec rơi vào tay lỗi Ivanti

Liên quan: Các kỹ thuật MITER ATT&CK hàng đầu và cách phòng thủ trước chúng

Bài học dành cho CISO từ Top 10 LLM của OWASP

Bình luận của Kevin Bocek, Giám đốc Đổi mới, Venafi

Đã đến lúc bắt đầu quản lý LLM để đảm bảo họ được đào tạo chính xác và sẵn sàng xử lý các giao dịch kinh doanh có thể ảnh hưởng đến lợi nhuận.

OWASP gần đây đã công bố danh sách 10 ứng dụng mô hình ngôn ngữ lớn (LLM) hàng đầu, vì vậy các nhà phát triển, nhà thiết kế, kiến ​​trúc sư và nhà quản lý hiện có 10 lĩnh vực cần tập trung rõ ràng khi có vấn đề về bảo mật.

Hầu như tất cả 10 mối đe dọa LLM hàng đầu xoay quanh sự thỏa hiệp về xác thực đối với danh tính được sử dụng trong các mô hình. Các phương thức tấn công khác nhau hoạt động theo gam màu, không chỉ ảnh hưởng đến danh tính của đầu vào mô hình mà còn ảnh hưởng đến danh tính của chính mô hình cũng như đầu ra và hành động của chúng. Điều này có tác dụng kích thích và yêu cầu xác thực trong quá trình tạo và ký mã để ngăn chặn lỗ hổng ngay tại nguồn.

Mặc dù hơn một nửa trong số 10 rủi ro hàng đầu là những rủi ro về cơ bản đã được giảm thiểu và kêu gọi tắt AI, các công ty sẽ cần đánh giá các lựa chọn của mình khi triển khai LLM mới. Nếu có sẵn các công cụ phù hợp để xác thực đầu vào và mô hình, cũng như hành động của mô hình, các công ty sẽ được trang bị tốt hơn để tận dụng ý tưởng kill-switch AI và ngăn chặn sự phá hủy thêm.

Tìm hiểu thêm: Bài học dành cho CISO từ Top 10 LLM của OWASP

Liên quan: Bugcrowd công bố xếp hạng lỗ hổng bảo mật cho LLM

CyberAttack Gold: SBOM cung cấp điều tra dân số dễ dàng về phần mềm dễ bị tổn thương

Bởi Rob Lemos, Nhà văn đóng góp, Dark Reading

Những kẻ tấn công có thể sẽ sử dụng danh mục vật liệu phần mềm (SBOM) để tìm kiếm phần mềm có khả năng dễ bị mắc các lỗi phần mềm cụ thể.

Các công ty nhạy cảm với chính phủ và bảo mật đang ngày càng yêu cầu các nhà sản xuất phần mềm cung cấp cho họ hóa đơn nguyên vật liệu phần mềm (SBOM) để giải quyết rủi ro trong chuỗi cung ứng - nhưng điều này đang tạo ra một mối lo lắng mới.

Tóm lại: Kẻ tấn công xác định phần mềm mà công ty mục tiêu đang chạy, có thể truy xuất SBOM liên quan và phân tích các điểm yếu của các thành phần của ứng dụng mà không cần gửi một gói nào, Larry Pesce, giám đốc nghiên cứu và phân tích bảo mật sản phẩm tại phần mềm cho biết. công ty bảo mật chuỗi cung ứng Finite State.

Anh ấy là người từng thử nghiệm sự thâm nhập trong 20 năm và có kế hoạch cảnh báo về rủi ro trong bài thuyết trình về “SBOM ác” tại Hội nghị RSA vào tháng XNUMX. Anh ta sẽ chỉ ra rằng SBOM có đủ thông tin để cho phép kẻ tấn công tìm kiếm các CVE cụ thể trong cơ sở dữ liệu của SBOM và tìm một ứng dụng có thể dễ bị tấn công. Ông nói, thậm chí còn tốt hơn cho những kẻ tấn công, SBOM cũng sẽ liệt kê các thành phần và tiện ích khác trên thiết bị mà kẻ tấn công có thể sử dụng để “sống ngoài đất liền” sau khi bị xâm phạm.

Tìm hiểu thêm: CyberAttack Gold: SBOM cung cấp điều tra dân số dễ dàng về phần mềm dễ bị tổn thương

Liên quan: Công ty Miền Nam thi công SBOM cho trạm biến áp điện

Toàn cầu: Được cấp phép cho Bill? Chứng nhận ủy quyền của quốc gia và cấp phép cho chuyên gia an ninh mạng

Bởi Robert Lemos, Nhà văn đóng góp, Dark Reading

Malaysia, Singapore và Ghana là một trong những quốc gia đầu tiên thông qua luật yêu cầu an ninh mạng các công ty - và trong một số trường hợp, các nhà tư vấn cá nhân - để xin giấy phép kinh doanh, nhưng vẫn còn lo ngại.

Malaysia đã tham gia cùng ít nhất hai quốc gia khác - Singapore và Ghana - trong việc thông qua luật yêu cầu các chuyên gia an ninh mạng hoặc công ty của họ phải được chứng nhận và cấp phép cung cấp một số dịch vụ an ninh mạng ở quốc gia của họ.

Mặc dù các nhiệm vụ của luật vẫn chưa được xác định, nhưng “điều này có thể sẽ áp dụng cho các nhà cung cấp dịch vụ cung cấp dịch vụ bảo vệ thiết bị công nghệ thông tin và truyền thông của người khác - [ví dụ] các nhà cung cấp thử nghiệm thâm nhập và trung tâm điều hành bảo mật”, theo công ty có trụ sở tại Malaysia. công ty luật Christopher & Lee Ong.

Nước láng giềng châu Á-Thái Bình Dương Singapore đã yêu cầu cấp phép cho các nhà cung cấp dịch vụ an ninh mạng (CSP) trong hai năm qua và quốc gia Ghana ở Tây Phi yêu cầu cấp phép và chứng nhận cho các chuyên gia an ninh mạng. Rộng rãi hơn, các chính phủ như Liên minh Châu Âu đã bình thường hóa các chứng chỉ an ninh mạng, trong khi các cơ quan khác – chẳng hạn như bang New York của Hoa Kỳ – yêu cầu chứng nhận và giấy phép về khả năng an ninh mạng trong các ngành cụ thể.

Tuy nhiên, một số chuyên gia nhận thấy những hậu quả nguy hiểm tiềm ẩn từ những động thái này.

Tìm hiểu thêm: Được cấp phép cho Bill? Chứng nhận ủy quyền của quốc gia và cấp phép cho chuyên gia an ninh mạng

Liên quan: Singapore đặt tiêu chuẩn cao về chuẩn bị an ninh mạng

J&J Spin-Off CISO về tối đa hóa an ninh mạng

Bởi Karen D. Schwartz, Nhà văn đóng góp, Dark Reading

CISO của Kenvue, một công ty chăm sóc sức khỏe người tiêu dùng tách ra từ Johnson & Johnson, kết hợp các công cụ và ý tưởng mới để xây dựng chương trình bảo mật như thế nào.

Mike Wagner của Johnson & Johnson đã giúp định hình phương pháp bảo mật và hệ thống bảo mật của công ty Fortune 100; giờ đây, anh ấy là CISO đầu tiên của Kenvue, công ty con chăm sóc sức khỏe người tiêu dùng lâu đời của J&J, được giao nhiệm vụ tạo ra một kiến ​​trúc hợp lý và tiết kiệm chi phí với mức độ bảo mật tối đa.

Bài viết này chia nhỏ các bước mà Wagner và nhóm của ông đã thực hiện, bao gồm:

Xác định các vai trò chính: Kiến trúc sư và kỹ sư thực hiện các công cụ; các chuyên gia quản lý danh tính và quyền truy cập (IAM) để cho phép xác thực an toàn; lãnh đạo quản lý rủi ro để gắn kết bảo mật với các ưu tiên kinh doanh; nhân viên nghiệp vụ an ninh ứng phó sự cố; và đội ngũ nhân viên tận tâm cho từng chức năng mạng.

Nhúng máy học và AI: Nhiệm vụ bao gồm tự động hóa IAM; hợp lý hóa việc kiểm tra nhà cung cấp; phân tích hành vi; và cải thiện khả năng phát hiện mối đe dọa.

Chọn những công cụ và quy trình nào cần giữ lại cũng như những công cụ và quy trình nào cần thay thế: Trong khi kiến ​​trúc an ninh mạng của J&J là sự chắp vá của các hệ thống được tạo ra sau nhiều thập kỷ mua lại; nhiệm vụ ở đây bao gồm kiểm kê các công cụ của J&J; ánh xạ chúng tới mô hình hoạt động của Kenvue; và xác định những khả năng mới cần thiết.

Wagner nói còn nhiều việc phải làm. Tiếp theo, anh có kế hoạch tập trung vào các chiến lược bảo mật hiện đại, bao gồm việc áp dụng cơ chế không tin cậy và tăng cường kiểm soát kỹ thuật.

Tìm hiểu thêm: J&J Spin-Off CISO về tối đa hóa an ninh mạng

Liên quan: Tìm hiểu các công cụ AI chống gian lận của Visa

SolarWinds 2024: Việc tiết lộ thông tin mạng sẽ đi đến đâu từ đây?

Bình luận của Tom Tovar, CEO & Đồng sáng tạo, Appdome

Nhận lời khuyên cập nhật về cách thức, thời gian và địa điểm chúng tôi nên tiết lộ các sự cố an ninh mạng theo quy tắc 4 ngày của SEC sau SolarWinds và tham gia cuộc kêu gọi cải tiến quy tắc để khắc phục trước.

Trong thế giới hậu SolarWinds, chúng ta nên chuyển sang một nơi an toàn để khắc phục các rủi ro và sự cố an ninh mạng. Cụ thể, nếu bất kỳ công ty nào khắc phục những thiếu sót hoặc bị tấn công trong khung thời gian 10 ngày, thì công ty đó sẽ có thể (a) tránh được khiếu nại gian lận (tức là không có gì để nói) hoặc (b) sử dụng quy trình 10Q và XNUMXK tiêu chuẩn, bao gồm phần Thảo luận và Phân tích Quản lý, để tiết lộ sự việc.

Vào ngày 30 tháng XNUMX, SEC đã nộp đơn khiếu nại gian lận chống lại SolarWinds và giám đốc an ninh thông tin của nó, cáo buộc rằng mặc dù các nhân viên và giám đốc điều hành của SolarWinds biết về rủi ro, lỗ hổng và các cuộc tấn công ngày càng tăng đối với các sản phẩm của SolarWinds, nhưng “các tiết lộ về rủi ro an ninh mạng của SolarWinds không tiết lộ chúng theo bất kỳ cách nào”.

Để giúp ngăn ngừa các vấn đề trách nhiệm pháp lý trong những tình huống này, bến cảng an toàn khắc phục sẽ cho phép các công ty có khung thời gian đầy đủ bốn ngày để đánh giá và ứng phó với một sự cố. Sau đó, nếu được khắc phục, hãy dành thời gian để tiết lộ sự việc một cách đúng đắn. Kết quả là tập trung nhiều hơn vào phản ứng trên mạng và ít tác động hơn đến cổ phiếu đại chúng của công ty. 8K vẫn có thể được sử dụng cho các sự cố an ninh mạng chưa được giải quyết.

Tìm hiểu thêm: SolarWinds 2024: Việc tiết lộ thông tin mạng sẽ đi đến đâu từ đây?

Liên quan: SolarWinds có ý nghĩa gì đối với DevSecOps

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti