欢迎来到 CISO Corner，这是专门为安全运营读者和安全领导者量身定制的每周文章摘要。每周，我们都会提供从我们的新闻运营、The Edge、DR Technology、DR Global 和我们的评论部分收集的文章。我们致力于为您提供多样化的观点，以支持各种类型和规模的组织的领导者实施网络安全策略的工作。

本期 CISO 角：

关于 5 年云安全状况的 2024 个残酷事实

作者：Ericka Chickowski，《Dark Reading》特约作家

Dark Reading 与零信任教父 John Kindervag 谈论云安全。

大多数组织没有充分合作 成熟的云安全实践尽管近一半的数据泄露源自云，并且去年云数据泄露造成了近 4.1 万美元的损失。

零信任安全之父约翰·金德瓦格 (John Kindervag) 表示，这是一个大问题，他作为 Forrester 分析师提出了零信任安全模型的概念并加以推广。他告诉 Dark Reading，为了扭转局面，需要面对一些残酷的事实。

1. 仅仅迁移到云端并不会变得更加安全： 云本质上并不比大多数本地环境更安全：超大规模云提供商可能非常擅长保护基础设施，但他们对客户安全状况的控制和责任非常有限。而且共同责任模式并没有真正发挥作用。

2. 本机安全控制在混合世界中很难管理： 在为客户提供对其工作负载、身份和可见性的更多控制方面，质量不一致，但可以跨所有多个云进行管理的安全控制却难以实现。

3. 身份无法拯救您的云： 由于如此重视云身份管理，并且过分关注零信任中的身份组件，因此组织必须了解身份只是云中零信任均衡早餐的一部分。

4.太多的公司不知道他们想要保护什么： 每个资产、系统或流程都将承担其独特的风险，但组织对云中的内容或连接到云的内容缺乏清晰的了解，更不用说需要保护的内容了。

5. 云原生开发激励措施失调： 太多的组织根本没有适当的激励结构来鼓励开发人员在开发过程中增强安全性——事实上，许多组织都有不正当的激励措施，最终导致了不安全的实践。 “我想说 DevOps 应用程序人员是 IT 界的 Ricky Bobby。他们只是想走得快，”金德瓦格说。

了解更多： 关于 5 年云安全状况的 2024 个残酷事实

相关新闻： 零信任接管：63% 的组织在全球范围内实施

MITRE ATT&CKED：InfoSec 最受信任的名字落入 Ivanti Bug 之手

作者：Nate Nelson，《Dark Reading》特约作家

很少有人忽视这一讽刺，因为一个民族国家威胁行为者使用了八种 MITRE 技术来破坏 MITRE 本身，包括利用攻击者几个月来蜂拥而至的 Ivanti 漏洞。

外国黑客利用 易受攻击的 Ivanti 边缘设备 获得对 MITRE Corp. 的非机密网络之一的三个月“深度”访问权限。

MITRE 是无处不在的 ATT&CK 众所周知的网络攻击技术术语表的管理者，此前已有 15 年没有发生过重大事件。与许多其他组织一样，当其 Ivanti 网关设备被利用时，这一记录在一月份就被打破了。

此次泄露影响了网络实验、研究和虚拟化环境 (NERVE)，这是该组织用于研究、开发和原型设计的非机密协作网络。目前正在评估神经损伤的程度（双关语）。

无论他们的目标是什么，黑客都有充足的时间来实现它们。尽管入侵发生在 1 月份，但 MITRE 直到 4 月份才发现它，中间存在一个季度的差距。

了解更多： MITRE ATT&CKED：InfoSec 最受信任的名字落入 Ivanti Bug 之手

相关新闻： 顶级 MITRE ATT&CK 技术以及如何防御它们

OWASP 前 10 名 LLM 为 CISO 提供的经验教训

Venafi 首席创新官 Kevin Bocek 评论

现在是开始监管法学硕士的时候了，以确保他们接受准确的培训并准备好处理可能影响利润的业务交易。

OWASP 最近发布了大型语言模型 (LLM) 应用程序的前 10 名列表，因此开发人员、设计师、架构师和管理人员现在在安全问题方面有 10 个需要明确关注的领域。

几乎所有的 LLM 十大威胁 以模型中使用的身份验证的妥协为中心。不同的攻击方法涉及面广，不仅影响模型输入的身份，还影响模型本身的身份及其输出和操作。这会产生连锁反应，并要求在代码签名和创建流程中进行身份验证，以从源头上阻止漏洞。

虽然前 10 名风险中超过一半的风险基本上已经得到缓解，需要人工智能的终止开关，但公司在部署新的法学硕士时需要评估他们的选择。如果有合适的工具来验证输入和模型以及模型的行为，公司将能够更好地利用人工智能终止开关的想法并防止进一步的破坏。

了解更多： OWASP 前 10 名 LLM 为 CISO 提供的经验教训

相关新闻： Bugcrowd 公布法学硕士的漏洞评级

网络攻击黄金：SBOM 提供对易受攻击软件的轻松普查

作者：Rob Lemos，《Dark Reading》特约作家

攻击者可能会使用软件物料清单 (SBOM) 来搜索可能容易受到特定软件缺陷影响的软件。

政府和对安全敏感的公司越来越多地要求软件制造商向他们提供软件物料清单 (SBOM)，以解决供应链风险，但这引发了新的担忧。

简而言之：软件产品安全研究和分析总监 Larry Pesce 表示，确定目标公司正在运行什么软件的攻击者可以检索相关的 SBOM 并分析应用程序组件的弱点，而无需发送单个数据包。供应链安全公司Finite State。

他是一名拥有 20 年经验的前渗透测试员，计划在 XNUMX 月份的 RSA 会议上发表有关“邪恶的 SBOM”的演讲，警告这种风险。他将证明 SBOM 有足够的信息让攻击者能够 在 SBOM 数据库中搜索特定 CVE 并找到可能存在漏洞的应用程序。他说，对攻击者来说更好的是，SBOM 还将列出设备上的其他组件和实用程序，攻击者可以在攻击后使用这些组件和实用程序“靠地生活”。

了解更多： 网络攻击黄金：SBOM 提供对易受攻击软件的轻松普查

相关新闻： 南方公司为变电站建造SBOM

全球：授权给账单？国家强制要求网络安全专业人员进行认证和许可

作者：Robert Lemos，《Dark Reading》特约作家

马来西亚、新加坡和加纳是首批通过网络安全法律的国家 公司——在某些情况下，个人顾问——获得开展业务的许可证，但担忧仍然存在。

马来西亚已加入至少两个其他国家的行列—— 新加坡 加纳——通过法律，要求网络安全专业人员或其公司获得认证和许可，才能在本国提供某些网络安全服务。

虽然该立法的授权尚未确定，但“这可能适用于提供保护他人信息和通信技术设备的服务的服务提供商——[例如]渗透测试提供商和安全运营中心，”总部位于马来西亚的公司表示。 Christopher & Lee Ong 律师事务所。

亚太邻国新加坡在过去两年已经要求网络安全服务提供商（CSP）获得许可，西非国家加纳也要求网络安全专业人员获得许可和认证。更广泛地说，欧盟等政府已将网络安全认证标准化，而美国纽约州等其他机构则要求特定行业的网络安全能力获得认证和许可证。

然而，一些专家认为这些举措可能会带来危险的后果。

了解更多： 授权给比尔？国家强制要求网络安全专业人员进行认证和许可

相关新闻： 新加坡在网络安全准备方面设定了高标准

强生 (J&J) 分拆首席信息安全官 (CISO) 致力于最大限度地提高网络安全

作者：Karen D. Schwartz，《Dark Reading》特约作家

Kenvue（一家从强生公司分拆出来的消费者医疗保健公司）的 CISO 如何结合工具和新想法来构建安全计划。

强生公司的 Mike Wagner 帮助塑造了这家财富 100 强公司的安全方法和安全堆栈；现在，他是强生 (J&J) 成立一年多的消费者医疗保健分拆公司 Kenvue 的首位首席信息安全官 (CISO)，其任务是创建一个精简且具有成本效益且具有最高安全性的架构。

本文详细介绍了瓦格纳和他的团队所经历的步骤，其中包括：

定义关键角色： 建筑师和工程师实施工具；身份和访问管理 (IAM) 专家支持安全身份验证； 风险管理领导者 使安全性与业务优先级保持一致；负责事件响应的安全操作人员；以及每个网络职能的专职人员。

嵌入机器学习和人工智能： 任务包括自动化 IAM；简化供应商审查；行为分析；并改进威胁检测。

选择要保留和替换的工具和流程： 虽然强生的网络安全架构是由数十年收购创建的系统拼凑而成；这里的任务包括盘点强生的工具；将它们映射到 Kenvue 的运营模型；并确定新的所需能力。

瓦格纳表示还有更多工作要做。接下来，他计划转向现代安全策略，包括采用零信任和增强技术控​​制。

了解更多： 强生 (J&J) 分拆首席信息安全官 (CISO) 致力于最大限度地提高网络安全

相关新闻： Visa 反欺诈人工智能工具一探究竟

SolarWinds 2024：网络披露将何去何从？

Appdome 首席执行官兼联合创始人 Tom Tovar 的评论

根据 SolarWinds 事件后美国证券交易委员会 (SEC) 的四天规则，获取有关我们应如何、何时、何地披露网络安全事件的最新建议，并加入呼吁修改规则以首先进行补救的行动。

在后 SolarWinds 世界中，我们应该转向网络安全风险和事件的补救安全港。具体来说，如果任何公司在四天的时间范围内纠正缺陷或攻击，它应该能够 (a) 避免欺诈索赔（即无话可说）或 (b) 使用标准 10Q 和 10K 流程，包括管理层讨论与分析部分，披露该事件。

30 月 XNUMX 日，SEC 提交了一份 针对 SolarWinds 的欺诈投诉 及其首席信息安全官声称，尽管 SolarWinds 员工和高管知道随着时间的推移，针对 SolarWinds 产品的风险、漏洞和攻击不断增加，但“SolarWinds 的网络安全风险披露并未以任何方式披露这些内容。”

为了帮助防止这些情况下的责任问题，补救安全港将允许公司有整整四天的时间来评估和响应事件。然后，如果已采取补救措施，请花时间适当地披露该事件。其结果是更加重视网络响应，并减少对公司公开股票的影响。 8K 仍可用于解决未解决的网络安全事件。

了解更多： SolarWinds 2024：网络披露将何去何从？

相关新闻： SolarWinds 对 DevSecOps 意味着什么

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti