مرحبًا بك في CISO Corner، الملخص الأسبوعي للمقالات التي تقدمها Dark Reading والتي تم تصميمها خصيصًا لقراء العمليات الأمنية وقادة الأمن. سنقدم كل أسبوع مقالات تم جمعها من عملياتنا الإخبارية، The Edge، وDR Technology، وDR Global، وقسم التعليقات لدينا. نحن ملتزمون بتقديم مجموعة متنوعة من وجهات النظر لدعم مهمة تفعيل استراتيجيات الأمن السيبراني للقادة في المؤسسات من جميع الأشكال والأحجام.

في هذه القضية:

NIST Cybersecurity Framework 2.0: 4 خطوات للبدء

بقلم روبرت ليموس، كاتب مساهم، القراءة المظلمة

قام المعهد الوطني للمعايير والتكنولوجيا (NIST) بمراجعة الكتاب الخاص بإنشاء برنامج شامل للأمن السيبراني يهدف إلى مساعدة المؤسسات من كل حجم على أن تكون أكثر أمانًا. إليك مكان البدء في وضع التغييرات موضع التنفيذ.

إن تفعيل الإصدار الأحدث من إطار عمل الأمن السيبراني (CSF) الخاص بـ NIST، والذي تم إصداره هذا الأسبوع، قد يعني تغييرات كبيرة في برامج الأمن السيبراني.

على سبيل المثال، هناك وظيفة "الحوكمة" جديدة تمامًا لدمج قدر أكبر من الإشراف التنفيذي ومجلس الإدارة على الأمن السيبراني، وهي تتوسع أفضل الممارسات الأمنية بما يتجاوز تلك الخاصة بالصناعات الحيوية. بشكل عام، سيكون عمل فرق الأمن السيبراني صعبًا بالنسبة لهم، وسيتعين عليهم إلقاء نظرة فاحصة على التقييمات الحالية والفجوات المحددة وأنشطة العلاج لتحديد تأثير تغييرات الإطار.

ولحسن الحظ، يمكن أن تساعد نصائحنا الخاصة بتفعيل الإصدار الأحدث من NIST Cybersecurity Framework في تحديد الطريق للمضي قدمًا. وهي تشمل استخدام جميع موارد NIST (إن CSF ليس مجرد وثيقة بل مجموعة من الموارد التي يمكن للشركات استخدامها لتطبيق الإطار على بيئتها ومتطلباتها المحددة)؛ الجلوس مع كبار المسؤولين لمناقشة وظيفة "الحوكمة"؛ التغليف في أمن سلسلة التوريد؛ والتأكد من إعادة تقييم وتحديث الخدمات الاستشارية ومنتجات إدارة وضع الأمن السيبراني لدعم أحدث CSF.

اقرأ أكثر: NIST Cybersecurity Framework 2.0: 4 خطوات للبدء

هذا الموضوع ذو علاقة بـ: الحكومة الأمريكية توسع دورها في أمن البرمجيات

Apple تطلق تقنية Signal المقاومة للكم لأول مرة، لكن التحديات تلوح في الأفق

بقلم جاي فيجايان، كاتب مساهم، القراءة المظلمة

يُظهر PQ3 من Apple لتأمين iMessage وPQXH من Signal كيف تستعد المؤسسات لمستقبل يجب أن يكون فيه اختراق بروتوكولات التشفير أصعب بشكل كبير.

مع نضوج أجهزة الكمبيوتر الكمومية ومنح الخصوم طريقة سهلة للغاية لاختراق حتى أكثر بروتوكولات التشفير الحالية أمانًا، تحتاج المؤسسات إلى التحرك الآن لحماية الاتصالات والبيانات.

ولتحقيق هذه الغاية، يعد بروتوكول PQ3 للتشفير الكمي (PQC) الجديد من Apple لتأمين اتصالات iMessage، وبروتوكول التشفير المماثل الذي قدمته Signal العام الماضي والذي يسمى PQXDH، مقاومين للكم، مما يعني أنه بإمكانهما - من الناحية النظرية، على الأقل - مقاومة الهجمات الكمومية. أجهزة الكمبيوتر تحاول كسرها.

لكن بالنسبة للمؤسسات، فإن التحول إلى أشياء مثل PQC سيكون طويلًا ومعقدًا ومؤلمًا على الأرجح. سوف تتطلب الآليات الحالية التي تعتمد بشكل كبير على البنى التحتية الرئيسية العامة إعادة التقييم والتكيف لدمج الخوارزميات المقاومة للكم. و ال الهجرة إلى تشفير ما بعد الكم يقدم مجموعة جديدة من التحديات الإدارية لفرق تكنولوجيا المعلومات والتكنولوجيا والأمان في المؤسسة والتي توازي عمليات الترحيل السابقة، مثل من TLS1.2 إلى 1.3 وipv4 إلى الإصدار 6، وكلاهما استغرق عقودًا.

اقرأ أكثر: Apple تطلق تقنية Signal المقاومة للكم لأول مرة، لكن التحديات تلوح في الأفق

هذا الموضوع ذو علاقة بـ: فك التشفير الضعيف قبل أن تفعله الحوسبة الكمومية

Iالساعة 10 مساءً، هل تعرف أين تتواجد نماذج الذكاء الاصطناعي الخاصة بك الليلة؟

بقلم إيريكا تشيكوفسكي، كاتبة مساهمة، القراءة المظلمة

يؤدي الافتقار إلى رؤية نموذج الذكاء الاصطناعي وأمانه إلى زيادة مشكلة أمان سلسلة توريد البرامج.

إذا كنت تعتقد أن مشكلة أمان سلسلة توريد البرامج صعبة بما فيه الكفاية اليوم، فاربط حزام الأمان. إن النمو الهائل في استخدام الذكاء الاصطناعي على وشك أن يجعل التعامل مع مشكلات سلسلة التوريد هذه أكثر صعوبة في السنوات القادمة.

توفر نماذج الذكاء الاصطناعي/التعلم الآلي الأساس لقدرة نظام الذكاء الاصطناعي على التعرف على الأنماط، أو القيام بالتنبؤات، أو اتخاذ القرارات، أو إطلاق الإجراءات، أو إنشاء المحتوى. ولكن الحقيقة هي أن معظم المنظمات لا تعرف حتى كيف تبدأ بتحقيق المكاسب الرؤية في جميع نماذج الذكاء الاصطناعي المضمنة في برامجهم.

للتمهيد، يتم إنشاء النماذج والبنية التحتية المحيطة بها بشكل مختلف عن مكونات البرامج الأخرى ولم يتم تصميم أدوات الأمان والبرمجيات التقليدية للبحث عن أو لفهم كيفية عمل نماذج الذكاء الاصطناعي أو مدى عيوبها.

"النموذج، حسب تصميمه، هو جزء من التعليمات البرمجية ذاتية التنفيذ. ويقول داريان دهغانبيشه، المؤسس المشارك لمنظمة Protect AI: "إنها تتمتع بقدر معين من القوة". "إذا أخبرتك أن لديك أصولًا في جميع أنحاء البنية التحتية الخاصة بك والتي لا يمكنك رؤيتها، ولا يمكنك تحديدها، ولا تعرف ما تحتويه، ولا تعرف ما هو الرمز، ويتم تنفيذها ذاتيًا ولديك مكالمات خارجية، وهذا يبدو بشكل مثير للريبة وكأنه فيروس أذونات، أليس كذلك؟

اقرأ أكثر: إنها الساعة 10 مساءً، هل تعرف أين تتواجد نماذج الذكاء الاصطناعي الخاصة بك الليلة؟

هذا الموضوع ذو علاقة بـ: منصة AI Hugging Face مليئة بـ 100 نموذج تنفيذ تعليمات برمجية ضارة

تواجه المؤسسات عقوبات كبيرة من هيئة الأوراق المالية والبورصة (SEC) لعدم الكشف عن الانتهاكات

بقلم روبرت ليموس، كاتب مساهم

وفيما يمكن أن يكون بمثابة كابوس تنفيذي، هناك غرامات محتملة بملايين الدولارات، وأضرار بالسمعة، ودعاوى قضائية للمساهمين، وعقوبات أخرى تنتظر الشركات التي تفشل في الالتزام بقواعد الكشف عن خرق البيانات الجديدة التي وضعتها لجنة الأوراق المالية والبورصة.

يمكن أن تواجه الشركات ومديرو أمن المعلومات التابعون لها غرامات وعقوبات أخرى تتراوح بين مئات الآلاف إلى ملايين الدولارات من هيئة الأوراق المالية والبورصة الأمريكية (SEC)، إذا لم يحصلوا على عمليات الأمن السيبراني والإفصاح عن خرق البيانات من أجل الامتثال مع القواعد الجديدة التي دخلت حيز التنفيذ الآن.

تتمتع هيئات هيئة الأوراق المالية والبورصات بالقوة: يمكن للجنة إصدار أمر قضائي دائم يأمر المدعى عليه بالتوقف عن السلوك في قلب القضية، أو الأمر بسداد المكاسب غير المشروعة، أو تنفيذ ثلاثة مستويات من العقوبات المتصاعدة التي يمكن أن تؤدي إلى غرامات فلكية .

ولعل الأكثر إثارة للقلق ل إن CISOs هي المسؤولية الشخصية التي يواجهونها الآن للعديد من مجالات العمليات التجارية التي لم يتحملوا المسؤولية عنها تاريخياً. فقط نصف مدراء تكنولوجيا المعلومات (54%) واثقون من قدرتهم على الالتزام بقرار هيئة الأوراق المالية والبورصات.

كل هذا يؤدي إلى إعادة التفكير على نطاق واسع في دور رئيس أمن المعلومات، وتكاليف إضافية للشركات.

اقرأ أكثر: تواجه المؤسسات عقوبات كبيرة من هيئة الأوراق المالية والبورصة (SEC) لعدم الكشف عن الانتهاكات

هذا الموضوع ذو علاقة بـ: ما يجب أن تعرفه الشركات ومديرو أمن المعلومات حول التهديدات القانونية المتزايدة

تزايد سخونة تنظيم القياسات الحيوية، ينذر بصداع الامتثال

بقلم ديفيد ستروم، كاتب مساهم، القراءة المظلمة

تهدف مجموعة متزايدة من قوانين الخصوصية التي تنظم القياسات الحيوية إلى حماية المستهلكين وسط تزايد الخروقات السحابية والتزييف العميق الذي أنشأه الذكاء الاصطناعي. ولكن بالنسبة للشركات التي تتعامل مع البيانات البيومترية، فإن القول بالامتثال أسهل من الفعل.

تتزايد المخاوف المتعلقة بالخصوصية البيومترية، وذلك بفضل الزيادة تهديدات التزييف العميق المستندة إلى الذكاء الاصطناعيوتزايد استخدام القياسات الحيوية من قبل الشركات، وتشريعات الخصوصية الجديدة المتوقعة على مستوى الولاية، والأمر التنفيذي الجديد الذي أصدره الرئيس بايدن هذا الأسبوع والذي يتضمن حماية خصوصية القياسات الحيوية.

وهذا يعني أن الشركات بحاجة إلى أن تكون أكثر تطلعًا إلى المستقبل وأن تتوقع المخاطر وتفهمها من أجل بناء البنية التحتية المناسبة لتتبع المحتوى البيومتري واستخدامه. وسيتعين على أولئك الذين يمارسون الأعمال التجارية على المستوى الوطني مراجعة إجراءات حماية البيانات الخاصة بهم للتأكد من امتثالها لمجموعة متنوعة من اللوائح التنظيمية، بما في ذلك فهم كيفية حصولهم على موافقة المستهلك أو السماح للمستهلكين بتقييد استخدام مثل هذه البيانات والتأكد من مطابقتها لمختلف التفاصيل الدقيقة في اللوائح.

اقرأ أكثر: تزايد سخونة تنظيم القياسات الحيوية، ينذر بصداع الامتثال

هذا الموضوع ذو علاقة بـ: اختر أفضل مصادقة القياسات الحيوية لحالة الاستخدام الخاصة بك

DR Global: مجموعة قرصنة إيرانية "خادعة" تخدع شركات الطيران والدفاع الإسرائيلية والإماراتية

بقلم روبرت ليموس، كاتب مساهم، القراءة المظلمة

يبدو أن UNC1549، المعروف أيضًا باسم Smoke Sandstorm وTortoiseshell، هو السبب وراء حملة الهجوم الإلكتروني المخصصة لكل منظمة مستهدفة.

مجموعة التهديد الإيرانية UNC1549 - المعروفة أيضًا باسم Smoke Sandstorm وTurtoiseshell - تلاحق الفضاء الجوي و شركات الدفاع في إسرائيلوالإمارات العربية المتحدة، وبلدان أخرى في الشرق الأوسط الكبير.

ومن الجدير بالذكر أنه بين التصيد الاحتيالي المصمم خصيصًا للتوظيف واستخدام البنية التحتية السحابية للقيادة والتحكم، قد يكون من الصعب اكتشاف الهجوم، كما يقول جوناثان ليذري، المحلل الرئيسي في Google Cloud's Mandiant.

ويقول: "الجزء الأكثر بروزًا هو مدى خداع اكتشاف هذا التهديد وتتبعه - فمن الواضح أن لديهم إمكانية الوصول إلى موارد كبيرة وهم انتقائيون في استهدافهم". "من المحتمل أن يكون هناك المزيد من النشاط من هذا الممثل الذي لم يتم اكتشافه بعد، وهناك معلومات أقل حول كيفية عمله بمجرد اختراق الهدف".

اقرأ أكثر: مجموعة قرصنة إيرانية "خادعة" تخدع شركات الطيران والدفاع الإسرائيلية والإماراتية

هذا الموضوع ذو علاقة بـ: الصين تطلق خطة جديدة للدفاع السيبراني للشبكات الصناعية

تطرح MITRE 4 أدوات CWE جديدة تمامًا لأخطاء أمان المعالجات الدقيقة

بقلم جاي فيجايان، كاتب مساهم، القراءة المظلمة

الهدف هو منح مصممي الرقائق وممارسي الأمن في مجال أشباه الموصلات فهمًا أفضل للعيوب الرئيسية في المعالجات الدقيقة مثل Meltdown وSpectre.

مع تزايد عدد عمليات استغلال القنوات الجانبية التي تستهدف موارد وحدة المعالجة المركزية، أضاف برنامج تعداد نقاط الضعف المشتركة (CWE) بقيادة MITRE أربع نقاط ضعف جديدة متعلقة بالمعالجات الدقيقة إلى قائمة أنواع الثغرات الأمنية الشائعة في البرامج والأجهزة.

إن CWEs هي نتيجة جهد تعاوني بين Intel وAMD وArm وRiscure وCycuity وتمنح مصممي المعالجات وممارسي الأمن في مجال أشباه الموصلات لغة مشتركة لمناقشة نقاط الضعف في بنيات المعالجات الدقيقة الحديثة.

وحدات CWE الأربعة الجديدة هي CWE-1420، وCWE-1421، وCWE-1422، وCWE-1423.

يتعلق CWE-1420 بكشف المعلومات الحساسة أثناء التنفيذ العابر أو التخميني - وظيفة تحسين الأجهزة المرتبطة الانهيار والشبح - وهو "والد" CWEs الثلاثة الأخرى.

يتعلق CWE-1421 بتسرب المعلومات الحساسة في الهياكل المعمارية الدقيقة المشتركة أثناء التنفيذ العابر؛ يعالج CWE-1422 تسرب البيانات المرتبط بإعادة توجيه البيانات غير الصحيحة أثناء التنفيذ العابر. يبحث CWE-1423 في تعرض البيانات المرتبطة بحالة داخلية محددة داخل المعالج الدقيق.

اقرأ أكثر: تطرح MITRE 4 أدوات CWE جديدة تمامًا لأخطاء أمان المعالجات الدقيقة

هذا الموضوع ذو علاقة بـ: MITER تطرح النموذج الأولي لأمن سلسلة التوريد

تقارب قوانين خصوصية الولايات وتحدي الذكاء الاصطناعي الناشئ

تعليق بقلم جيسون إدينجر، مستشار أمني أول، خصوصية البيانات، GuidePoint Security

لقد حان الوقت للشركات للنظر في ما تقوم بمعالجته، وأنواع المخاطر التي تواجهها، وكيف تخطط للتخفيف من هذه المخاطر.

أصدرت ثماني ولايات أمريكية تشريعات خصوصية البيانات في عام 2023، وفي عام 2024، ستدخل القوانين حيز التنفيذ في أربع ولايات، لذلك تحتاج الشركات إلى الجلوس والنظر بعمق في البيانات التي تعالجها، وأنواع المخاطر التي تواجهها، وكيفية إدارتها. المخاطر وخططهم للتخفيف من المخاطر التي حددوها. إن اعتماد الذكاء الاصطناعي سيجعل الأمر أكثر صعوبة.

بينما تضع الشركات استراتيجية للامتثال لجميع هذه اللوائح الجديدة الموجودة هناك، تجدر الإشارة إلى أنه على الرغم من أن هذه القوانين تتوافق في كثير من النواحي، إلا أنها تظهر أيضًا فروق دقيقة خاصة بكل ولاية.

وينبغي للشركات أن تتوقع رؤية الكثير اتجاهات خصوصية البيانات الناشئة هذا العام، بما في ذلك:

اقرأ أكثر: تقارب قوانين خصوصية الدولة وتحدي الذكاء الاصطناعي الناشئ

هذا الموضوع ذو علاقة بـ: الخصوصية تتفوق على برامج الفدية باعتبارها أهم اهتمامات التأمين

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok