Willkommen bei CISO Corner, der wöchentlichen Zusammenfassung von Artikeln von Dark Reading, die speziell auf Leser von Sicherheitsabläufen und Sicherheitsleiter zugeschnitten sind. Jede Woche bieten wir Artikel aus unserem gesamten Nachrichtenbereich, The Edge, DR Technology, DR Global und unserem Kommentarbereich an. Unser Ziel ist es, Ihnen vielfältige Perspektiven zu vermitteln, um die Operationalisierung von Cybersicherheitsstrategien für Führungskräfte in Organisationen aller Formen und Größen zu unterstützen.

In dieser Angelegenheit:

NIST Cybersecurity Framework 2.0: 4 Schritte zum Einstieg

Von Robert Lemos, beitragender Autor, Dark Reading

Das National Institute of Standards and Technology (NIST) hat das Buch zur Schaffung eines umfassenden Cybersicherheitsprogramms überarbeitet, das Unternehmen jeder Größe dabei helfen soll, sicherer zu werden. Hier erfahren Sie, wo Sie mit der Umsetzung der Änderungen beginnen können.

Die Operationalisierung der neuesten Version des NIST Cybersecurity Framework (CSF), die diese Woche veröffentlicht wurde, könnte erhebliche Änderungen an Cybersicherheitsprogrammen bedeuten.

Beispielsweise gibt es eine brandneue „Govern“-Funktion, die eine stärkere Aufsicht der Geschäftsleitung und des Vorstands über die Cybersicherheit ermöglicht, und sie wird erweitert beste Sicherheitspraktiken, die über die für kritische Branchen hinausgehen. Alles in allem wird den Cybersicherheitsteams viel Arbeit bevorstehen und sie müssen sich die bestehenden Bewertungen, identifizierten Lücken und Behebungsmaßnahmen genau ansehen, um die Auswirkungen der Rahmenänderungen zu ermitteln.

Glücklicherweise können unsere Tipps zur Operationalisierung der neuesten Version des NIST Cybersecurity Framework richtungsweisend sein. Dazu gehört die Nutzung aller NIST-Ressourcen (das CSF ist nicht nur ein Dokument, sondern eine Sammlung von Ressourcen, die Unternehmen nutzen können, um das Framework auf ihre spezifische Umgebung und Anforderungen anzuwenden); sich mit der C-Suite zusammensetzen, um die „Regierungs“-Funktion zu besprechen; Einbindung in die Sicherheit der Lieferkette; und die Bestätigung, dass Beratungsdienste und Produkte zur Verwaltung der Cybersicherheitslage neu bewertet und aktualisiert werden, um das neueste CSF zu unterstützen.

Mehr lesen: NIST Cybersecurity Framework 2.0: 4 Schritte zum Einstieg

Related: US-Regierung erweitert Rolle bei der Softwaresicherheit

Apple stellt quantenresistente Verschlüsselung vor, aber es drohen Herausforderungen

Von Jai Vijayan, beitragender Autor, Dark Reading

Apples PQ3 zur Sicherung von iMessage und Signals PQXH zeigen, wie sich Unternehmen auf eine Zukunft vorbereiten, in der Verschlüsselungsprotokolle exponentiell schwerer zu knacken sein werden.

Da Quantencomputer ausgereift sind und Angreifern eine trivial einfache Möglichkeit bieten, selbst die sichersten aktuellen Verschlüsselungsprotokolle zu knacken, müssen Unternehmen jetzt handeln, um Kommunikation und Daten zu schützen.

Zu diesem Zweck sind Apples neues PQ3-Post-Quantum-Kryptografieprotokoll (PQC) zur Sicherung der iMessage-Kommunikation und ein ähnliches Verschlüsselungsprotokoll namens PQXDH, das Signal letztes Jahr eingeführt hat, quantenresistent, was bedeutet, dass sie – zumindest theoretisch – Angriffen von Quantencomputern standhalten können Computer versuchen, sie zu zerstören.

Aber für Unternehmen wird die Umstellung auf Dinge wie PQC langwierig, kompliziert und wahrscheinlich schmerzhaft sein. Aktuelle Mechanismen, die stark auf Public-Key-Infrastrukturen angewiesen sind, müssen neu bewertet und angepasst werden, um quantenresistente Algorithmen zu integrieren. Und das Migration zur Post-Quanten-Verschlüsselung stellt eine Reihe neuer Managementherausforderungen für IT-, Technologie- und Sicherheitsteams in Unternehmen dar, die mit früheren Migrationen vergleichbar sind, beispielsweise von TLS1.2 auf 1.3 und von IPv4 auf v6, die beide Jahrzehnte gedauert haben.

Mehr lesen: Apple stellt quantenresistente Verschlüsselung vor, aber es drohen Herausforderungen

Related: Schwache Kryptographie knacken, bevor Quantencomputing es schafft

IEs ist 10 Uhr. Wissen Sie, wo Ihre KI-Modelle heute Abend sind?

Von Erika Chickowski, beitragende Autorin, Dark Reading

Ein Mangel an Sichtbarkeit und Sicherheit des KI-Modells führt dazu, dass das Sicherheitsproblem der Software-Lieferkette auf Steroiden beruht.

Wenn Sie der Meinung sind, dass das Problem der Sicherheit der Software-Lieferkette heute schon schwierig genug ist, dann schnallen Sie sich an. Die explosionsartige Zunahme des KI-Einsatzes wird die Bewältigung dieser Lieferkettenprobleme in den kommenden Jahren exponentiell erschweren.

KI-/maschinelle Lernmodelle bilden die Grundlage für die Fähigkeit eines KI-Systems, Muster zu erkennen, Vorhersagen zu treffen, Entscheidungen zu treffen, Aktionen auszulösen oder Inhalte zu erstellen. Aber die Wahrheit ist, dass die meisten Unternehmen nicht einmal wissen, wie sie überhaupt anfangen können, Gewinne zu erzielen Einblick in alle eingebetteten KI-Modelle in ihrer Software.

Darüber hinaus sind Modelle und die sie umgebende Infrastruktur anders aufgebaut als andere Softwarekomponenten, und herkömmliche Sicherheits- und Softwaretools sind nicht darauf ausgelegt, zu scannen oder zu verstehen, wie KI-Modelle funktionieren oder welche Fehler sie aufweisen.

„Ein Modell ist von Natur aus ein selbstausführender Code. Es hat eine gewisse Entscheidungsfreiheit“, sagt Daryan Dehghanpisheh, Mitbegründer von Protect AI. „Wenn ich Ihnen sagen würde, dass es überall in Ihrer Infrastruktur Assets gibt, die Sie nicht sehen können, die Sie nicht identifizieren können, Sie wissen nicht, was sie enthalten, Sie wissen nicht, was der Code ist, und sie führen sich selbst aus.“ und externe Anrufe tätigen, das klingt doch verdächtig nach einem Berechtigungsvirus, nicht wahr?“

Mehr lesen: Es ist 10 Uhr. Wissen Sie, wo Ihre KI-Modelle heute Abend sind?

Related: Hugging Face AI-Plattform voller 100 bösartiger Code-Ausführungsmodelle

Organisationen drohen hohe Strafen der SEC, wenn sie Verstöße nicht offenlegen

Von Robert Lemos, beitragender Autor

Unternehmen, die sich nicht an die neuen Vorschriften der SEC zur Offenlegung von Datenschutzverletzungen halten, können zu einem Albtraum bei der Durchsetzung werden: Bußgelder in Millionenhöhe, Reputationsschäden, Aktionärsklagen und andere Strafen erwarten sie.

Unternehmen und ihre CISOs könnten von der US-Börsenaufsicht SEC (Securities and Exchange Commission) mit Bußgeldern und anderen Strafen in Höhe von Hunderttausenden bis hin zu Millionen von Dollar rechnen, wenn sie ihre Verfahren zur Cybersicherheit und zur Offenlegung von Datenverstößen nicht zur Einhaltung der Vorschriften durchsetzen mit den neuen Regeln, die jetzt in Kraft getreten sind.

Die Vorschriften der SEC haben Biss: Die Kommission kann eine dauerhafte einstweilige Verfügung erlassen, die den Angeklagten anweist, sein Verhalten im Kern des Falles einzustellen, die Rückzahlung unrechtmäßig erworbener Gewinne anzuordnen oder drei Stufen eskalierender Strafen zu verhängen, die zu astronomischen Geldstrafen führen können .

Vielleicht am besorgniserregendsten für CISOs ist die persönliche Haftung, mit der sie jetzt konfrontiert sind für viele Bereiche des Geschäftsbetriebs, für die sie in der Vergangenheit keine Verantwortung hatten. Nur die Hälfte der CISOs (54 %) ist zuversichtlich, dass sie die Entscheidung der SEC einhalten können.

All dies führt zu einem umfassenden Umdenken in der Rolle des CISO und zu zusätzlichen Kosten für Unternehmen.

Mehr lesen: Organisationen drohen hohe Strafen der SEC, wenn sie Verstöße nicht offenlegen

Related: Was Unternehmen und CISOs über steigende rechtliche Bedrohungen wissen sollten

Die Regulierung der Biometrie verschärft sich, was zu Compliance-Problemen führt

Von David Strom, beitragender Autor, Dark Reading

Eine wachsende Zahl von Datenschutzgesetzen zur Regelung biometrischer Daten zielt darauf ab, Verbraucher vor zunehmenden Cloud-Verstößen und von KI erstellten Deepfakes zu schützen. Doch für Unternehmen, die biometrische Daten verarbeiten, ist die Einhaltung der Vorschriften leichter gesagt als getan.

Die Bedenken hinsichtlich der biometrischen Privatsphäre nehmen zu, und zwar zunehmend auf künstlicher Intelligenz (KI) basierende Deepfake-Bedrohungen, die zunehmende Nutzung biometrischer Daten durch Unternehmen, erwartete neue Datenschutzgesetze auf Landesebene und eine neue Durchführungsverordnung, die diese Woche von Präsident Biden erlassen wurde und den Schutz der biometrischen Privatsphäre umfasst.

Das bedeutet, dass Unternehmen zukunftsorientierter sein und die Risiken antizipieren und verstehen müssen, um die geeignete Infrastruktur für die Verfolgung und Nutzung biometrischer Inhalte aufzubauen. Und diejenigen, die auf nationaler Ebene Geschäfte tätigen, müssen ihre Datenschutzverfahren auf die Einhaltung eines Flickenteppichs an Vorschriften prüfen. Dazu gehört auch, zu verstehen, wie sie die Einwilligung der Verbraucher einholen oder den Verbrauchern gestatten, die Verwendung solcher Daten einzuschränken, und sicherzustellen, dass sie den verschiedenen Feinheiten der Vorschriften entsprechen.

Mehr lesen: Die Regulierung der Biometrie verschärft sich, was zu Compliance-Problemen führt

Related: Wählen Sie die beste biometrische Authentifizierung für Ihren Anwendungsfall

DR Global: „Illusive“ iranische Hacker-Gruppe verführt israelische und VAE-Luftfahrt- und Verteidigungsfirmen

Von Robert Lemos, beitragender Autor, Dark Reading

UNC1549, auch bekannt als Smoke Sandstorm und Tortoiseshell, scheint der Übeltäter hinter einer Cyberangriffskampagne zu sein, die auf die jeweilige Zielorganisation zugeschnitten ist.

Die iranische Bedrohungsgruppe UNC1549 – auch bekannt als Smoke Sandstorm und Tortoiseshell – hat es auf die Luft- und Raumfahrt abgesehen Verteidigungsunternehmen in Israel, den Vereinigten Arabischen Emiraten und anderen Ländern im Nahen Osten.

Insbesondere angesichts des maßgeschneiderten, auf Beschäftigungszwecke ausgerichteten Spear-Phishings und der Nutzung der Cloud-Infrastruktur für Befehl und Kontrolle könnte der Angriff schwer zu erkennen sein, sagt Jonathan Leathery, Chefanalyst bei Mandiant von Google Cloud.

„Das Bemerkenswerteste daran ist, wie illusorisch es sein kann, diese Bedrohung zu entdecken und zu verfolgen – sie haben eindeutig Zugang zu bedeutenden Ressourcen und gehen selektiv bei der Bekämpfung vor“, sagt er. „Es gibt wahrscheinlich weitere Aktivitäten dieses Akteurs, die noch nicht entdeckt wurden, und es gibt noch weniger Informationen darüber, wie er vorgeht, nachdem er ein Ziel kompromittiert hat.“

Mehr lesen: „Illusive“ iranische Hackergruppe täuscht israelische und VAE-Luftfahrt- und Verteidigungsfirmen

Related: China startet neuen Cyber-Abwehrplan für industrielle Netzwerke

MITRE führt 4 brandneue CWEs für Sicherheitslücken bei Mikroprozessoren ein

Von Jai Vijayan, beitragender Autor, Dark Reading

Ziel ist es, Chipdesignern und Sicherheitsexperten im Halbleiterbereich ein besseres Verständnis für schwerwiegende Mikroprozessormängel wie Meltdown und Spectre zu vermitteln.

Angesichts der zunehmenden Anzahl von Side-Channel-Exploits, die auf CPU-Ressourcen abzielen, hat das von MITRE geleitete Programm Common Weakness Enumeration (CWE) vier neue Schwachstellen im Zusammenhang mit Mikroprozessoren zu seiner Liste gängiger Software- und Hardware-Schwachstellentypen hinzugefügt.

Die CWEs sind das Ergebnis einer Zusammenarbeit zwischen Intel, AMD, Arm, Riscure und Cycuity und bieten Prozessordesignern und Sicherheitsexperten im Halbleiterbereich eine gemeinsame Sprache für die Diskussion von Schwachstellen in modernen Mikroprozessorarchitekturen.

Die vier neuen CWEs sind CWE-1420, CWE-1421, CWE-1422 und CWE-1423.

CWE-1420 betrifft die Offenlegung vertraulicher Informationen während der vorübergehenden oder spekulativen Ausführung – die damit verbundene Hardwareoptimierungsfunktion Meltdown und Spectre – und ist das „Mutterunternehmen“ der drei anderen CWEs.

CWE-1421 hat mit sensiblen Informationslecks in gemeinsam genutzten mikroarchitektonischen Strukturen während der vorübergehenden Ausführung zu tun; CWE-1422 behebt Datenlecks im Zusammenhang mit falscher Datenweiterleitung während der vorübergehenden Ausführung. CWE-1423 befasst sich mit der Datenexposition, die an einen bestimmten internen Zustand innerhalb eines Mikroprozessors gebunden ist.

Mehr lesen: MITRE führt 4 brandneue CWEs für Sicherheitslücken bei Mikroprozessoren ein

Related: MITRE bringt Prototyp für Lieferkettensicherheit auf den Markt

Konvergierende staatliche Datenschutzgesetze und die neue KI-Herausforderung

Kommentar von Jason Eddinger, Senior Security Consultant, Datenschutz, GuidePoint Security

Es ist an der Zeit, dass Unternehmen prüfen, was sie verarbeiten, welche Arten von Risiken sie haben und wie sie diese Risiken mindern wollen.

Acht US-Bundesstaaten haben im Jahr 2023 Datenschutzgesetze verabschiedet, und im Jahr 2024 werden in vier Bundesstaaten Gesetze in Kraft treten. Unternehmen müssen sich also zurücklehnen und genau prüfen, welche Daten sie verarbeiten, welche Arten von Risiken sie haben und wie sie damit umgehen können Risiko und ihre Pläne zur Minderung des von ihnen identifizierten Risikos. Die Einführung von KI wird dies schwieriger machen.

Während Unternehmen eine Strategie entwickeln, um all diese neuen Vorschriften einzuhalten, ist es erwähnenswert, dass diese Gesetze zwar in vielerlei Hinsicht übereinstimmen, aber auch landesspezifische Nuancen aufweisen.

Unternehmen sollten damit rechnen, dass es viele davon geben wird neue Datenschutztrends dieses Jahr, darunter:

Mehr lesen: Konvergierende staatliche Datenschutzgesetze und die neue KI-Herausforderung

Related: Datenschutz übertrifft Ransomware als größtes Versicherungsproblem

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok