Willkommen bei CISO Corner, der wöchentlichen Zusammenfassung von Artikeln von Dark Reading, die speziell auf Leser von Sicherheitsabläufen und Sicherheitsleiter zugeschnitten sind. Jede Woche bieten wir Artikel aus unserem gesamten Nachrichtenbereich, The Edge, DR Technology, DR Global und unserem Kommentarbereich an. Unser Ziel ist es, Ihnen vielfältige Perspektiven zu vermitteln, um die Operationalisierung von Cybersicherheitsstrategien für Führungskräfte in Organisationen aller Formen und Größen zu unterstützen.

In dieser Ausgabe von CISO Corner:

Unternehmen mit Cyber ​​Governance schaffen fast viermal mehr Wert

Von David Strom, beitragender Autor, Dark Reading

Wer über spezielle Ausschüsse verfügt, in denen ein Cyber-Experte vertreten ist, anstatt sich auf den Gesamtvorstand zu verlassen, wird mit größerer Wahrscheinlichkeit die Sicherheit und die finanzielle Leistung verbessern.

Unternehmen, die sich die Mühe gemacht haben, Richtlinien für eine bessere Cybersicherheits-Governance zu befolgen, haben im Vergleich zu Unternehmen, die dies nicht getan haben, fast das Vierfache ihres Shareholder Value geschaffen.

Das ist das Ergebnis einer neuen Umfrage, die gemeinsam von Bitsight und dem Diligent Institute durchgeführt wurde und bei der die Cybersicherheitsexpertise anhand von 23 verschiedenen Risikofaktoren gemessen wurde, wie z Vorhandensein von Botnet-Infektionen, Server, auf denen Malware gehostet wird, veraltete Verschlüsselungszertifikate für die Web- und E-Mail-Kommunikation und offene Netzwerkports auf öffentlich zugänglichen Servern.

Der Bericht kam außerdem zu dem Schluss, dass die besten Ergebnisse erzielt werden, wenn separate Vorstandsausschüsse vorhanden sind, die sich auf spezielle Risiken und Audit-Compliance konzentrieren. „Vorstände, die die Cyber-Aufsicht durch spezialisierte Ausschüsse mit einem Cyber-Experten ausüben, anstatt sich auf den Gesamtvorstand zu verlassen, verbessern mit größerer Wahrscheinlichkeit ihre allgemeine Sicherheitslage und finanzielle Leistung“, stimmt Ladi Adefala, Cybersicherheitsberater und CEO von Omega315, zu.

Mehr lesen: Unternehmen mit Cyber ​​Governance schaffen fast viermal mehr Wert

Related: Mit TikTok-Verboten ist jetzt die Zeit für operative Governance gekommen

Sogar Cyber-Profis werden betrogen: Einblick in einen echten Vishing-Angriff

Von Elizabeth Montalbano, beitragende Autorin, Dark Reading

Erfolgreiche Angreifer konzentrieren sich auf die psychologische Manipulation menschlicher Emotionen, weshalb jeder, selbst ein Cyber-Profi oder ein technisch versierter Mensch, zum Opfer werden kann.

Es begann mit einem Anruf an einem Dienstag gegen 10:30 Uhr von einer unbekannten Mobiltelefonnummer. Ich habe zu Hause an meinem Computer gearbeitet und beantworte normalerweise keine Anrufe von Leuten, die ich nicht kenne. Aus irgendeinem Grund beschloss ich, mit meiner Arbeit aufzuhören und diesen Anruf entgegenzunehmen.

Das war mein erster Fehler in einer Reihe von mehreren Fehlern, die ich in den nächsten vier Stunden machen würde, in denen ich der Opfer einer Vishing- oder Voice-Phishing-Kampagne. Am Ende der Tortur hatte ich fast 5,000 € an Geldern von meinem Bankkonto und in Bitcoin an die Betrüger überwiesen. Meine Bank konnte die meisten Überweisungen stornieren; Allerdings habe ich 1,000 € verloren, die ich an die Bitcoin-Wallet der Angreifer geschickt hatte.

Experten sagen, dass es keine Rolle spielt, wie viel Fachwissen Sie über die Taktiken der Angreifer haben oder wie viel Erfahrung Sie mit der Erkennung von Betrügereien haben. Der Schlüssel zum Erfolg der Angreifer ist etwas, das älter ist als die Technologie, denn er liegt in der Manipulation genau dessen, was uns zu Menschen macht: unseren Emotionen.

Mehr lesen: Gehen Sie nicht ans Telefon: Einblick in einen echten Vishing-Angriff

Related: Nordkoreanische Hacker haben es erneut auf Sicherheitsforscher abgesehen

Die Minderung des Risikos Dritter erfordert einen kooperativen, gründlichen Ansatz

Kommentar von Matt Mettenheimer, stellvertretender Direktor für Cyber ​​Advisory, Cybersecurity Practice, S-RM

Das Problem kann entmutigend erscheinen, aber die meisten Unternehmen verfügen über mehr Handlungsspielraum und Flexibilität im Umgang mit Risiken Dritter, als sie denken.

Das Risiko Dritter stellt für Unternehmen eine einzigartige Herausforderung dar. Oberflächlich betrachtet kann ein Dritter vertrauenswürdig erscheinen. Aber wie kann ein Unternehmen ohne vollständige Transparenz über die internen Abläufe dieses Drittanbieters sicherstellen, dass die ihm anvertrauten Daten sicher sind?

Aufgrund der langjährigen Beziehungen, die sie mit ihren Drittanbietern unterhalten, spielen Unternehmen diese drängende Frage oft herunter. Aber das Aufkommen von Viert- und sogar Fünftanbietern sollte Unternehmen dazu anregen, ihre externen Daten zu schützen. Tun ordnungsgemäße Sicherheitsprüfung bei einem Drittanbieter Jetzt muss auch herausgefunden werden, ob der Dritte Privatkundendaten an weitere nachgelagerte Parteien auslagert, was aufgrund der Verbreitung von SaaS-Diensten wahrscheinlich der Fall ist.

Glücklicherweise gibt es fünf einfache, sofort einsatzbereite Schritte, die Unternehmen einen ersten Fahrplan für die erfolgreiche Minderung von Risiken Dritter bieten.

Mehr lesen: Die Minderung des Risikos Dritter erfordert einen kooperativen, gründlichen Ansatz

Related: Cl0p beansprucht den MOVEit-Angriff; So hat es die Bande gemacht

Australische Regierung verschärft ihre Cybersicherheit nach schweren Angriffen

Von John Leyden, beitragender Autor, Dark Reading Global

Die Regierung schlägt modernere und umfassendere Cybersicherheitsvorschriften für Unternehmen, Behörden und Anbieter kritischer Infrastrukturen in Down Under vor.

Im September 2022 wurden Schwachstellen in Australiens Fähigkeiten zur Reaktion auf Cybervorfälle offengelegt Cyberangriff auf Telekommunikationsanbieter Optus, im Oktober folgte ein Ransomware-basierter Angriff auf den Krankenversicherer Medibank.

Aus diesem Grund arbeitet die australische Regierung an Plänen zur Überarbeitung der Gesetze und Vorschriften zur Cybersicherheit, mit der proklamierten Strategie, das Land bis 2030 als weltweit führend in der Cybersicherheit zu positionieren.

Neben der Schließung von Lücken in den bestehenden Gesetzen zur Cyberkriminalität hoffen die australischen Gesetzgeber, den Security of Critical Infrastructure (SOCI) Act 2018 des Landes zu ändern, um einen größeren Schwerpunkt auf Bedrohungsprävention, Informationsaustausch und Reaktion auf Cybervorfälle zu legen.

Mehr lesen: Australische Regierung verschärft ihre Cybersicherheit nach schweren Angriffen

Related: Australische Häfen nehmen den Betrieb nach lähmender Cyber-Störung wieder auf

Ein CISO-Leitfaden zur Wesentlichkeits- und Risikobestimmung

Kommentar von Peter Dyson, Leiter Datenanalyse, Kovrr

Für viele CISOs bleibt „Materialität“ ein unklarer Begriff. Dennoch müssen sie in der Lage sein, Wesentlichkeit und Risiken mit ihren Vorständen zu besprechen.

Die SEC verlangt nun von öffentlichen Unternehmen, dies zu tun beurteilen, ob Cybervorfälle „wesentlich“ sind, als Schwelle für deren Meldung. Für viele CISOs bleibt der Begriff „Materialität“ jedoch ein mehrdeutiger Begriff, der auf der Grundlage der einzigartigen Cybersicherheitsumgebung einer Organisation interpretiert werden kann.

Der Kern der Verwirrung um die Materialität besteht darin, zu bestimmen, was einen „materiellen Verlust“ darstellt. Einige gehen davon aus, dass sich die Wesentlichkeit auf 0.01 % des Vorjahresumsatzes auswirkt, was etwa einem Basispunkt des Umsatzes entspricht (was bei Fortune-1000-Unternehmen einer Umsatzstunde entspricht).

Durch das Testen verschiedener Schwellenwerte anhand von Branchen-Benchmarks können Unternehmen ein klareres Verständnis ihrer Anfälligkeit für schwerwiegende Cyberangriffe gewinnen.

Mehr lesen: Ein CISO-Leitfaden zur Wesentlichkeits- und Risikobestimmung

Related: Prudential reicht freiwillige Mitteilung über einen Verstoß bei der SEC ein

Zero-Day Bonanza führt zu mehr Exploits gegen Unternehmen

Von Becky Bracken, leitende Redakteurin, Dark Reading

Fortgeschrittene Angreifer konzentrieren sich zunehmend auf Unternehmenstechnologien und deren Anbieter, während Endbenutzerplattformen laut Google erfolgreich darin sind, Zero-Day-Exploits durch Investitionen in die Cybersicherheit zu unterdrücken.

Im Jahr 50 wurden 2023 % mehr Zero-Day-Schwachstellen ausgenutzt als im Jahr 2022. Unternehmen sind besonders hart betroffen.

Laut Untersuchungen von Mandiant und der Google Threat Analysis Group (TAG) nutzen hochentwickelte, vom Staat unterstützte Angreifer die weitläufige Angriffsfläche von Unternehmen aus. Footprints, die aus Software verschiedener Anbieter, Komponenten von Drittanbietern und umfangreichen Bibliotheken bestehen, bieten ein reichhaltiges Jagdrevier für diejenigen, die in der Lage sind, Zero-Day-Exploits zu entwickeln.

Cyberkriminelle Gruppen haben sich insbesondere auf Sicherheitssoftware konzentriert, darunter Barracuda E-Mail-Sicherheitsgateway; Cisco Adaptive Security Appliance; Ivanti Endpoint Manager, Mobile und Sentry; und Trend Micro Apex One, fügte die Studie hinzu.

Mehr lesen: Zero-Day Bonanza führt zu mehr Exploits gegen Unternehmen

Related: Angreifer nutzen Microsoft Security-Bypass Zero-Day-Bugs aus

Sicherheitsbehebung auf die Tagesordnung der Vorstandssitzungen setzen

Kommentar von Matt Middleton-Leal, Managing Director für EMEA Nord, Qualys

IT-Teams können der Prüfung besser standhalten, indem sie ihrem Vorstand helfen, Risiken und deren Behebung zu verstehen und ihnen ihre langfristige Vision für das Risikomanagement zu erläutern.

CEOs der Vergangenheit haben möglicherweise nicht den Schlaf darüber verloren, wie ihr Sicherheitsteam bestimmte CVEs angeht, aber mit CVEs für gefährliche Fehler wie Apache Log4j Da in vielen Unternehmen noch immer keine Patches installiert sind, stehen Sicherheitsbehebungen nun auf der breiteren Tagesordnung. Das bedeutet, dass immer mehr Sicherheitsverantwortliche gebeten werden, Einblicke in die Qualität ihres Risikomanagements aus geschäftlicher Sicht zu geben.

Dies führt zu schwierigen Fragen, insbesondere in Bezug auf Budgets und deren Verwendung.

Die meisten CISOs sind versucht, Informationen rund um die Kernprinzipien der IT-Sicherheit zu verwenden – die Anzahl der gestoppten Probleme, die bereitgestellten Updates, die behobenen kritischen Probleme –, aber ohne Vergleich mit anderen Geschäftsrisiken und -problemen kann es schwierig sein, die Aufmerksamkeit auf sich zu ziehen und zu zeigen, dass ein CISO liefert .

Um diese Probleme zu überwinden, müssen wir Vergleiche und Kontextdaten nutzen, um eine Geschichte rund um das Risiko zu erzählen. Die Bereitstellung von Basiszahlen zur Anzahl der bereitgestellten Patches beschreibt nicht den enormen Aufwand, der in die Behebung eines kritischen Problems gesteckt wurde, das eine umsatzgenerierende Anwendung gefährdete. Es zeigt auch nicht, wie Ihr Team im Vergleich zu anderen abschneidet. Im Wesentlichen möchten Sie dem Vorstand zeigen, wie gut es aussieht und wie Sie im Laufe der Zeit weiterhin liefern.

Mehr lesen: Sicherheitsbehebung auf die Tagesordnung der Vorstandssitzungen setzen

Related: Was der Vorstandsetage fehlt: CISOs

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation