Καλώς ήλθατε στο CISO Corner, την εβδομαδιαία ανασκόπηση άρθρων του Dark Reading ειδικά προσαρμοσμένα στους αναγνώστες επιχειρήσεων ασφαλείας και τους ηγέτες ασφαλείας. Κάθε εβδομάδα, θα προσφέρουμε άρθρα που συγκεντρώνονται από όλη τη λειτουργία ειδήσεων, το The Edge, την Τεχνολογία DR, το DR Global και την ενότητα Σχολίων μας. Δεσμευόμαστε να σας προσφέρουμε μια ποικιλία από προοπτικές για να υποστηρίξουμε τη δουλειά της λειτουργικότητας των στρατηγικών κυβερνοασφάλειας, για ηγέτες σε οργανισμούς όλων των σχημάτων και μεγεθών.

Σε αυτό το θέμα:

NIST Cybersecurity Framework 2.0: 4 βήματα για να ξεκινήσετε

Του Robert Lemos, Συνεισφέρων συγγραφέας, Dark Reading

Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) αναθεώρησε το βιβλίο για τη δημιουργία ενός ολοκληρωμένου προγράμματος κυβερνοασφάλειας που στοχεύει να βοηθήσει οργανισμούς κάθε μεγέθους να είναι πιο ασφαλείς. Εδώ μπορείτε να ξεκινήσετε να εφαρμόζετε τις αλλαγές.

Η λειτουργία της πιο πρόσφατης έκδοσης του Πλαισίου Κυβερνοασφάλειας (CSF) του NIST, που κυκλοφόρησε αυτή την εβδομάδα, θα μπορούσε να σημαίνει σημαντικές αλλαγές στα προγράμματα κυβερνοασφάλειας.

Για παράδειγμα, υπάρχει μια ολοκαίνουργια λειτουργία «Διακυβέρνησης» για την ενσωμάτωση μεγαλύτερης εκτελεστικής και διοικητικής εποπτείας της ασφάλειας στον κυβερνοχώρο και επεκτείνεται βέλτιστες πρακτικές ασφάλειας πέρα ​​από αυτές που αφορούν κρίσιμες βιομηχανίες. Συνολικά, οι ομάδες κυβερνοασφάλειας θα περιορίσουν το έργο τους και θα πρέπει να εξετάσουν προσεκτικά τις υπάρχουσες αξιολογήσεις, τα εντοπισμένα κενά και τις δραστηριότητες αποκατάστασης για να καθορίσουν τον αντίκτυπο των αλλαγών του πλαισίου.

Ευτυχώς, οι συμβουλές μας για τη λειτουργικότητα της πιο πρόσφατης έκδοσης του Πλαισίου Κυβερνοασφάλειας NIST μπορούν να σας βοηθήσουν να δείξουμε το δρόμο προς τα εμπρός. Περιλαμβάνουν τη χρήση όλων των πόρων NIST (το CSF δεν είναι απλώς ένα έγγραφο, αλλά μια συλλογή πόρων που μπορούν να χρησιμοποιήσουν οι εταιρείες για να εφαρμόσουν το πλαίσιο στο συγκεκριμένο περιβάλλον και τις απαιτήσεις τους). Καθίστε με το C-suite για να συζητήσετε τη λειτουργία «Διακυβέρνηση». Αναδίπλωση στην ασφάλεια της εφοδιαστικής αλυσίδας· και επιβεβαιώνοντας ότι οι συμβουλευτικές υπηρεσίες και τα προϊόντα διαχείρισης στάσης ασφαλείας στον κυβερνοχώρο επαναξιολογούνται και ενημερώνονται για την υποστήριξη του πιο πρόσφατου ΚΠΣ.

Διαβάστε περισσότερα: NIST Cybersecurity Framework 2.0: 4 βήματα για να ξεκινήσετε

Συγγενεύων: Η κυβέρνηση των ΗΠΑ επεκτείνει τον ρόλο της στην ασφάλεια λογισμικού

Apple, Signal Debut Quantum-Resistant Encryption, but Challenges Loom

Του Jai Vijayan, Συνεισφέροντας συγγραφέας, Dark Reading

Το PQ3 της Apple για την ασφάλεια του iMessage και το PQXH της Signal δείχνουν πώς οι οργανισμοί προετοιμάζονται για ένα μέλλον στο οποίο τα πρωτόκολλα κρυπτογράφησης θα πρέπει να είναι εκθετικά πιο δύσκολο να σπάσουν.

Καθώς οι κβαντικοί υπολογιστές ωριμάζουν και δίνουν στους αντιπάλους έναν ασήμαντα εύκολο τρόπο να σπάσουν ακόμη και τα πιο ασφαλή τρέχοντα πρωτόκολλα κρυπτογράφησης, οι οργανισμοί πρέπει να κινηθούν τώρα για να προστατεύσουν τις επικοινωνίες και τα δεδομένα.

Για το σκοπό αυτό, το νέο πρωτόκολλο PQ3 μετα-κβαντικής κρυπτογράφησης (PQC) της Apple για την ασφάλεια των επικοινωνιών iMessage και ένα παρόμοιο πρωτόκολλο κρυπτογράφησης που εισήγαγε η Signal πέρυσι με την ονομασία PQXDH, είναι κβαντικά ανθεκτικά, πράγμα που σημαίνει ότι μπορούν —θεωρητικά, τουλάχιστον— να αντέξουν τις επιθέσεις από κβαντικό υπολογιστές προσπαθούν να τα σπάσουν.

Ωστόσο, οι οργανισμοί, η στροφή σε πράγματα όπως το PQC θα είναι μακρά, περίπλοκη και πιθανότατα επώδυνη. Οι τρέχοντες μηχανισμοί που εξαρτώνται σε μεγάλο βαθμό από υποδομές δημόσιου κλειδιού θα απαιτήσουν επαναξιολόγηση και προσαρμογή για την ενσωμάτωση αλγορίθμων ανθεκτικών στα κβαντικά. Και το μετάβαση στη μετα-κβαντική κρυπτογράφηση εισάγει ένα νέο σύνολο προκλήσεων διαχείρισης για τις εταιρικές ομάδες πληροφορικής, τεχνολογίας και ασφάλειας που είναι παράλληλες με προηγούμενες μετεγκαταστάσεις, όπως από το TLS1.2 στο 1.3 και το ipv4 στο v6, για τα οποία χρειάστηκαν δεκαετίες.

Διαβάστε περισσότερα: Apple, Signal Debut Quantum-Resistant Encryption, but Challenges Loom

Συγγενεύων: Σπάσιμο αδύναμη κρυπτογραφία πριν κάνει ο κβαντικός υπολογισμός

IΏρα 10 μ.μ. Ξέρετε πού βρίσκονται τα μοντέλα AI σας απόψε;

Από την Ericka Chickowski, Συνεισφέρουσα Συγγραφέας, Dark Reading

Η έλλειψη ορατότητας και ασφάλειας του μοντέλου AI θέτει το πρόβλημα ασφάλειας της αλυσίδας εφοδιασμού λογισμικού στα στεροειδή.

Αν νομίζατε ότι το πρόβλημα ασφάλειας της εφοδιαστικής αλυσίδας λογισμικού ήταν αρκετά δύσκολο σήμερα, κουμπώστε. Η εκρηκτική ανάπτυξη στη χρήση της τεχνητής νοημοσύνης πρόκειται να καταστήσει εκθετικά δυσκολότερη την πλοήγηση αυτών των ζητημάτων της εφοδιαστικής αλυσίδας τα επόμενα χρόνια.

Τα μοντέλα τεχνητής νοημοσύνης/μηχανικής εκμάθησης παρέχουν τη βάση για την ικανότητα ενός συστήματος AI να αναγνωρίζει μοτίβα, να κάνει προβλέψεις, να λαμβάνει αποφάσεις, να ενεργοποιεί ενέργειες ή να δημιουργεί περιεχόμενο. Αλλά η αλήθεια είναι ότι οι περισσότεροι οργανισμοί δεν ξέρουν καν πώς να αρχίσουν να κερδίζουν ορατότητα σε όλα τα ενσωματωμένα μοντέλα AI στο λογισμικό τους.

Για την εκκίνηση, τα μοντέλα και η υποδομή γύρω τους είναι κατασκευασμένα διαφορετικά από άλλα στοιχεία λογισμικού και τα παραδοσιακά εργαλεία ασφάλειας και λογισμικού δεν έχουν κατασκευαστεί για να σαρώνουν ή να κατανοούν πώς λειτουργούν τα μοντέλα τεχνητής νοημοσύνης ή πώς έχουν ελαττώματα.

«Ένα μοντέλο, από τη σχεδίασή του, είναι ένα αυτοεκτελούμενο κομμάτι κώδικα. Έχει έναν ορισμένο αριθμό πρακτορείων», λέει ο Daryan Dehghanpisheh, συνιδρυτής του Protect AI. «Αν σας έλεγα ότι έχετε στοιχεία σε όλη την υποδομή σας που δεν μπορείτε να δείτε, δεν μπορείτε να αναγνωρίσετε, δεν ξέρετε τι περιέχουν, δεν ξέρετε ποιος είναι ο κώδικας και εκτελούνται μόνοι τους και να έχετε εξωτερικές κλήσεις, αυτό ακούγεται ύποπτα σαν ιός άδειας, έτσι δεν είναι;»

Διαβάστε περισσότερα: Είναι 10 μ.μ. Ξέρετε πού βρίσκονται τα μοντέλα AI σας απόψε;

Συγγενεύων: Hugging Face AI πλατφόρμα γεμάτη με 100 κακόβουλα μοντέλα εκτέλεσης κώδικα

Οι οργανισμοί αντιμετωπίζουν σημαντικές κυρώσεις της SEC για παράλειψη αποκάλυψης παραβιάσεων

Του Robert Lemos, Συνεισφέρων Συγγραφέας

Σε κάτι που θα μπορούσε να είναι ένας εφιάλτης επιβολής, δυνητικά εκατομμύρια δολάρια σε πρόστιμα, ζημιά στη φήμη, αγωγές μετόχων και άλλες κυρώσεις περιμένουν εταιρείες που δεν συμμορφώνονται με τους νέους κανόνες αποκάλυψης παραβίασης δεδομένων της SEC.

Οι εταιρείες και οι CISO τους θα μπορούσαν να αντιμετωπίσουν από εκατοντάδες χιλιάδες έως εκατομμύρια δολάρια σε πρόστιμα και άλλες κυρώσεις από την Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC), εάν δεν λάβουν τις διαδικασίες αποκάλυψης κυβερνοασφάλειας και παραβίασης δεδομένων προκειμένου να συμμορφωθούν με τους νέους κανόνες που έχουν πλέον τεθεί σε ισχύ.

Οι κανονισμοί SEC έχουν δόντια: Η επιτροπή μπορεί να εκδώσει μια μόνιμη διαταγή με την οποία διατάσσει τον κατηγορούμενο να παύσει τη συμπεριφορά στο επίκεντρο της υπόθεσης, να διατάξει την αποπληρωμή των παράνομων κερδών ή να εφαρμόσει τρία επίπεδα κλιμακούμενων κυρώσεων που μπορεί να οδηγήσουν σε αστρονομικά πρόστιμα .

Ίσως το πιο ανησυχητικό για Οι CISO είναι η προσωπική ευθύνη που αντιμετωπίζουν τώρα για πολλούς τομείς επιχειρηματικών δραστηριοτήτων για τους οποίους ιστορικά δεν είχαν ευθύνη. Μόνο οι μισοί CISO (54%) είναι σίγουροι για την ικανότητά τους να συμμορφωθούν με την απόφαση της SEC.

Όλα αυτά οδηγούν σε μια ευρεία επανεξέταση του ρόλου του CISO και σε πρόσθετο κόστος για τις επιχειρήσεις.

Διαβάστε περισσότερα: Οι οργανισμοί αντιμετωπίζουν σημαντικές κυρώσεις της SEC για παράλειψη αποκάλυψης παραβιάσεων

Συγγενεύων: Τι πρέπει να γνωρίζουν οι εταιρείες και οι CISO για τις αυξανόμενες νομικές απειλές

Ο Βιομετρικός Κανονισμός θερμαίνεται, προμηνύοντας πονοκεφάλους συμμόρφωσης

Του David Strom, Συνεισφέρων συγγραφέας, Dark Reading

Ένας αυξανόμενος όγκος νόμων περί απορρήτου που ρυθμίζουν τα βιομετρικά στοιχεία στοχεύει στην προστασία των καταναλωτών εν μέσω αυξανόμενων παραβιάσεων του cloud και των deepfakes που δημιουργούνται από την τεχνητή νοημοσύνη. Αλλά για τις επιχειρήσεις που χειρίζονται βιομετρικά δεδομένα, η διατήρηση της συμμόρφωσης είναι πιο εύκολο να ειπωθεί παρά να γίνει.

Οι βιομετρικές ανησυχίες για το απόρρητο αυξάνονται, χάρη στην αύξηση Deepfake απειλές που βασίζονται στην τεχνητή νοημοσύνη (AI)., η αυξανόμενη χρήση βιομετρικών στοιχείων από τις επιχειρήσεις, η αναμενόμενη νέα νομοθεσία για το απόρρητο σε κρατικό επίπεδο και ένα νέο εκτελεστικό διάταγμα που εκδόθηκε από τον Πρόεδρο Μπάιντεν αυτή την εβδομάδα που περιλαμβάνει βιομετρική προστασία απορρήτου.

Αυτό σημαίνει ότι οι επιχειρήσεις πρέπει να είναι πιο στραμμένες προς το μέλλον και να προβλέπουν και να κατανοούν τους κινδύνους, προκειμένου να δημιουργήσουν την κατάλληλη υποδομή για την παρακολούθηση και τη χρήση βιομετρικού περιεχομένου. Και όσοι δραστηριοποιούνται σε εθνικό επίπεδο θα πρέπει να ελέγχουν τις διαδικασίες προστασίας δεδομένων τους ως προς τη συμμόρφωση με ένα συνονθύλευμα κανονισμών, συμπεριλαμβανομένης της κατανόησης του τρόπου με τον οποίο λαμβάνουν τη συναίνεση των καταναλωτών ή επιτρέπουν στους καταναλωτές να περιορίζουν τη χρήση τέτοιων δεδομένων και να βεβαιωθούν ότι ταιριάζουν με τις διάφορες λεπτές λεπτομέρειες των κανονισμών.

Διαβάστε περισσότερα: Ο Βιομετρικός Κανονισμός θερμαίνεται, προμηνύοντας πονοκεφάλους συμμόρφωσης

Συγγενεύων: Επιλέξτε τον καλύτερο βιομετρικό έλεγχο ταυτότητας για την περίπτωση χρήσης σας

DR Global: «Illusive» ιρανική ομάδα hacking παγιδεύει ισραηλινές, αεροδιαστημικές και αμυντικές εταιρείες των ΗΑΕ

Του Robert Lemos, Συνεισφέρων συγγραφέας, Dark Reading

Το UNC1549, γνωστό και ως Smoke Sandstorm και Tortoiseshell, φαίνεται να είναι ο ένοχος πίσω από μια εκστρατεία κυβερνοεπιθέσεων προσαρμοσμένης για κάθε στοχευόμενο οργανισμό.

Η ιρανική ομάδα απειλής UNC1549 - επίσης γνωστή ως Smoke Sandstorm and Tortoiseshell - καταδιώκει την αεροδιαστημική και αμυντικές εταιρείες στο Ισραήλ, τα Ηνωμένα Αραβικά Εμιράτα και άλλες χώρες της ευρύτερης Μέσης Ανατολής.

Συγκεκριμένα, μεταξύ του εξατομικευμένου ψαρέματος που εστιάζει στην απασχόληση και της χρήσης της υποδομής cloud για εντολή και έλεγχο, η επίθεση μπορεί να είναι δύσκολο να εντοπιστεί, λέει ο Jonathan Leathery, κύριος αναλυτής του Google Cloud's Mandiant.

«Το πιο αξιοσημείωτο είναι το πόσο απατηλή μπορεί να είναι αυτή η απειλή για την ανακάλυψη και την παρακολούθηση - έχουν σαφώς πρόσβαση σε σημαντικούς πόρους και είναι επιλεκτικοί στη στόχευσή τους», λέει. «Υπάρχει πιθανότατα περισσότερη δραστηριότητα από αυτόν τον ηθοποιό που δεν έχει ακόμη ανακαλυφθεί και υπάρχουν ακόμη λιγότερες πληροφορίες για το πώς λειτουργούν όταν έχουν θέσει σε κίνδυνο έναν στόχο».

Διαβάστε περισσότερα: Η «Illusive» ιρανική ομάδα χάκερ παγιδεύει ισραηλινές, αεροδιαστημικές και αμυντικές εταιρείες των ΗΑΕ

Συγγενεύων: Η Κίνα εγκαινιάζει νέο σχέδιο κυβερνοάμυνας για βιομηχανικά δίκτυα

Το MITER κυκλοφορεί 4 ολοκαίνουργια CWE για σφάλματα ασφαλείας μικροεπεξεργαστών

Του Jai Vijayan, Συνεισφέροντας συγγραφέας, Dark Reading

Ο στόχος είναι να δοθεί στους σχεδιαστές τσιπ και στους επαγγελματίες ασφάλειας στον χώρο των ημιαγωγών μια καλύτερη κατανόηση των μεγάλων ελαττωμάτων μικροεπεξεργαστή όπως το Meltdown και το Spectre.

Με έναν αυξανόμενο αριθμό εκμεταλλεύσεων πλευρικού καναλιού που στοχεύουν πόρους CPU, το πρόγραμμα Common Weakness Enumeration (CWE) υπό την καθοδήγηση MITRE πρόσθεσε τέσσερις νέες αδυναμίες που σχετίζονται με τον μικροεπεξεργαστή στη λίστα με τους κοινούς τύπους ευπάθειας λογισμικού και υλικού.

Τα CWE είναι το αποτέλεσμα μιας συλλογικής προσπάθειας μεταξύ των Intel, AMD, Arm, Riscure και Cycuity και δίνουν στους σχεδιαστές επεξεργαστών και στους επαγγελματίες ασφαλείας στον χώρο των ημιαγωγών μια κοινή γλώσσα για τη συζήτηση των αδυναμιών στις σύγχρονες αρχιτεκτονικές μικροεπεξεργαστών.

Τα τέσσερα νέα CWE είναι τα CWE-1420, CWE-1421, CWE-1422 και CWE-1423.

Το CWE-1420 αφορά την έκθεση ευαίσθητων πληροφοριών κατά την παροδική ή κερδοσκοπική εκτέλεση — η συνάρτηση βελτιστοποίησης υλικού που σχετίζεται με Κατακρήμνιση και φάντασμα — και είναι ο «γονέας» των τριών άλλων CWE.

Το CWE-1421 έχει να κάνει με διαρροές ευαίσθητων πληροφοριών σε κοινόχρηστες μικροαρχιτεκτονικές δομές κατά την προσωρινή εκτέλεση. Το CWE-1422 αντιμετωπίζει διαρροές δεδομένων που συνδέονται με εσφαλμένη προώθηση δεδομένων κατά τη μεταβατική εκτέλεση. Το CWE-1423 εξετάζει την έκθεση δεδομένων που συνδέεται με μια συγκεκριμένη εσωτερική κατάσταση ενός μικροεπεξεργαστή.

Διαβάστε περισσότερα: Το MITER κυκλοφορεί 4 ολοκαίνουργια CWE για σφάλματα ασφαλείας μικροεπεξεργαστών

Συγγενεύων: Η MITER Κυκλοφορεί το Πρωτότυπο Ασφάλειας Εφοδιαστικής Αλυσίδας

Συγκλίνοντες νόμοι περί απορρήτου του κράτους και η αναδυόμενη πρόκληση AI

Σχόλιο από τον Jason Eddinger, Senior Security Consultant, Data Privacy, GuidePoint Security

Είναι καιρός οι εταιρείες να εξετάσουν τι επεξεργάζονται, τι είδους κινδύνους έχουν και πώς σχεδιάζουν να μετριάσουν αυτόν τον κίνδυνο.

Οκτώ πολιτείες των ΗΠΑ ψήφισαν νομοθεσία περί απορρήτου δεδομένων το 2023 και το 2024, οι νόμοι θα τεθούν σε ισχύ σε τέσσερις, επομένως οι εταιρείες πρέπει να μείνουν πίσω και να εξετάσουν βαθιά τα δεδομένα που επεξεργάζονται, τους τύπους κινδύνου που διατρέχουν, πώς να το διαχειριστούν κινδύνου και τα σχέδιά τους να μετριάσουν τον κίνδυνο που έχουν εντοπίσει. Η υιοθέτηση της τεχνητής νοημοσύνης θα το κάνει πιο δύσκολο.

Καθώς οι επιχειρήσεις σχεδιάζουν μια στρατηγική για να συμμορφωθούν με όλους αυτούς τους νέους κανονισμούς που υπάρχουν, αξίζει να σημειωθεί ότι ενώ αυτοί οι νόμοι ευθυγραμμίζονται από πολλές απόψεις, παρουσιάζουν επίσης αποχρώσεις που αφορούν το κράτος.

Οι εταιρείες θα πρέπει να περιμένουν να δουν πολλά αναδυόμενες τάσεις απορρήτου δεδομένων φέτος, συμπεριλαμβανομένων:

Διαβάστε περισσότερα: Συγκλίνοντες νόμοι περί απορρήτου του κράτους και η αναδυόμενη πρόκληση AI

Συγγενεύων: Το Privacy Beats Ransomware ως κορυφαία ανησυχία ασφάλισης

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok