सीआईएसओ कॉर्नर में आपका स्वागत है, डार्क रीडिंग का साप्ताहिक लेख विशेष रूप से सुरक्षा संचालन पाठकों और सुरक्षा नेताओं के लिए तैयार किया गया है। हर हफ्ते, हम अपने समाचार ऑपरेशन, द एज, डीआर टेक्नोलॉजी, डीआर ग्लोबल और हमारे कमेंटरी अनुभाग से प्राप्त लेख पेश करेंगे। हम सभी आकार और साइज़ के संगठनों के नेताओं के लिए साइबर सुरक्षा रणनीतियों के संचालन के काम में सहायता के लिए विविध दृष्टिकोण लाने के लिए प्रतिबद्ध हैं।

इस मुद्दे में:

एनआईएसटी साइबर सुरक्षा फ्रेमवर्क 2.0: आरंभ करने के लिए 4 चरण

रॉबर्ट लेमोस द्वारा, योगदानकर्ता लेखक, डार्क रीडिंग

राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) ने एक व्यापक साइबर सुरक्षा कार्यक्रम बनाने पर पुस्तक को संशोधित किया है जिसका उद्देश्य हर आकार के संगठनों को अधिक सुरक्षित बनाने में मदद करना है। यहां बताया गया है कि परिवर्तनों को क्रियान्वित करना कहां से शुरू करें।

इस सप्ताह जारी एनआईएसटी के साइबर सुरक्षा फ्रेमवर्क (सीएसएफ) के नवीनतम संस्करण को संचालित करने का मतलब साइबर सुरक्षा कार्यक्रमों में महत्वपूर्ण बदलाव हो सकता है।

उदाहरण के लिए, साइबर सुरक्षा की बेहतर कार्यकारी और बोर्ड निगरानी को शामिल करने के लिए एक बिल्कुल नया "गवर्न" फ़ंक्शन है, और इसका विस्तार होता है केवल महत्वपूर्ण उद्योगों से परे सर्वोत्तम सुरक्षा प्रथाएँ. कुल मिलाकर, साइबर सुरक्षा टीमों को अपने काम में कटौती करनी होगी, और ढांचे में बदलाव के प्रभाव को निर्धारित करने के लिए मौजूदा आकलन, पहचाने गए अंतराल और सुधारात्मक गतिविधियों पर कड़ी नजर रखनी होगी।

सौभाग्य से, एनआईएसटी साइबर सुरक्षा फ्रेमवर्क के नवीनतम संस्करण के संचालन के लिए हमारी युक्तियाँ आगे का रास्ता दिखाने में मदद कर सकती हैं। उनमें सभी एनआईएसटी संसाधनों का उपयोग शामिल है (सीएसएफ सिर्फ एक दस्तावेज नहीं है बल्कि संसाधनों का एक संग्रह है जिसका उपयोग कंपनियां अपने विशिष्ट वातावरण और आवश्यकताओं के लिए ढांचे को लागू करने के लिए कर सकती हैं); "गवर्नमेंट" समारोह पर चर्चा करने के लिए सी-सूट के साथ बैठना; आपूर्ति श्रृंखला सुरक्षा में लपेटना; और यह पुष्टि करते हुए कि नवीनतम सीएसएफ का समर्थन करने के लिए परामर्श सेवाओं और साइबर सुरक्षा स्थिति प्रबंधन उत्पादों का पुनर्मूल्यांकन और अद्यतन किया गया है।

अधिक पढ़ें: एनआईएसटी साइबर सुरक्षा फ्रेमवर्क 2.0: आरंभ करने के लिए 4 चरण

संबंधित: अमेरिकी सरकार ने सॉफ्टवेयर सुरक्षा में भूमिका का विस्तार किया

ऐप्पल, सिग्नल ने क्वांटम-प्रतिरोधी एन्क्रिप्शन की शुरुआत की, लेकिन चुनौतियां सामने आईं

जय विजयन, योगदानकर्ता लेखक, डार्क रीडिंग द्वारा

iMessage को सुरक्षित करने के लिए Apple का PQ3 और सिग्नल का PQXH दिखाता है कि कैसे संगठन ऐसे भविष्य की तैयारी कर रहे हैं जिसमें एन्क्रिप्शन प्रोटोकॉल को क्रैक करना तेजी से कठिन होगा।

जैसे-जैसे क्वांटम कंप्यूटर परिपक्व होते हैं और विरोधियों को सबसे सुरक्षित मौजूदा एन्क्रिप्शन प्रोटोकॉल को भी तोड़ने का एक आसान तरीका देते हैं, संगठनों को संचार और डेटा की सुरक्षा के लिए अब आगे बढ़ने की जरूरत है।

उस अंत तक, iMessage संचार को सुरक्षित करने के लिए Apple का नया PQ3 पोस्ट-क्वांटम क्रिप्टोग्राफ़िक (PQC) प्रोटोकॉल, और एक समान एन्क्रिप्शन प्रोटोकॉल जिसे सिग्नल ने पिछले साल PQXDH कहा था, क्वांटम प्रतिरोधी हैं, जिसका अर्थ है कि वे - सैद्धांतिक रूप से, कम से कम - क्वांटम से हमलों का सामना कर सकते हैं कंप्यूटर उन्हें तोड़ने की कोशिश कर रहे हैं।

लेकिन संगठनों, पीक्यूसी जैसी चीजों में बदलाव लंबा, जटिल और संभवतः दर्दनाक होगा। सार्वजनिक कुंजी अवसंरचना पर अत्यधिक निर्भर वर्तमान तंत्र को क्वांटम-प्रतिरोधी एल्गोरिदम को एकीकृत करने के लिए पुनर्मूल्यांकन और अनुकूलन की आवश्यकता होगी। और यह पोस्ट-क्वांटम एन्क्रिप्शन में स्थानांतरण एंटरप्राइज़ आईटी, प्रौद्योगिकी और सुरक्षा टीमों के लिए प्रबंधन चुनौतियों का एक नया सेट पेश करता है जो पिछले माइग्रेशन के समानांतर है, जैसे टीएलएस1.2 से 1.3 और आईपीवी4 से वी6, दोनों में दशकों लग गए हैं।

अधिक पढ़ें: ऐप्पल, सिग्नल ने क्वांटम-प्रतिरोधी एन्क्रिप्शन की शुरुआत की, लेकिन चुनौतियां सामने आईं

संबंधित: क्वांटम कंप्यूटिंग से पहले कमजोर क्रिप्टोग्राफी को क्रैक करना

Iरात के 10 बजे हैं क्या आप जानते हैं कि आपके AI मॉडल आज रात कहाँ हैं?

एरिका चिकोव्स्की द्वारा, योगदानकर्ता लेखिका, डार्क रीडिंग

एआई मॉडल दृश्यता और सुरक्षा की कमी सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा समस्या को स्टेरॉयड पर डालती है।

यदि आपको लगता है कि सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा समस्या आज काफी कठिन है, तो कमर कस लें। एआई के उपयोग में विस्फोटक वृद्धि आने वाले वर्षों में आपूर्ति श्रृंखला के मुद्दों को तेजी से कठिन बनाने वाली है।

एआई/मशीन लर्निंग मॉडल एआई सिस्टम की पैटर्न को पहचानने, भविष्यवाणी करने, निर्णय लेने, कार्रवाई शुरू करने या सामग्री बनाने की क्षमता के लिए आधार प्रदान करते हैं। लेकिन सच्चाई यह है कि अधिकांश संगठन यह भी नहीं जानते कि लाभ कैसे शुरू किया जाए एम्बेडेड सभी एआई मॉडल में दृश्यता उनके सॉफ्टवेयर में.

बूट करने के लिए, मॉडल और उनके आस-पास के बुनियादी ढांचे को अन्य सॉफ्टवेयर घटकों की तुलना में अलग तरीके से बनाया गया है और पारंपरिक सुरक्षा और सॉफ्टवेयर टूलींग को स्कैन करने या यह समझने के लिए नहीं बनाया गया है कि एआई मॉडल कैसे काम करते हैं या वे कैसे त्रुटिपूर्ण हैं।

“एक मॉडल, डिज़ाइन के अनुसार, कोड का एक स्व-निष्पादित टुकड़ा है। इसकी एक निश्चित मात्रा में एजेंसी है, ”प्रोटेक्ट एआई के सह-संस्थापक दरियान देहघनपिशेह कहते हैं। "अगर मैंने आपसे कहा कि आपके बुनियादी ढांचे में ऐसी संपत्तियां हैं जिन्हें आप देख नहीं सकते, आप पहचान नहीं सकते, आप नहीं जानते कि उनमें क्या है, आप नहीं जानते कि कोड क्या है, और वे स्वयं निष्पादित होते हैं और बाहर से कॉल आती है, जो संदेहास्पद रूप से एक अनुमति वायरस की तरह लगता है, है ना?"

अधिक पढ़ें: रात के 10 बज रहे हैं, क्या आप जानते हैं कि आपके एआई मॉडल आज रात कहाँ हैं?

संबंधित: हगिंग फेस एआई प्लेटफॉर्म 100 दुर्भावनापूर्ण कोड-निष्पादन मॉडल से भरा हुआ है

उल्लंघनों का खुलासा करने में विफल रहने के लिए संगठनों को बड़े एसईसी दंड का सामना करना पड़ता है

रॉबर्ट लेमोस, योगदानकर्ता लेखक द्वारा

जो एक प्रवर्तन दुःस्वप्न हो सकता है, संभावित रूप से लाखों डॉलर का जुर्माना, प्रतिष्ठा क्षति, शेयरधारक मुकदमे और अन्य दंड उन कंपनियों का इंतजार करते हैं जो एसईसी के नए डेटा-उल्लंघन प्रकटीकरण नियमों का पालन करने में विफल रहते हैं।

यदि कंपनियां और उनके सीआईएसओ अपनी साइबर सुरक्षा और डेटा-उल्लंघन प्रकटीकरण प्रक्रियाओं का अनुपालन नहीं करते हैं, तो उन्हें अमेरिकी प्रतिभूति और विनिमय आयोग (एसईसी) से सैकड़ों हजारों से लेकर लाखों डॉलर तक के जुर्माने और अन्य जुर्माने का सामना करना पड़ सकता है। नए नियमों के साथ जो अब लागू हो गए हैं।

एसईसी के पास अधिकार हैं: आयोग प्रतिवादी को मामले के मूल में आचरण बंद करने का आदेश देते हुए एक स्थायी निषेधाज्ञा सौंप सकता है, गलत तरीके से प्राप्त लाभ की वापसी का आदेश दे सकता है, या बढ़ते दंड के तीन स्तरों को लागू कर सकता है जिसके परिणामस्वरूप भारी जुर्माना हो सकता है। .

शायद सबसे ज्यादा चिंता की बात है सीआईएसओ एक व्यक्तिगत दायित्व है जिसका वे अब सामना कर रहे हैं व्यवसाय संचालन के कई क्षेत्रों के लिए जिनके लिए ऐतिहासिक रूप से उनकी जिम्मेदारी नहीं रही है। केवल आधे सीआईएसओ (54%) एसईसी के फैसले का अनुपालन करने की अपनी क्षमता में आश्वस्त हैं।

यह सब सीआईएसओ की भूमिका पर व्यापक पुनर्विचार और व्यवसायों के लिए अतिरिक्त लागत की ओर ले जा रहा है।

अधिक पढ़ें: उल्लंघनों का खुलासा करने में विफल रहने के लिए संगठनों को बड़े एसईसी दंड का सामना करना पड़ता है

संबंधित: बढ़ते कानूनी खतरों के बारे में कंपनियों और सीआईएसओ को क्या पता होना चाहिए

बॉयोमीट्रिक्स विनियमन गर्म हो गया है, अनुपालन सिरदर्द का पूर्वाभास हो रहा है

डेविड स्ट्रोम द्वारा, योगदानकर्ता लेखक, डार्क रीडिंग

बायोमेट्रिक्स को विनियमित करने वाले गोपनीयता कानूनों के बढ़ते दायरे का उद्देश्य बढ़ते क्लाउड उल्लंघनों और एआई-निर्मित डीपफेक के बीच उपभोक्ताओं की सुरक्षा करना है। लेकिन उन व्यवसायों के लिए जो बायोमेट्रिक डेटा संभालते हैं, अनुपालन में बने रहना कहना जितना आसान है, करना उतना आसान नहीं है।

बायोमेट्रिक गोपनीयता संबंधी चिंताएँ बढ़ती जा रही हैं, धन्यवाद कृत्रिम बुद्धिमत्ता (एआई) आधारित डीपफेक खतरे, व्यवसायों द्वारा बढ़ता बायोमेट्रिक उपयोग, प्रत्याशित नए राज्य-स्तरीय गोपनीयता कानून, और इस सप्ताह राष्ट्रपति बिडेन द्वारा जारी एक नया कार्यकारी आदेश जिसमें बायोमेट्रिक गोपनीयता सुरक्षा शामिल है।

इसका मतलब है कि बायोमेट्रिक सामग्री को ट्रैक करने और उपयोग करने के लिए उचित बुनियादी ढांचे का निर्माण करने के लिए व्यवसायों को अधिक दूरदर्शी होने और जोखिमों का अनुमान लगाने और समझने की आवश्यकता है। और राष्ट्रीय स्तर पर व्यवसाय करने वालों को विनियमन के पैचवर्क के अनुपालन के लिए अपनी डेटा सुरक्षा प्रक्रियाओं का ऑडिट करना होगा, जिसमें यह समझना भी शामिल है कि वे उपभोक्ताओं की सहमति कैसे प्राप्त करते हैं या उपभोक्ताओं को ऐसे डेटा के उपयोग को प्रतिबंधित करने की अनुमति देते हैं और यह सुनिश्चित करते हैं कि वे नियमों में विभिन्न सूक्ष्मताओं से मेल खाते हैं।

अधिक पढ़ें: बॉयोमीट्रिक्स विनियमन गर्म हो गया है, अनुपालन सिरदर्द का पूर्वाभास हो रहा है

संबंधित: अपने उपयोग के मामले के लिए सर्वश्रेष्ठ बायोमेट्रिक्स प्रमाणीकरण चुनें

डीआर ग्लोबल: 'भ्रामक' ईरानी हैकिंग ग्रुप ने इजरायली, यूएई एयरोस्पेस और रक्षा फर्मों को फंसाया

रॉबर्ट लेमोस द्वारा, योगदानकर्ता लेखक, डार्क रीडिंग

UNC1549, उर्फ ​​स्मोक सैंडस्टॉर्म और टोर्टोइज़शेल, प्रत्येक लक्षित संगठन के लिए अनुकूलित साइबर हमले अभियान के पीछे अपराधी प्रतीत होता है।

ईरानी खतरा समूह UNC1549 - जिसे स्मोक सैंडस्टॉर्म और टोर्टोइज़शेल के नाम से भी जाना जाता है - एयरोस्पेस के पीछे जा रहा है और इज़राइल में रक्षा कंपनियाँ, संयुक्त अरब अमीरात, और वृहद मध्य पूर्व के अन्य देश।

विशेष रूप से, Google क्लाउड के मैंडिएंट के प्रमुख विश्लेषक जोनाथन लेदरी का कहना है कि रोजगार-केंद्रित स्पीयर-फ़िशिंग और कमांड-एंड-कंट्रोल के लिए क्लाउड इंफ्रास्ट्रक्चर के उपयोग के बीच, हमले का पता लगाना मुश्किल हो सकता है।

वे कहते हैं, "सबसे उल्लेखनीय बात यह है कि इस खतरे को खोजना और ट्रैक करना कितना भ्रामक हो सकता है - उनके पास स्पष्ट रूप से महत्वपूर्ण संसाधनों तक पहुंच है और वे अपने लक्ष्यीकरण में चयनात्मक हैं।" "संभवतः इस अभिनेता की ओर से अधिक गतिविधि है जो अभी तक खोजी नहीं गई है, और लक्ष्य से समझौता करने के बाद वे कैसे काम करते हैं इसके बारे में भी कम जानकारी है।"

अधिक पढ़ें: 'भ्रामक' ईरानी हैकिंग ग्रुप ने इजरायली, यूएई एयरोस्पेस और रक्षा फर्मों को फंसाया

संबंधित: चीन ने औद्योगिक नेटवर्क के लिए नई साइबर-रक्षा योजना शुरू की

MITER ने माइक्रोप्रोसेसर सुरक्षा बग के लिए 4 बिल्कुल नए CWE लॉन्च किए

जय विजयन, योगदानकर्ता लेखक, डार्क रीडिंग द्वारा

लक्ष्य सेमीकंडक्टर क्षेत्र में चिप डिजाइनरों और सुरक्षा चिकित्सकों को मेल्टडाउन और स्पेक्टर जैसी प्रमुख माइक्रोप्रोसेसर खामियों की बेहतर समझ देना है।

सीपीयू संसाधनों को लक्षित करने वाले साइड-चैनल कारनामों की बढ़ती संख्या के साथ, एमआईटीआरई के नेतृत्व वाले सामान्य कमजोरी गणना (सीडब्ल्यूई) कार्यक्रम ने सामान्य सॉफ्टवेयर और हार्डवेयर भेद्यता प्रकारों की अपनी सूची में चार नए माइक्रोप्रोसेसर-संबंधित कमजोरियों को जोड़ा।

सीडब्ल्यूई इंटेल, एएमडी, आर्म, रिस्क्योर और साइक्यूइटी के बीच एक सहयोगात्मक प्रयास का परिणाम है और सेमीकंडक्टर क्षेत्र में प्रोसेसर डिजाइनरों और सुरक्षा चिकित्सकों को आधुनिक माइक्रोप्रोसेसर आर्किटेक्चर में कमजोरियों पर चर्चा करने के लिए एक आम भाषा प्रदान करता है।

चार नए सीडब्ल्यूई सीडब्ल्यूई-1420, सीडब्ल्यूई-1421, सीडब्ल्यूई-1422 और सीडब्ल्यूई-1423 हैं।

CWE-1420 क्षणिक या सट्टा निष्पादन के दौरान संवेदनशील जानकारी के प्रदर्शन से संबंधित है - हार्डवेयर अनुकूलन फ़ंक्शन से जुड़ा हुआ है मंदी और भूत - और तीन अन्य सीडब्ल्यूई के "जनक" हैं।

सीडब्ल्यूई-1421 का संबंध क्षणिक निष्पादन के दौरान साझा माइक्रोआर्किटेक्चरल संरचनाओं में संवेदनशील जानकारी लीक से है; CWE-1422 क्षणिक निष्पादन के दौरान गलत डेटा अग्रेषण से जुड़े डेटा लीक को संबोधित करता है। CWE-1423 एक माइक्रोप्रोसेसर के भीतर एक विशिष्ट आंतरिक स्थिति से जुड़े डेटा एक्सपोज़र को देखता है।

अधिक पढ़ें: MITER ने माइक्रोप्रोसेसर सुरक्षा बग के लिए 4 बिल्कुल नए CWE लॉन्च किए

संबंधित: मिटर ने आपूर्ति श्रृंखला सुरक्षा प्रोटोटाइप पेश किया

राज्य गोपनीयता कानूनों और उभरती एआई चुनौती को एकजुट करना

जेसन एडिंगर, वरिष्ठ सुरक्षा सलाहकार, डेटा गोपनीयता, गाइडपॉइंट सुरक्षा द्वारा टिप्पणी

कंपनियों के लिए यह देखने का समय आ गया है कि वे क्या प्रसंस्करण कर रहे हैं, उनके पास किस प्रकार का जोखिम है और वे उस जोखिम को कैसे कम करने की योजना बना रहे हैं।

आठ अमेरिकी राज्यों ने 2023 में डेटा गोपनीयता कानून पारित किया, और 2024 में, कानून चार में लागू होंगे, इसलिए कंपनियों को आराम से बैठकर गहराई से देखने की जरूरत है कि वे किस डेटा को संसाधित कर रहे हैं, उनके पास किस प्रकार का जोखिम है, इसे कैसे प्रबंधित किया जाए जोखिम, और उनके द्वारा पहचाने गए जोखिम को कम करने की उनकी योजनाएँ। एआई को अपनाने से यह और कठिन हो जाएगा।

चूंकि व्यवसाय इन सभी नए नियमों का अनुपालन करने के लिए एक रणनीति तैयार करते हैं, इसलिए यह ध्यान देने योग्य है कि हालांकि ये कानून कई मामलों में संरेखित हैं, लेकिन वे राज्य-विशिष्ट बारीकियों को भी प्रदर्शित करते हैं।

कंपनियों को बहुत कुछ देखने की उम्मीद करनी चाहिए उभरती डेटा गोपनीयता प्रवृत्तियाँ इस वर्ष, इसमें शामिल हैं:

अधिक पढ़ें: राज्य गोपनीयता कानूनों और उभरती एआई चुनौती को एकजुट करना

संबंधित: गोपनीयता ने रैनसमवेयर को शीर्ष बीमा चिंता के रूप में पछाड़ दिया

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok