सीआईएसओ कॉर्नर में आपका स्वागत है, डार्क रीडिंग का साप्ताहिक लेख विशेष रूप से सुरक्षा संचालन पाठकों और सुरक्षा नेताओं के लिए तैयार किया गया है। हर हफ्ते, हम अपने समाचार ऑपरेशन, द एज, डीआर टेक्नोलॉजी, डीआर ग्लोबल और हमारे कमेंटरी अनुभाग से प्राप्त लेख पेश करते हैं। हम सभी आकार और साइज़ के संगठनों के नेताओं के लिए साइबर सुरक्षा रणनीतियों के संचालन के काम में सहायता के लिए विविध दृष्टिकोण लाने के लिए प्रतिबद्ध हैं।

सीआईएसओ कॉर्नर के इस अंक में:

साइबर गवर्नेंस वाले निगम लगभग 4 गुना अधिक मूल्य बनाते हैं

डेविड स्ट्रोम द्वारा, योगदानकर्ता लेखक, डार्क रीडिंग

जिनके पास विशेष समितियाँ हैं जिनमें पूर्ण बोर्ड पर निर्भर रहने के बजाय एक साइबर विशेषज्ञ शामिल है, उनके सुरक्षा और वित्तीय प्रदर्शन में सुधार की अधिक संभावना है।

जिन कंपनियों ने बेहतर साइबर सुरक्षा प्रशासन के लिए दिशानिर्देशों का पालन करने का प्रयास किया है, उन्होंने ऐसा नहीं करने वाली कंपनियों की तुलना में अपना शेयरधारक मूल्य लगभग चार गुना कमाया है।

यह बिटसाइट और डिलिजेंट इंस्टीट्यूट द्वारा संयुक्त रूप से किए गए एक नए सर्वेक्षण का निष्कर्ष है, जिसमें 23 विभिन्न जोखिम कारकों में साइबर सुरक्षा विशेषज्ञता को मापा गया है, जैसे कि बॉटनेट संक्रमण की उपस्थिति, मैलवेयर होस्ट करने वाले सर्वर, वेब और ईमेल संचार के लिए पुराने एन्क्रिप्शन प्रमाणपत्र, और सार्वजनिक-सामना वाले सर्वर पर खुले नेटवर्क पोर्ट।

रिपोर्ट में यह भी पाया गया कि विशेष जोखिम और ऑडिट अनुपालन पर ध्यान केंद्रित करने वाली अलग-अलग बोर्ड समितियाँ सर्वोत्तम परिणाम देती हैं। ओमेगा315 के साइबर सुरक्षा सलाहकार और सीईओ लाडी एडेफला सहमत हैं, "जो बोर्ड पूरे बोर्ड पर निर्भर रहने के बजाय साइबर विशेषज्ञ सदस्य के साथ विशेष समितियों के माध्यम से साइबर निगरानी करते हैं, उनकी समग्र सुरक्षा स्थिति और वित्तीय प्रदर्शन में सुधार होने की अधिक संभावना है।"

अधिक पढ़ें: साइबर गवर्नेंस वाले निगम लगभग 4 गुना अधिक मूल्य बनाते हैं

संबंधित: टिकटॉक बैन के साथ, अब ऑपरेशनल गवर्नेंस का समय आ गया है

यहां तक ​​कि साइबर पेशेवर भी ठगे जाते हैं: एक वास्तविक जीवन के खतरनाक हमले के अंदर

एलिजाबेथ मोंटालबानो द्वारा, योगदानकर्ता लेखिका, डार्क रीडिंग

सफल हमलावर मानवीय भावनाओं के मनोवैज्ञानिक हेरफेर पर ध्यान केंद्रित करते हैं, यही वजह है कि कोई भी, यहां तक ​​कि साइबर-समर्थक या तकनीक-प्रेमी व्यक्ति भी इसका शिकार बन सकता है।

इसकी शुरुआत मंगलवार सुबह करीब 10:30 बजे एक अज्ञात मोबाइल नंबर से आए फोन से हुई। मैं घर पर अपने कंप्यूटर पर काम कर रहा था और आमतौर पर उन लोगों के फोन कॉल का जवाब नहीं देता, जिन्हें मैं नहीं जानता। किसी कारण से, मैंने जो कुछ भी कर रहा था उसे रोकने और कॉल लेने का निर्णय लिया।

अगले चार घंटों में की जाने वाली अनेक गलतियों की शृंखला में यह मेरी पहली गलती थी, इस दौरान मैं ही था विशिंग या वॉयस-फ़िशिंग अभियान का शिकार. कठिन परीक्षा के अंत तक, मैंने अपने बैंक खाते से और बिटकॉइन में घोटालेबाजों को लगभग €5,000 की धनराशि हस्तांतरित कर दी थी। मेरा बैंक अधिकांश हस्तांतरण रद्द करने में सक्षम था; हालाँकि, मैंने €1,000 खो दिए जो मैंने हमलावरों के बिटकॉइन वॉलेट में भेजे थे।

विशेषज्ञों का कहना है कि इससे कोई फर्क नहीं पड़ता कि आपके पास हमलावरों द्वारा इस्तेमाल की जाने वाली रणनीति को जानने में कितनी विशेषज्ञता है या घोटालों को पकड़ने में आपका कितना अनुभव है। हमलावरों की सफलता की कुंजी तकनीक से भी पुरानी चीज़ है, क्योंकि यह उसी चीज़ में हेरफेर करने में निहित है जो हमें इंसान बनाती है: हमारी भावनाएँ।

अधिक पढ़ें: फ़ोन का उत्तर न दें: एक वास्तविक जीवन के खतरनाक हमले के अंदर

संबंधित: उत्तर कोरियाई हैकरों ने सुरक्षा शोधकर्ताओं को फिर से निशाना बनाया

तीसरे पक्ष के जोखिम को कम करने के लिए सहयोगात्मक, गहन दृष्टिकोण की आवश्यकता है

मैट मेटेनहाइमर, साइबर एडवाइजरी, साइबर सुरक्षा प्रैक्टिस, एस-आरएम के एसोसिएट डायरेक्टर द्वारा टिप्पणी

समस्या कठिन लग सकती है, लेकिन अधिकांश संगठनों के पास तीसरे पक्ष के जोखिम से निपटने के लिए उनकी सोच से कहीं अधिक एजेंसी और लचीलापन है।

तृतीय-पक्ष जोखिम संगठनों के लिए एक अनोखी चुनौती प्रस्तुत करता है। सतही तौर पर, कोई तीसरा पक्ष भरोसेमंद दिखाई दे सकता है। लेकिन उस तृतीय-पक्ष विक्रेता की आंतरिक कार्यप्रणाली में पूर्ण पारदर्शिता के बिना, कोई संगठन यह कैसे सुनिश्चित कर सकता है कि उसे सौंपा गया डेटा सुरक्षित है?

अक्सर, संगठन अपने तीसरे पक्ष के विक्रेताओं के साथ लंबे समय से चले आ रहे संबंधों के कारण इस जरूरी सवाल को नजरअंदाज कर देते हैं। लेकिन चौथे और यहां तक ​​कि पांचवें पक्ष के विक्रेताओं के उद्भव से संगठनों को अपने बाहरी डेटा को सुरक्षित करने के लिए प्रोत्साहित किया जाना चाहिए। कर रहा है तीसरे पक्ष के विक्रेता पर उचित सुरक्षा सावधानी बरतनी चाहिए इसमें अब यह पता लगाना शामिल होना चाहिए कि क्या तीसरा पक्ष निजी क्लाइंट डेटा को अधिक डाउनस्ट्रीम पार्टियों को आउटसोर्स करता है, जो कि वे संभवतः करते हैं, SaaS सेवाओं की व्यापकता के लिए धन्यवाद।

सौभाग्य से, पांच सरल आउट-ऑफ़-द-बॉक्स चरण हैं जो संगठनों को तीसरे पक्ष के जोखिम को सफलतापूर्वक कम करने के लिए एक प्रारंभिक रोडमैप प्रदान करते हैं।

अधिक पढ़ें: तीसरे पक्ष के जोखिम को कम करने के लिए सहयोगात्मक, गहन दृष्टिकोण की आवश्यकता है

संबंधित: सीएल0पी ने MOVEit हमले का दावा किया; यहां बताया गया है कि गिरोह ने यह कैसे किया

बड़े हमलों के मद्देनजर ऑस्ट्रेलियाई सरकार ने साइबर सुरक्षा को दोगुना कर दिया है

जॉन लेडेन द्वारा, योगदानकर्ता लेखक, डार्क रीडिंग ग्लोबल

सरकार व्यवसायों, सरकार और महत्वपूर्ण बुनियादी ढांचा प्रदाताओं के लिए अधिक आधुनिक और व्यापक साइबर सुरक्षा नियमों का प्रस्ताव करती है।

ऑस्ट्रेलिया की साइबर घटना प्रतिक्रिया क्षमताओं की कमज़ोरियाँ सितंबर 2022 में उजागर हुईं दूरसंचार प्रदाता ऑप्टस पर साइबर हमलाइसके बाद अक्टूबर में स्वास्थ्य बीमा प्रदाता मेडिबैंक पर रैंसमवेयर-आधारित हमला हुआ।

परिणामस्वरूप, ऑस्ट्रेलियाई सरकार 2030 तक देश को साइबर सुरक्षा में विश्व नेता के रूप में स्थापित करने की घोषित रणनीति के साथ, साइबर सुरक्षा कानूनों और विनियमों को संशोधित करने की योजना बना रही है।

मौजूदा साइबर अपराध कानूनों में कमियों को संबोधित करने के साथ-साथ, ऑस्ट्रेलियाई विधायकों को खतरे की रोकथाम, सूचना साझा करने और साइबर घटना प्रतिक्रिया पर अधिक जोर देने के लिए देश के महत्वपूर्ण बुनियादी ढांचे की सुरक्षा (एसओसीआई) अधिनियम 2018 में संशोधन करने की उम्मीद है।

अधिक पढ़ें: बड़े हमलों के मद्देनजर ऑस्ट्रेलियाई सरकार ने साइबर सुरक्षा को दोगुना कर दिया है

संबंधित: साइबर व्यवधान के बाद ऑस्ट्रेलियाई बंदरगाहों ने परिचालन फिर से शुरू किया

भौतिकता और जोखिम निर्धारण के लिए सीआईएसओ की मार्गदर्शिका

पीटर डायसन, डेटा एनालिटिक्स के प्रमुख, कोवर द्वारा टिप्पणी

कई सीआईएसओ के लिए, "भौतिकता" एक अस्पष्ट शब्द बना हुआ है। फिर भी, उन्हें अपने बोर्डों के साथ भौतिकता और जोखिम पर चर्चा करने में सक्षम होना चाहिए।

एसईसी को अब सार्वजनिक कंपनियों की आवश्यकता है आकलन करें कि क्या साइबर घटनाएं "भौतिक" हैं उन्हें रिपोर्ट करने की सीमा के रूप में। लेकिन कई सीआईएसओ के लिए, भौतिकता एक अस्पष्ट शब्द है, जो किसी संगठन के अद्वितीय साइबर सुरक्षा वातावरण के आधार पर व्याख्या के लिए खुला है।

भौतिकता के इर्द-गिर्द भ्रम का मूल यह निर्धारित करना है कि "भौतिक हानि" क्या होती है। कुछ लोग मानते हैं कि भौतिकता पिछले वर्ष के राजस्व के 0.01% को प्रभावित करती है, जो राजस्व के लगभग एक आधार बिंदु के बराबर है (जो फॉर्च्यून 1000 निगमों के लिए राजस्व के एक घंटे के बराबर है)।

उद्योग बेंचमार्क के विरुद्ध विभिन्न सीमाओं का परीक्षण करके, संगठन भौतिक साइबर हमलों के प्रति अपनी भेद्यता की स्पष्ट समझ प्राप्त कर सकते हैं।

अधिक पढ़ें: भौतिकता और जोखिम निर्धारण के लिए सीआईएसओ की मार्गदर्शिका

संबंधित: प्रूडेंशियल ने एसईसी के पास स्वैच्छिक उल्लंघन नोटिस दाखिल किया

ज़ीरो-डे बोनान्ज़ा उद्यमों के विरुद्ध अधिक शोषण को बढ़ावा देता है

बेकी ब्रैकेन, वरिष्ठ संपादक, डार्क रीडिंग द्वारा

Google के अनुसार, उन्नत प्रतिद्वंद्वी तेजी से उद्यम प्रौद्योगिकियों और उनके विक्रेताओं पर ध्यान केंद्रित कर रहे हैं, जबकि अंतिम-उपयोगकर्ता प्लेटफ़ॉर्म साइबर सुरक्षा निवेश के साथ शून्य-दिन के शोषण को रोकने में सफल हो रहे हैं।

50 की तुलना में 2023 में जंगल में 2022% अधिक शून्य-दिन की कमजोरियों का शोषण किया गया। उद्यमों को विशेष रूप से भारी नुकसान हो रहा है।

मैंडिएंट और गूगल थ्रेट एनालिसिस ग्रुप (टीएजी) के शोध के अनुसार, परिष्कृत राष्ट्र-राज्य समर्थित विरोधी एक विशाल उद्यम हमले की सतह का फायदा उठा रहे हैं। फ़ुटप्रिंट जिसमें कई विक्रेताओं के सॉफ़्टवेयर, तृतीय-पक्ष घटक और विशाल पुस्तकालय शामिल हैं, शून्य-दिन के कारनामों को विकसित करने की क्षमता वाले लोगों के लिए एक समृद्ध शिकार भूमि प्रदान करते हैं।

साइबर अपराध समूहों को विशेष रूप से सुरक्षा सॉफ्टवेयर पर ध्यान केंद्रित किया गया है, जिसमें शामिल हैं बाराकुडा ईमेल सुरक्षा गेटवे; सिस्को अनुकूली सुरक्षा उपकरण; इवंती एंडपॉइंट मैनेजर, मोबाइल और सेंट्री; और ट्रेंड माइक्रो एपेक्स वन, अनुसंधान में जोड़ा गया।

अधिक पढ़ें: ज़ीरो-डे बोनान्ज़ा उद्यमों के विरुद्ध अधिक शोषण को बढ़ावा देता है

संबंधित: हमलावर माइक्रोसॉफ्ट सिक्योरिटी-बायपास जीरो-डे बग्स का फायदा उठाते हैं

बोर्डरूम एजेंडा पर सुरक्षा उपाय प्राप्त करना

ईएमईए नॉर्थ, क्वालिस के प्रबंध निदेशक मैट मिडलटन-लील द्वारा टिप्पणी

आईटी टीमें अपने बोर्ड को जोखिमों को समझने और उन्हें कैसे ठीक किया जाए, इसके साथ-साथ जोखिम प्रबंधन के लिए अपने दीर्घकालिक दृष्टिकोण को समझाने में मदद करके बेहतर ढंग से जांच का सामना कर सकती हैं।

अतीत के मुख्य कार्यकारी अधिकारियों को शायद इस बात से नींद नहीं आई होगी कि उनकी सुरक्षा टीम विशिष्ट सीवीई के प्रति किस प्रकार संपर्क कर रही है, लेकिन इसके साथ Apache Log4j जैसे खतरनाक बग के लिए CVEs कई संगठनों में अप्रकाशित रहने के कारण, सुरक्षा सुधार अब अधिक व्यापक रूप से एजेंडे में है। इसका मतलब है कि अधिक सुरक्षा नेताओं से यह जानकारी देने के लिए कहा जा रहा है कि वे व्यावसायिक दृष्टिकोण से जोखिम का प्रबंधन कितनी अच्छी तरह कर रहे हैं।

इससे विशेष रूप से बजट और उनका उपयोग कैसे किया जा रहा है, इसके बारे में कठिन प्रश्न उठते हैं।

अधिकांश सीआईएसओ आईटी सुरक्षा मूल सिद्धांतों के बारे में जानकारी का उपयोग करने के लिए प्रलोभित होते हैं - रोके गए मुद्दों की संख्या, अपडेट किए गए, महत्वपूर्ण मुद्दों को ठीक किया गया - लेकिन अन्य व्यावसायिक जोखिमों और मुद्दों की तुलना के बिना, ध्यान रखना और यह प्रदर्शित करना कठिन हो सकता है कि सीआईएसओ काम कर रहा है .

इन मुद्दों पर काबू पाने के लिए, हमें जोखिम के इर्द-गिर्द एक कहानी बताने के लिए तुलनाओं और संदर्भ डेटा का उपयोग करना होगा। तैनात किए गए पैच की संख्या पर आधार आंकड़े प्रदान करना उस महत्वपूर्ण समस्या को ठीक करने में किए गए भारी मात्रा में प्रयासों का वर्णन नहीं करता है जिसने राजस्व उत्पन्न करने वाले एप्लिकेशन को खतरे में डाल दिया है। इससे यह भी पता नहीं चलता कि आपकी टीम दूसरों के ख़िलाफ़ कैसा प्रदर्शन करती है. मूलतः, आप यह प्रदर्शित करना चाहते हैं कि बोर्ड कैसा दिखता है, और आप समय के साथ कैसा प्रदर्शन करना जारी रखते हैं।

अधिक पढ़ें: बोर्डरूम एजेंडा पर सुरक्षा उपाय प्राप्त करना

संबंधित: बोर्डरूम में क्या कमी है: सीआईएसओ

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation