CISO コーナーへようこそ。Dark Reading の毎週の記事のダイジェストは、特にセキュリティ運用の読者とセキュリティ リーダー向けに調整されています。ニュース業務、ザ エッジ、DR テクノロジー、DR グローバル、および解説セクション全体から収集した記事を毎週提供します。私たちは、あらゆる形態や規模の組織のリーダー向けに、サイバーセキュリティ戦略の運用をサポートするための多様な視点を提供することに尽力しています。
この問題では:
-
NIST サイバーセキュリティ フレームワーク 2.0: 始めるための 4 つのステップ
-
Apple、Signal 耐量子暗号化をデビュー、しかし課題は山積
-
もう午後 10 時です、今夜 AI モデルがどこにいるか知っていますか?
-
違反を開示しなかった組織は SEC の重大な罰金に直面する
-
生体認証規制が激化し、コンプライアンスの悩みの予兆
-
DR Global:「幻の」イランのハッキンググループがイスラエル、UAEの航空宇宙・防衛企業を罠にかける
-
MITRE、マイクロプロセッサのセキュリティバグに対応する 4 つの新しい CWE を発表
-
収束する州のプライバシー法と新たな AI の課題
NIST サイバーセキュリティ フレームワーク 2.0: 始めるための 4 つのステップ
Robert Lemos、寄稿ライター、Dark Reading
米国立標準技術研究所 (NIST) は、あらゆる規模の組織の安全性を高めることを目的とした包括的なサイバーセキュリティ プログラムの作成に関する書籍を改訂しました。ここから変更を実行に移していきます。
今週リリースされた NIST のサイバーセキュリティ フレームワーク (CSF) の最新バージョンが運用可能になると、サイバーセキュリティ プログラムが大幅に変更される可能性があります。
たとえば、サイバーセキュリティに対する経営陣と取締役会の監視を強化するためのまったく新しい「ガバナンス」機能があり、その機能が拡大されています。 重要な業界だけを超えたセキュリティのベストプラクティス。全体として、サイバーセキュリティ チームは自らの仕事を任されることになり、フレームワーク変更の影響を判断するために、既存の評価、特定されたギャップ、修復活動を綿密に検討する必要があります。
幸いなことに、NIST サイバーセキュリティ フレームワークの最新バージョンを運用するためのヒントが、今後の方向性を示すのに役立ちます。これらには、すべての NIST リソースの使用が含まれます (CSF は単なる文書ではなく、企業がフレームワークを自社の特定の環境や要件に適用するために使用できるリソースのコレクションです)。経営幹部と座って「統治」機能について話し合う。サプライチェーンのセキュリティを包み込む。そして、コンサルティング サービスとサイバーセキュリティ体制管理製品が再評価され、最新の CSF をサポートするように更新されていることを確認します。
続きを読む: NIST サイバーセキュリティ フレームワーク 2.0: 始めるための 4 つのステップ
関連する 米国政府、ソフトウェアセキュリティにおける役割を拡大
Apple、Signal 耐量子暗号化をデビュー、しかし課題は山積
Jai Vijayan 著、寄稿ライター、Dark Reading
iMessage を保護するための Apple の PQ3 と Signal の PQXH は、暗号化プロトコルの解読が飛躍的に困難になる未来に組織がどのように備えているかを示しています。
量子コンピューターが成熟し、最も安全な現在の暗号化プロトコルさえも簡単に突破できる方法が敵に与えられるようになった今、組織は通信とデータを保護するために今すぐ行動する必要があります。
そのために、iMessage 通信を保護するための Apple の新しい PQ3 ポスト量子暗号 (PQC) プロトコルと、Signal が昨年導入した PQXDH と呼ばれる同様の暗号化プロトコルは耐量子性を備えています。つまり、少なくとも理論的には量子攻撃に耐えることができます。コンピューターがそれらを破壊しようとしています。
しかし、組織にとって、PQC のようなものへの移行は長く、複雑で、おそらく痛みを伴うものになるでしょう。公開鍵インフラストラクチャに大きく依存している現在のメカニズムは、耐量子アルゴリズムを統合するための再評価と適応が必要になります。そしてその ポスト量子暗号化への移行 これは、TLS1.2 から 1.3 への移行や ipv4 から v6 への移行など、どちらも数十年を要した以前の移行に匹敵する、企業の IT、テクノロジー、セキュリティ チームに一連の新しい管理課題をもたらします。
続きを読む: Apple、Signal 耐量子暗号化をデビュー、しかし課題は山積
関連する 量子コンピューティングが解ける前に弱い暗号を解読する
I午後 10 時です、今夜 AI モデルがどこにいるか知っていますか?
Ericka Chickowski、寄稿ライター、Dark Reading
AI モデルの可視性とセキュリティの欠如により、ソフトウェア サプライ チェーンのセキュリティ問題がさらに深刻になります。
ソフトウェア サプライ チェーンのセキュリティ問題が今日では十分に難しいと思っているなら、しっかりと腰を据えてください。 AI 使用の爆発的な増加により、今後数年間でサプライ チェーンの問題の解決が飛躍的に困難になるでしょう。
AI/機械学習モデルは、パターンの認識、予測、意思決定、アクションのトリガー、またはコンテンツの作成を行う AI システムの機能の基盤を提供します。しかし実のところ、ほとんどの組織は利益を得る方法さえ知りません。 埋め込まれたすべての AI モデルの可視性 彼らのソフトウェアで。
まず、モデルとその周囲のインフラストラクチャは他のソフトウェア コンポーネントとは異なる方法で構築されており、従来のセキュリティとソフトウェア ツールは、AI モデルがどのように機能するか、どのように欠陥があるかをスキャンしたり理解したりするように構築されていません。
「モデルは設計上、自己実行されるコードです。それにはある程度の主体性があります」と Protect AI の共同創設者、ダリアン・デガンピシェ氏は言います。 「インフラストラクチャ全体に、目に見えず、識別もできず、何が含まれているかも、コードが何であるかも分からず、自己実行される資産があると言ったら、外部に電話をかけるなんて、疑わしいほど許可ウイルスのように聞こえますよね?」
続きを読む: もう午後 10 時です、今夜 AI モデルがどこにいるか知っていますか?
関連する ハグフェイス AI プラットフォームには 100 個の悪意のあるコード実行モデルが存在
違反を開示しなかった組織は SEC の重大な罰金に直面する
Robert Lemos、寄稿者
SEC の新しいデータ侵害開示規則に従わなかった企業には、数百万ドルの罰金、風評被害、株主訴訟、その他の罰金が待ち受ける可能性がある執行上の悪夢となる可能性があります。
企業とその CISO は、サイバーセキュリティとデータ侵害の開示プロセスを遵守しない場合、米国証券取引委員会 (SEC) から数十万ドルから数百万ドルの罰金やその他の罰金に直面する可能性があります。新しいルールが施行されました。
SEC規制当局には牙があり、同委員会は被告に対し、訴訟の核心部分にある行為の中止、不当利得の返還命令、または天文学的な罰金をもたらす可能性のある3段階の段階的な罰則の導入を命じる永久差し止め命令を下すことができる。 。
おそらく最も心配しているのは、 CISO は現在直面している個人責任です これまで彼らが責任を負っていなかった事業運営の多くの分野に対して。 CISO の半数 (54%) だけが、SEC の裁定に従う能力に自信を持っています。
これらすべてが、CISO の役割の広範な再考と企業の追加コストにつながっています。
続きを読む: 違反を開示しなかった組織は SEC の重大な罰金に直面する
関連する 増大する法的脅威について企業と CISO が知っておくべきこと
生体認証規制が激化し、コンプライアンスの悩みの予兆
David Strom、寄稿ライター、Dark Reading
クラウド侵害やAIが作成したディープフェイクが増加する中、消費者を保護することを目的として、生体認証を規制するプライバシー法の厚さが増している。しかし、生体認証データを扱う企業にとって、コンプライアンスを遵守することは言うは易く行うは難しです。
生体認証のプライバシーに関する懸念は、増加のおかげでさらに高まっています 人工知能 (AI) ベースのディープフェイクの脅威、企業による生体認証の利用の増加、予想される新たな州レベルのプライバシー法、そして今週バイデン大統領によって発行された生体認証のプライバシー保護を含む新たな大統領令。
つまり、企業は、生体認証コンテンツを追跡して使用するための適切なインフラストラクチャを構築するために、より将来を見据えてリスクを予測し、理解する必要があるということです。また、国内でビジネスを行う企業は、消費者の同意をどのように取得するか、消費者がそのようなデータの使用を制限できるようにする方法を理解し、規制のさまざまな微妙な点に適合しているかどうかを理解するなど、データ保護手順を監査して規制のパッチワークを順守する必要があります。
続きを読む: 生体認証規制が激化し、コンプライアンスの悩みの予兆
関連する ユースケースに最適な生体認証認証を選択してください
DR Global:「幻の」イランのハッキンググループがイスラエル、UAEの航空宇宙・防衛企業を罠にかける
Robert Lemos、寄稿ライター、Dark Reading
UNC1549 (別名 Smoke Sandstorm and Tortoiseshell) は、標的となった組織ごとにカスタマイズされたサイバー攻撃キャンペーンの背後にある犯人と思われます。
イランの脅威グループ UNC1549 (煙砂嵐やべっ甲としても知られる) は、航空宇宙と宇宙を狙っています。 イスラエルの防衛企業、アラブ首長国連邦、およびその他の大中東諸国。
特に、雇用に焦点を当てたカスタマイズされたスピアフィッシングと指揮統制のためのクラウドインフラストラクチャの使用との間では、攻撃を検出するのが難しい可能性があると、Google CloudのMandiantの主任アナリストであるJonathan Leathery氏は述べています。
「最も注目すべき点は、この脅威の発見と追跡がどれほど幻想的であるかということです。彼らは明らかに重要なリソースにアクセスしており、標的を選択的に選択しています」と彼は言います。 「この攻撃者によるまだ発見されていない活動が存在する可能性が高く、標的に侵入した後に彼らがどのように活動するかについての情報はさらに少ないです。」
続きを読む: 「幻の」イランのハッキンググループがイスラエルとUAEの航空宇宙・防衛企業を罠にかける
関連する 中国、産業ネットワーク向けの新たなサイバー防御計画を開始
MITRE、マイクロプロセッサのセキュリティバグに対応する 4 つの新しい CWE を発表
Jai Vijayan 著、寄稿ライター、Dark Reading
目標は、半導体分野のチップ設計者やセキュリティ専門家に、メルトダウンやスペクターなどのマイクロプロセッサの主要な欠陥についてより深く理解してもらうことです。
CPU リソースをターゲットとしたサイドチャネルエクスプロイトの増加に伴い、MITRE 主導の Common Weakness Enumeration (CWE) プログラムは、一般的なソフトウェアおよびハードウェアの脆弱性タイプのリストに、マイクロプロセッサ関連の 4 つの新しい弱点を追加しました。
CWE は、Intel、AMD、Arm、Riscure、Cycuity の共同作業の成果であり、半導体分野のプロセッサ設計者とセキュリティ担当者に、最新のマイクロプロセッサ アーキテクチャの弱点について議論するための共通言語を提供します。
1420 つの新しい CWE は、CWE-1421、CWE-1422、CWE-1423、および CWE-XNUMX です。
CWE-1420 は、一時的実行または投機的実行中の機密情報の漏洩に関するものです。これは、CWE-XNUMX に関連付けられたハードウェア最適化機能です。 メルトダウンとスペクター — そして他の 3 つの CWE の「親」です。
CWE-1421 は、一時的な実行中の共有マイクロアーキテクチャ構造における機密情報の漏洩に関係しています。 CWE-1422 は、一時的な実行中の誤ったデータ転送に関連するデータ漏洩に対処します。 CWE-1423 は、マイクロプロセッサ内の特定の内部状態に関連するデータの漏洩に焦点を当てています。
続きを読む: MITRE、マイクロプロセッサのセキュリティバグに対応する 4 つの新しい CWE を発表
関連する MITRE がサプライ チェーン セキュリティのプロトタイプを公開
収束する州のプライバシー法と新たな AI の課題
GuidePoint Security、データ プライバシー担当シニア セキュリティ コンサルタント、Jason Eddinger による解説
企業は、何を処理しているのか、どのような種類のリスクがあるのか、そしてそのリスクをどのように軽減する計画があるのかを検討する時期が来ています。
米国の 2023 つの州が 2024 年にデータ プライバシー法案を可決し、XNUMX 年には XNUMX つの州で法律が施行される予定です。そのため、企業は、処理しているデータ、どのような種類のリスクがあるか、これをどのように管理するかをじっくりと検討する必要があります。リスクと、特定したリスクを軽減するための計画。 AIの導入により、それはさらに困難になるでしょう。
企業がこれらすべての新しい規制に準拠するための戦略を立てる際に、これらの法律は多くの点で一致しているものの、州固有のニュアンスも示していることに注目する価値があります。
企業は、多くの人々の目に触れることを期待する必要があります。 データプライバシーの新たなトレンド 今年は以下のものが含まれます:
-
包括的なプライバシー法を採用する州が続く。今年は何名が通過するか分かりませんが、活発な議論が行われることは間違いありません。
-
実際の法律や標準化されたフレームワークのない AI の急速な導入により、企業はその使用によって意図しない結果が発生し、違反や執行罰金が発生するため、AI は重要なトレンドとなるでしょう。
-
2024 年は米国大統領選挙の年であり、データプライバシーに対する意識が高まり、注目が高まることになります。コネチカット州などの州では追加要件を導入するなど、子供のプライバシーも重要視されてきている。
-
また、企業は、2024 年にデータ主権がトレンドになることを予測する必要があります。多国籍企業は、データがどこに存在するのか、また、国際法を遵守するためのデータの所在地と主権の要件を満たすために、これらの国際義務に基づく要件を理解するために、より多くの時間を費やす必要があります。
続きを読む: 収束する州のプライバシー法と新たな AI の課題
関連する プライバシーが保険上の最大の懸念事項としてランサムウェアを上回る
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok
