CISO コーナーへようこそ。Dark Reading の毎週の記事のダイジェストは、特にセキュリティ運用の読者とセキュリティ リーダー向けに調整されています。毎週、ニュース業務、ザ エッジ、DR テクノロジー、DR グローバル、および解説セクション全体から収集した記事を提供します。私たちは、あらゆる形態や規模の組織のリーダー向けに、サイバーセキュリティ戦略の運用をサポートするための多様な視点を提供することに尽力しています。

今号の CISO コーナーでは次のようになります。

サイバー ガバナンスを導入した企業はほぼ 4 倍の価値を生み出す

David Strom、寄稿ライター、Dark Reading

取締役会全体に依存するのではなく、サイバー専門家を含む特別委員会を設置した委員会は、セキュリティと財務パフォーマンスを向上させる可能性が高くなります。

サイバーセキュリティガバナンスを向上させるためのガイドラインに従う努力をした企業は、そうでない企業と比較して、株主価値をほぼ4倍生み出しました。

これは、Bitsight と Diligent Institute が共同で実施した新しい調査の結論です。調査では、次のような 23 の異なるリスク要因にわたってサイバーセキュリティの専門知識を測定しました。 ボットネット感染の存在、マルウェアをホストするサーバー、Web および電子メール通信用の古い暗号化証明書、および公開サーバー上のオープン ネットワーク ポート。

同報告書はまた、専門的なリスクと監査コンプライアンスに焦点を当てた個別の取締役会委員会を設置することが最良の結果を生み出すことも明らかにした。 「取締役会全体に依存するのではなく、サイバー専門家メンバーによる専門委員会を通じてサイバー監視を行う取締役会は、全体的なセキュリティ体制と財務パフォーマンスを向上させる可能性が高くなります」と、サイバーセキュリティ コンサルタントで Omega315 の CEO である Ladi Adefala 氏も同意します。

続きを読む： サイバー ガバナンスを導入した企業はほぼ 4 倍の価値を生み出す

関連する TikTokの禁止により、運用ガバナンスの時が来ました

サイバープロも騙される: 現実のビッシング攻撃の内部

エリザベス・モンタルバーノ著、寄稿ライター、Dark Reading

成功した攻撃者は、人間の感情を心理的に操作することに重点を置いているため、サイバー プロやテクノロジーに精通した人であっても、誰もが被害者になる可能性があります。

事の始まりは、火曜日の午前10時30分頃、見知らぬ携帯番号からの電話でした。私は家でコンピューターを使って仕事をしており、通常は知らない人からの電話には出ません。何らかの理由で、私は今までしていた仕事をやめてその電話に出ることにしました。

それが、その後 4 時間にわたって私が犯した一連の間違いのうちの最初の間違いでした。 ビッシングまたはボイスフィッシングキャンペーンの被害者。試練が終わるまでに、私は銀行口座からビットコインで5,000ユーロ近くの資金を詐欺師に送金していました。私の銀行はほとんどの送金をキャンセルすることができました。しかし、私は攻撃者のビットコインウォレットに送金した1,000ユーロを失いました。

専門家らは、攻撃者が詐欺行為を発見する際に使用する戦術や経験を知る上で、どれだけの専門知識を持っているかは重要ではないと主張する。攻撃者の成功の鍵はテクノロジーよりも古いものであり、それは私たちを人間たらしめているもの、つまり感情を操作することにあるからです。

続きを読む： 電話には出ないでください: 実際の悪質な攻撃の内部

関連する 北朝鮮のハッカー、再び安全保障研究者を狙う

サードパーティのリスクを軽減するには、協力的で徹底的なアプローチが必要です

S-RM、サイバーセキュリティプラクティス、サイバーアドバイザリー担当アソシエイトディレクター、マット・メッテンハイマーによる解説

この問題は困難に思えるかもしれませんが、ほとんどの組織は、サードパーティのリスクに対処するための主体性と柔軟性を、思っているよりも持っています。

サードパーティのリスクは、組織に特有の課題をもたらします。表面的には、第三者は信頼できるように見えることがあります。しかし、サードパーティ ベンダーの内部動作に対する完全な透明性がなければ、組織はどのようにして、委託されたデータの安全性を確保できるでしょうか?

多くの場合、組織はサードパーティ ベンダーとの長年にわたる関係を理由に、この差し迫った問題を軽視します。しかし、第 4 パーティ、さらには第 5 パーティのベンダーの出現により、組織は外部データを保護するよう奨励されるはずです。やってる サードパーティベンダーに対する適切なセキュリティデューデリジェンス 今後は、サードパーティがクライアントのプライベートデータをより下流のパーティにアウトソーシングしているかどうかを調査することを含める必要があります。SaaS サービスの普及のおかげで、サードパーティはアウトソーシングする可能性が高くなります。

幸いなことに、組織がサードパーティのリスクを適切に軽減するための開始ロードマップを提供する、すぐに使用できる 5 つの簡単な手順があります。

続きを読む： サードパーティのリスクを軽減するには、協力的で徹底的なアプローチが必要です

関連する Cl0p は MOVEit 攻撃を主張します。 ギャングのやり方はこうだ

オーストラリア政府、大規模攻撃を受けてサイバーセキュリティを倍増

John Leyden、寄稿者、Dark Reading Global

政府は、企業、政府、重要インフラプロバイダー向けに、より現代的で包括的なサイバーセキュリティ規制を提案しています。

オーストラリアのサイバーインシデント対応能力の弱点が2022年XNUMX月に露呈した 通信プロバイダー Optus に対するサイバー攻撃、10月に続いて、健康保険プロバイダーのメディバンクに対するランサムウェアベースの攻撃が発生しました。

その結果、オーストラリア政府は、2030年までに同国をサイバーセキュリティの世界リーダーの地位に置くという戦略を掲げ、サイバーセキュリティ法と規制を刷新する計画を立てている。

オーストラリアの議員らは、既存のサイバー犯罪法のギャップに対処するだけでなく、2018年重要インフラセキュリティ法（SOCI）法を改正して、脅威の防止、情報共有、サイバーインシデント対応に重点を置くことを望んでいる。

続きを読む： オーストラリア政府、大規模な攻撃を受けてサイバーセキュリティを強化

関連する オーストラリアの港湾、壊滅的なサイバー混乱後に操業を再開

CISO の重要性とリスクの決定ガイド

Kovrr データ分析責任者 Peter Dyson による解説

多くの CISO にとって、「重要性」は依然として曖昧な用語です。そうであっても、重要性とリスクについて取締役会と議論できる必要があります。

SEC は現在、上場企業に次のことを義務付けています。 サイバーインシデントが「重大」かどうかを評価する それらを報告するためのしきい値として。しかし、多くの CISO にとって、重要性は依然として曖昧な用語であり、組織固有のサイバーセキュリティ環境に基づいて解釈の余地があります。

重要性に関する混乱の核心は、何が「重要な損失」を構成するのかを決定することです。一部の人々は、重要性が前年の収益の 0.01% に影響を及ぼし、これは収益の約 1000 ベーシス ポイントに相当します (フォーチュン XNUMX 企業の XNUMX 時間の収益に相当します)。

業界のベンチマークに対してさまざまなしきい値をテストすることで、組織は重大なサイバー攻撃に対する自社の脆弱性をより明確に理解できます。

続きを読む： CISO の重要性とリスクの決定ガイド

関連する プルデンシャル、SECに自主違反通知を提出

ゼロデイ ボナンザが企業に対するさらなるエクスプロイトを推進

ベッキー・ブラッケン著、Dark Reading 上級編集者

Google によると、高度な攻撃者はエンタープライズ テクノロジーとそのベンダーにますます注目している一方、エンドユーザー プラットフォームはサイバーセキュリティへの投資によってゼロデイ エクスプロイトを阻止することに成功しています。

50 年に実際に悪用されたゼロデイ脆弱性の数は、2023 年よりも 2022% 増加しました。企業は特に大きな打撃を受けています。

Mandiant と Google Threat Analysis Group (TAG) の調査によると、国家が支援する高度な攻撃者が、広大な企業攻撃対象領域を利用しています。複数のベンダーのソフトウェア、サードパーティのコンポーネント、無秩序に広がるライブラリで構成されるフットプリントは、ゼロデイ エクスプロイトを開発する能力を持つ人々にとって豊富な狩場となります。

サイバー犯罪グループは、次のようなセキュリティ ソフトウェアに特に重点を置いています。 バラクーダ E メール セキュリティ ゲートウェイ; Cisco 適応型セキュリティ アプライアンス。 Ivanti エンドポイント マネージャー、モバイル、セントリー。そしてTrend Micro Apex Oneであると研究は付け加えた。

続きを読む： ゼロデイ ボナンザが企業に対するさらなるエクスプロイトを推進

関連する 攻撃者は Microsoft のセキュリティを悪用し、ゼロデイ バグを回避します

取締役会の議題にセキュリティ修復を盛り込む

Qualys EMEA North 担当マネージング ディレクター、Matt Middleton-Leal 氏のコメント

IT チームは、取締役会がリスクとその解決方法を理解し、リスク管理の長期的なビジョンを説明できるようにすることで、精査に耐えることができます。

過去の CEO は、セキュリティ チームが特定の CVE にどのようにアプローチしているかについて眠れなかったかもしれませんが、 Apache Log4j などの危険なバグに対する CVE 多くの組織ではパッチが適用されていないため、セキュリティ修復がより広範な課題となっています。これは、より多くのセキュリティ リーダーが、ビジネスの観点からリスクをどの程度適切に管理しているかについての洞察を求められることを意味します。

これは、特に予算とその使用方法に関して難しい質問につながります。

ほとんどの CISO は、IT セキュリティの基本原則 (停止した問題の数、導入されたアップデート、修正された重大な問題の数) に関する情報を利用したがりますが、他のビジネス リスクや問題と比較しなければ、注意を払い続け、CISO が成果を上げていることを実証するのは難しい場合があります。 。

これらの問題を克服するには、比較とコンテキスト データを使用して、リスクに関するストーリーを伝える必要があります。導入されたパッチの数に関する基本的な数字を提供しても、収益を生み出すアプリケーションを危険にさらす重大な問題を修正するために費やされた膨大な労力を説明するものではありません。また、自分のチームが他のチームに対してどのようなパフォーマンスを発揮するのかも示されません。基本的に、取締役会にとって良いことがどのようなものであるか、そして長期にわたってどのように成果を出し続けるかを実証する必要があります。

続きを読む： 取締役会の議題にセキュリティ修復を盛り込む

関連する 取締役会に欠けているもの: CISO

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation