보안 운영 독자와 보안 리더를 위해 특별히 제작된 Dark Reading의 주간 기사 요약인 CISO 코너에 오신 것을 환영합니다. 매주 우리는 뉴스 운영, The Edge, DR Technology, DR Global 및 논평 섹션에서 수집한 기사를 제공합니다. 우리는 모든 형태와 규모의 조직의 리더를 위해 사이버 보안 전략 운영 작업을 지원하기 위해 다양한 관점을 제공하기 위해 최선을 다하고 있습니다.

이번 호 CISO 코너에서는:

사이버 거버넌스를 갖춘 기업은 거의 4배 더 많은 가치를 창출합니다.

작성자: David Strom, 기고 작가, Dark Reading

전체 이사회에 의존하기보다는 사이버 전문가를 포함하는 특별 위원회를 갖춘 조직은 보안 및 재무 성과를 향상시킬 가능성이 더 높습니다.

더 나은 사이버 보안 거버넌스를 위한 지침을 따르기 위해 노력한 기업은 그렇지 않은 기업에 비해 주주 가치가 거의 4배나 증가했습니다.

이는 Bitsight와 Diligent Institute가 공동으로 실시한 새로운 설문조사의 결론입니다. 이 조사에서는 다음과 같은 23가지 위험 요소에 대한 사이버 보안 전문성을 측정했습니다. 봇넷 감염 존재, 맬웨어를 호스팅하는 서버, 웹 및 이메일 통신을 위한 오래된 암호화 인증서, 공개 서버의 개방형 네트워크 포트 등이 있습니다.

보고서는 또한 전문적인 위험 및 감사 준수에 초점을 맞춘 별도의 이사회 위원회를 구성하는 것이 최상의 결과를 가져온다는 사실을 발견했습니다. 사이버 보안 컨설턴트이자 Omega315의 CEO인 Ladi Adefala는 "이사회 전체에 의존하는 대신 사이버 전문가 구성원이 포함된 전문 ​​위원회를 통해 사이버 감독을 수행하는 이사회는 전반적인 보안 태세와 재무 성과를 개선할 가능성이 더 높습니다."라고 동의합니다.

더 읽기 : 사이버 거버넌스를 갖춘 기업은 거의 4배 더 많은 가치를 창출합니다.

관련 : TikTok 금지로 운영 거버넌스의 시간은 지금입니다

사이버 전문가도 사기 당함: 실제 Vishing 공격 내부

작성자: Elizabeth Montalbano, 기고 작가, Dark Reading

성공적인 공격자는 인간 감정을 심리적으로 조작하는 데 중점을 두고 있기 때문에 사이버 전문가나 기술에 능숙한 사람이라도 누구나 피해자가 될 수 있습니다.

사건은 화요일 오전 10시 30분쯤 알 수 없는 휴대폰 번호로 걸려온 전화로부터 시작됐다. 나는 집에서 컴퓨터 작업을 하고 있었고, 대개 모르는 사람의 전화를 받지 않았습니다. 어떤 이유에서인지 나는 하던 일을 멈추고 그 전화를 받기로 결정했습니다.

그것은 내가 앞으로 4시간 동안 저지르게 될 일련의 실수 중 첫 번째 실수였습니다. 비싱 또는 보이스 피싱 캠페인의 피해자. 시련이 끝날 무렵 저는 은행 계좌와 비트코인에서 거의 €5,000의 자금을 사기꾼에게 이체했습니다. 우리 은행은 대부분의 이체를 취소할 수 있었습니다. 그러나 나는 공격자의 비트코인 ​​지갑으로 보낸 1,000유로를 잃었습니다.

전문가들은 공격자가 사기를 발견하기 위해 사용하거나 경험한 전술을 아는 데 얼마나 많은 전문 지식을 갖고 있는지는 중요하지 않다고 말합니다. 공격자들의 성공의 열쇠는 기술보다 오래된 것입니다. 왜냐하면 그것은 우리를 인간으로 만드는 바로 그 것, 즉 감정을 조작하는 데 있기 때문입니다.

더 읽기 : 전화를 받지 마세요: 실제 Vishing 공격 내부

관련 : 북한 해커들이 보안 연구원들을 표적으로 삼았습니다 — 또다시

제3자 위험을 완화하려면 협력적이고 철저한 접근 방식이 필요합니다.

S-RM 사이버 보안 실무 부문 사이버 자문 부국장 Matt Mettenheimer의 논평

문제가 어려워 보일 수 있지만 대부분의 조직은 생각보다 타사 위험을 처리할 수 있는 주체성과 유연성이 더 높습니다.

제3자 위험은 조직에 고유한 과제를 제시합니다. 표면적으로는 제3자가 신뢰할 만한 것처럼 보일 수 있습니다. 하지만 해당 제3자 공급업체의 내부 작업에 대한 완전한 투명성 없이 조직이 자신에게 맡겨진 데이터의 보안을 어떻게 보장할 수 있습니까?

종종 조직에서는 타사 공급업체와 오랫동안 유지해 온 관계로 인해 이 긴급한 질문을 경시합니다. 그러나 제4자, 심지어 제5자 공급업체의 출현으로 인해 조직은 외부 데이터를 보호하도록 장려해야 합니다. 행위 제3자 공급업체에 대한 적절한 보안 실사 이제 제3자가 개인 클라이언트 데이터를 더 많은 다운스트림 당사자에게 아웃소싱하는지 여부를 알아내는 것이 포함되어야 하며, 이는 SaaS 서비스의 보편성 덕분에 그렇게 될 가능성이 높습니다.

다행스럽게도 조직이 타사 위험을 성공적으로 완화할 수 있는 시작 로드맵을 제공하는 5가지 간단한 기본 단계가 있습니다.

더 읽기 : 제3자 위험을 완화하려면 협력적이고 철저한 접근 방식이 필요합니다.

관련 : Cl0p는 MOVEit 공격을 주장합니다. 갱단이 한 일

호주 정부, 주요 공격으로 인해 사이버 보안 강화

작성자: John Leyden, 기고 작가, Dark Reading Global

정부는 기업, 정부 및 중요 인프라 제공업체 Down Under를 위해 보다 현대적이고 포괄적인 사이버 보안 규정을 제안합니다.

2022년 XNUMX월 호주 사이버 사고 대응 역량의 약점이 드러났습니다. 통신사 옵터스(Optus)에 대한 사이버 공격, 10월에는 건강 보험 제공업체인 Medibank에 대한 랜섬웨어 기반 공격이 이어졌습니다.

이에 따라 호주 정부는 2030년까지 호주를 사이버 보안 분야의 세계적 리더로 자리매김하겠다는 전략을 선포하고 사이버 보안 법률 및 규정을 개정할 계획을 세우고 있습니다.

호주 입법자들은 기존 사이버 범죄법의 격차를 해소할 뿐만 아니라 위협 방지, 정보 공유 및 사이버 사고 대응에 더 중점을 두도록 국가의 중요 인프라 보안(SOCI)법 2018을 개정하기를 희망합니다.

더 읽기 : 호주 정부는 주요 공격으로 인해 사이버 보안을 두 배로 강화했습니다.

관련 : 호주 항구, 사이버 혼란을 겪은 후 운영 재개

중요성 및 위험 결정에 대한 CISO 가이드

Kovrr의 데이터 분석 책임자인 Peter Dyson의 논평

많은 CISO에게 "중요성"은 여전히 ​​모호한 용어입니다. 그럼에도 불구하고 그들은 이사회와 함께 중요성과 위험에 대해 논의할 수 있어야 합니다.

SEC는 이제 공개 기업에 다음을 요구합니다. 사이버 사고가 "중요한"지 여부를 평가합니다. 이를 신고할 수 있는 기준으로 삼습니다. 그러나 많은 CISO에게 중요성은 조직의 고유한 사이버 보안 환경에 따라 해석이 가능한 모호한 용어로 남아 있습니다.

중요성을 둘러싼 혼란의 핵심은 무엇이 "물질적 손실"을 구성하는지 결정하는 것입니다. 일부에서는 중요성이 전년도 수익의 0.01%에 영향을 미치는 것으로 간주하며 이는 대략 수익의 1000bp(Fortune XNUMX 기업의 경우 XNUMX시간 수익에 해당)에 해당합니다.

업계 벤치마크에 대해 다양한 임계값을 테스트함으로써 조직은 중대한 사이버 공격에 대한 취약성을 더 명확하게 이해할 수 있습니다.

더 읽기 : 중요성 및 위험 결정에 대한 CISO 가이드

관련 : Prudential은 SEC에 자발적 위반 통지서를 제출했습니다.

제로데이 보난자(Zero-Day Bonanza)로 기업에 대한 공격 증가

작성자: Becky Bracken, Dark Reading 수석 편집자

Google에 따르면, 지능형 공격자들은 점점 더 기업 기술과 해당 공급업체에 집중하고 있으며, 최종 사용자 플랫폼은 사이버 보안 투자를 통해 제로데이 공격을 억제하는 데 성공하고 있습니다.

50년에 비해 2023년에는 실제 환경에서 악용된 제로데이 취약점이 2022% 더 많았습니다. 기업은 특히 큰 타격을 받고 있습니다.

Mandiant와 Google Threat Analysis Group(TAG) 연구에 따르면 국가의 지원을 받는 교묘한 공격자들은 기업의 광범위한 공격 표면을 이용하고 있습니다. 여러 공급업체의 소프트웨어, 타사 구성 요소, 방대한 라이브러리로 구성된 공간은 제로데이 공격을 개발할 수 있는 능력을 갖춘 사람들에게 풍부한 사냥터를 제공합니다.

사이버 범죄 그룹은 특히 다음과 같은 보안 소프트웨어에 중점을 두고 있습니다. 바라쿠다 이메일 보안 게이트웨이; Cisco 적응형 보안 어플라이언스; Ivanti Endpoint Manager, 모바일 및 Sentry; 그리고 Trend Micro Apex One이 추가되었습니다.

더 읽기 : 제로데이 보난자(Zero-Day Bonanza)로 기업에 대한 공격 증가

관련 : 공격자들은 Microsoft 보안 우회 제로데이 버그를 악용합니다.

이사회 안건에 대한 보안 문제 해결

Matt Middleton-Leal, Qualys EMEA North 상무 이사의 논평

IT 팀은 이사회가 위험과 그 해결 방법을 이해하도록 돕고 위험 관리에 대한 장기 비전을 설명함으로써 조사를 더 잘 견딜 수 있습니다.

과거의 CEO들은 보안 팀이 특정 CVE에 어떻게 접근하고 있는지에 대해 잠을 이루지 못했을 것입니다. Apache Log4j와 같은 위험한 버그에 대한 CVE 많은 조직에서 아직 패치가 적용되지 않은 상태로 남아 있는 보안 문제 해결은 이제 더욱 광범위하게 논의되고 있습니다. 이는 더 많은 보안 리더들이 비즈니스 관점에서 위험을 얼마나 잘 관리하고 있는지에 대한 통찰력을 제공하도록 요청받고 있음을 의미합니다.

이는 특히 예산과 예산 사용 방법에 관한 어려운 질문으로 이어집니다.

대부분의 CISO는 IT 보안 핵심 원칙(중단된 문제 수, 배포된 업데이트, 해결된 중요한 문제 수)과 관련된 정보를 사용하고 싶어하지만 다른 비즈니스 위험 및 문제와 비교하지 않고 계속 관심을 갖고 CISO가 제공하고 있음을 입증하는 것은 어려울 수 있습니다. .

이러한 문제를 극복하려면 비교 및 ​​컨텍스트 데이터를 사용하여 위험에 대한 이야기를 전달해야 합니다. 배포된 패치 수에 대한 기본 수치를 제공한다고 해서 수익 창출 애플리케이션을 위태롭게 하는 중요한 문제를 해결하는 데 들인 막대한 노력을 설명할 수는 없습니다. 또한 귀하의 팀이 다른 팀과 어떻게 비교되는지 보여주지 않습니다. 본질적으로, 당신은 이사회에 어떤 좋은 모습이 있는지, 그리고 시간이 지남에 따라 어떻게 계속해서 제공할 수 있는지 보여주고 싶습니다.

더 읽기 : 이사회 안건에 대한 보안 문제 해결

관련 : 이사회에 부족한 것: CISO

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation