보안 운영 독자와 보안 리더를 위해 특별히 제작된 Dark Reading의 주간 기사 요약인 CISO 코너에 오신 것을 환영합니다. 매주 우리는 뉴스 운영, The Edge, DR Technology, DR Global 및 논평 섹션에서 수집한 기사를 제공할 것입니다. 우리는 모든 형태와 규모의 조직의 리더를 위해 사이버 보안 전략 운영 작업을 지원하기 위해 다양한 관점을 제공하기 위해 최선을 다하고 있습니다.

이 문제에:

NIST 사이버보안 프레임워크 2.0: 시작하기 위한 4단계

작성자: Robert Lemos, 기고 작가, Dark Reading

NIST(국립표준기술연구소)는 모든 규모의 조직을 더욱 안전하게 보호하는 것을 목표로 하는 포괄적인 사이버 보안 프로그램 작성에 관한 책을 개정했습니다. 변경 사항을 실제로 적용하려면 여기부터 시작하세요.

이번 주에 출시된 NIST의 CSF(사이버보안 프레임워크) 최신 버전을 운영한다는 것은 사이버보안 프로그램에 중대한 변화를 의미할 수 있습니다.

예를 들어, 사이버 보안에 대한 더 큰 경영진 및 이사회 감독을 통합하는 새로운 "거버넌스" 기능이 있습니다. 중요 산업을 넘어선 최고의 보안 관행. 전체적으로 사이버 보안 팀은 자신의 작업을 분할하고 프레임워크 변경의 영향을 확인하기 위해 기존 평가, 식별된 격차 및 수정 활동을 면밀히 조사해야 합니다.

다행히 최신 버전의 NIST 사이버 보안 프레임워크 운영에 대한 팁이 앞으로 나아갈 방향을 제시하는 데 도움이 될 수 있습니다. 여기에는 모든 NIST 리소스 사용이 포함됩니다(CSF는 단순한 문서가 아니라 기업이 특정 환경 및 요구 사항에 프레임워크를 적용하는 데 사용할 수 있는 리소스 모음입니다). 최고 경영진과 함께 앉아 "통제" 기능에 대해 논의합니다. 공급망 보안을 래핑합니다. 최신 CSF를 지원하기 위해 컨설팅 서비스 및 사이버 보안 상태 관리 제품이 재평가되고 업데이트되는지 확인합니다.

더 읽기 : NIST 사이버보안 프레임워크 2.0: 시작하기 위한 4단계

관련 : 미국 정부, 소프트웨어 보안 분야의 역할 확대

Apple, Signal의 양자 저항 암호화 출시, 그러나 난제 Loom

작성자: Jai Vijayan, 기고 작가, Dark Reading

iMessage 보안을 위한 Apple의 PQ3와 Signal의 PQXH는 조직이 암호화 프로토콜을 해독하기가 기하급수적으로 어려워지는 미래를 어떻게 준비하고 있는지 보여줍니다.

양자 컴퓨터가 발전하고 공격자가 현재 가장 안전한 암호화 프로토콜도 쉽게 해독할 수 있는 방법을 제공함에 따라 조직은 이제 통신과 데이터를 보호하기 위해 움직여야 합니다.

이를 위해 iMessage 통신 보안을 위한 Apple의 새로운 PQ3 PQC(포스트 양자 암호화) 프로토콜과 Signal이 작년에 도입한 PQXDH라는 유사한 암호화 프로토콜은 양자 저항성을 갖추고 있습니다. 즉, 적어도 이론적으로는 양자 공격을 견딜 수 있습니다. 컴퓨터가 그들을 깨뜨리려고 합니다.

그러나 조직에서 PQC와 같은 것으로의 전환은 길고 복잡하며 고통스러울 것입니다. 공개 키 인프라에 크게 의존하는 현재 메커니즘은 양자 저항 알고리즘을 통합하기 위해 재평가 및 조정이 필요합니다. 그리고 포스트퀀텀 암호화로의 마이그레이션 TLS1.2에서 1.3으로, ipv4에서 v6으로, 두 작업 모두 수십 년이 걸렸던 이전 마이그레이션과 병행하여 엔터프라이즈 IT, 기술 및 보안 팀에 새로운 관리 과제 세트를 소개합니다.

더 읽기 : Apple, Signal의 양자 저항 암호화 출시, 그러나 난제 Loom

관련 : 양자 컴퓨팅이 이루어지기 전에 약한 암호화를 해독합니다

I지금은 오후 10시입니다. 오늘 밤 AI 모델이 어디에 있는지 아시나요?

Ericka Chickowski 작성, Dark Reading 작가

AI 모델 가시성과 보안이 부족하면 소프트웨어 공급망 보안 문제가 심각해집니다.

오늘날 소프트웨어 공급망 보안 문제가 충분히 어렵다고 생각했다면 안전 벨트를 매십시오. AI 사용의 폭발적인 증가로 인해 앞으로 이러한 공급망 문제를 해결하기가 기하급수적으로 어려워질 것입니다.

AI/머신 러닝 모델은 패턴을 인식하고, 예측하고, 결정을 내리고, 작업을 실행하고, 콘텐츠를 생성하는 AI 시스템 기능의 기반을 제공합니다. 그러나 진실은 대부분의 조직이 이익을 얻는 방법조차 모른다는 것입니다. 내장된 모든 AI 모델에 대한 가시성 그들의 소프트웨어에서.

부팅하자면 모델과 그 주변의 인프라는 다른 소프트웨어 구성 요소와 다르게 구축되었으며 기존 보안 및 소프트웨어 도구는 AI 모델의 작동 방식이나 결함을 스캔하거나 이해하도록 구축되지 않았습니다.

“모델은 설계상 자체 실행되는 코드 조각입니다. Protect AI의 공동 창립자인 Daryan Dehghanpisheh는 말합니다. “인프라 전체에 볼 수 없고, 식별할 수 없고, 그 안에 무엇이 포함되어 있는지, 코드가 무엇인지 알 수 없고, 자체 실행되는 자산이 있다고 말하면 그리고 외부에서 전화를 걸다니, 허가 바이러스처럼 의심스럽죠?”

더 읽기 : 오후 10시입니다. 오늘 밤 AI 모델이 어디에 있는지 아시나요?

관련 : 100가지 악성 코드 실행 모델로 가득 찬 Hugging Face AI 플랫폼

조직은 위반 사항을 공개하지 않아 SEC에 큰 처벌을 받게 됩니다.

작성자: Robert Lemos, 기고 작가

시행의 악몽이 될 수 있는 상황에서 SEC의 새로운 데이터 위반 공개 규칙을 준수하지 않는 회사는 잠재적으로 수백만 달러의 벌금, 평판 훼손, 주주 소송 및 기타 처벌을 받게 될 것입니다.

기업과 CISO는 규정을 준수하기 위해 사이버 보안 및 데이터 침해 공개 프로세스를 확보하지 못할 경우 미국 증권거래위원회(SEC)로부터 수십만 달러에서 수백만 달러에 이르는 벌금 및 기타 처벌을 받을 수 있습니다. 이제 발효된 새로운 규칙이 적용되었습니다.

SEC 규제 기관에는 권한이 있습니다. 위원회는 피고에게 사건의 핵심 행위를 중단하도록 명령하는 영구 금지 명령을 내리거나, 부당 이득에 대한 회수 명령을 내리거나, 천문학적인 벌금을 부과할 수 있는 3단계의 처벌을 강화할 수 있습니다. .

아마도 가장 걱정되는 것은 CISO는 현재 직면한 개인적인 책임입니다. 역사적으로 책임이 없었던 많은 비즈니스 운영 영역에 대해. CISO의 절반(54%)만이 SEC의 판결을 준수할 수 있는 능력이 있다고 확신했습니다.

이 모든 것은 CISO의 역할에 대한 광범위한 재검토와 기업의 추가 비용으로 이어집니다.

더 읽기 : 조직은 위반 사항을 공개하지 않아 SEC에 큰 처벌을 받게 됩니다.

관련 : 기업 및 CISO가 증가하는 법적 위협에 대해 알아야 할 사항

생체인식 규제가 과열되면서 규정 준수 문제가 예고됨

작성자: David Strom, 기고 작가, Dark Reading

생체인식을 규제하는 개인정보 보호법이 점점 더 많아지고 있는 것은 클라우드 침해와 AI가 만든 딥페이크가 증가하는 가운데 소비자를 보호하는 것을 목표로 하고 있습니다. 그러나 생체 인식 데이터를 처리하는 기업의 경우 규정을 준수하는 것이 말처럼 쉽지 않습니다.

생체인식 개인정보 보호에 대한 우려가 높아지고 있습니다. 인공지능(AI) 기반 딥페이크 위협, 기업의 생체 인식 사용 증가, 예상되는 새로운 주 차원의 개인 정보 보호 법안, 생체 인식 개인 정보 보호를 포함하는 Biden 대통령이 이번 주에 발표한 새로운 행정 명령.

즉, 기업은 생체 인식 콘텐츠를 추적하고 사용하기 위한 적절한 인프라를 구축하기 위해 보다 미래지향적으로 위험을 예측하고 이해해야 합니다. 그리고 전국적으로 사업을 하는 기업은 소비자 동의를 얻는 방법이나 소비자가 해당 데이터의 사용을 제한하도록 허용하는 방법을 이해하고 규정의 다양한 세부 사항과 일치하는지 확인하는 것을 포함하여 일련의 규정을 준수하는지 확인하기 위해 데이터 보호 절차를 감사해야 합니다.

더 읽기 : 생체인식 규제가 과열되면서 규정 준수 문제가 예고됨

관련 : 사용 사례에 가장 적합한 생체 인식 인증 선택

DR Global: '환상적인' 이란 해킹 그룹이 이스라엘, UAE 항공우주 및 방위 기업을 함정에 빠뜨렸습니다.

작성자: Robert Lemos, 기고 작가, Dark Reading

Smoke Sandstorm 및 Tortoiseshell로도 알려진 UNC1549는 각 대상 조직에 맞게 맞춤화된 사이버 공격 캠페인의 주범인 것으로 보입니다.

Smoke Sandstorm 및 Tortoiseshell로도 알려진 이란 위협 그룹 UNC1549는 항공우주 및 이스라엘의 방산업체, 아랍에미리트 및 중동 지역의 기타 국가.

특히 고용 중심의 맞춤형 스피어 피싱과 명령 및 제어를 위한 클라우드 인프라 사용 사이에서 공격을 탐지하기 어려울 수 있다고 Google Cloud Mandiant의 수석 분석가인 Jonathan Leathery는 말합니다.

"가장 주목할만한 부분은 이 위협이 얼마나 발견하고 추적할 수 있는지에 대한 것입니다. 그들은 확실히 중요한 리소스에 접근할 수 있고 표적을 선택적으로 선택할 수 있습니다."라고 그는 말했습니다. "아직 발견되지 않은 이 공격자의 활동이 더 많을 가능성이 높으며, 목표물을 침해한 후 어떻게 작동하는지에 대한 정보는 훨씬 더 적습니다."

더 읽기 : '일루시브' 이란 해킹 그룹, 이스라엘, UAE 항공우주 및 방위 기업을 함정에 빠뜨림

관련 : 중국, 산업용 네트워크를 위한 새로운 사이버 방어 계획 개시

MITRE, 마이크로프로세서 보안 버그를 위한 4가지 새로운 CWE 출시

작성자: Jai Vijayan, 기고 작가, Dark Reading

목표는 반도체 분야의 칩 설계자와 보안 실무자가 Meltdown 및 Spectre와 같은 주요 마이크로프로세서 결함에 대해 더 잘 이해할 수 있도록 하는 것입니다.

CPU 리소스를 표적으로 삼는 부채널 악용 사례가 증가함에 따라 MITRE 주도의 CWE(Common Weakness Enumeration) 프로그램은 일반적인 소프트웨어 및 하드웨어 취약성 유형 목록에 4가지 새로운 마이크로프로세서 관련 약점을 추가했습니다.

CWE는 Intel, AMD, Arm, Riscure 및 Cycuity 간의 공동 노력의 결과이며 반도체 분야의 프로세서 설계자와 보안 실무자에게 최신 마이크로프로세서 아키텍처의 약점을 논의할 수 있는 공통 언어를 제공합니다.

1420개의 새로운 CWE는 CWE-1421, CWE-1422, CWE-1423 및 CWE-XNUMX입니다.

CWE-1420은 일시적 또는 예측 실행 중 민감한 정보의 노출과 관련이 있습니다. 붕괴와 유령 — 그리고 다른 세 CWE의 "상위"입니다.

CWE-1421은 임시 실행 중 공유 마이크로아키텍처 구조의 민감한 정보 유출과 관련이 있습니다. CWE-1422는 임시 실행 중 잘못된 데이터 전달과 관련된 데이터 유출을 해결합니다. CWE-1423은 마이크로프로세서 내의 특정 내부 상태와 관련된 데이터 노출을 조사합니다.

더 읽기 : MITRE, 마이크로프로세서 보안 버그를 위한 4가지 새로운 CWE 출시

관련 : MITRE, 공급망 보안 프로토타입 출시

주 개인 정보 보호법 융합 및 새로운 AI 과제

GuidePoint 보안의 데이터 개인 정보 보호 부문 수석 보안 컨설턴트 Jason Eddinger의 해설

이제는 기업이 무엇을 처리하고 있는지, 어떤 위험 유형이 있는지, 그리고 해당 위험을 어떻게 완화할 계획인지 살펴봐야 할 때입니다.

미국의 2023개 주에서는 2024년에 데이터 개인정보 보호법을 통과시켰고, XNUMX년에는 XNUMX개 주에서 법률이 시행될 예정이므로 기업은 가만히 앉아 처리 중인 데이터, 보유한 위험 유형, 이를 관리하는 방법을 자세히 살펴봐야 합니다. 위험과 그들이 식별한 위험을 완화하기 위한 계획. AI의 채택은 이를 더욱 어렵게 만들 것입니다.

기업이 이러한 모든 새로운 규정을 준수하기 위한 전략을 세울 때 이러한 법률이 여러 측면에서 일치하지만 국가별 미묘한 차이도 있다는 점은 주목할 가치가 있습니다.

기업은 많은 것을 볼 것으로 예상해야합니다 새로운 데이터 개인 정보 보호 동향 올해에는 다음을 포함합니다:

더 읽기 : 주 개인 정보 보호법과 새로운 AI 과제의 융합

관련 : 개인 정보 보호가 랜섬웨어를 제치고 최고의 보험 문제로 떠오름

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok