Welkom bij CISO Corner, de wekelijkse samenvatting van artikelen van Dark Reading die specifiek zijn afgestemd op lezers en leiders op het gebied van beveiligingsoperaties. Elke week bieden we artikelen aan die zijn verzameld uit onze nieuwsafdeling, The Edge, DR Technology, DR Global en onze commentaarsectie. We streven ernaar u een gevarieerde reeks perspectieven te bieden ter ondersteuning van de taak van het operationeel maken van cyberbeveiligingsstrategieën, voor leiders bij organisaties in alle soorten en maten.

In dit nummer van CISO Corner:

Bedrijven met cybergovernance creëren bijna 4x meer waarde

Door David Strom, bijdragende schrijver, Dark Reading

Degenen met speciale commissies met daarin een cyberexpert in plaats van te vertrouwen op het voltallige bestuur, zullen eerder de veiligheid en financiële prestaties verbeteren.

Bedrijven die de moeite hebben genomen om de richtlijnen voor een beter cyberbeveiligingsbeheer te volgen, creëerden bijna vier keer hun aandeelhouderswaarde vergeleken met bedrijven die dat niet hebben gedaan.

Dat is de conclusie van een nieuw onderzoek dat gezamenlijk werd uitgevoerd door Bitsight en het Diligent Institute, waarbij de expertise op het gebied van cyberbeveiliging werd gemeten over 23 verschillende risicofactoren, zoals de aanwezigheid van botnetinfecties, servers die malware hosten, verouderde encryptiecertificaten voor web- en e-mailcommunicatie en open netwerkpoorten op openbare servers.

Uit het rapport blijkt ook dat het hebben van afzonderlijke bestuurscommissies die zich richten op gespecialiseerde risico- en auditcompliance de beste resultaten oplevert. “Besturen die cybertoezicht uitoefenen via gespecialiseerde commissies met een lid van een cyberexpert, in plaats van te vertrouwen op het voltallige bestuur, zullen eerder hun algehele beveiligingshouding en financiële prestaties verbeteren”, is het daarmee eens Ladi Adefala, een cybersecurityconsultant en CEO van Omega315.

Lees verder: Bedrijven met cybergovernance creëren bijna 4x meer waarde

Zie ook: Met TikTok-verboden is nu de tijd voor operationeel bestuur

Zelfs cyberprofessionals worden opgelicht: in een real-life visaanval

Door Elizabeth Montalbano, bijdragende schrijver, Dark Reading

Succesvolle aanvallers richten zich op de psychologische manipulatie van menselijke emoties. Daarom kan iedereen, zelfs een cyberprofessional of technisch onderlegd persoon, het slachtoffer worden.

Het begon met een telefoontje op dinsdag rond 10 uur vanaf een onbekend mobiel nummer. Ik zat thuis op mijn computer te werken en beantwoord meestal geen telefoontjes van mensen die ik niet ken. Om de een of andere reden besloot ik te stoppen met waar ik mee bezig was en dat telefoontje aan te nemen.

Dat was mijn eerste fout in een reeks van verschillende fouten die ik de komende vier uur zou maken, waarin ik de fout maakte slachtoffer van een vishing- of voice-phishing-campagne. Tegen het einde van de beproeving had ik bijna € 5,000 aan geld van mijn bankrekening en in Bitcoin naar de oplichters overgemaakt. Mijn bank kon de meeste overboekingen annuleren; Ik verloor echter € 1,000,- die ik naar de Bitcoin-portemonnee van de aanvallers had gestuurd.

Deskundigen zeggen dat het niet uitmaakt hoeveel expertise je hebt in het kennen van de tactieken die aanvallers gebruiken of in het herkennen van oplichting. De sleutel tot het succes van de aanvallers is iets dat ouder is dan technologie, omdat het ligt in het manipuleren van datgene wat ons menselijk maakt: onze emoties.

Lees verder: Neem de telefoon niet op: in een echte visaanval

Zie ook: Noord-Koreaanse hackers richten zich opnieuw op beveiligingsonderzoekers

Het beperken van risico's van derden vereist een gezamenlijke, grondige aanpak

Commentaar door Matt Mettenheimer, Associate Director van Cyber ​​Advisory, Cybersecurity Practice, S-RM

Dit probleem kan lastig lijken, maar de meeste organisaties beschikken over meer keuzevrijheid en flexibiliteit om met risico's van derden om te gaan dan ze denken.

Risico's van derden vormen een unieke uitdaging voor organisaties. Op het eerste gezicht kan een derde partij betrouwbaar overkomen. Maar hoe kan een organisatie, zonder volledige transparantie in de interne werking van die externe leverancier, ervoor zorgen dat de gegevens die aan hen worden toevertrouwd, veilig zijn?

Vaak bagatelliseren organisaties deze prangende vraag, vanwege de langdurige relaties die zij hebben met hun externe leveranciers. Maar de opkomst van vierde- en zelfs vijfde-partijleveranciers zou organisaties ertoe moeten aanzetten hun externe gegevens te beveiligen. Aan het doen passende due security diligence bij een externe leverancier moet nu onder meer uitwijzen of de derde partij particuliere klantgegevens uitbesteedt aan meer downstream-partijen, wat ze waarschijnlijk zullen doen, dankzij de alomtegenwoordigheid van SaaS-diensten.

Gelukkig zijn er vijf eenvoudige kant-en-klare stappen die organisaties een startplan bieden om risico's van derden met succes te beperken.

Lees verder: Het beperken van risico's van derden vereist een gezamenlijke, grondige aanpak

Zie ook: Cl0p claimt de MOVEit-aanval; Hier is hoe de bende het deed

Australische regering verdubbelt cyberbeveiliging na grote aanvallen

Door John Leyden, bijdragende schrijver, Dark Reading Global

De overheid stelt modernere en uitgebreidere cyberbeveiligingsregels voor voor bedrijven, de overheid en aanbieders van kritieke infrastructuur Down Under.

Zwakke punten in de Australische responscapaciteiten op het gebied van cyberincidenten werden in september 2022 blootgelegd cyberaanval op telecommunicatieaanbieder Optus, in oktober gevolgd door een ransomware-aanval op zorgverzekeraar Medibank.

Als gevolg hiervan werkt de Australische regering plannen uit om de wet- en regelgeving op het gebied van cyberbeveiliging te herzien, met een aangekondigde strategie om het land tegen 2030 als wereldleider op het gebied van cyberbeveiliging te positioneren.

Naast het aanpakken van lacunes in de bestaande wetten op het gebied van cybercriminaliteit, hopen de Australische wetgevers de Security of Critical Infrastructure (SOCI) Act 2018 van het land te wijzigen om meer nadruk te leggen op het voorkomen van bedreigingen, het delen van informatie en de respons op cyberincidenten.

Lees verder: Australische regering verdubbelt cyberbeveiliging na grote aanvallen

Zie ook: Australische havens hervatten hun activiteiten na een verlammende cyberverstoring

Een CISO-gids voor materialiteit en risicobepaling

Commentaar door Peter Dyson, hoofd Data Analytics, Kovrr

Voor veel CISO’s blijft ‘materialiteit’ een dubbelzinnige term. Toch moeten ze de materialiteit en risico’s met hun bestuur kunnen bespreken.

De SEC eist nu dat overheidsbedrijven dat doen beoordelen of cyberincidenten ‘materieel’ zijn, als drempel voor het melden ervan. Maar voor veel CISO's blijft materialiteit een dubbelzinnige term, open voor interpretatie op basis van de unieke cyberbeveiligingsomgeving van een organisatie.

De kern van de verwarring rond materialiteit is het bepalen van wat een ‘materieel verlies’ inhoudt. Sommigen zijn van mening dat de materialiteit 0.01% van de omzet van het voorgaande jaar beïnvloedt, wat neerkomt op ongeveer één basispunt van de omzet (wat neerkomt op één uur omzet voor Fortune 1000-bedrijven).

Door verschillende drempels te testen aan de hand van branchebenchmarks kunnen organisaties een beter inzicht krijgen in hun kwetsbaarheid voor materiële cyberaanvallen.

Lees verder: Een CISO-gids voor materialiteit en risicobepaling

Zie ook: Prudential Files Vrijwillige inbreukmelding bij de SEC

Zero-Day Bonanza zorgt voor meer exploits tegen ondernemingen

Door Becky Bracken, hoofdredacteur, Dark Reading

Geavanceerde tegenstanders richten zich steeds meer op bedrijfstechnologieën en hun leveranciers, terwijl eindgebruikersplatforms erin slagen zero-day exploits te onderdrukken met investeringen in cyberbeveiliging, aldus Google.

In 50 werden er 2023% meer zero-day-kwetsbaarheden in het wild uitgebuit dan in 2022. Vooral ondernemingen worden zwaar getroffen.

Volgens onderzoek van Mandiant en Google Threat Analysis Group (TAG) profiteren geavanceerde, door de natiestaat gesteunde tegenstanders van een uitgestrekt aanvalsoppervlak van ondernemingen. Voetafdrukken die bestaan ​​uit software van meerdere leveranciers, componenten van derden en uitgestrekte bibliotheken bieden een rijk jachtgebied voor mensen met de mogelijkheid om zero-day exploits te ontwikkelen.

Cybercriminaliteitsgroepen hebben zich vooral gericht op beveiligingssoftware, waaronder Barracuda e-mailbeveiligingsgateway; Cisco Adaptive Security-apparaat; Ivanti Endpoint Manager, mobiel en Sentry; en Trend Micro Apex One, aldus het onderzoek.

Lees verder: Zero-Day Bonanza zorgt voor meer exploits tegen ondernemingen

Zie ook: Aanvallers maken misbruik van Microsoft Security en omzeilen Zero-Day Bugs

Beveiligingsherstel op de agenda van de bestuurskamer plaatsen

Commentaar door Matt Middleton-Leal, Managing Director voor EMEA Noord, Qualys

IT-teams kunnen kritiek beter weerstaan ​​door hun bestuur te helpen risico's te begrijpen en te begrijpen hoe deze kunnen worden opgelost, en door hun langetermijnvisie op risicobeheer uit te leggen.

CEO's uit het verleden hebben misschien geen slaap verloren over de manier waarop hun beveiligingsteam specifieke CVE's benadert, maar wel met CVE's voor gevaarlijke bugs zoals Apache Log4j Omdat het bij veel organisaties nog steeds niet is opgelost, staat het herstel van de beveiliging nu breder op de agenda. Dat betekent dat steeds meer beveiligingsleiders worden gevraagd om inzicht te geven in hoe goed zij risico’s beheersen vanuit een zakelijk perspectief.

Dit leidt tot lastige vragen, vooral rond budgetten en hoe deze worden gebruikt.

De meeste CISO's zijn geneigd om informatie te gebruiken rond de kernprincipes van IT-beveiliging (het aantal gestopte problemen, geïmplementeerde updates, opgeloste kritieke problemen), maar zonder vergelijking met andere bedrijfsrisico's en -problemen kan het moeilijk zijn om de aandacht vast te houden en aan te tonen dat een CISO resultaten levert. .

Om deze problemen te overwinnen, moeten we vergelijkingen en contextgegevens gebruiken om een ​​verhaal over risico's te vertellen. Het geven van basiscijfers over het aantal geïmplementeerde patches beschrijft niet de enorme hoeveelheid moeite die is gestoken in het oplossen van een kritiek probleem dat een inkomstengenererende applicatie in gevaar bracht. Het laat ook niet zien hoe jouw team presteert ten opzichte van anderen. In wezen wilt u laten zien hoe goed het bestuur eruitziet en hoe u het in de loop van de tijd blijft presteren.

Lees verder: Beveiligingsherstel op de agenda van de bestuurskamer plaatsen

Zie ook: Wat de bestuurskamer mist: CISO's

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation