Welkom bij CISO Corner, de wekelijkse samenvatting van artikelen van Dark Reading die specifiek zijn afgestemd op lezers en leiders op het gebied van beveiligingsoperaties. Elke week bieden we artikelen aan die zijn verzameld uit onze nieuwsafdeling, The Edge, DR Technology, DR Global en onze commentaarsectie. We streven ernaar u een gevarieerde reeks perspectieven te bieden ter ondersteuning van de taak van het operationeel maken van cyberbeveiligingsstrategieën, voor leiders bij organisaties in alle soorten en maten.

In deze uitgave:

NIST Cybersecurity Framework 2.0: 4 stappen om aan de slag te gaan

Door Robert Lemos, bijdragende schrijver, Dark Reading

Het National Institute of Standards and Technology (NIST) heeft het boek over het creëren van een alomvattend cyberbeveiligingsprogramma herzien dat tot doel heeft organisaties van elke omvang te helpen veiliger te zijn. Hier leest u waar u kunt beginnen met het implementeren van de wijzigingen.

Het operationeel maken van de nieuwste versie van NIST's Cybersecurity Framework (CSF), die deze week is uitgebracht, zou aanzienlijke veranderingen in cyberbeveiligingsprogramma's kunnen betekenen.

Er is bijvoorbeeld een gloednieuwe “regeringsfunctie” die meer toezicht van de uitvoerende en bestuursorganen op cyberbeveiliging omvat, en deze breidt de beste beveiligingspraktijken die verder gaan dan alleen die voor kritieke industrieën. Al met al zullen de cyberbeveiligingsteams werk voor zich hebben en zullen ze goed moeten kijken naar bestaande beoordelingen, geïdentificeerde hiaten en herstelactiviteiten om de impact van de raamwerkwijzigingen te bepalen.

Gelukkig kunnen onze tips voor het operationeel maken van de nieuwste versie van het NIST Cybersecurity Framework de weg vooruit wijzen. Ze omvatten het gebruik van alle NIST-bronnen (het CSF is niet alleen een document, maar een verzameling bronnen die bedrijven kunnen gebruiken om het raamwerk toe te passen op hun specifieke omgeving en vereisten); om tafel zitten met de C-suite om de ‘regeringsfunctie’ te bespreken; verpakking met beveiliging van de toeleveringsketen; en bevestigt dat adviesdiensten en producten voor cyberbeveiligingshoudingsbeheer opnieuw worden geëvalueerd en bijgewerkt om de nieuwste CSF te ondersteunen.

Lees verder: NIST Cybersecurity Framework 2.0: 4 stappen om aan de slag te gaan

Zie ook: Amerikaanse overheid breidt rol in softwarebeveiliging uit

Apple, Signal debuteert met kwantumbestendige encryptie, maar er liggen uitdagingen op de loer

Door Jai Vijayan, bijdragende schrijver, Dark Reading

Apple's PQ3 voor het beveiligen van iMessage en Signal's PQXH laten zien hoe organisaties zich voorbereiden op een toekomst waarin encryptieprotocollen exponentieel moeilijker te kraken moeten zijn.

Nu kwantumcomputers volwassener worden en tegenstanders een triviaal gemakkelijke manier bieden om zelfs de veiligste huidige encryptieprotocollen open te breken, moeten organisaties nu actie ondernemen om communicatie en gegevens te beschermen.

Daartoe zijn het nieuwe PQ3 post-kwantumcryptografische (PQC)-protocol van Apple voor het beveiligen van iMessage-communicatie, en een soortgelijk encryptieprotocol dat Signal vorig jaar introduceerde, genaamd PQXDH, kwantumbestendig, wat betekent dat ze – in theorie tenminste – aanvallen van kwantumcomputers kunnen weerstaan. computers die ze proberen te breken.

Maar voor organisaties zal de verschuiving naar zaken als PQC lang, ingewikkeld en waarschijnlijk pijnlijk zijn. De huidige mechanismen die sterk afhankelijk zijn van publieke sleutelinfrastructuren zullen herevaluatie en aanpassing vereisen om kwantumbestendige algoritmen te integreren. En de migratie naar post-kwantum-encryptie introduceert een nieuwe reeks beheeruitdagingen voor zakelijke IT-, technologie- en beveiligingsteams die parallel lopen aan eerdere migraties, zoals van TLS1.2 naar 1.3 en ipv4 naar v6, die beide tientallen jaren hebben geduurd.

Lees verder: Apple, Signal debuteert met kwantumbestendige encryptie, maar er liggen uitdagingen op de loer

Zie ook: Zwakke cryptografie kraken voordat kwantumcomputing dat doet

IHet is 10 uur. Weet u waar uw AI-modellen vanavond zijn?

Door Ericka Chickowski, bijdragende schrijver, Dark Reading

Een gebrek aan zichtbaarheid en beveiliging van het AI-model zorgt ervoor dat het beveiligingsprobleem van de softwaretoeleveringsketen op steroïden komt te staan.

Als u dacht dat het beveiligingsprobleem van de softwaretoeleveringsketen vandaag de dag al moeilijk genoeg was, maak dan uw gordel vast. De explosieve groei van het gebruik van AI zal het de komende jaren exponentieel moeilijker maken om met deze supply chain-problemen om te gaan.

AI/machine learning-modellen vormen de basis voor het vermogen van een AI-systeem om patronen te herkennen, voorspellingen te doen, beslissingen te nemen, acties te activeren of inhoud te creëren. Maar de waarheid is dat de meeste organisaties niet eens weten hoe ze überhaupt winst moeten maken inzicht in alle ingebedde AI-modellen in hun programmatuur.

Bovendien zijn modellen en de infrastructuur eromheen anders gebouwd dan andere softwarecomponenten en zijn traditionele beveiligings- en softwaretools niet gebouwd om te scannen of te begrijpen hoe AI-modellen werken of hoe gebrekkig ze zijn.

“Een model is van nature een zichzelf uitvoerend stukje code. Het heeft een zekere mate van keuzevrijheid”, zegt Daryan Dehghanpisheh, medeoprichter van Protect AI. “Als ik je zou vertellen dat je overal in je infrastructuur assets hebt die je niet kunt zien, die je niet kunt identificeren, je weet niet wat ze bevatten, je weet niet wat de code is, en ze voeren zichzelf uit en externe gesprekken voeren, dat klinkt verdacht veel als een toestemmingsvirus, nietwaar?'

Lees verder: Het is 10 uur. Weet u waar uw AI-modellen vanavond zijn?

Zie ook: Hugging Face AI-platform vol met 100 kwaadaardige code-uitvoeringsmodellen

Organisaties worden geconfronteerd met zware SEC-boetes voor het niet openbaar maken van inbreuken

Door Robert Lemos, bijdragende schrijver

In wat een handhavingsnachtmerrie zou kunnen zijn, staan ​​potentieel miljoenen dollars aan boetes, reputatieschade, aandeelhoudersrechtszaken en andere straffen te wachten op bedrijven die zich niet houden aan de nieuwe regels voor het vrijgeven van datalekken van de SEC.

Bedrijven en hun CISO's kunnen te maken krijgen met honderdduizenden tot miljoenen dollars aan boetes en andere straffen van de Amerikaanse Securities and Exchange Commission (SEC), als ze hun processen voor het vrijgeven van cyberbeveiliging en datalekken niet op orde krijgen. met de nieuwe regels die nu van kracht zijn.

De SEC-regels hebben tanden: de commissie kan een permanent bevel uitvaardigen waarin de gedaagde wordt gelast het gedrag dat centraal staat in de zaak te staken, de terugbetaling van onrechtmatig verkregen winsten te gelasten, of drie niveaus van escalerende straffen uit te voeren die kunnen resulteren in astronomische boetes. .

Misschien wel het meest zorgelijk voor CISO's zijn de persoonlijke aansprakelijkheid waarmee ze nu worden geconfronteerd voor veel gebieden van de bedrijfsvoering waarvoor zij historisch gezien geen verantwoordelijkheid droegen. Slechts de helft van de CISO's (54%) heeft vertrouwen in hun vermogen om de uitspraak van de SEC na te leven.

Dit alles leidt tot een brede heroverweging van de rol van de CISO en tot extra kosten voor bedrijven.

Lees verder: Organisaties worden geconfronteerd met zware SEC-boetes voor het niet openbaar maken van inbreuken

Zie ook: Wat bedrijven en CISO's moeten weten over de toenemende juridische bedreigingen

De regelgeving op het gebied van biometrie wordt steeds heftiger, met als gevolg dat er kopzorgen ontstaan ​​over naleving

Door David Strom, bijdragende schrijver, Dark Reading

Een groeiend struikgewas aan privacywetten die biometrie reguleren, is gericht op het beschermen van consumenten te midden van toenemende inbreuken op de cloud en door AI gecreëerde deepfakes. Maar voor bedrijven die biometrische gegevens verwerken, is het gemakkelijker gezegd dan gedaan om aan de regelgeving te blijven voldoen.

De zorgen over biometrische privacy nemen toe, dankzij de toename op kunstmatige intelligentie (AI) gebaseerde deepfake-bedreigingen, het toenemende biometrische gebruik door bedrijven, de verwachte nieuwe privacywetgeving op staatsniveau en een nieuw uitvoerend bevel dat deze week door president Biden is uitgevaardigd en dat biometrische privacybescherming omvat.

Dat betekent dat bedrijven meer toekomstgericht moeten zijn en moeten anticiperen en de risico's moeten begrijpen om de juiste infrastructuur op te bouwen om biometrische inhoud te volgen en te gebruiken. En degenen die op nationaal niveau zaken doen, zullen hun gegevensbeschermingsprocedures moeten controleren op naleving van een lappendeken van regelgeving, inclusief het begrijpen hoe zij toestemming van de consument verkrijgen of consumenten toestaan ​​het gebruik van dergelijke gegevens te beperken en ervoor te zorgen dat deze overeenkomen met de verschillende subtiliteiten in de regelgeving.

Lees verder: De regelgeving op het gebied van biometrie wordt steeds heftiger, met als gevolg dat er kopzorgen ontstaan ​​over naleving

Zie ook: Kies de beste biometrische authenticatie voor uw use case

DR Global: 'Illusieve' Iraanse hackgroep houdt Israëlische, lucht- en ruimtevaart- en defensiebedrijven uit de VAE in de val

Door Robert Lemos, bijdragende schrijver, Dark Reading

UNC1549, ook bekend als Smoke Sandstorm en Tortoiseshell, lijkt de boosdoener te zijn achter een cyberaanvalcampagne die is aangepast voor elke beoogde organisatie.

De Iraanse dreigingsgroep UNC1549 – ook bekend als Smoke Sandstorm en Tortoiseshell – gaat achter lucht- en ruimtevaart aan. defensiebedrijven in Israël, de Verenigde Arabische Emiraten en andere landen in het grotere Midden-Oosten.

Met name door de op werkgelegenheid gerichte spearphishing en het gebruik van de cloudinfrastructuur voor command-and-control kan de aanval moeilijk te detecteren zijn, zegt Jonathan Leathery, hoofdanalist bij Mandiant van Google Cloud.

“Het meest opvallende is hoe ongrijpbaar deze dreiging kan zijn om te ontdekken en te volgen – ze hebben duidelijk toegang tot aanzienlijke hulpbronnen en zijn selectief in hun doelwitten”, zegt hij. “Er is waarschijnlijk meer activiteit van deze actor die nog niet is ontdekt, en er is zelfs nog minder informatie over hoe ze opereren zodra ze een doelwit hebben gecompromitteerd.”

Lees verder: 'Illusieve' Iraanse hackgroep houdt Israëlische, lucht- en ruimtevaart- en defensiebedrijven uit de VAE in de val

Zie ook: China lanceert nieuw cyberdefensieplan voor industriële netwerken

MITRE introduceert 4 gloednieuwe CWE's voor beveiligingsbugs in microprocessors

Door Jai Vijayan, bijdragende schrijver, Dark Reading

Het doel is om chipontwerpers en beveiligingsprofessionals op het gebied van halfgeleiders een beter inzicht te geven in grote microprocessorfouten zoals Meltdown en Spectre.

Met een toenemend aantal side-channel exploits gericht op CPU-bronnen, heeft het door MITRE geleide Common Weakness Enumeration (CWE)-programma vier nieuwe microprocessor-gerelateerde zwakheden toegevoegd aan de lijst met veelvoorkomende typen kwetsbaarheden in software en hardware.

De CWE's zijn het resultaat van een gezamenlijke inspanning van Intel, AMD, Arm, Riscure en Cycuity en bieden processorontwerpers en beveiligingsprofessionals in de halfgeleiderruimte een gemeenschappelijke taal voor het bespreken van zwakke punten in moderne microprocessorarchitecturen.

De vier nieuwe CWE's zijn CWE-1420, CWE-1421, CWE-1422 en CWE-1423.

CWE-1420 betreft de blootstelling van gevoelige informatie tijdens tijdelijke of speculatieve uitvoering – de hardware-optimalisatiefunctie die daarmee gepaard gaat Meltdown en Spectre – en is de ‘moedermaatschappij’ van de drie andere CWE’s.

CWE-1421 heeft te maken met gevoelige informatielekken in gedeelde microarchitecturale structuren tijdens tijdelijke uitvoering; CWE-1422 verhelpt datalekken die verband houden met het onjuist doorsturen van gegevens tijdens tijdelijke uitvoering. CWE-1423 kijkt naar gegevensblootstelling die verband houdt met een specifieke interne toestand binnen een microprocessor.

Lees verder: MITRE introduceert 4 gloednieuwe CWE's voor beveiligingsbugs in microprocessors

Zie ook: MITRE rolt prototype voor supply chain-beveiliging uit

Convergerende staatsprivacywetten en de opkomende AI-uitdaging

Commentaar door Jason Eddinger, Senior Security Consultant, Data Privacy, GuidePoint Security

Het is tijd voor bedrijven om te kijken naar wat ze verwerken, welke soorten risico's ze lopen en hoe ze van plan zijn dat risico te beperken.

Acht Amerikaanse staten hebben in 2023 wetgeving inzake gegevensprivacy aangenomen, en in 2024 zullen de wetten in vier staten van kracht worden. Bedrijven moeten dus achterover leunen en goed kijken naar de gegevens die ze verwerken, naar de soorten risico's die ze lopen en hoe ze hiermee om kunnen gaan. en hun plannen om het door hen geïdentificeerde risico te beperken. De adoptie van AI zal dat nog moeilijker maken.

Terwijl bedrijven een strategie uitstippelen om te voldoen aan al deze nieuwe regelgeving, is het vermeldenswaard dat deze wetten weliswaar in veel opzichten op één lijn liggen, maar ook staatsspecifieke nuances vertonen.

Bedrijven mogen er veel verwachten opkomende trends op het gebied van gegevensprivacy dit jaar, waaronder:

Lees verder: Convergerende staatsprivacywetten en de opkomende AI-uitdaging

Zie ook: Privacy verslaat ransomware als grootste zorg voor verzekeringen

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok