Velkommen til CISO Corner, Dark Readings ukentlige sammendrag av artikler skreddersydd spesifikt for lesere av sikkerhetsoperasjoner og sikkerhetsledere. Hver uke tilbyr vi artikler hentet fra hele nyhetsvirksomheten vår, The Edge, DR Technology, DR Global og vår kommentarseksjon. Vi er forpliktet til å gi deg et mangfoldig sett med perspektiver for å støtte jobben med å operasjonalisere cybersikkerhetsstrategier, for ledere i organisasjoner av alle former og størrelser.

I denne utgaven av CISO Corner:

Selskaper med cyberstyring skaper nesten fire ganger mer verdi

Av David Strøm, medvirkende skribent, Dark Reading

De med spesielle komiteer som inkluderer en cyberekspert i stedet for å stole på hele styret, er mer sannsynlig å forbedre sikkerheten og den økonomiske ytelsen.

Selskaper som har anstrengt seg for å følge retningslinjer for bedre styring av cybersikkerhet, har skapt nesten fire ganger aksjonærverdien sin sammenlignet med de som ikke har gjort det.

Det er konklusjonen i en ny undersøkelse utført i fellesskap av Bitsight og Diligent Institute, som målte cybersikkerhetsekspertise på tvers av 23 forskjellige risikofaktorer, som f.eks. tilstedeværelse av botnett-infeksjoner, servere som er vert for skadelig programvare, utdaterte krypteringssertifikater for nett- og e-postkommunikasjon og åpne nettverksporter på offentlige servere.

Rapporten fant også at det å ha separate styreutvalg fokusert på spesialisert risiko og revisjonsoverholdelse gir de beste resultatene. "Styrelser som utøver cybertilsyn gjennom spesialiserte komiteer med et cyberekspertmedlem i motsetning til å stole på hele styret, er mer sannsynlig å forbedre sine generelle sikkerhetsstillinger og økonomiske resultater," sier Ladi Adefala, en cybersikkerhetskonsulent og administrerende direktør i Omega315.

Les mer: Selskaper med cyberstyring skaper nesten fire ganger mer verdi

Relatert: Med TikTok-forbud er tiden for operasjonell styring nå

Selv cyberproffer blir svindlet: Inne i et virkelighetsangrep

Av Elizabeth Montalbano, medvirkende forfatter, Dark Reading

Vellykkede angripere fokuserer på psykologisk manipulasjon av menneskelige følelser, og det er grunnen til at hvem som helst, selv en cyberproff eller teknologikyndig person, kan bli et offer.

Det startet med en telefon rundt klokken 10:30 på en tirsdag fra et ukjent mobilnummer. Jeg jobbet på datamaskinen hjemme og svarer vanligvis ikke på telefonsamtaler fra folk jeg ikke kjenner. Av en eller annen grunn bestemte jeg meg for å slutte med det jeg holdt på med og ta den samtalen.

Det var min første feil i en serie på flere jeg ville gjøre i løpet av de neste fire timene, der jeg var den offer for en vishing- eller stemme-phishing-kampanje. Ved slutten av prøvelsen hadde jeg overført nesten €5,000 i midler fra bankkontoen min og i Bitcoin til svindlerne. Banken min var i stand til å kansellere de fleste overføringene; Jeg mistet imidlertid €1,000 som jeg hadde sendt til angripernes Bitcoin-lommebok.

Eksperter sier at det ikke spiller noen rolle hvor mye ekspertise du har i å kjenne til taktikken angripere bruker eller erfaring med å oppdage svindel. Nøkkelen til angripernes suksess er noe som er eldre enn teknologi, da det ligger i å manipulere det som gjør oss mennesker: våre følelser.

Les mer: Ikke svar på telefonen: Inne i et virkelighetsangrep

Relatert: Nordkoreanske hackere retter seg mot sikkerhetsforskere — igjen

Å redusere tredjepartsrisiko krever en samarbeidende, grundig tilnærming

Kommentar av Matt Mettenheimer, assisterende direktør for Cyber ​​Advisory, Cybersecurity Practice, S-RM

Problemet kan virke skremmende, men de fleste organisasjoner har mer handlefrihet og fleksibilitet til å håndtere tredjepartsrisiko enn de tror.

Tredjepartsrisiko utgjør en unik utfordring for organisasjoner. På overflaten kan en tredjepart fremstå som pålitelig. Men uten fullstendig åpenhet om den indre funksjonen til den tredjepartsleverandøren, hvordan kan en organisasjon sikre at data som er betrodd dem er sikre?

Ofte bagatelliserer organisasjoner dette presserende spørsmålet på grunn av de langvarige relasjonene de har med sine tredjepartsleverandører. Men fremveksten av fjerde- og til og med femtepartsleverandører bør oppmuntre organisasjoner til å sikre sine eksterne data. Driver med riktig due security diligence på en tredjepartsleverandør må nå inkludere å finne ut om tredjeparten outsourcer private klientdata til flere nedstrøms parter, noe de sannsynligvis gjør, takket være utbredelsen til SaaS-tjenester.

Heldigvis er det fem enkle ut-av-boksen trinn som gir et startveikart for organisasjoner for å lykkes med å redusere tredjepartsrisiko.

Les mer: Å redusere tredjepartsrisiko krever en samarbeidende, grundig tilnærming

Relatert: Cl0p gjør krav på MOVEit-angrepet; Her er hvordan gjengen gjorde det

Australske myndigheter fordobler cybersikkerhet i kjølvannet av store angrep

Av John Leyden, bidragsyter, Dark Reading Global

Regjeringen foreslår mer moderne og omfattende cybersikkerhetsbestemmelser for bedrifter, myndigheter og leverandører av kritiske infrastrukturer Down Under.

Svakheter i Australias evne til respons på cyberhendelser ble avslørt i september 2022 cyberangrep mot teleleverandøren Optus, fulgt i oktober av et løsepengebasert angrep på helseforsikringsleverandøren Medibank.

Som et resultat er den australske regjeringen i ferd med å utforme planer om å fornye lover og regler for nettsikkerhet, med en utropt strategi for å posisjonere nasjonen som verdensledende innen nettsikkerhet innen 2030.

I tillegg til å adressere hull i eksisterende lover om nettkriminalitet, håper australske lovgivere å endre landets lov om sikkerhet for kritisk infrastruktur (SOCI) 2018 for å legge større vekt på trusselforebygging, informasjonsdeling og respons på cyberhendelser.

Les mer: Australske myndigheter fordobler cybersikkerhet i kjølvannet av store angrep

Relatert: Australske havner gjenopptar driften etter lammende cyberforstyrrelser

En CISOs veiledning til vesentlighet og risikobestemmelse

Kommentar av Peter Dyson, leder for dataanalyse, Kovrr

For mange CISOer er "vesentlighet" fortsatt et tvetydig begrep. Likevel må de være i stand til å diskutere vesentlighet og risiko med styrene sine.

SEC krever nå at offentlige selskaper skal vurdere om cyberhendelser er «materielle» som terskelen for å rapportere dem. Men for mange CISOer forblir materialitet et tvetydig begrep, åpent for tolkning basert på en organisasjons unike cybersikkerhetsmiljø.

Kjernen i forvirringen rundt materialitet er å bestemme hva som utgjør et «materiell tap». Noen anser vesentlighet som en innvirkning på 0.01 % av forrige års inntekt, noe som tilsvarer omtrent ett basispunkt for inntekter (som tilsvarer én times inntekt for Fortune 1000-selskaper).

Ved å teste ulike terskler mot industristandarder, kan organisasjoner få en klarere forståelse av deres sårbarhet for materielle cyberangrep.

Les mer: En CISOs veiledning til vesentlighet og risikobestemmelse

Relatert: Prudential Files Frivillig bruddmelding med SEC

Zero-Day Bonanza driver mer utnyttelse mot bedrifter

Av Becky Bracken, seniorredaktør, Dark Reading

Avanserte motstandere er i økende grad fokusert på bedriftsteknologier og deres leverandører, mens sluttbrukerplattformer har suksess med å kvele nulldagers utnyttelser med cybersikkerhetsinvesteringer, ifølge Google.

Det var 50 % flere nulldagssårbarheter som ble utnyttet i naturen i 2023 enn i 2022. Bedrifter rammes spesielt hardt.

I følge undersøkelser fra Mandiant og Google Threat Analysis Group (TAG), drar sofistikerte motstandere med støtte fra nasjonalstaten fordel av en omfattende virksomhetsangrepsoverflate. Footprints som består av programvare fra flere leverandører, tredjepartskomponenter og vidstrakte biblioteker gir et rikt jaktterreng for de som har evnen til å utvikle nulldagers utnyttelser.

Nettkriminalitetsgrupper har vært spesielt fokusert på sikkerhetsprogramvare, inkludert Barracuda Email Security Gateway; Cisco Adaptive Security Appliance; Ivanti Endpoint Manager, Mobile og Sentry; og Trend Micro Apex One, la forskningen til.

Les mer: Zero-Day Bonanza driver mer utnyttelse mot bedrifter

Relatert: Angripere utnytter Microsoft Security-Bypass Zero-Day Bugs

Å få sikkerhetsutbedring på styrerommets agenda

Kommentar av Matt Middleton-Leal, administrerende direktør for EMEA North, Qualys

IT-team kan bedre tåle gransking ved å hjelpe styret med å forstå risikoer og hvordan de løses, samt forklare deres langsiktige visjon for risikostyring.

Administrerende direktører fra fortiden har kanskje ikke mistet søvnen om hvordan sikkerhetsteamet deres nærmer seg spesifikke CVE-er, men med CVE-er for farlige feil som Apache Log4j forblir uoppdatert i mange organisasjoner, er sikkerhetssanering nå på agendaen bredere. Det betyr at flere sikkerhetsledere blir bedt om å gi innsikt i hvor godt de håndterer risiko fra et forretningsperspektiv.

Dette fører til vanskelige spørsmål, spesielt rundt budsjetter og hvordan de brukes.

De fleste CISO-er er fristet til å bruke informasjon rundt kjerneprinsipper for IT-sikkerhet – antall problemer som er stoppet, oppdateringer distribuert, kritiske problemer fikset – men uten sammenligning med andre forretningsrisikoer og problemer, kan det være vanskelig å holde oppmerksomheten og demonstrere at en CISO leverer .

For å overvinne disse problemene, må vi bruke sammenligninger og kontekstdata for å fortelle en historie rundt risiko. Å gi basistall på antall installerte oppdateringer beskriver ikke den enorme innsatsen som ble lagt ned på å fikse et kritisk problem som satte en inntektsgenererende applikasjon i fare. Den viser heller ikke hvordan laget ditt presterer mot andre. I hovedsak ønsker du å demonstrere hvordan bra ser ut for styret, og hvordan du fortsetter å levere over tid.

Les mer: Å få sikkerhetsutbedring på styrerommets agenda

Relatert: Hva styrerommet mangler: CISOer

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation