Witamy w CISO Corner, cotygodniowym podsumowaniu artykułów Dark Reading dostosowanych specjalnie do czytelników zajmujących się bezpieczeństwem i liderów bezpieczeństwa. Co tydzień oferujemy artykuły z naszych serwisów informacyjnych, The Edge, DR Technology, DR Global oraz z naszej sekcji komentarzy. Zależy nam na zapewnieniu różnorodnego zestawu perspektyw wspierających operacjonalizację strategii cyberbezpieczeństwa dla liderów w organizacjach wszelkich kształtów i rozmiarów.

W tym numerze CISO Corner:

Korporacje posiadające zarządzanie cybernetyczne tworzą prawie 4 razy większą wartość

David Strom, współautor książki Dark Reading

Firmy posiadające specjalne komisje, w których skład wchodzi ekspert ds. cyberbezpieczeństwa, zamiast polegać na pełnym wyżywieniu, z większym prawdopodobieństwem poprawią bezpieczeństwo i wyniki finansowe.

Firmy, które dołożyły wszelkich starań, aby postępować zgodnie z wytycznymi dotyczącymi lepszego zarządzania cyberbezpieczeństwem, wygenerowały prawie czterokrotnie większą wartość dla akcjonariuszy w porównaniu z tymi, które tego nie zrobiły.

Taki wniosek płynie z nowej ankiety przeprowadzonej wspólnie przez Bitsight i Diligent Institute, w ramach której zmierzono wiedzę specjalistyczną w zakresie cyberbezpieczeństwa pod kątem 23 różnych czynników ryzyka, takich jak obecność infekcji botnetem, serwery hostujące złośliwe oprogramowanie, nieaktualne certyfikaty szyfrowania komunikacji internetowej i poczty e-mail oraz otwarte porty sieciowe na serwerach publicznych.

W raporcie wskazano również, że najlepsze wyniki daje posiadanie oddzielnych komisji zarządu zajmujących się specjalistycznym ryzykiem i audytem zgodności. „Zarządy sprawujące nadzór cybernetyczny za pośrednictwem wyspecjalizowanych komisji, w których skład wchodzi ekspert ds. cyberbezpieczeństwa, zamiast polegać na pełnym składzie, z większym prawdopodobieństwem poprawią swój ogólny poziom bezpieczeństwa i wyniki finansowe” – zgadza się Ladi Adefala, konsultant ds. cyberbezpieczeństwa i dyrektor generalny Omega315.

Czytaj więcej: Korporacje posiadające zarządzanie cybernetyczne tworzą prawie 4 razy większą wartość

Związane z: Dzięki zakazom TikTok nadszedł czas na zarządzanie operacyjne

Nawet cyber-profesjonaliści dają się oszukać: prawdziwy atak Vishingu

Autor: Elizabeth Montalbano, współautorka książki Dark Reading

Skuteczni napastnicy skupiają się na psychologicznej manipulacji ludzkimi emocjami, dlatego ofiarą może stać się każdy, nawet specjalista ds. cyberbezpieczeństwa lub specjalista ds. technologii.

Zaczęło się od telefonu komórkowego około 10:30 we wtorek z nieznanego numeru telefonu komórkowego. Pracowałem na komputerze w domu i zazwyczaj nie odbieram telefonów od osób, których nie znam. Z jakiegoś powodu zdecydowałem się przerwać to, co robiłem i odebrać ten telefon.

To był mój pierwszy błąd z serii kilku, które popełniłem w ciągu następnych czterech godzin, podczas których byłem ofiarą vishingu lub kampanii phishingu głosowego. Pod koniec tej próby przelałem oszustom prawie 5,000 euro ze swojego konta bankowego i Bitcoinów. Mój bank był w stanie anulować większość przelewów; jednak straciłem 1,000 euro, które wysłałem do portfela Bitcoin atakujących.

Eksperci twierdzą, że nie ma znaczenia, jaką masz wiedzę w zakresie taktyki stosowanej przez atakujących ani doświadczenia w wykrywaniu oszustw. Kluczem do sukcesu atakujących jest coś starszego niż technologia, ponieważ polega na manipulowaniu tym, co czyni nas ludźmi: naszymi emocjami.

Czytaj więcej: Nie odbieraj telefonu: prawdziwy atak Vishingu

Związane z: Północnokoreańscy hakerzy znów celują w badaczy bezpieczeństwa

Ograniczanie ryzyka stron trzecich wymaga wspólnego i dokładnego podejścia

Komentarz Matta Mettenheimera, zastępcy dyrektora ds. doradztwa cybernetycznego, praktyki cyberbezpieczeństwa, S-RM

Problem może wydawać się trudny, ale większość organizacji ma większą swobodę i elastyczność, jeśli chodzi o radzenie sobie z ryzykiem stron trzecich, niż im się wydaje.

Ryzyko stron trzecich stanowi wyjątkowe wyzwanie dla organizacji. Na pozór osoba trzecia może sprawiać wrażenie godnej zaufania. Jak jednak organizacja może zapewnić bezpieczeństwo powierzonych jej danych bez całkowitej przejrzystości wewnętrznego działania tego zewnętrznego dostawcy?

Organizacje często bagatelizują tę palącą kwestię ze względu na długotrwałe relacje, jakie utrzymują z zewnętrznymi dostawcami. Jednak pojawienie się dostawców czwartych, a nawet piątych powinno zachęcać organizacje do zabezpieczania swoich danych zewnętrznych. Czyn należytej staranności w zakresie bezpieczeństwa u zewnętrznego dostawcy musi teraz obejmować sprawdzenie, czy strona trzecia zleca dane klientów prywatnych podmiotom działającym na niższym szczeblu łańcucha dostaw, co prawdopodobnie ma miejsce ze względu na powszechność usług SaaS.

Na szczęście istnieje pięć prostych, gotowych do użycia kroków, które zapewniają organizacjom początkowy plan działania pozwalający skutecznie ograniczać ryzyko stron trzecich.

Czytaj więcej: Ograniczanie ryzyka stron trzecich wymaga wspólnego i dokładnego podejścia

Związane z: Cl0p przejmuje atak MOVEit; Oto jak zrobił to gang

Rząd Australii podwaja wysiłki w zakresie cyberbezpieczeństwa po poważnych atakach

Autor: John Leyden, współautor Dark Reading Global

Rząd proponuje nowocześniejsze i kompleksowe regulacje dotyczące cyberbezpieczeństwa dla przedsiębiorstw, instytucji rządowych i dostawców infrastruktury krytycznej w regionie Down Under.

We wrześniu 2022 r. ujawniono niedociągnięcia w australijskich możliwościach reagowania na incydenty cybernetyczne cyberatak na dostawcę usług telekomunikacyjnych Optus, a następnie w październiku nastąpił atak przy użyciu oprogramowania ransomware na dostawcę ubezpieczeń zdrowotnych Medibank.

W rezultacie rząd Australii opracowuje plany reorganizacji przepisów i regulacji dotyczących cyberbezpieczeństwa, zgodnie z proklamowaną strategią mającą na celu ustawienie kraju jako światowego lidera w dziedzinie cyberbezpieczeństwa do 2030 roku.

Oprócz usunięcia luk w istniejących przepisach dotyczących cyberprzestępczości australijscy ustawodawcy mają nadzieję zmienić ustawę o bezpieczeństwie infrastruktury krytycznej (SOCI) z 2018 r., aby położyć większy nacisk na zapobieganie zagrożeniom, wymianę informacji i reagowanie na incydenty cybernetyczne.

Czytaj więcej: Rząd Australii podwaja środki w zakresie cyberbezpieczeństwa po poważnych atakach

Związane z: Australijskie porty wznawiają działalność po paraliżujących zakłóceniach cybernetycznych

Przewodnik CISO dotyczący ustalania istotności i ryzyka

Komentarz Petera Dysona, dyrektora ds. analityki danych, Kovrr

Dla wielu CISO „istotność” pozostaje terminem niejednoznacznym. Mimo to muszą mieć możliwość omówienia ze swoimi zarządami kwestii istotności i ryzyka.

SEC wymaga teraz od spółek publicznych ocenić, czy incydenty cybernetyczne są „istotne”, jako próg ich zgłaszania. Jednak dla wielu CISO istotność pozostaje terminem niejednoznacznym, otwartym na interpretację w oparciu o unikalne środowisko cyberbezpieczeństwa organizacji.

Sednem zamieszania wokół istotności jest określenie, co stanowi „stratę materialną”. Niektórzy uważają, że istotność ma wpływ na 0.01% przychodów z poprzedniego roku, co odpowiada w przybliżeniu jednemu punktowi bazowemu przychodów (co odpowiada jednej godzinie przychodów korporacji z listy Fortune 1000).

Testując różne progi w porównaniu z wzorcami branżowymi, organizacje mogą lepiej zrozumieć swoją podatność na istotne cyberataki.

Czytaj więcej: Przewodnik CISO dotyczący ustalania istotności i ryzyka

Związane z: Prudential Files – Dobrowolne powiadomienie o naruszeniu prawa złożone przez SEC

Bonanza Zero-Day zwiększa liczbę exploitów przeciwko przedsiębiorstwom

Autorka: Becky Bracken, starsza redaktorka Dark Reading

Według Google zaawansowani przeciwnicy w coraz większym stopniu skupiają się na technologiach dla przedsiębiorstw i ich dostawcach, podczas gdy platformy użytkowników końcowych odnoszą sukcesy, tłumiąc exploity dnia zerowego dzięki inwestycjom w cyberbezpieczeństwo.

W 50 r. w środowisku naturalnym wykorzystano o 2023% więcej luk typu zero-day niż w 2022 r. Szczególnie mocno dotknięte są przedsiębiorstwa.

Według badań Mandiant i Google Threat Analysis Group (TAG) wyrafinowani przeciwnicy wspierani przez państwa narodowe wykorzystują rozległą powierzchnię ataku dla przedsiębiorstw. Ślady składające się z oprogramowania wielu dostawców, komponentów stron trzecich i rozległych bibliotek stanowią bogate pole łowieckie dla tych, którzy potrafią opracowywać exploity dnia zerowego.

Grupy zajmujące się cyberprzestępczością skupiały się szczególnie na oprogramowaniu zabezpieczającym, w tym Brama bezpieczeństwa poczty elektronicznej Barracuda; Adaptacyjne urządzenie zabezpieczające Cisco; Ivanti Endpoint Manager, Mobile i Sentry; i Trend Micro Apex One – dodało badanie.

Czytaj więcej: Bonanza Zero-Day zwiększa liczbę exploitów przeciwko przedsiębiorstwom

Związane z: Atakujący wykorzystują błędy dnia zerowego omijające zabezpieczenia firmy Microsoft

Wprowadzenie środków zaradczych w zakresie bezpieczeństwa do porządku obrad sali konferencyjnej

Komentarz Matta Middletona-Leala, dyrektora zarządzającego na region EMEA North, Qualys

Zespoły IT mogą lepiej wytrzymać kontrolę, pomagając zarządowi zrozumieć ryzyko i sposoby jego naprawienia, a także wyjaśniając swoją długoterminową wizję zarządzania ryzykiem.

Dyrektorzy generalni w przeszłości mogli nie spać z powodu tego, jak ich zespół ds. bezpieczeństwa podchodzi do konkretnych CVE, ale z CVE dla niebezpiecznych błędów, takich jak Apache Log4j w wielu organizacjach pozostają niezałatane, naprawa bezpieczeństwa jest obecnie szerzej uwzględniana w programie działań. Oznacza to, że coraz więcej liderów ds. bezpieczeństwa jest proszonych o wgląd w to, jak dobrze zarządzają ryzykiem z perspektywy biznesowej.

Prowadzi to do trudnych pytań, szczególnie dotyczących budżetów i sposobu ich wykorzystania.

Większość CISO ma pokusę wykorzystania informacji na temat podstawowych zasad bezpieczeństwa IT – liczby zatrzymanych problemów, wdrożonych aktualizacji, naprawionych krytycznych problemów – ale bez porównania z innymi ryzykami i problemami biznesowymi utrzymanie uwagi i wykazanie, że CISO zapewnia .

Aby przezwyciężyć te problemy, musimy użyć porównań i danych kontekstowych, aby opowiedzieć historię dotyczącą ryzyka. Podanie podstawowych danych liczbowych na temat liczby wdrożonych poprawek nie opisuje ogromnego wysiłku włożonego w naprawienie krytycznego problemu, który zagroził aplikacji generującej przychody. Nie pokazuje również, jak Twój zespół radzi sobie z innymi. Zasadniczo chcesz zademonstrować, jak dobrze wygląda zarząd i jak będziesz nadal osiągać wyniki w miarę upływu czasu.

Czytaj więcej: Wprowadzenie środków zaradczych w zakresie bezpieczeństwa do porządku obrad sali konferencyjnej

Związane z: Czego brakuje sali konferencyjnej: CISO

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation