Bem-vindo ao CISO Corner, o resumo semanal de artigos da Dark Reading adaptados especificamente para leitores de operações de segurança e líderes de segurança. Todas as semanas, ofereceremos artigos coletados em nossa operação de notícias, The Edge, DR Technology, DR Global e nossa seção de comentários. Temos o compromisso de trazer a você um conjunto diversificado de perspectivas para apoiar o trabalho de operacionalização de estratégias de segurança cibernética para líderes de organizações de todos os formatos e tamanhos.

Nesta edição:

NIST Cybersecurity Framework 2.0: 4 etapas para começar

Por Robert Lemos, escritor colaborador, Dark Reading

O Instituto Nacional de Padrões e Tecnologia (NIST) revisou o livro sobre a criação de um programa abrangente de segurança cibernética que visa ajudar organizações de todos os tamanhos a serem mais seguras. Veja por onde começar a colocar as mudanças em ação.

A operacionalização da versão mais recente do Cybersecurity Framework (CSF) do NIST, lançada esta semana, pode significar mudanças significativas nos programas de segurança cibernética.

Por exemplo, há uma função “Governar” totalmente nova para incorporar maior supervisão executiva e do conselho da segurança cibernética, e ela se expande melhores práticas de segurança além daquelas para setores críticos. Ao todo, as equipas de segurança cibernética terão um trabalho difícil e terão de analisar atentamente as avaliações existentes, as lacunas identificadas e as atividades de remediação para determinar o impacto das mudanças no quadro.

Felizmente, as nossas dicas para a operacionalização da versão mais recente do NIST Cybersecurity Framework podem ajudar a apontar o caminho a seguir. Incluem a utilização de todos os recursos do NIST (o CSF ​​não é apenas um documento, mas uma coleção de recursos que as empresas podem utilizar para aplicar a estrutura ao seu ambiente e requisitos específicos); sentar-se com o alto escalão para discutir a função “Governar”; envolvimento na segurança da cadeia de abastecimento; e confirmar que os serviços de consultoria e produtos de gestão de postura de segurança cibernética são reavaliados e atualizados para suportar o CSF ​​mais recente.

Leia mais: NIST Cybersecurity Framework 2.0: 4 etapas para começar

Relacionado: Governo dos EUA expande papel na segurança de software

Apple, Signal estreia criptografia resistente a quantum, mas desafios se aproximam

Por Jai Vijayan, escritor colaborador, Dark Reading

O PQ3 da Apple para proteger o iMessage e o PQXH da Signal mostram como as organizações estão se preparando para um futuro em que os protocolos de criptografia deverão ser exponencialmente mais difíceis de quebrar.

À medida que os computadores quânticos amadurecem e oferecem aos adversários uma maneira trivialmente fácil de quebrar até mesmo os protocolos de criptografia atuais mais seguros, as organizações precisam agir agora para proteger as comunicações e os dados.

Para esse fim, o novo protocolo criptográfico pós-quântico (PQC) PQ3 da Apple para proteger as comunicações do iMessage, e um protocolo de criptografia semelhante que a Signal introduziu no ano passado, chamado PQXDH, são resistentes quânticas, o que significa que podem - teoricamente, pelo menos - resistir a ataques de quânticos. computadores tentando quebrá-los.

Mas, para as organizações, a mudança para coisas como o PQC será longa, complicada e provavelmente dolorosa. Os mecanismos atuais fortemente dependentes de infraestruturas de chave pública exigirão reavaliação e adaptação para integrar algoritmos resistentes a quantum. E a migração para criptografia pós-quântica introduz um novo conjunto de desafios de gerenciamento para equipes corporativas de TI, tecnologia e segurança que se assemelham às migrações anteriores, como de TLS1.2 para 1.3 e de ipv4 para v6, que levaram décadas.

Leia mais: Apple, Signal estreia criptografia resistente a quantum, mas desafios se aproximam

Relacionado: Quebrando a criptografia fraca antes que a computação quântica o faça

Isão 10h. Você sabe onde estão seus modelos de IA esta noite?

Por Ericka Chickowski, escritora colaboradora, Dark Reading

A falta de visibilidade e segurança do modelo de IA coloca o problema de segurança da cadeia de fornecimento de software em esteróides.

Se você achava que o problema de segurança da cadeia de suprimentos de software já era bastante difícil hoje, aperte o cinto. O crescimento explosivo da utilização da IA ​​está prestes a tornar essas questões da cadeia de abastecimento exponencialmente mais difíceis de resolver nos próximos anos.

Os modelos de IA/aprendizado de máquina fornecem a base para a capacidade de um sistema de IA de reconhecer padrões, fazer previsões, tomar decisões, desencadear ações ou criar conteúdo. Mas a verdade é que a maioria das organizações nem sequer sabe como começar a ganhar visibilidade de todos os modelos de IA incorporados em seus softwares.

Para começar, os modelos e a infraestrutura em torno deles são construídos de forma diferente de outros componentes de software, e as ferramentas tradicionais de segurança e software não são construídas para procurar ou entender como os modelos de IA funcionam ou como eles apresentam falhas.

“Um modelo, por design, é um trecho de código autoexecutável. Tem uma certa capacidade de agência”, diz Daryan Dehghanpisheh, cofundador da Protect AI. “Se eu lhe dissesse que você tem ativos em toda a sua infraestrutura que não consegue ver, não consegue identificar, não sabe o que eles contêm, não sabe qual é o código e eles se autoexecutam e receber chamadas externas, isso soa suspeitamente como um vírus de permissão, não é?

Leia mais: São 10h. Você sabe onde estão seus modelos de IA esta noite?

Relacionado: Plataforma Hugging Face AI repleta de 100 modelos maliciosos de execução de código

Organizações enfrentam grandes penalidades da SEC por não divulgarem violações

Por Robert Lemos, escritor colaborador

No que poderia ser um pesadelo de fiscalização, potencialmente milhões de dólares em multas, danos à reputação, ações judiciais de acionistas e outras penalidades aguardam as empresas que não cumpram as novas regras de divulgação de violação de dados da SEC.

As empresas e seus CISOs podem enfrentar centenas de milhares a milhões de dólares em multas e outras penalidades da Comissão de Valores Mobiliários dos EUA (SEC), se não conseguirem que seus processos de segurança cibernética e divulgação de violação de dados cumpram com as novas regras que agora entraram em vigor.

Os regulamentos da SEC têm força: a comissão pode emitir uma liminar permanente ordenando ao réu que cesse a conduta que está no cerne do caso, ordene o reembolso dos ganhos ilícitos ou implemente três níveis de penalidades crescentes que podem resultar em multas astronômicas .

Talvez o mais preocupante para CISOs é a responsabilidade pessoal que enfrentam agora para muitas áreas de operações comerciais pelas quais eles historicamente não eram responsáveis. Apenas metade dos CISOs (54%) estão confiantes na sua capacidade de cumprir a decisão da SEC.

Tudo isso está levando a uma ampla repensação do papel do CISO e a custos adicionais para as empresas.

Leia mais: Organizações enfrentam grandes penalidades da SEC por não divulgarem violações

Relacionado: O que as empresas e os CISOs devem saber sobre as crescentes ameaças legais

A regulamentação da biometria esquenta, prenunciando dores de cabeça de conformidade

Por David Strom, escritor colaborador, Dark Reading

Um crescente emaranhado de leis de privacidade que regulamentam a biometria visa proteger os consumidores em meio ao aumento das violações da nuvem e dos deepfakes criados por IA. Mas para as empresas que lidam com dados biométricos, manter a conformidade é mais fácil de falar do que fazer.

As preocupações com a privacidade biométrica estão a aumentar, graças ao aumento Ameaças deepfake baseadas em inteligência artificial (IA), o crescente uso da biometria pelas empresas, antecipou uma nova legislação de privacidade em nível estadual e uma nova ordem executiva emitida pelo presidente Biden esta semana que inclui proteções de privacidade biométrica.

Isso significa que as empresas precisam de estar mais viradas para o futuro e antecipar e compreender os riscos, a fim de construir a infraestrutura adequada para rastrear e utilizar conteúdos biométricos. E aqueles que fazem negócios a nível nacional terão de auditar os seus procedimentos de protecção de dados para verificar a conformidade com uma manta de retalhos de regulamentação, incluindo a compreensão de como obtêm o consentimento do consumidor ou permitem que os consumidores restrinjam a utilização de tais dados e certifiquem-se de que correspondem às diferentes subtilezas dos regulamentos.

Leia mais: A regulamentação da biometria esquenta, prenunciando dores de cabeça de conformidade

Relacionado: Escolha a melhor autenticação biométrica para o seu caso de uso

DR Global: Grupo 'Ilusivo' de Hacking Iraniano Enreda Empresas Aeroespaciais e de Defesa de Israel e dos Emirados Árabes Unidos

Por Robert Lemos, escritor colaborador, Dark Reading

UNC1549, também conhecido como Smoke Sandstorm e Tortoiseshell, parece ser o culpado por trás de uma campanha de ataque cibernético personalizada para cada organização visada.

O grupo de ameaça iraniano UNC1549 – também conhecido como Smoke Sandstorm e Tortoiseshell – está perseguindo a indústria aeroespacial e empresas de defesa em Israel, os Emirados Árabes Unidos e outros países do Grande Médio Oriente.

Notavelmente, entre o spear-phishing personalizado com foco no emprego e o uso de infraestrutura em nuvem para comando e controle, o ataque pode ser difícil de detectar, diz Jonathan Leathery, analista principal da Mandiant do Google Cloud.

“A parte mais notável é o quão ilusória pode ser a descoberta e o rastreamento dessa ameaça – eles claramente têm acesso a recursos significativos e são seletivos em sua segmentação”, diz ele. “É provável que haja mais atividade deste ator que ainda não foi descoberta, e há ainda menos informações sobre como eles operam depois de comprometerem um alvo.”

Leia mais: Grupo de hackers iraniano 'ilusório' atrai empresas aeroespaciais e de defesa israelenses e dos Emirados Árabes Unidos

Relacionado: China lança novo plano de defesa cibernética para redes industriais

MITRE lança 4 novos CWEs para bugs de segurança de microprocessadores

Por Jai Vijayan, escritor colaborador, Dark Reading

O objetivo é fornecer aos projetistas de chips e aos profissionais de segurança na área de semicondutores uma melhor compreensão das principais falhas dos microprocessadores, como Meltdown e Spectre.

Com um número crescente de explorações de canal lateral visando recursos de CPU, o programa Common Weakness Enumeration (CWE) liderado pelo MITRE adicionou quatro novos pontos fracos relacionados ao microprocessador à sua lista de tipos comuns de vulnerabilidade de software e hardware.

Os CWEs são o resultado de um esforço colaborativo entre Intel, AMD, Arm, Riscure e Cycuity e fornecem aos projetistas de processadores e profissionais de segurança no espaço de semicondutores uma linguagem comum para discutir os pontos fracos nas arquiteturas modernas de microprocessadores.

Os quatro novos CWEs são CWE-1420, CWE-1421, CWE-1422 e CWE-1423.

CWE-1420 diz respeito à exposição de informações confidenciais durante execução transitória ou especulativa - a função de otimização de hardware associada a Fusão e Espectro – e é o “pai” dos outros três CWEs.

CWE-1421 tem a ver com vazamentos de informações confidenciais em estruturas microarquiteturais compartilhadas durante a execução transitória; CWE-1422 aborda vazamentos de dados vinculados ao encaminhamento incorreto de dados durante a execução transitória. O CWE-1423 analisa a exposição de dados vinculada a um estado interno específico dentro de um microprocessador.

Leia mais: MITRE lança 4 novos CWEs para bugs de segurança de microprocessadores

Relacionado: MITRE Lança Protótipo de Segurança da Cadeia de Suprimentos

Convergência das leis estaduais de privacidade e o desafio emergente da IA

Comentário de Jason Eddinger, consultor sênior de segurança, privacidade de dados, GuidePoint Security

É hora de as empresas analisarem o que estão processando, que tipos de risco correm e como planejam mitigar esse risco.

Oito estados dos EUA aprovaram legislação sobre privacidade de dados em 2023 e, em 2024, as leis entrarão em vigor em quatro, por isso as empresas precisam relaxar e analisar profundamente os dados que estão processando, que tipos de risco correm, como gerenciá-los. risco e seus planos para mitigar o risco que identificaram. A adoção da IA ​​tornará isso mais difícil.

À medida que as empresas traçam uma estratégia para cumprir todas estas novas regulamentações existentes, é importante notar que, embora estas leis se alinhem em muitos aspectos, também apresentam nuances específicas do estado.

As empresas devem esperar ver muitos tendências emergentes de privacidade de dados este ano, incluindo:

Leia mais: Convergência das leis estaduais de privacidade e o desafio emergente da IA

Relacionado: Privacidade supera ransomware como principal preocupação em seguros

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok