Välkommen till CISO Corner, Dark Readings veckosammanfattning av artiklar som är skräddarsydda specifikt för läsare av säkerhetsoperationer och säkerhetsledare. Varje vecka kommer vi att erbjuda artiklar från hela vår nyhetsverksamhet, The Edge, DR Technology, DR Global och vår kommentarsektion. Vi är fast beslutna att ge dig en mångsidig uppsättning perspektiv för att stödja arbetet med att operationalisera cybersäkerhetsstrategier, för ledare i organisationer av alla former och storlekar.
I detta nummer:
-
NIST Cybersecurity Framework 2.0: 4 steg för att komma igång
-
Apple, Signal Debut Quantum-Resistant Encryption, men utmaningar Loom
-
Klockan är 10. Vet du var dina AI-modeller är ikväll?
-
Organisationer möter stora SEC-påföljder för att inte avslöja överträdelser
-
Biometriregleringen blir varmare, visar efterlevnadshuvudvärk
-
DR Global: "Illlusive" Iranian Hacking Group fångar israeliska, UAE flyg- och försvarsföretag
-
MITER rullar ut 4 helt nya CWE:er för mikroprocessorsäkerhetsbuggar
-
Konvergerande statlig integritetslagar och den nya AI-utmaningen
NIST Cybersecurity Framework 2.0: 4 steg för att komma igång
Av Robert Lemos, bidragande författare, Dark Reading
National Institute of Standards and Technology (NIST) har reviderat boken om att skapa ett omfattande cybersäkerhetsprogram som syftar till att hjälpa organisationer av alla storlekar att bli säkrare. Här är var du ska börja omsätta ändringarna.
Att operationalisera den senaste versionen av NIST:s Cybersecurity Framework (CSF), som släpptes denna vecka, kan innebära betydande förändringar av cybersäkerhetsprogram.
Till exempel finns det en helt ny "Govern"-funktion för att införliva större lednings- och styrelseövervakning av cybersäkerhet, och den expanderar bästa säkerhetspraxis utöver bara de för kritiska branscher. Sammantaget kommer cybersäkerhetsteamen att få sitt arbete avstängt för dem och kommer att behöva ta en noggrann titt på befintliga bedömningar, identifierade luckor och åtgärdsaktiviteter för att avgöra effekten av ramändringarna.
Lyckligtvis kan våra tips för operationalisering av den senaste versionen av NIST Cybersecurity Framework hjälpa till att peka på vägen framåt. De inkluderar att använda alla NIST-resurser (CSF är inte bara ett dokument utan en samling resurser som företag kan använda för att tillämpa ramverket på deras specifika miljö och krav); sitta ner med C-sviten för att diskutera "Govern"-funktionen; inslagning i leveranskedjans säkerhet; och bekräftar att konsulttjänster och cybersäkerhetsprodukter för ställningshantering omvärderas och uppdateras för att stödja den senaste CSF.
Läs mer: NIST Cybersecurity Framework 2.0: 4 steg för att komma igång
Relaterat: USA:s regering utökar roll i mjukvarusäkerhet
Apple, Signal Debut Quantum-Resistant Encryption, men utmaningar Loom
Av Jai Vijayan, bidragande skribent, Dark Reading
Apples PQ3 för att säkra iMessage och Signals PQXH visar hur organisationer förbereder sig för en framtid där krypteringsprotokoll måste vara exponentiellt svårare att knäcka.
När kvantdatorer mognar och ger motståndare ett trivialt enkelt sätt att öppna även de säkraste nuvarande krypteringsprotokollen, måste organisationer flytta nu för att skydda kommunikation och data.
För det ändamålet är Apples nya PQ3 post-quantum cryptographic (PQC) protokoll för att säkra iMessage-kommunikation, och ett liknande krypteringsprotokoll som Signal introducerade förra året kallat PQXDH, kvantresistenta, vilket betyder att de åtminstone teoretiskt kan motstå attacker från kvant. datorer som försöker bryta dem.
Men organisationer, övergången till saker som PQC kommer att bli lång, komplicerad och troligen smärtsam. Nuvarande mekanismer som är starkt beroende av offentliga nyckelinfrastrukturer kommer att kräva omvärdering och anpassning för att integrera kvantresistenta algoritmer. Och den migration till postkvantkryptering introducerar en ny uppsättning ledningsutmaningar för företags IT-, teknik- och säkerhetsteam som liknar tidigare migrering, som från TLS1.2 till 1.3 och ipv4 till v6, som båda har tagit decennier.
Läs mer: Apple, Signal Debut Quantum-Resistant Encryption, men utmaningar Loom
Relaterat: Knäcker svag kryptografi innan kvantberäkning gör det
Iklockan är 10. Vet du var dina AI-modeller är ikväll?
Av Ericka Chickowski, bidragande skribent, Dark Reading
En brist på synlighet och säkerhet för AI-modeller sätter säkerhetsproblemet för programvarans leveranskedja på steroider.
Om du trodde att säkerhetsproblemet för mjukvaruförsörjningskedjan var tillräckligt svårt idag, spänn på dig. Den explosiva tillväxten av AI-användning är på väg att göra dessa leveranskedjeproblem exponentiellt svårare att navigera under de kommande åren.
AI/maskininlärningsmodeller utgör grunden för ett AI-systems förmåga att känna igen mönster, göra förutsägelser, fatta beslut, utlösa åtgärder eller skapa innehåll. Men sanningen är att de flesta organisationer inte ens vet hur de ens ska börja vinna synlighet i alla inbäddade AI-modeller i deras mjukvara.
För att starta upp är modeller och infrastrukturen runt dem byggda annorlunda än andra programvarukomponenter och traditionella säkerhets- och mjukvaruverktyg är inte byggda för att skanna efter eller förstå hur AI-modeller fungerar eller hur de är felaktiga.
"En modell är designad en självutförande kod. Den har ett visst mått av byråkrati, säger Daryan Dehghanpisheh, medgrundare av Protect AI. "Om jag sa till dig att du har tillgångar över hela din infrastruktur som du inte kan se, du kan inte identifiera, du vet inte vad de innehåller, du vet inte vad koden är, och de körs själv och har externa samtal, det låter misstänkt som ett tillståndsvirus, eller hur?”
Läs mer: Klockan är 10. Vet du var dina AI-modeller är ikväll?
Relaterat: Hugging Face AI-plattform full av 100 skadlig kodexekveringsmodeller
Organisationer möter stora SEC-påföljder för att inte avslöja överträdelser
Av Robert Lemos, bidragande författare
I vad som skulle kunna vara en verkställande mardröm väntar potentiellt miljontals dollar i böter, skador på rykte, stämningar mot aktieägare och andra påföljder för företag som inte följer SEC:s nya regler för avslöjande av dataintrång.
Företag och deras CISO:er kan ställas inför allt från hundratusentals till miljoner dollar i böter och andra påföljder från US Securities and Exchange Commission (SEC), om de inte får sina processer för cybersäkerhet och avslöjande av dataintrång för att följa med de nya regler som nu har trätt i kraft.
SEC:s regler har tänder: kommissionen kan utfärda ett permanent föreläggande som beordrar svaranden att upphöra med beteendet i ärendets kärna, beordra återbetalning av illa vunna vinster eller genomföra tre nivåer av eskalerande straff som kan resultera i astronomiska böter .
Kanske mest oroande för CISOs är det personliga ansvar de nu står inför för många verksamhetsområden som de historiskt sett inte har haft ansvar för. Endast hälften av CISO:erna (54 %) är säkra på sin förmåga att följa SEC:s beslut.
Allt detta leder till en bred omprövning av CISO:s roll och extra kostnader för företagen.
Läs mer: Organisationer möter stora SEC-påföljder för att inte avslöja överträdelser
Relaterat: Vad företag och CISO bör veta om stigande juridiska hot
Biometriregleringen blir varmare, visar efterlevnadshuvudvärk
Av David Strom, bidragande skribent, Dark Reading
Ett växande snår av integritetslagar som reglerar biometri syftar till att skydda konsumenter mitt i ökande molnintrång och AI-skapade deepfakes. Men för företag som hanterar biometriska data är det lättare sagt än gjort att hålla sig till reglerna.
Biometriska integritetsproblem värms upp, tack vare att de ökar artificiell intelligens (AI)-baserade deepfake hot, växande biometrisk användning av företag, förväntad ny integritetslagstiftning på statlig nivå och en ny verkställande order utfärdad av president Biden denna vecka som inkluderar biometriska integritetsskydd.
Det betyder att företag måste vara mer framåtblickande och förutse och förstå riskerna för att bygga en lämplig infrastruktur för att spåra och använda biometriskt innehåll. Och de som gör affärer nationellt kommer att behöva granska sina dataskyddsprocedurer för att följa ett lapptäcke av förordningar, inklusive förstå hur de får konsumenternas samtycke eller tillåter konsumenter att begränsa användningen av sådan data och se till att de matchar de olika finesserna i förordningarna.
Läs mer: Biometriregleringen blir varmare, visar efterlevnadshuvudvärk
Relaterat: Välj den bästa biometriska autentiseringen för ditt användningsfall
DR Global: "Illlusive" Iranian Hacking Group fångar israeliska, UAE flyg- och försvarsföretag
Av Robert Lemos, bidragande författare, Dark Reading
UNC1549, aka Smoke Sandstorm och Tortoiseshell, verkar vara boven bakom en cyberattackkampanj anpassad för varje riktad organisation.
Den iranska hotgruppen UNC1549 – även känd som Smoke Sandstorm och Tortoiseshell – går efter rymd- och försvarsföretag i Israel, Förenade Arabemiraten och andra länder i Mellanöstern.
Noterbart, mellan det skräddarsydda sysselsättningsfokuserade spjutfisket och användningen av molninfrastruktur för kommando-och-kontroll, kan attacken vara svår att upptäcka, säger Jonathan Leathery, huvudanalytiker för Google Clouds Mandiant.
"Den mest anmärkningsvärda delen är hur illusivt detta hot kan vara att upptäcka och spåra - de har helt klart tillgång till betydande resurser och är selektiva i sin inriktning", säger han. "Det finns sannolikt mer aktivitet från den här aktören som ännu inte har upptäckts, och det finns ännu mindre information om hur de fungerar när de väl har äventyrat ett mål."
Läs mer: "Illlusive" Iranian Hacking Group fångar israeliska, UAE flyg- och försvarsföretag
Relaterat: Kina lanserar ny cyberförsvarsplan för industriella nätverk
MITER rullar ut 4 helt nya CWE:er för mikroprocessorsäkerhetsbuggar
Av Jai Vijayan, bidragande skribent, Dark Reading
Målet är att ge chipdesigners och säkerhetsutövare i halvledarutrymmet en bättre förståelse för stora mikroprocessorbrister som Meltdown och Spectre.
Med ett ökande antal sidokanalmissbruk som riktar in sig på CPU-resurser, har det MITRE-ledda programmet Common Weakness Enumeration (CWE) lagt till fyra nya mikroprocessorrelaterade svagheter till sin lista över vanliga sårbarhetstyper för mjukvara och hårdvara.
CWE:erna är resultatet av ett samarbete mellan Intel, AMD, Arm, Riscure och Cycuity och ger processordesigners och säkerhetsutövare i halvledarutrymmet ett gemensamt språk för att diskutera svagheter i moderna mikroprocessorarkitekturer.
De fyra nya CWE:erna är CWE-1420, CWE-1421, CWE-1422 och CWE-1423.
CWE-1420 avser exponering av känslig information under övergående eller spekulativ exekvering — hårdvaruoptimeringsfunktionen associerad med Meltdown och Specter — och är "förälder" till de tre andra CWE:erna.
CWE-1421 har att göra med känsliga informationsläckor i delade mikroarkitektoniska strukturer under övergående exekvering; CWE-1422 adresserar dataläckor kopplade till felaktig datavidarebefordran under övergående exekvering. CWE-1423 tittar på dataexponering kopplad till ett specifikt internt tillstånd i en mikroprocessor.
Läs mer: MITER rullar ut 4 helt nya CWE:er för mikroprocessorsäkerhetsbuggar
Relaterat: MITER rullar ut Supply Chain Security Prototyp
Konvergerande statlig integritetslagar och den nya AI-utmaningen
Kommentar av Jason Eddinger, senior säkerhetskonsult, datasekretess, GuidePoint Security
Det är dags för företag att titta på vad de bearbetar, vilka typer av risker de har och hur de planerar att minska den risken.
Åtta amerikanska delstater antog dataskyddslagstiftning 2023, och 2024 kommer lagar att träda i kraft om fyra, så företag måste luta sig tillbaka och titta djupt på de uppgifter de behandlar, vilka typer av risker de har, hur man hanterar detta risk och deras planer på att minska risken de har identifierat. Antagandet av AI kommer att göra det tuffare.
När företag kartlägger en strategi för att följa alla dessa nya regler som finns där ute, är det värt att notera att även om dessa lagar är i linje i många avseenden, uppvisar de också statliga nyanser.
Företag bör förvänta sig att se många nya trender för datasekretess i år, inklusive:
-
En fortsättning på stater som antar omfattande integritetslagar. Vi vet inte hur många som kommer att klara i år, men det kommer säkert att bli mycket aktiv diskussion.
-
AI kommer att vara en betydande trend, eftersom företag kommer att se oavsiktliga konsekvenser av dess användning, vilket resulterar i överträdelser och verkställighetsböter på grund av det snabba införandet av AI utan någon egentlig lagstiftning eller standardiserade ramverk.
-
2024 är ett presidentvalsår i USA, vilket kommer att öka medvetenheten och öka uppmärksamheten på datasekretess. Barns integritet blir också framträdande, med stater som Connecticut som inför ytterligare krav.
-
Företag bör också förutse att datasuveränitet kommer att utvecklas under 2024. Multinationella företag måste ägna mer tid åt att förstå var deras data bor och kraven enligt dessa internationella förpliktelser för att uppfylla kraven på datauppehållstillstånd och suveränitet för att följa internationella lagar.
Läs mer: Konvergerande statlig integritetslagar och den nya AI-utmaningen
Relaterat: Sekretess slår ransomware som största försäkringsproblem
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok
