Dark Reading'in özellikle güvenlik operasyonları okuyucuları ve güvenlik liderleri için hazırlanmış haftalık makale özeti olan CISO Corner'a hoş geldiniz. Her hafta haber operasyonumuz The Edge, DR Technology, DR Global ve Yorumlar bölümümüzden derlenen makaleleri sunacağız. Her şekil ve büyüklükteki kuruluştaki liderler için siber güvenlik stratejilerini operasyonel hale getirme işini desteklemek üzere size çeşitli bakış açıları sunmaya kararlıyız.

Bu sayıda:

NIST Siber Güvenlik Çerçevesi 2.0: Başlamak İçin 4 Adım

Yazan: Robert Lemos, Katkıda Bulunan Yazar, Dark Reading

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), her büyüklükteki kuruluşun daha güvenli olmasına yardımcı olmayı amaçlayan kapsamlı bir siber güvenlik programı oluşturmaya ilişkin kitabı revize etti. Değişiklikleri uygulamaya koymaya buradan başlayabilirsiniz.

NIST'in Siber Güvenlik Çerçevesi'nin (CSF) bu hafta yayınlanan en son sürümünün kullanıma sunulması, siber güvenlik programlarında önemli değişiklikler anlamına gelebilir.

Örneğin, siber güvenlik konusunda daha fazla yönetici ve yönetim kurulu gözetimi sağlayacak yepyeni bir "Yönetim" işlevi var ve bu işlev, Kritik sektörlere yönelik uygulamaların ötesinde en iyi güvenlik uygulamaları. Sonuçta siber güvenlik ekiplerinin işi onlar için biçilmiş kaftan olacak ve çerçeve değişikliklerinin etkisini belirlemek için mevcut değerlendirmeleri, belirlenen boşlukları ve iyileştirme faaliyetlerini dikkatle incelemek zorunda kalacaklar.

Neyse ki, NIST Siber Güvenlik Çerçevesinin en son sürümünün operasyonel hale getirilmesine yönelik ipuçlarımız ileriye dönük yol göstermenize yardımcı olabilir. Bunlar, tüm NIST kaynaklarının kullanımını içerir (CSF yalnızca bir belge değildir, şirketlerin çerçeveyi kendi özel ortamlarına ve gereksinimlerine uygulamak için kullanabileceği bir kaynak koleksiyonudur); “Yönetim” işlevini tartışmak üzere üst düzey yöneticilerle oturmak; tedarik zinciri güvenliğine sarma; ve danışmanlık hizmetlerinin ve siber güvenlik duruş yönetimi ürünlerinin en son CSF'yi destekleyecek şekilde yeniden değerlendirildiğini ve güncellendiğini teyit etmek.

Daha fazla oku: NIST Siber Güvenlik Çerçevesi 2.0: Başlamak İçin 4 Adım

İlgili: ABD Hükümeti Yazılım Güvenliğindeki Rolünü Genişletiyor

Apple, Signal Kuantum Dirençli Şifrelemeyi Piyasaya Sürüyor, Ancak Zorluklar Yaklaşıyor

Yazan: Jai Vijayan, Katkıda Bulunan Yazar, Dark Reading

Apple'ın iMessage güvenliğini sağlamaya yönelik PQ3'ü ve Signal'in PQXH'si, kuruluşların şifreleme protokollerinin kırılmasının katlanarak daha zor olması gereken bir geleceğe nasıl hazırlandıklarını gösteriyor.

Kuantum bilgisayarlar olgunlaştıkça ve rakiplere mevcut en güvenli şifreleme protokollerini bile kırmaları için son derece kolay bir yol sundukça, kuruluşların iletişimleri ve verileri korumak için hemen harekete geçmeleri gerekiyor.

Bu amaçla, Apple'ın iMessage iletişimlerini korumaya yönelik yeni PQ3 kuantum sonrası kriptografik (PQC) protokolü ve Signal'in geçen yıl PQXDH olarak adlandırdığı benzer bir şifreleme protokolü kuantum dirençlidir, yani en azından teorik olarak kuantum saldırılarına dayanabilirler. bilgisayarlar onları kırmaya çalışıyor.

Ancak kuruluşlarda PQC gibi şeylere geçiş uzun, karmaşık ve muhtemelen sancılı olacaktır. Genel anahtar altyapılarına büyük ölçüde bağımlı olan mevcut mekanizmaların, kuantum dirençli algoritmaları entegre etmek için yeniden değerlendirilmesi ve uyarlanması gerekecektir. Ve kuantum sonrası şifrelemeye geçiş TLS1.2'den 1.3'e ve ipv4'ten v6'ya her ikisi de onlarca yıl süren önceki geçişlere paralel olarak kurumsal BT, teknoloji ve güvenlik ekipleri için yeni bir dizi yönetim zorluğu getiriyor.

Daha fazla oku: Apple, Signal Kuantum Dirençli Şifrelemeyi Piyasaya Sürüyor, Ancak Zorluklar Yaklaşıyor

İlgili: Kuantum Hesaplamadan Önce Zayıf Kriptografiyi Kırmak

Isaat 10:XNUMX Yapay Zeka Modellerinizin Bu Gece Nerede Olduğunu Biliyor musunuz?

Yazan: Ericka Chickowski, Katkıda Bulunan Yazar, Dark Reading

Yapay zeka modelinin görünürlüğünün ve güvenliğinin olmayışı, yazılım tedarik zinciri güvenliği sorununu steroidlere bağlıyor.

Yazılım tedarik zinciri güvenliği sorununun bugün yeterince zor olduğunu düşünüyorsanız kemerlerinizi bağlayın. Yapay zeka kullanımındaki patlayıcı büyüme, önümüzdeki yıllarda bu tedarik zinciri sorunlarının yönetilmesini katlanarak daha da zorlaştıracak.

Yapay zeka/makine öğrenimi modelleri, bir yapay zeka sisteminin kalıpları tanıma, tahminlerde bulunma, karar verme, eylemleri tetikleme veya içerik oluşturma becerisinin temelini oluşturur. Ancak gerçek şu ki çoğu kuruluş nasıl kazanmaya başlayacağını bile bilmiyor gömülü tüm AI modellerine görünürlük onların yazılımında.

Öncelikle modeller ve bunların etrafındaki altyapı, diğer yazılım bileşenlerinden farklı şekilde oluşturulmuştur ve geleneksel güvenlik ve yazılım araçları, yapay zeka modellerinin nasıl çalıştığını veya nasıl kusurlu olduklarını taramak veya anlamak için tasarlanmamıştır.

“Bir model, tasarımı gereği, kendi kendini çalıştıran bir kod parçasıdır. Belirli bir miktarda ajansı var” diyor Koruma AI'nın kurucu ortağı Daryan Dehghanpisheh. “Size altyapınızın her yerinde göremediğiniz, tanımlayamayacağınız, ne içerdiklerini bilmediğiniz, kodun ne olduğunu bilmediğiniz ve kendi kendine çalıştırılan varlıklara sahip olduğunuzu söyleseydim ve dışarıdan aramalar yapılıyor, bu şüpheli bir şekilde izin virüsüne benziyor, değil mi?”

Daha fazla oku: Saat 10:XNUMX Yapay Zeka Modellerinizin Bu Gece Nerede Olduğunu Biliyor musunuz?

İlgili: Hugging Face Yapay Zeka Platformu, 100 Kötü Amaçlı Kod Yürütme Modeli İle Delinmiş

Kuruluşlar İhlalleri Açıklamamalarından Dolayı Büyük SEC Cezalarıyla Karşı Karşıya

Yazan: Robert Lemos, Katkıda Bulunan Yazar

Uygulama kabusu olabilecek bir durumda, SEC'in yeni veri ihlali açıklama kurallarına uymayan şirketleri potansiyel olarak milyonlarca dolarlık para cezaları, itibar kaybı, hissedar davaları ve diğer cezalar bekliyor.

Şirketler ve onların CISO'ları, siber güvenlik ve veri ihlali açıklama süreçlerini uyumlu hale getirmezlerse, ABD Menkul Kıymetler ve Borsa Komisyonu'ndan (SEC) yüzbinlerce ila milyonlarca dolar arasında değişen para cezaları ve diğer cezalarla karşı karşıya kalabilirler şimdi yürürlüğe giren yeni kurallarla.

SEC düzenlemelerinin dişleri var: Komisyon, davalıya davanın merkezindeki davranışı durdurmasını emreden kalıcı bir ihtiyati tedbir kararı verebilir, haksız kazançların geri ödenmesini emredebilir veya astronomik para cezalarıyla sonuçlanabilecek üç kademeli artan cezalar uygulayabilir. .

Belki de en endişe verici olanı CISO'lar artık karşı karşıya oldukları kişisel sorumluluktur Geçmişte sorumluluk sahibi olmadıkları birçok iş faaliyeti alanı için. CISO'ların yalnızca yarısı (%54) SEC'in kararına uyma yeteneklerinden emin.

Tüm bunlar, CISO'nun rolünün kapsamlı bir şekilde yeniden düşünülmesine ve işletmeler için ek maliyetlere yol açıyor.

Daha fazla oku: Kuruluşlar İhlalleri Açıklamamalarından Dolayı Büyük SEC Cezalarıyla Karşı Karşıya

İlgili: Artan Yasal Tehditler Hakkında Şirketlerin ve CISO'ların Bilmesi Gerekenler

Biyometri Düzenlemesi Kızışıyor, Uyum Baş Ağrılarına İşaret Ediyor

Yazan: David Strom, Katkıda Bulunan Yazar, Dark Reading

Biyometriyi düzenleyen giderek artan gizlilik yasaları, artan bulut ihlalleri ve yapay zeka tarafından oluşturulan derin sahtekarlıklar karşısında tüketicileri korumayı amaçlıyor. Ancak biyometrik verilerle çalışan işletmeler için uyumluluğu sürdürmek söylenenden daha kolaydır.

Biyometrik gizlilik endişeleri giderek artıyor yapay zeka (AI) tabanlı derin sahte tehditler, işletmelerde biyometrik kullanımın artması, beklenen yeni eyalet düzeyinde gizlilik mevzuatı ve Başkan Biden tarafından bu hafta yayınlanan ve biyometrik gizliliğin korunmasını içeren yeni bir idari emir.

Bu, işletmelerin biyometrik içeriği izlemek ve kullanmak için uygun altyapıyı oluşturmak amacıyla daha ileriye dönük olması ve riskleri öngörmesi ve anlaması gerektiği anlamına geliyor. Ve ulusal düzeyde iş yapanlar, tüketici rızasını nasıl aldıklarını veya tüketicilerin bu tür verilerin kullanımını kısıtlamasına nasıl izin verdiklerini anlamak ve bunların düzenlemelerdeki farklı inceliklerle eşleştiğinden emin olmak da dahil olmak üzere, veri koruma prosedürlerini bir dizi düzenlemeye uygunluk açısından denetlemek zorunda kalacak.

Daha fazla oku: Biyometri Düzenlemesi Kızışıyor, Uyum Baş Ağrılarına İşaret Ediyor

İlgili: Kullanım Durumunuz için En İyi Biyometrik Kimlik Doğrulamasını Seçin

DR Global: 'Yanıltıcı' İran Hacking Grubu İsrail, BAE Havacılık ve Savunma Firmalarını Tuzağa Düşürdü

Yazan: Robert Lemos, Katkıda Bulunan Yazar, Dark Reading

Duman Kum Fırtınası ve Tortoiseshell olarak da bilinen UNC1549, hedeflenen her kuruluş için özelleştirilmiş bir siber saldırı kampanyasının arkasındaki suçlu gibi görünüyor.

Duman Kum Fırtınası ve Kaplumbağa Kabuğu olarak da bilinen İranlı tehdit grubu UNC1549, havacılık ve uzayın peşine düşüyor İsrail'deki savunma firmaları, Birleşik Arap Emirlikleri ve Orta Doğu'daki diğer ülkeler.

Google Cloud'un Mandiant baş analisti Jonathan Leathery, özellikle istihdam odaklı hedef odaklı kimlik avı ile komuta ve kontrol için bulut altyapısının kullanılması nedeniyle saldırının tespit edilmesinin zor olabileceğini söylüyor.

"En dikkat çekici kısım, bu tehdidin keşfedilmesi ve takip edilmesinin ne kadar yanıltıcı olabileceğidir; önemli kaynaklara erişimleri olduğu ve hedefleme konusunda seçici oldukları" diyor. "Muhtemelen bu aktörün henüz keşfedilmemiş daha fazla faaliyeti var ve bir hedefi tehlikeye attıklarında nasıl çalıştıklarına dair daha da az bilgi var."

Daha fazla oku: 'Yanıltıcı' İran Hacking Grubu İsrail, BAE Havacılık ve Savunma Firmalarını Tuzağa Düşürdü

İlgili: Çin, Endüstriyel Ağlar için Yeni Siber Savunma Planını Başlatıyor

MITRE, Mikroişlemci Güvenlik Hatalarına Yönelik 4 Yepyeni CWE'yi Piyasaya Sürüyor

Yazan: Jai Vijayan, Katkıda Bulunan Yazar, Dark Reading

Amaç, yarı iletken alanındaki çip tasarımcılarına ve güvenlik uygulayıcılarına Meltdown ve Spectre gibi önemli mikroişlemci kusurlarını daha iyi anlamalarını sağlamaktır.

CPU kaynaklarını hedef alan yan kanal açıklarının artmasıyla birlikte, MITRE liderliğindeki Ortak Zayıflık Sayımı (CWE) programı, yaygın yazılım ve donanım güvenlik açığı türleri listesine mikroişlemciyle ilgili dört yeni zayıflık ekledi.

CWE'ler Intel, AMD, Arm, Riscure ve Cycuity arasındaki ortak çabanın sonucudur ve yarı iletken alanındaki işlemci tasarımcılarına ve güvenlik uygulayıcılarına modern mikroişlemci mimarilerindeki zayıflıkları tartışmak için ortak bir dil sağlar.

Dört yeni CWE, CWE-1420, CWE-1421, CWE-1422 ve CWE-1423'tür.

CWE-1420, geçici veya spekülatif yürütme sırasında hassas bilgilerin açığa çıkmasıyla ilgilidir - ilgili donanım optimizasyon işlevi Meltdown ve Spectre - ve diğer üç CWE'nin "ebeveynidir".

CWE-1421, geçici yürütme sırasında paylaşılan mikro mimari yapılarda hassas bilgi sızıntılarıyla ilgilidir; CWE-1422, geçici yürütme sırasında yanlış veri iletiminden kaynaklanan veri sızıntılarını giderir. CWE-1423, bir mikroişlemci içindeki belirli bir dahili duruma bağlı veri maruziyetine bakar.

Daha fazla oku: MITRE, Mikroişlemci Güvenlik Hatalarına Yönelik 4 Yepyeni CWE'yi Piyasaya Sürüyor

İlgili: MITRE Tedarik Zinciri Güvenliği Prototipini Piyasaya Sürüyor

Birleşen Eyalet Gizlilik Yasaları ve Ortaya Çıkan Yapay Zeka Sorunu

Jason Eddinger, Kıdemli Güvenlik Danışmanı, Veri Gizliliği, GuidePoint Güvenliği'nin yorumu

Şirketlerin artık neyi işlediklerine, ne tür risklere sahip olduklarına ve bu riski nasıl azaltmayı planladıklarına bakmalarının zamanı geldi.

Sekiz ABD eyaleti 2023'te veri gizliliği yasasını kabul etti ve 2024'te dört eyalette yasalar yürürlüğe girecek, bu nedenle şirketlerin arkalarına yaslanıp işledikleri verilere, ne tür risklere sahip olduklarına ve bunu nasıl yöneteceklerine derinlemesine bakması gerekiyor. risk ve belirledikleri riski azaltmaya yönelik planları. Yapay zekanın benimsenmesi bunu daha da zorlaştıracak.

İşletmeler mevcut tüm bu yeni düzenlemelere uymak için bir strateji belirlerken, bu yasaların pek çok açıdan uyumlu olmasına rağmen eyalete özgü nüanslar da sergilediğini belirtmekte fayda var.

Şirketler çok sayıda görmeyi beklemeli ortaya çıkan veri gizliliği trendleri bu yıl şunları içerir:

Daha fazla oku: Birleşen Eyalet Gizlilik Yasaları ve Ortaya Çıkan Yapay Zeka Sorunu

İlgili: Gizlilik, En Önemli Sigorta Sorunu Olarak Fidye Yazılımını Geride Bırakıyor

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok