Chào mừng bạn đến với CISO Corner, bản tóm tắt hàng tuần của Dark Reading gồm các bài viết được thiết kế riêng cho độc giả hoạt động bảo mật và các nhà lãnh đạo bảo mật. Hàng tuần, chúng tôi sẽ cung cấp các bài viết thu thập được từ hoạt động tin tức của chúng tôi, The Edge, DR Technology, DR Global và phần Bình luận của chúng tôi. Chúng tôi cam kết mang đến cho bạn nhiều quan điểm đa dạng để hỗ trợ công việc vận hành các chiến lược an ninh mạng cho các nhà lãnh đạo tại các tổ chức thuộc mọi hình thức và quy mô.

Trong vấn đề này:

Khung bảo mật mạng NIST 2.0: 4 bước để bắt đầu

Bởi Robert Lemos, Nhà văn đóng góp, Dark Reading

Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã sửa đổi cuốn sách về việc tạo ra một chương trình an ninh mạng toàn diện nhằm giúp các tổ chức thuộc mọi quy mô được an toàn hơn. Đây là nơi bắt đầu thực hiện các thay đổi.

Việc vận hành phiên bản mới nhất của Khung an ninh mạng (CSF) của NIST, được phát hành trong tuần này, có thể mang lại những thay đổi đáng kể đối với các chương trình an ninh mạng.

Ví dụ: có một chức năng “Quản trị” hoàn toàn mới để kết hợp khả năng giám sát an ninh mạng của ban điều hành và hội đồng quản trị tốt hơn và chức năng này mở rộng các biện pháp bảo mật tốt nhất ngoài những biện pháp dành cho các ngành quan trọng. Nói chung, các nhóm an ninh mạng sẽ phải hoàn thành công việc và sẽ phải xem xét kỹ lưỡng các đánh giá hiện có, các lỗ hổng đã xác định và các hoạt động khắc phục để xác định tác động của những thay đổi khuôn khổ.

May mắn thay, các mẹo của chúng tôi để vận hành phiên bản mới nhất của Khung an ninh mạng NIST có thể giúp chỉ ra con đường phía trước. Chúng bao gồm việc sử dụng tất cả các tài nguyên của NIST (CSF không chỉ là một tài liệu mà còn là một tập hợp các tài nguyên mà các công ty có thể sử dụng để áp dụng khuôn khổ này cho các yêu cầu và môi trường cụ thể của họ); ngồi cùng C-Suite để thảo luận về chức năng “Quản trị”; bao bọc trong an ninh chuỗi cung ứng; và xác nhận rằng các dịch vụ tư vấn và sản phẩm quản lý tình trạng an ninh mạng được đánh giá lại và cập nhật để hỗ trợ CSF mới nhất.

Tìm hiểu thêm: Khung bảo mật mạng NIST 2.0: 4 bước để bắt đầu

Liên quan: Chính phủ Hoa Kỳ mở rộng vai trò trong bảo mật phần mềm

Apple, Signal ra mắt mã hóa kháng lượng tử, nhưng thách thức hiện ra

Bởi Jai Vijayan, Nhà văn đóng góp, Dark Reading

PQ3 của Apple để bảo mật iMessage và PQXH của Signal cho thấy các tổ chức đang chuẩn bị như thế nào cho một tương lai trong đó các giao thức mã hóa phải khó bị bẻ khóa hơn theo cấp số nhân.

Khi máy tính lượng tử trưởng thành và cung cấp cho đối thủ một cách dễ dàng để bẻ khóa ngay cả những giao thức mã hóa an toàn nhất hiện tại, các tổ chức cần phải hành động ngay bây giờ để bảo vệ thông tin liên lạc và dữ liệu.

Để đạt được mục tiêu đó, giao thức mã hóa hậu lượng tử (PQC) PQ3 mới của Apple để bảo mật thông tin liên lạc iMessage và một giao thức mã hóa tương tự mà Signal giới thiệu năm ngoái có tên là PQXDH, có khả năng kháng lượng tử, nghĩa là ít nhất về mặt lý thuyết, chúng có thể chống lại các cuộc tấn công từ lượng tử. máy tính đang cố gắng phá vỡ chúng.

Nhưng các tổ chức, việc chuyển đổi sang những thứ như PQC sẽ kéo dài, phức tạp và có thể gây đau đớn. Các cơ chế hiện tại phụ thuộc nhiều vào cơ sở hạ tầng khóa công khai sẽ yêu cầu đánh giá lại và điều chỉnh để tích hợp các thuật toán kháng lượng tử. Và chuyển sang mã hóa hậu lượng tử giới thiệu một loạt thách thức quản lý mới dành cho các nhóm CNTT, công nghệ và bảo mật của doanh nghiệp tương tự như các lần di chuyển trước đó, như từ TLS1.2 lên 1.3 và ipv4 lên v6, cả hai đều đã mất hàng thập kỷ.

Tìm hiểu thêm: Apple, Signal ra mắt mã hóa kháng lượng tử, nhưng thách thức hiện ra

Liên quan: Bẻ khóa mật mã yếu trước khi tính toán lượng tử thực hiện được

Ilúc này là 10 giờ tối Bạn có biết Mô hình AI của mình ở đâu tối nay không?

Bởi Ericka Chickowski, Nhà văn đóng góp, Dark Reading

Việc thiếu khả năng hiển thị và bảo mật của mô hình AI khiến vấn đề bảo mật chuỗi cung ứng phần mềm trở nên nghiêm trọng.

Nếu bạn cho rằng vấn đề bảo mật chuỗi cung ứng phần mềm ngày nay đã đủ khó khăn, hãy thắt dây an toàn. Sự tăng trưởng bùng nổ trong việc sử dụng AI sắp khiến cho những vấn đề về chuỗi cung ứng đó trở nên khó giải quyết hơn theo cấp số nhân trong những năm tới.

Các mô hình AI/máy học cung cấp nền tảng cho khả năng của hệ thống AI trong việc nhận dạng các mẫu, đưa ra dự đoán, đưa ra quyết định, kích hoạt hành động hoặc tạo nội dung. Nhưng sự thật là hầu hết các tổ chức thậm chí còn không biết làm thế nào để bắt đầu đạt được khả năng hiển thị vào tất cả các mô hình AI được nhúng trong phần mềm của họ.

Để khởi động, các mô hình và cơ sở hạ tầng xung quanh chúng được xây dựng khác với các thành phần phần mềm khác và công cụ phần mềm và bảo mật truyền thống không được xây dựng để quét hoặc tìm hiểu cách hoạt động của các mô hình AI cũng như lỗi của chúng.

“Một mô hình, theo thiết kế, là một đoạn mã tự thực thi. Daryan Dehghanpisheh, đồng sáng lập của Protect AI, cho biết nó có một số lượng đại lý nhất định. “Nếu tôi nói với bạn rằng bạn có tài sản trên khắp cơ sở hạ tầng mà bạn không thể nhìn thấy, không thể xác định, bạn không biết chúng chứa gì, bạn không biết mã là gì và chúng tự thực thi. và có các cuộc gọi bên ngoài, nghe có vẻ giống virus cấp quyền đáng ngờ phải không?”

Tìm hiểu thêm: Bây giờ là 10 giờ tối Bạn có biết Mô hình AI của mình ở đâu tối nay không?

Liên quan: Nền tảng AI ôm mặt bị xử lý 100 mô hình thực thi mã độc hại

Các tổ chức phải đối mặt với các hình phạt lớn của SEC vì không tiết lộ vi phạm

Bởi Robert Lemos, Nhà văn đóng góp

Trong những gì có thể là một cơn ác mộng về thực thi, có khả năng hàng triệu đô la tiền phạt, thiệt hại về danh tiếng, các vụ kiện của cổ đông và các hình phạt khác đang chờ đợi những công ty không tuân thủ các quy tắc tiết lộ vi phạm dữ liệu mới của SEC.

Các công ty và CISO của họ có thể phải đối mặt với khoản tiền phạt từ hàng trăm nghìn đến hàng triệu đô la và các hình phạt khác từ Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC), nếu họ không tuân thủ các quy trình tiết lộ vi phạm dữ liệu và an ninh mạng. với các quy định mới hiện đã có hiệu lực.

Các cơ quan quản lý của SEC có răng: Ủy ban có thể đưa ra lệnh cấm vĩnh viễn yêu cầu bị cáo chấm dứt hành vi cốt lõi của vụ án, ra lệnh hoàn trả những khoản lợi bất chính hoặc thực hiện ba cấp độ hình phạt leo thang có thể dẫn đến các khoản tiền phạt khổng lồ .

Có lẽ điều đáng lo ngại nhất đối với CISO là trách nhiệm cá nhân mà họ hiện phải đối mặt đối với nhiều lĩnh vực hoạt động kinh doanh mà trước đây họ không có trách nhiệm. Chỉ một nửa số CISO (54%) tự tin vào khả năng tuân thủ phán quyết của SEC.

Tất cả những điều đó đang dẫn đến việc phải suy nghĩ lại về vai trò của CISO và các chi phí bổ sung cho doanh nghiệp.

Tìm hiểu thêm: Các tổ chức phải đối mặt với các hình phạt lớn của SEC vì không tiết lộ vi phạm

Liên quan: Những điều công ty và CISO nên biết về các mối đe dọa pháp lý đang gia tăng

Quy định sinh trắc học nóng lên, gây ra những cơn đau đầu về tuân thủ

Bởi David Strom, Nhà văn đóng góp, Dark Reading

Ngày càng có nhiều luật về quyền riêng tư quy định sinh trắc học nhằm mục đích bảo vệ người tiêu dùng trong bối cảnh vi phạm đám mây và các hành vi giả mạo sâu do AI tạo ra ngày càng gia tăng. Nhưng đối với các doanh nghiệp xử lý dữ liệu sinh trắc học, việc tuân thủ nói dễ hơn làm.

Mối lo ngại về quyền riêng tư sinh trắc học đang nóng lên nhờ sự gia tăng các mối đe dọa deepfake dựa trên trí tuệ nhân tạo (AI), việc sử dụng sinh trắc học của các doanh nghiệp ngày càng tăng, dự đoán sẽ có luật mới về quyền riêng tư cấp tiểu bang và lệnh điều hành mới do Tổng thống Biden ban hành trong tuần này bao gồm các biện pháp bảo vệ quyền riêng tư sinh trắc học.

Điều đó có nghĩa là các doanh nghiệp cần phải hướng tới tương lai hơn, lường trước và hiểu rõ các rủi ro để xây dựng cơ sở hạ tầng phù hợp để theo dõi và sử dụng nội dung sinh trắc học. Và những người kinh doanh trên toàn quốc sẽ phải kiểm tra các quy trình bảo vệ dữ liệu của họ để tuân thủ một loạt quy định chắp vá, bao gồm cả việc hiểu cách họ có được sự đồng ý của người tiêu dùng hoặc cho phép người tiêu dùng hạn chế việc sử dụng dữ liệu đó và đảm bảo rằng chúng phù hợp với các chi tiết khác nhau trong quy định.

Tìm hiểu thêm: Quy định sinh trắc học nóng lên, gây ra những cơn đau đầu về tuân thủ

Liên quan: Chọn xác thực sinh trắc học tốt nhất cho trường hợp sử dụng của bạn

DR Global: Nhóm hack Iran 'ảo tưởng' gài bẫy các công ty quốc phòng và hàng không vũ trụ của Israel, UAE

Bởi Robert Lemos, Nhà văn đóng góp, Dark Reading

UNC1549, hay còn gọi là Bão cát khói và Vỏ rùa, dường như là thủ phạm đằng sau chiến dịch tấn công mạng được tùy chỉnh cho từng tổ chức mục tiêu.

Nhóm đe dọa Iran UNC1549 - còn được gọi là Bão cát khói và Tortoiseshell - đang nhắm mục tiêu vào ngành hàng không vũ trụ và các công ty quốc phòng ở Israel, Các Tiểu vương quốc Ả Rập Thống nhất và các quốc gia khác ở Trung Đông.

Đáng chú ý, giữa việc lừa đảo trực tuyến tập trung vào việc làm phù hợp và việc sử dụng cơ sở hạ tầng đám mây để ra lệnh và kiểm soát, cuộc tấn công có thể khó bị phát hiện, Jonathan Leathery, nhà phân tích chính của Google Cloud's Mandiant cho biết.

Ông nói: “Phần đáng chú ý nhất là mức độ khó phát hiện và theo dõi của mối đe dọa này - rõ ràng chúng có quyền truy cập vào các tài nguyên quan trọng và có chọn lọc trong việc nhắm mục tiêu”. “Có thể còn nhiều hoạt động khác từ kẻ này chưa được phát hiện và thậm chí còn có ít thông tin hơn về cách chúng hoạt động sau khi đã xâm phạm mục tiêu.”

Tìm hiểu thêm: Nhóm hack Iran 'ảo tưởng' tấn công các công ty quốc phòng và hàng không vũ trụ của Israel, UAE

Liên quan: Trung Quốc triển khai Kế hoạch phòng thủ mạng mới cho các mạng công nghiệp

MITER tung ra 4 CWE hoàn toàn mới để xử lý các lỗi bảo mật bộ vi xử lý

Bởi Jai Vijayan, Nhà văn đóng góp, Dark Reading

Mục tiêu là giúp các nhà thiết kế chip và người thực hành bảo mật trong lĩnh vực bán dẫn hiểu rõ hơn về các lỗi chính của bộ vi xử lý như Meltdown và Spectre.

Với số lượng các hoạt động khai thác kênh bên nhắm vào tài nguyên CPU ngày càng tăng, chương trình Liệt kê điểm yếu chung (CWE) do MITER dẫn đầu đã bổ sung thêm 4 điểm yếu mới liên quan đến bộ vi xử lý vào danh sách các loại lỗ hổng phần mềm và phần cứng phổ biến.

CWE là kết quả nỗ lực hợp tác giữa Intel, AMD, Arm, Riscure và Cycuity, đồng thời cung cấp cho các nhà thiết kế bộ xử lý và người thực hành bảo mật trong không gian bán dẫn một ngôn ngữ chung để thảo luận về các điểm yếu trong kiến ​​trúc bộ vi xử lý hiện đại.

Bốn CWE mới là CWE-1420, CWE-1421, CWE-1422 và CWE-1423.

CWE-1420 liên quan đến việc lộ thông tin nhạy cảm trong quá trình thực thi nhất thời hoặc suy đoán - chức năng tối ưu hóa phần cứng được liên kết với Meltdown và Spectre - và là “mẹ” của ba CWE khác.

CWE-1421 liên quan đến rò rỉ thông tin nhạy cảm trong các cấu trúc vi kiến ​​trúc dùng chung trong quá trình thực thi tạm thời; CWE-1422 giải quyết vấn đề rò rỉ dữ liệu liên quan đến việc chuyển tiếp dữ liệu không chính xác trong quá trình thực thi tạm thời. CWE-1423 xem xét việc hiển thị dữ liệu gắn liền với trạng thái bên trong cụ thể trong bộ vi xử lý.

Tìm hiểu thêm: MITER tung ra 4 CWE hoàn toàn mới để xử lý các lỗi bảo mật bộ vi xử lý

Liên quan: MITER tung ra nguyên mẫu bảo mật chuỗi cung ứng

Hội tụ các luật về quyền riêng tư của tiểu bang và thách thức AI mới nổi

Bình luận của Jason Eddinger, Chuyên gia tư vấn bảo mật cấp cao, Quyền riêng tư dữ liệu, Bảo mật GuidePoint

Đã đến lúc các công ty xem xét những gì họ đang xử lý, loại rủi ro họ gặp phải và cách họ lên kế hoạch giảm thiểu rủi ro đó.

Tám tiểu bang của Hoa Kỳ đã thông qua luật về quyền riêng tư dữ liệu vào năm 2023 và vào năm 2024, luật sẽ có hiệu lực sau bốn tiểu bang, vì vậy các công ty cần ngồi lại và xem xét kỹ dữ liệu họ đang xử lý, họ gặp phải những loại rủi ro nào và cách quản lý điều này rủi ro và kế hoạch giảm thiểu rủi ro mà họ đã xác định. Việc áp dụng AI sẽ làm cho điều đó trở nên khó khăn hơn.

Khi các doanh nghiệp vạch ra chiến lược tuân thủ tất cả các quy định mới hiện có này, cần lưu ý rằng mặc dù các luật này phù hợp về nhiều mặt nhưng chúng cũng thể hiện những sắc thái cụ thể của từng bang.

Các công ty sẽ mong đợi được thấy nhiều xu hướng bảo mật dữ liệu mới nổi năm nay, bao gồm:

Tìm hiểu thêm: Hội tụ các luật về quyền riêng tư của tiểu bang và thách thức AI mới nổi

Liên quan: Quyền riêng tư đánh bại Ransomware là mối lo ngại hàng đầu về bảo hiểm

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok