به CISO Corner، خلاصه مقالات هفتگی Dark Reading که به طور خاص برای خوانندگان عملیات امنیتی و رهبران امنیتی طراحی شده است، خوش آمدید. هر هفته، ما مقالاتی را ارائه خواهیم کرد که از سراسر عملیات خبری، The Edge، DR Technology، DR Global، و بخش تفسیر خود جمع آوری شده اند. ما متعهد هستیم که مجموعه‌ای از دیدگاه‌های متنوع را برای پشتیبانی از کار عملیاتی کردن استراتژی‌های امنیت سایبری، برای رهبران سازمان‌هایی با هر شکل و اندازه‌ای به شما ارائه دهیم.

در این شماره از CISO Corner:

5 حقیقت سخت در مورد وضعیت امنیت ابری 2024

توسط Ericka Chickowski، نویسنده مشارکت کننده، Dark Reading

Dark Reading در مورد امنیت ابری با جان کیندرواگ، پدرخوانده اعتماد صفر صحبت می کند.

اکثر سازمان ها به طور کامل با آنها کار نمی کنند شیوه های امنیتی ابر بالغ، علیرغم اینکه تقریباً نیمی از رخنه ها از ابر منشاء می گیرند و تقریباً 4.1 میلیون دلار به دلیل رخنه های ابری در سال گذشته از دست رفته است.

به گفته پدرخوانده امنیت صفر اعتماد، جان کیندرواگ، که مدل امنیت صفر اعتماد را به عنوان یک تحلیلگر در Forrester مفهوم سازی و رایج کرد، این یک مشکل بزرگ است. او به دارک ریدینگ می‌گوید که برای تغییر اوضاع باید با حقیقت‌های سختی روبرو شد.

1. فقط با رفتن به ابر امن تر نمی شوید: ابر ذاتاً از بسیاری از محیط‌های داخلی امن‌تر نیست: ارائه‌دهندگان ابر مقیاس ابر ممکن است در محافظت از زیرساخت‌ها بسیار خوب باشند، اما کنترل و مسئولیتی که آنها بر وضعیت امنیتی مشتریان خود دارند بسیار محدود است. و مدل مسئولیت مشترک واقعا کار نمی کند.

2. مدیریت کنترل‌های امنیتی بومی در دنیای ترکیبی دشوار است: وقتی صحبت از ارائه کنترل بیشتر به مشتریان بر روی حجم کاری، هویت و دید آنها می‌شود، کیفیت ناسازگار است، اما کنترل‌های امنیتی که می‌توانند در تمام ابرهای متعدد مدیریت شوند، گریزان هستند.

3. هویت ابر شما را نجات نخواهد داد: با تأکید بسیار بر مدیریت هویت ابری و توجه نامتناسب به مؤلفه هویت در اعتماد صفر، برای سازمان‌ها مهم است که درک کنند که هویت تنها بخشی از یک صبحانه متعادل برای اعتماد صفر به ابر است.

4. بسیاری از شرکت ها نمی دانند از چه چیزی می خواهند محافظت کنند: هر دارایی یا سیستم یا فرآیندی ریسک منحصر به فرد خود را به همراه خواهد داشت، اما سازمان ها فاقد ایده روشنی از آنچه در ابر است یا آنچه به ابر متصل می شود، ندارند، چه رسد به اینکه چه چیزی نیاز به محافظت دارد.

5. مشوق های توسعه بومی ابری از کار افتاده است: بسیاری از سازمان‌ها به سادگی ساختارهای انگیزشی مناسبی برای توسعه‌دهندگان ندارند تا در حین کار در امنیت کار کنند - و در واقع، بسیاری از آنها مشوق‌های انحرافی دارند که در نهایت باعث تشویق عمل ناامن می‌شود. من دوست دارم بگویم که افراد برنامه DevOps، ریکی بابی های فناوری اطلاعات هستند. آنها فقط می خواهند سریع پیش بروند،" کیندرواگ می گوید.

ادامه مطلب: 5 حقیقت سخت در مورد وضعیت امنیت ابری 2024

مرتبط: Zero Trust تسلط دارد: 63٪ از سازمان هایی که در سطح جهانی اجرا می شوند

MITER ATT&CKED: مورد اعتمادترین نام InfoSec به ایوانتی باگ می رسد

توسط نیت نلسون، نویسنده مشارکت کننده، تاریک خواندن

این طنز در مورد تعداد کمی از بین رفته است، زیرا یک بازیگر تهدید کننده دولت-ملت از هشت تکنیک MITER برای نقض خود MITER استفاده کرد - از جمله سوء استفاده از اشکالات Ivanti که مهاجمان برای ماه ها ازدحام کرده اند.

هکرهای دولت ملی خارجی استفاده کرده اند دستگاه های لبه ایوانتی آسیب پذیر برای به دست آوردن سه ماه دسترسی "عمیق" به یکی از شبکه های طبقه بندی نشده MITER Corp.

MITRE، مباشر واژه نامه همه جا حاضر ATT&CK تکنیک های رایج حمله سایبری، پیش از این 15 سال را بدون حادثه بزرگ پشت سر گذاشت. این خط در ژانویه زمانی که مانند بسیاری از سازمان‌های دیگر، دستگاه‌های دروازه ایوانتی آن مورد سوء استفاده قرار گرفتند، قطع شد.

این نقض بر روی محیط آزمایش، تحقیق و مجازی سازی شبکه ای (NERVE)، شبکه ای طبقه بندی نشده و مشارکتی که سازمان برای تحقیق، توسعه و نمونه سازی از آن استفاده می کند، تأثیر گذاشت. میزان آسیب عصبی ( جناس مورد نظر) در حال حاضر در حال ارزیابی است.

اهداف آنها هر چه بود، هکرها زمان کافی برای اجرای آنها داشتند. اگرچه مصالحه در ژانویه اتفاق افتاد، MITER تنها توانست آن را در ماه آوریل شناسایی کند و یک فاصله ربع ساله در این بین باقی گذاشت.

ادامه مطلب: MITER ATT&CKED: مورد اعتمادترین نام InfoSec به ایوانتی باگ می رسد

مرتبط: تکنیک های برتر MITER ATT&CK و نحوه دفاع در برابر آنها

درس هایی برای CISO ها از 10 برتر LLM OWASP

تفسیر کوین بوچک، مدیر ارشد نوآوری، ونافی

زمان آن فرا رسیده است که LLM ها را تنظیم کنید تا مطمئن شوید که آنها به طور دقیق آموزش دیده اند و آماده انجام معاملات تجاری هستند که می تواند بر روی نتیجه تأثیر بگذارد.

OWASP اخیراً لیست 10 برنامه برتر خود را برای برنامه های کاربردی مدل زبان بزرگ (LLM) منتشر کرده است، بنابراین توسعه دهندگان، طراحان، معماران و مدیران اکنون 10 حوزه دارند که باید به وضوح روی نگرانی های امنیتی تمرکز کنند.

تقریباً همه 10 تهدید برتر LLM تمرکز حول یک مصالحه در احراز هویت برای هویت های استفاده شده در مدل ها. روش‌های مختلف حمله دامنه را اجرا می‌کنند و نه تنها بر هویت ورودی‌های مدل، بلکه بر هویت خود مدل‌ها و همچنین خروجی‌ها و اقدامات آنها تأثیر می‌گذارند. این یک اثر ضربه‌ای دارد و احراز هویت را در امضای کد و ایجاد فرآیندهایی برای توقف آسیب‌پذیری در منبع می‌طلبد.

در حالی که بیش از نیمی از 10 ریسک اصلی، خطراتی هستند که اساساً کاهش می‌یابند و خواستار کلید مرگ برای هوش مصنوعی هستند، شرکت‌ها باید گزینه‌های خود را هنگام استقرار LLM‌های جدید ارزیابی کنند. اگر ابزارهای مناسب برای احراز هویت ورودی‌ها و مدل‌ها و همچنین اقدامات مدل‌ها وجود داشته باشد، شرکت‌ها برای استفاده از ایده kill-switch هوش مصنوعی و جلوگیری از تخریب بیشتر مجهز خواهند شد.

ادامه مطلب: درس هایی برای CISO ها از 10 برتر LLM OWASP

مرتبط: Bugcrowd رتبه بندی آسیب پذیری را برای LLM ها اعلام می کند

Cyberattack Gold: SBOM ها سرشماری آسانی از نرم افزارهای آسیب پذیر ارائه می دهند

توسط راب لموس، نویسنده مشارکت کننده، تاریک خواندن

مهاجمان احتمالاً از صورت‌حساب‌های نرم‌افزاری (SBOM) برای جستجوی نرم‌افزارهایی که بالقوه در برابر نقص‌های نرم‌افزاری خاص آسیب‌پذیر هستند، استفاده خواهند کرد.

دولت و شرکت‌های حساس به امنیت به‌طور فزاینده‌ای از سازندگان نرم‌افزار می‌خواهند که صورت‌حساب‌های نرم‌افزاری مواد (SBOM) را برای رسیدگی به ریسک زنجیره تامین در اختیارشان بگذارند – اما این موضوع باعث ایجاد یک دسته جدید از نگرانی‌ها می‌شود.

به طور خلاصه: لری پسس، مدیر تحقیق و تحلیل امنیت محصول در نرم افزار می گوید: مهاجمی که تعیین می کند یک شرکت مورد نظر چه نرم افزاری را اجرا می کند، می تواند SBOM مرتبط را بازیابی کند و اجزای برنامه را برای نقاط ضعف تجزیه و تحلیل کند، همه اینها بدون ارسال یک بسته واحد. شرکت امنیت زنجیره تامین Finite State.

او یک آزمایش‌کننده نفوذ 20 ساله است که قصد دارد در ارائه‌ای در مورد "SBOMs شیطانی" در کنفرانس RSA در ماه مه در مورد خطر هشدار دهد. او نشان خواهد داد که SBOM ها اطلاعات کافی برای اجازه دادن به مهاجمان را دارند CVE های خاص را در پایگاه داده SBOM ها جستجو کنید و برنامه ای را پیدا کنید که احتمالاً آسیب پذیر است. او می‌گوید که حتی برای مهاجمان بهتر است، SBOM‌ها سایر اجزا و ابزارهای کاربردی روی دستگاه را نیز فهرست می‌کنند که مهاجم می‌تواند برای «زندگی خارج از زمین» پس از سازش استفاده کند.

ادامه مطلب: Cyberattack Gold: SBOM ها سرشماری آسانی از نرم افزارهای آسیب پذیر ارائه می دهند

مرتبط: شرکت جنوبی SBOM برای پست برق می‌سازد

جهانی: دارای مجوز برای بیل؟ کشورها صدور گواهینامه و مجوز متخصصان امنیت سایبری را اجباری می کنند

توسط رابرت لموس، نویسنده مشارکت کننده، خواندن تاریک

مالزی، سنگاپور و غنا جزو اولین کشورهایی هستند که قوانینی را تصویب کردند که به امنیت سایبری نیاز دارند. شرکت ها - و در برخی موارد، مشاوران فردی - برای دریافت مجوز برای انجام تجارت، اما نگرانی ها همچنان وجود دارد.

مالزی حداقل به دو کشور دیگر پیوسته است. سنگاپور و غنا - در تصویب قوانینی که متخصصان امنیت سایبری یا شرکت‌های آنها را ملزم می‌کند تا برای ارائه برخی خدمات امنیت سایبری در کشورشان گواهی و مجوز داشته باشند.

به گفته مستقر در مالزی، در حالی که الزامات این قانون هنوز مشخص نشده است، "این احتمالاً برای ارائه دهندگان خدماتی اعمال می شود که خدماتی را برای محافظت از دستگاه های فناوری اطلاعات و ارتباطات شخص دیگری ارائه می دهند - [به عنوان مثال] ارائه دهندگان تست نفوذ و مراکز عملیات امنیتی". شرکت حقوقی کریستوفر و لی اونگ

سنگاپور، همسایه آسیا و اقیانوسیه، در دو سال گذشته به ارائه‌دهندگان خدمات امنیت سایبری (CSP) و کشور غنا در غرب آفریقا، که به مجوز و اعتبار حرفه‌ای امنیت سایبری نیاز دارد، نیاز داشته است. به طور گسترده‌تر، دولت‌هایی مانند اتحادیه اروپا گواهی‌های امنیت سایبری را عادی کرده‌اند، در حالی که آژانس‌های دیگر - مانند ایالت نیویورک آمریکا - برای قابلیت‌های امنیت سایبری در صنایع خاص به گواهینامه و مجوز نیاز دارند.

با این حال، برخی از کارشناسان پیامدهای بالقوه خطرناکی را از این حرکت ها می بینند.

ادامه مطلب: دارای مجوز برای بیل؟ کشورها صدور گواهینامه و مجوز متخصصان امنیت سایبری را اجباری می کنند

مرتبط: سنگاپور نوار بالایی را در آمادگی امنیت سایبری تعیین می کند

J&J Spin-Off CISO در به حداکثر رساندن امنیت سایبری

توسط کارن دی. شوارتز، نویسنده مشارکت کننده، خواندن تاریک

چگونه CISO of Kenvue، یک شرکت مراقبت های بهداشتی مصرف کننده از جانسون و جانسون منشعب شد، ابزارها و ایده های جدید را برای ایجاد برنامه امنیتی ترکیب کرد.

مایک واگنر از جانسون و جانسون به شکل گیری رویکرد امنیتی و پشته امنیتی شرکت Fortune 100 کمک کرد. در حال حاضر، او اولین CISO از بخش مراقبت های بهداشتی مصرف کننده یک ساله J&J، Kenvue است که وظیفه ایجاد یک معماری کارآمد و مقرون به صرفه با حداکثر امنیت را دارد.

این مقاله مراحلی را که واگنر و تیمش طی کرده‌اند، شرح می‌دهد که عبارتند از:

نقش های کلیدی را تعریف کنید: معماران و مهندسان برای پیاده سازی ابزار. کارشناسان مدیریت هویت و دسترسی (IAM) برای فعال کردن احراز هویت ایمن؛ رهبران مدیریت ریسک برای همسو کردن امنیت با اولویت های تجاری؛ کارکنان عملیات امنیتی برای واکنش به حادثه؛ و کارکنان اختصاص داده شده برای هر عملکرد سایبری.

یادگیری ماشین و هوش مصنوعی را جاسازی کنید: وظایف شامل خودکارسازی IAM است. ساده سازی بررسی تامین کنندگان؛ تحلیل رفتاری؛ و بهبود تشخیص تهدید.

انتخاب کنید کدام ابزارها و فرآیندها حفظ شوند و کدام یک جایگزین شوند: در حالی که معماری امنیت سایبری J&J مجموعه‌ای از سیستم‌های ایجاد شده توسط چندین دهه خرید است. وظایف در اینجا شامل فهرست‌بندی ابزارهای J&J بود. نگاشت آنها به مدل عملیاتی Kenvue. و شناسایی قابلیت های مورد نیاز جدید.

واگنر می گوید کارهای بیشتری باید انجام شود. در مرحله بعد، او قصد دارد به استراتژی های امنیتی مدرن، از جمله پذیرش اعتماد صفر و افزایش کنترل های فنی، متمایل شود.

ادامه مطلب: J&J Spin-Off CISO در به حداکثر رساندن امنیت سایبری

مرتبط: نگاهی به ابزارهای هوش مصنوعی ویزا در برابر تقلب

SolarWinds 2024: افشاگری‌های سایبری از اینجا به کجا می‌رسند؟

تفسیری توسط تام تووار، مدیر عامل و سازنده، Appdome

توصیه‌های به‌روز در مورد نحوه، زمان و مکان‌هایی که باید حوادث امنیت سایبری را تحت قانون چهار روزه SEC پس از SolarWinds افشا کنیم، دریافت کنید و به فراخوانی بپیوندید تا قانون را اصلاح کنیم تا ابتدا اصلاح کنیم.

در دنیای پس از بادهای خورشیدی، ما باید به سمت یک بندر امن ترمیم برای خطرات و حوادث امنیت سایبری برویم. به طور خاص، اگر هر شرکتی نقص ها یا حمله را در بازه زمانی چهار روزه برطرف کند، باید بتواند (الف) از ادعای تقلب اجتناب کند (یعنی چیزی برای صحبت در مورد آن وجود ندارد) یا (ب) از فرآیند استاندارد 10Q و 10K استفاده کند. از جمله بخش بحث و تحلیل مدیریت، برای افشای حادثه.

در 30 اکتبر، SEC یک درخواست را ثبت کرد شکایت کلاهبرداری علیه SolarWinds و مدیر ارشد امنیت اطلاعات آن، با این ادعا که اگرچه کارمندان و مدیران SolarWinds از افزایش خطرات، آسیب‌پذیری‌ها و حملات علیه محصولات SolarWinds در طول زمان اطلاع داشتند، "افشای خطرات امنیت سایبری SolarWinds به هیچ وجه آنها را فاش نکرد."

برای کمک به جلوگیری از مسائل مربوط به مسئولیت در این شرایط، یک بندر امن اصلاحی به شرکت‌ها اجازه می‌دهد یک چارچوب زمانی کامل چهار روزه برای ارزیابی و پاسخ به یک حادثه داشته باشند. سپس، در صورت اصلاح، برای افشای مناسب حادثه وقت بگذارید. نتیجه تأکید بیشتر بر پاسخ سایبری و تأثیر کمتر بر سهام عمومی یک شرکت است. 8Ks همچنان می تواند برای حوادث امنیت سایبری حل نشده استفاده شود.

ادامه مطلب: SolarWinds 2024: افشاگری‌های سایبری از اینجا به کجا می‌رسند؟

مرتبط: معنی SolarWinds برای DevSecOps چیست

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti