به CISO Corner، خلاصه مقالات هفتگی Dark Reading که به طور خاص برای خوانندگان عملیات امنیتی و رهبران امنیتی طراحی شده است، خوش آمدید. هر هفته، ما مقالاتی را ارائه خواهیم کرد که از سراسر عملیات خبری، The Edge، DR Technology، DR Global، و بخش تفسیر خود جمع آوری شده اند. ما متعهد هستیم که مجموعهای از دیدگاههای متنوع را برای پشتیبانی از کار عملیاتی کردن استراتژیهای امنیت سایبری، برای رهبران سازمانهایی با هر شکل و اندازهای به شما ارائه دهیم.
در این شماره از CISO Corner:
-
Kindervag می گوید: 5 حقیقت سخت در مورد وضعیت امنیت ابری 2024
-
MITER ATT&CKED: مورد اعتمادترین نام InfoSec به ایوانتی باگ می رسد
-
درس هایی برای CISO ها از 10 برتر LLM OWASP
-
Cyberattack Gold: SBOM ها سرشماری آسانی از نرم افزارهای آسیب پذیر ارائه می دهند
-
جهانی: دارای مجوز برای بیل؟ کشورها صدور گواهینامه و مجوز متخصصان امنیت سایبری را اجباری می کنند
-
جانسون و جانسون اسپین آف CISO در به حداکثر رساندن امنیت سایبری
-
SolarWinds 2024: افشاگریهای سایبری از اینجا به کجا میرسند؟
5 حقیقت سخت در مورد وضعیت امنیت ابری 2024
توسط Ericka Chickowski، نویسنده مشارکت کننده، Dark Reading
Dark Reading در مورد امنیت ابری با جان کیندرواگ، پدرخوانده اعتماد صفر صحبت می کند.
اکثر سازمان ها به طور کامل با آنها کار نمی کنند شیوه های امنیتی ابر بالغ، علیرغم اینکه تقریباً نیمی از رخنه ها از ابر منشاء می گیرند و تقریباً 4.1 میلیون دلار به دلیل رخنه های ابری در سال گذشته از دست رفته است.
به گفته پدرخوانده امنیت صفر اعتماد، جان کیندرواگ، که مدل امنیت صفر اعتماد را به عنوان یک تحلیلگر در Forrester مفهوم سازی و رایج کرد، این یک مشکل بزرگ است. او به دارک ریدینگ میگوید که برای تغییر اوضاع باید با حقیقتهای سختی روبرو شد.
1. فقط با رفتن به ابر امن تر نمی شوید: ابر ذاتاً از بسیاری از محیطهای داخلی امنتر نیست: ارائهدهندگان ابر مقیاس ابر ممکن است در محافظت از زیرساختها بسیار خوب باشند، اما کنترل و مسئولیتی که آنها بر وضعیت امنیتی مشتریان خود دارند بسیار محدود است. و مدل مسئولیت مشترک واقعا کار نمی کند.
2. مدیریت کنترلهای امنیتی بومی در دنیای ترکیبی دشوار است: وقتی صحبت از ارائه کنترل بیشتر به مشتریان بر روی حجم کاری، هویت و دید آنها میشود، کیفیت ناسازگار است، اما کنترلهای امنیتی که میتوانند در تمام ابرهای متعدد مدیریت شوند، گریزان هستند.
3. هویت ابر شما را نجات نخواهد داد: با تأکید بسیار بر مدیریت هویت ابری و توجه نامتناسب به مؤلفه هویت در اعتماد صفر، برای سازمانها مهم است که درک کنند که هویت تنها بخشی از یک صبحانه متعادل برای اعتماد صفر به ابر است.
4. بسیاری از شرکت ها نمی دانند از چه چیزی می خواهند محافظت کنند: هر دارایی یا سیستم یا فرآیندی ریسک منحصر به فرد خود را به همراه خواهد داشت، اما سازمان ها فاقد ایده روشنی از آنچه در ابر است یا آنچه به ابر متصل می شود، ندارند، چه رسد به اینکه چه چیزی نیاز به محافظت دارد.
5. مشوق های توسعه بومی ابری از کار افتاده است: بسیاری از سازمانها به سادگی ساختارهای انگیزشی مناسبی برای توسعهدهندگان ندارند تا در حین کار در امنیت کار کنند - و در واقع، بسیاری از آنها مشوقهای انحرافی دارند که در نهایت باعث تشویق عمل ناامن میشود. من دوست دارم بگویم که افراد برنامه DevOps، ریکی بابی های فناوری اطلاعات هستند. آنها فقط می خواهند سریع پیش بروند،" کیندرواگ می گوید.
ادامه مطلب: 5 حقیقت سخت در مورد وضعیت امنیت ابری 2024
مرتبط: Zero Trust تسلط دارد: 63٪ از سازمان هایی که در سطح جهانی اجرا می شوند
MITER ATT&CKED: مورد اعتمادترین نام InfoSec به ایوانتی باگ می رسد
توسط نیت نلسون، نویسنده مشارکت کننده، تاریک خواندن
این طنز در مورد تعداد کمی از بین رفته است، زیرا یک بازیگر تهدید کننده دولت-ملت از هشت تکنیک MITER برای نقض خود MITER استفاده کرد - از جمله سوء استفاده از اشکالات Ivanti که مهاجمان برای ماه ها ازدحام کرده اند.
هکرهای دولت ملی خارجی استفاده کرده اند دستگاه های لبه ایوانتی آسیب پذیر برای به دست آوردن سه ماه دسترسی "عمیق" به یکی از شبکه های طبقه بندی نشده MITER Corp.
MITRE، مباشر واژه نامه همه جا حاضر ATT&CK تکنیک های رایج حمله سایبری، پیش از این 15 سال را بدون حادثه بزرگ پشت سر گذاشت. این خط در ژانویه زمانی که مانند بسیاری از سازمانهای دیگر، دستگاههای دروازه ایوانتی آن مورد سوء استفاده قرار گرفتند، قطع شد.
این نقض بر روی محیط آزمایش، تحقیق و مجازی سازی شبکه ای (NERVE)، شبکه ای طبقه بندی نشده و مشارکتی که سازمان برای تحقیق، توسعه و نمونه سازی از آن استفاده می کند، تأثیر گذاشت. میزان آسیب عصبی ( جناس مورد نظر) در حال حاضر در حال ارزیابی است.
اهداف آنها هر چه بود، هکرها زمان کافی برای اجرای آنها داشتند. اگرچه مصالحه در ژانویه اتفاق افتاد، MITER تنها توانست آن را در ماه آوریل شناسایی کند و یک فاصله ربع ساله در این بین باقی گذاشت.
ادامه مطلب: MITER ATT&CKED: مورد اعتمادترین نام InfoSec به ایوانتی باگ می رسد
مرتبط: تکنیک های برتر MITER ATT&CK و نحوه دفاع در برابر آنها
درس هایی برای CISO ها از 10 برتر LLM OWASP
تفسیر کوین بوچک، مدیر ارشد نوآوری، ونافی
زمان آن فرا رسیده است که LLM ها را تنظیم کنید تا مطمئن شوید که آنها به طور دقیق آموزش دیده اند و آماده انجام معاملات تجاری هستند که می تواند بر روی نتیجه تأثیر بگذارد.
OWASP اخیراً لیست 10 برنامه برتر خود را برای برنامه های کاربردی مدل زبان بزرگ (LLM) منتشر کرده است، بنابراین توسعه دهندگان، طراحان، معماران و مدیران اکنون 10 حوزه دارند که باید به وضوح روی نگرانی های امنیتی تمرکز کنند.
تقریباً همه 10 تهدید برتر LLM تمرکز حول یک مصالحه در احراز هویت برای هویت های استفاده شده در مدل ها. روشهای مختلف حمله دامنه را اجرا میکنند و نه تنها بر هویت ورودیهای مدل، بلکه بر هویت خود مدلها و همچنین خروجیها و اقدامات آنها تأثیر میگذارند. این یک اثر ضربهای دارد و احراز هویت را در امضای کد و ایجاد فرآیندهایی برای توقف آسیبپذیری در منبع میطلبد.
در حالی که بیش از نیمی از 10 ریسک اصلی، خطراتی هستند که اساساً کاهش مییابند و خواستار کلید مرگ برای هوش مصنوعی هستند، شرکتها باید گزینههای خود را هنگام استقرار LLMهای جدید ارزیابی کنند. اگر ابزارهای مناسب برای احراز هویت ورودیها و مدلها و همچنین اقدامات مدلها وجود داشته باشد، شرکتها برای استفاده از ایده kill-switch هوش مصنوعی و جلوگیری از تخریب بیشتر مجهز خواهند شد.
ادامه مطلب: درس هایی برای CISO ها از 10 برتر LLM OWASP
مرتبط: Bugcrowd رتبه بندی آسیب پذیری را برای LLM ها اعلام می کند
Cyberattack Gold: SBOM ها سرشماری آسانی از نرم افزارهای آسیب پذیر ارائه می دهند
توسط راب لموس، نویسنده مشارکت کننده، تاریک خواندن
مهاجمان احتمالاً از صورتحسابهای نرمافزاری (SBOM) برای جستجوی نرمافزارهایی که بالقوه در برابر نقصهای نرمافزاری خاص آسیبپذیر هستند، استفاده خواهند کرد.
دولت و شرکتهای حساس به امنیت بهطور فزایندهای از سازندگان نرمافزار میخواهند که صورتحسابهای نرمافزاری مواد (SBOM) را برای رسیدگی به ریسک زنجیره تامین در اختیارشان بگذارند – اما این موضوع باعث ایجاد یک دسته جدید از نگرانیها میشود.
به طور خلاصه: لری پسس، مدیر تحقیق و تحلیل امنیت محصول در نرم افزار می گوید: مهاجمی که تعیین می کند یک شرکت مورد نظر چه نرم افزاری را اجرا می کند، می تواند SBOM مرتبط را بازیابی کند و اجزای برنامه را برای نقاط ضعف تجزیه و تحلیل کند، همه اینها بدون ارسال یک بسته واحد. شرکت امنیت زنجیره تامین Finite State.
او یک آزمایشکننده نفوذ 20 ساله است که قصد دارد در ارائهای در مورد "SBOMs شیطانی" در کنفرانس RSA در ماه مه در مورد خطر هشدار دهد. او نشان خواهد داد که SBOM ها اطلاعات کافی برای اجازه دادن به مهاجمان را دارند CVE های خاص را در پایگاه داده SBOM ها جستجو کنید و برنامه ای را پیدا کنید که احتمالاً آسیب پذیر است. او میگوید که حتی برای مهاجمان بهتر است، SBOMها سایر اجزا و ابزارهای کاربردی روی دستگاه را نیز فهرست میکنند که مهاجم میتواند برای «زندگی خارج از زمین» پس از سازش استفاده کند.
ادامه مطلب: Cyberattack Gold: SBOM ها سرشماری آسانی از نرم افزارهای آسیب پذیر ارائه می دهند
مرتبط: شرکت جنوبی SBOM برای پست برق میسازد
جهانی: دارای مجوز برای بیل؟ کشورها صدور گواهینامه و مجوز متخصصان امنیت سایبری را اجباری می کنند
توسط رابرت لموس، نویسنده مشارکت کننده، خواندن تاریک
مالزی، سنگاپور و غنا جزو اولین کشورهایی هستند که قوانینی را تصویب کردند که به امنیت سایبری نیاز دارند. شرکت ها - و در برخی موارد، مشاوران فردی - برای دریافت مجوز برای انجام تجارت، اما نگرانی ها همچنان وجود دارد.
مالزی حداقل به دو کشور دیگر پیوسته است. سنگاپور و غنا - در تصویب قوانینی که متخصصان امنیت سایبری یا شرکتهای آنها را ملزم میکند تا برای ارائه برخی خدمات امنیت سایبری در کشورشان گواهی و مجوز داشته باشند.
به گفته مستقر در مالزی، در حالی که الزامات این قانون هنوز مشخص نشده است، "این احتمالاً برای ارائه دهندگان خدماتی اعمال می شود که خدماتی را برای محافظت از دستگاه های فناوری اطلاعات و ارتباطات شخص دیگری ارائه می دهند - [به عنوان مثال] ارائه دهندگان تست نفوذ و مراکز عملیات امنیتی". شرکت حقوقی کریستوفر و لی اونگ
سنگاپور، همسایه آسیا و اقیانوسیه، در دو سال گذشته به ارائهدهندگان خدمات امنیت سایبری (CSP) و کشور غنا در غرب آفریقا، که به مجوز و اعتبار حرفهای امنیت سایبری نیاز دارد، نیاز داشته است. به طور گستردهتر، دولتهایی مانند اتحادیه اروپا گواهیهای امنیت سایبری را عادی کردهاند، در حالی که آژانسهای دیگر - مانند ایالت نیویورک آمریکا - برای قابلیتهای امنیت سایبری در صنایع خاص به گواهینامه و مجوز نیاز دارند.
با این حال، برخی از کارشناسان پیامدهای بالقوه خطرناکی را از این حرکت ها می بینند.
ادامه مطلب: دارای مجوز برای بیل؟ کشورها صدور گواهینامه و مجوز متخصصان امنیت سایبری را اجباری می کنند
مرتبط: سنگاپور نوار بالایی را در آمادگی امنیت سایبری تعیین می کند
J&J Spin-Off CISO در به حداکثر رساندن امنیت سایبری
توسط کارن دی. شوارتز، نویسنده مشارکت کننده، خواندن تاریک
چگونه CISO of Kenvue، یک شرکت مراقبت های بهداشتی مصرف کننده از جانسون و جانسون منشعب شد، ابزارها و ایده های جدید را برای ایجاد برنامه امنیتی ترکیب کرد.
مایک واگنر از جانسون و جانسون به شکل گیری رویکرد امنیتی و پشته امنیتی شرکت Fortune 100 کمک کرد. در حال حاضر، او اولین CISO از بخش مراقبت های بهداشتی مصرف کننده یک ساله J&J، Kenvue است که وظیفه ایجاد یک معماری کارآمد و مقرون به صرفه با حداکثر امنیت را دارد.
این مقاله مراحلی را که واگنر و تیمش طی کردهاند، شرح میدهد که عبارتند از:
نقش های کلیدی را تعریف کنید: معماران و مهندسان برای پیاده سازی ابزار. کارشناسان مدیریت هویت و دسترسی (IAM) برای فعال کردن احراز هویت ایمن؛ رهبران مدیریت ریسک برای همسو کردن امنیت با اولویت های تجاری؛ کارکنان عملیات امنیتی برای واکنش به حادثه؛ و کارکنان اختصاص داده شده برای هر عملکرد سایبری.
یادگیری ماشین و هوش مصنوعی را جاسازی کنید: وظایف شامل خودکارسازی IAM است. ساده سازی بررسی تامین کنندگان؛ تحلیل رفتاری؛ و بهبود تشخیص تهدید.
انتخاب کنید کدام ابزارها و فرآیندها حفظ شوند و کدام یک جایگزین شوند: در حالی که معماری امنیت سایبری J&J مجموعهای از سیستمهای ایجاد شده توسط چندین دهه خرید است. وظایف در اینجا شامل فهرستبندی ابزارهای J&J بود. نگاشت آنها به مدل عملیاتی Kenvue. و شناسایی قابلیت های مورد نیاز جدید.
واگنر می گوید کارهای بیشتری باید انجام شود. در مرحله بعد، او قصد دارد به استراتژی های امنیتی مدرن، از جمله پذیرش اعتماد صفر و افزایش کنترل های فنی، متمایل شود.
ادامه مطلب: J&J Spin-Off CISO در به حداکثر رساندن امنیت سایبری
مرتبط: نگاهی به ابزارهای هوش مصنوعی ویزا در برابر تقلب
SolarWinds 2024: افشاگریهای سایبری از اینجا به کجا میرسند؟
تفسیری توسط تام تووار، مدیر عامل و سازنده، Appdome
توصیههای بهروز در مورد نحوه، زمان و مکانهایی که باید حوادث امنیت سایبری را تحت قانون چهار روزه SEC پس از SolarWinds افشا کنیم، دریافت کنید و به فراخوانی بپیوندید تا قانون را اصلاح کنیم تا ابتدا اصلاح کنیم.
در دنیای پس از بادهای خورشیدی، ما باید به سمت یک بندر امن ترمیم برای خطرات و حوادث امنیت سایبری برویم. به طور خاص، اگر هر شرکتی نقص ها یا حمله را در بازه زمانی چهار روزه برطرف کند، باید بتواند (الف) از ادعای تقلب اجتناب کند (یعنی چیزی برای صحبت در مورد آن وجود ندارد) یا (ب) از فرآیند استاندارد 10Q و 10K استفاده کند. از جمله بخش بحث و تحلیل مدیریت، برای افشای حادثه.
در 30 اکتبر، SEC یک درخواست را ثبت کرد شکایت کلاهبرداری علیه SolarWinds و مدیر ارشد امنیت اطلاعات آن، با این ادعا که اگرچه کارمندان و مدیران SolarWinds از افزایش خطرات، آسیبپذیریها و حملات علیه محصولات SolarWinds در طول زمان اطلاع داشتند، "افشای خطرات امنیت سایبری SolarWinds به هیچ وجه آنها را فاش نکرد."
برای کمک به جلوگیری از مسائل مربوط به مسئولیت در این شرایط، یک بندر امن اصلاحی به شرکتها اجازه میدهد یک چارچوب زمانی کامل چهار روزه برای ارزیابی و پاسخ به یک حادثه داشته باشند. سپس، در صورت اصلاح، برای افشای مناسب حادثه وقت بگذارید. نتیجه تأکید بیشتر بر پاسخ سایبری و تأثیر کمتر بر سهام عمومی یک شرکت است. 8Ks همچنان می تواند برای حوادث امنیت سایبری حل نشده استفاده شود.
ادامه مطلب: SolarWinds 2024: افشاگریهای سایبری از اینجا به کجا میرسند؟
مرتبط: معنی SolarWinds برای DevSecOps چیست
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cybersecurity-operations/ciso-corner-evil-sboms-zero-trust-cloud-security-mitre-ivanti