Ласкаво просимо до CISO Corner, щотижневого дайджесту статей Dark Reading, спеціально розробленого для читачів і лідерів безпеки. Щотижня ми пропонуватимемо статті, зібрані з наших новин, The Edge, DR Technology, DR Global і нашого розділу коментарів. Ми прагнемо запропонувати вам різноманітний набір точок зору для підтримки роботи із введення в дію стратегій кібербезпеки для керівників організацій усіх форм і розмірів.
У цьому випуску:
-
NIST Cybersecurity Framework 2.0: 4 кроки для початку
-
Apple, Signal дебютує з квантово-стійким шифруванням, але виклики загрозливі
-
Зараз 10:XNUMX. Ви знаєте, де сьогодні ввечері ваші моделі ШІ?
-
Організаціям загрожує серйозне покарання SEC за нерозкриття порушень
-
Регулювання біометричних даних загострюється, передвіщаючи головний біль щодо відповідності
-
DR Global: «Примарна» іранська хакерська група вловлює в пастку аерокосмічні та оборонні компанії Ізраїлю, ОАЕ
-
MITER випускає 4 абсолютно нові CWE для усунення помилок безпеки мікропроцесора
-
Конвергентні державні закони про конфіденційність і новий виклик ШІ
NIST Cybersecurity Framework 2.0: 4 кроки для початку
Автор: Роберт Лемос, співавтор, Dark Reading
Національний інститут стандартів і технологій (NIST) переглянув книгу про створення комплексної програми кібербезпеки, яка має на меті допомогти організаціям будь-якого розміру бути більш безпечними. Ось з чого почати втілювати зміни в життя.
Введення в дію останньої версії NIST's Cybersecurity Framework (CSF), випущеної цього тижня, може означати значні зміни в програмах кібербезпеки.
Наприклад, є абсолютно нова функція «Управління», яка включає більший нагляд виконавчої влади та правління за кібербезпекою, і вона розширюється найкращі практики безпеки, окрім тих, що стосуються критичних галузей. Загалом, у команд з кібербезпеки буде багато роботи, і їм доведеться ретельно проаналізувати існуючі оцінки, виявлені прогалини та заходи з усунення, щоб визначити вплив змін у структурі.
На щастя, наші поради щодо впровадження останньої версії NIST Cybersecurity Framework можуть допомогти вказати шлях уперед. Вони включають використання всіх ресурсів NIST (CSF – це не просто документ, а набір ресурсів, які компанії можуть використовувати для застосування структури до свого конкретного середовища та вимог); сісти з керівником для обговорення функції «Управління»; забезпечення безпеки ланцюга поставок; а також підтвердження того, що консультаційні послуги та продукти управління станом кібербезпеки переоцінені та оновлені для підтримки найновішої CSF.
Детальніше: NIST Cybersecurity Framework 2.0: 4 кроки для початку
За темою: Уряд США розширює роль у безпеці програмного забезпечення
Apple, Signal дебютує з квантово-стійким шифруванням, але виклики загрозливі
Джай Віджаян, співавтор, Dark Reading
PQ3 від Apple для захисту iMessage і PQXH від Signal показують, як організації готуються до майбутнього, в якому зламати протоколи шифрування стане експоненціально важче.
У міру того, як квантові комп’ютери стають зрілими і дають зловмисникам тривіально простий спосіб зламати навіть найбезпечніші поточні протоколи шифрування, організаціям потрібно зараз почати захищати комунікації та дані.
З цією метою новий постквантовий криптографічний (PQC) протокол Apple PQ3 для захисту комунікацій iMessage і аналогічний протокол шифрування, який Signal представив минулого року під назвою PQXDH, є квантово стійкими, тобто вони можуть — принаймні теоретично — протистояти атакам квантових комп’ютери намагаються їх зламати.
Але для організацій перехід до таких речей, як PQC, буде тривалим, складним і, ймовірно, болючим. Поточні механізми, які сильно залежать від інфраструктур відкритих ключів, вимагатимуть переоцінки та адаптації для інтеграції квантово-стійких алгоритмів. І перехід на постквантове шифрування представляє новий набір завдань управління для корпоративних ІТ-команд, технологій і безпеки, який нагадує попередні міграції, як-от з TLS1.2 на 1.3 та ipv4 на v6, обидва тривали десятиліттями.
Детальніше: Apple, Signal дебютує з квантово-стійким шифруванням, але виклики загрозливі
За темою: Злом слабкої криптографії до квантових обчислень
I10:XNUMX. Ви знаєте, де сьогодні ввечері ваші моделі ШІ?
Автор: Еріка Чіковскі, співавтор, Dark Reading
Відсутність видимості та безпеки моделі штучного інтелекту ставить проблему безпеки ланцюжка поставок програмного забезпечення на стероїд.
Якщо ви думали, що сьогодні проблема безпеки ланцюга поставок програмного забезпечення досить складна, пристебніться. Вибухове зростання використання штучного інтелекту скоро зробить ці проблеми в ланцюжку поставок експонентно складнішими для навігації в найближчі роки.
Моделі штучного інтелекту/машинного навчання забезпечують основу здатності систем ШІ розпізнавати шаблони, робити прогнози, приймати рішення, запускати дії або створювати вміст. Але правда в тому, що більшість організацій навіть не знають, як почати отримувати прибуток видимість усіх вбудованих моделей ШІ у своєму програмному забезпеченні.
Крім того, моделі та інфраструктура навколо них побудовані інакше, ніж інші компоненти програмного забезпечення, і традиційні інструменти безпеки та програмного забезпечення не створені для сканування чи розуміння того, як працюють моделі штучного інтелекту чи які у них недоліки.
«За задумом модель — це фрагмент коду, що виконується самостійно. Він має певну силу волі», — каже Дар’ян Дехганпішех, співзасновник Protect AI. «Якби я сказав вам, що у вашій інфраструктурі є активи, які ви не бачите, не можете ідентифікувати, ви не знаєте, що вони містять, ви не знаєте, що таке код, і вони виконуються самостійно і мати зовнішні дзвінки, це звучить підозріло як вірус дозволу, чи не так?»
Детальніше: Зараз 10:XNUMX. Ви знаєте, де сьогодні ввечері ваші моделі ШІ?
За темою: Платформа штучного інтелекту Hugging Face, пронизана 100 моделями виконання шкідливого коду
Організаціям загрожує серйозне покарання SEC за нерозкриття порушень
Автор: Роберт Лемос, співавтор
Компанії, які не дотримуються нових правил SEC щодо розкриття витоку даних, можуть бути мільйонними штрафами, шкодою репутації, судовими позовами акціонерів та іншими штрафами.
Компанії та їхні CISO можуть зіткнутися з будь-якими сотнями тисяч до мільйонів доларів у вигляді штрафів та інших санкцій від Комісії з цінних паперів і бірж США (SEC), якщо вони не отримають свої процеси кібербезпеки та розкриття даних, щоб відповідати вимогам. з новими правилами, які набули чинності.
Правила SEC мають зуби: Комісія може видати постійну судову заборону, яка зобов’язує відповідача припинити поведінку, яка лежить в основі справи, зобов’язати повернути неправомірно отриману вигоду або запровадити три рівні штрафних санкцій, які можуть призвести до астрономічних штрафів. .
Можливо, найбільше тривожить CISO — це особиста відповідальність, з якою вони зараз стикаються для багатьох сфер господарської діяльності, за які вони історично не несли відповідальності. Лише половина CISO (54%) впевнені у своїй здатності виконувати рішення SEC.
Все це призводить до широкого переосмислення ролі CISO та додаткових витрат для бізнесу.
Детальніше: Організаціям загрожує серйозне покарання SEC за нерозкриття порушень
За темою: Що компанії та CISO повинні знати про зростання правових загроз
Регулювання біометричних даних загострюється, передвіщаючи головний біль щодо відповідності
Девід Стром, співавтор, Dark Reading
Дедалі більше законів про конфіденційність, які регулюють біометрію, спрямовані на захист споживачів на тлі збільшення хмарних зловмисників і глибоких фейків, створених ШІ. Але компаніям, які обробляють біометричні дані, простіше сказати, ніж зробити.
Занепокоєння біометричною конфіденційністю посилюється завдяки зростанню загрози deepfake на основі штучного інтелекту (AI)., зростання використання біометричних даних бізнесом, очікуване нове законодавство про конфіденційність на державному рівні та новий виконавчий указ, виданий президентом Байденом цього тижня, який передбачає біометричний захист конфіденційності.
Це означає, що компанії повинні бути більш перспективними, передбачати та розуміти ризики, щоб створити відповідну інфраструктуру для відстеження та використання біометричного вмісту. А ті, хто веде бізнес на національному рівні, повинні будуть перевірити свої процедури захисту даних на відповідність різним правилам, включаючи розуміння того, як вони отримують згоду споживачів або дозволяють споживачам обмежувати використання таких даних і переконатися, що вони відповідають різним тонкощам правил.
Детальніше: Регулювання біометричних даних загострюється, передвіщаючи головний біль щодо відповідності
За темою: Виберіть найкращу біометричну автентифікацію для свого випадку використання
DR Global: «Примарна» іранська хакерська група вловлює в пастку аерокосмічні та оборонні компанії Ізраїлю, ОАЕ
Автор: Роберт Лемос, співавтор, Dark Reading
UNC1549, також відомий як Smoke Sand Storm і Tortoiseshell, схоже, є винуватцем кампанії кібератак, налаштованої для кожної цільової організації.
Іранська група загроз UNC1549 — також відома як «Димова піщана буря» та «Панцир черепахи» — переслідує аерокосмічну та оборонні фірми в Ізраїлі, Об’єднані Арабські Емірати та інші країни Великого Близького Сходу.
За словами Джонатана Летері, головного аналітика Mandiant Google Cloud, атаку може бути важко виявити, якщо не враховувати спеціалізований фішинг, орієнтований на працевлаштування, і використання хмарної інфраструктури для командування й контролю.
«Найбільш помітна частина полягає в тому, наскільки ілюзорною може бути ця загроза для виявлення та відстеження — вони явно мають доступ до значних ресурсів і вибірково орієнтуються», — каже він. «Ймовірно, цей гравець активізується ще не виявлено, і ще менше інформації про те, як вони діють після того, як вони скомпрометували ціль».
Детальніше: «Примарна» іранська хакерська група захопила аерокосмічні та оборонні компанії Ізраїлю, ОАЕ
За темою: Китай запускає новий план кіберзахисту для промислових мереж
MITER випускає 4 абсолютно нові CWE для усунення помилок безпеки мікропроцесора
Джай Віджаян, співавтор, Dark Reading
Мета полягає в тому, щоб дати розробникам чіпів і фахівцям-практикам безпеки в області напівпровідників краще зрозуміти основні недоліки мікропроцесора, такі як Meltdown і Spectre.
Зі збільшенням кількості експлойтів побічних каналів, націлених на ресурси процесора, програма Common Weakness Enumeration (CWE) під керівництвом MITRE додала чотири нові слабкі місця, пов’язані з мікропроцесором, до свого списку поширених типів уразливостей програмного та апаратного забезпечення.
CWE є результатом спільних зусиль між Intel, AMD, Arm, Riscure і Cycuity і дають розробникам процесорів і спеціалістам із захисту напівпровідників спільну мову для обговорення недоліків сучасних мікропроцесорних архітектур.
Чотири нових CWE: CWE-1420, CWE-1421, CWE-1422 і CWE-1423.
CWE-1420 стосується викриття конфіденційної інформації під час тимчасового або спекулятивного виконання — функція оптимізації обладнання, пов’язана з Meltdown і Spectre — і є «батьком» трьох інших CWE.
CWE-1421 має відношення до витоків конфіденційної інформації в спільних мікроархітектурних структурах під час тимчасового виконання; CWE-1422 усуває витоки даних, пов’язані з неправильним пересиланням даних під час тимчасового виконання. CWE-1423 розглядає дані, пов’язані з певним внутрішнім станом мікропроцесора.
Детальніше: MITER випускає 4 абсолютно нові CWE для усунення помилок безпеки мікропроцесора
За темою: MITER випускає прототип безпеки ланцюга поставок
Конвергентні державні закони про конфіденційність і новий виклик ШІ
Коментар Джейсона Едінгера, старшого консультанта з безпеки, конфіденційність даних, GuidePoint Security
Настав час для компаній поглянути на те, що вони обробляють, які типи ризиків у них є та як вони планують зменшити цей ризик.
У 2023 році вісім штатів США прийняли законодавство про конфіденційність даних, а в 2024 році закони набудуть чинності в чотирьох, тому компаніям потрібно сидіти склавши руки і детально дивитися на дані, які вони обробляють, які типи ризиків вони мають, як цим керувати. ризику та їхні плани пом’якшення виявленого ризику. Прийняття ШІ зробить це складнішим.
Оскільки підприємства розробляють стратегію дотримання всіх цих нових нормативних актів, варто зауважити, що, незважаючи на те, що ці закони багато в чому узгоджуються, вони також демонструють нюанси, характерні для штату.
Компанії повинні очікувати побачити багато нові тенденції конфіденційності даних цього року, в тому числі:
-
Продовження прийняття державами комплексних законів про конфіденційність. Ми не знаємо, скільки пройде цього року, але напевно буде багато активних дискусій.
-
ШІ стане важливою тенденцією, оскільки підприємства побачать небажані наслідки його використання, що призведе до порушень і штрафів через швидке впровадження ШІ без будь-якого фактичного законодавства чи стандартизованих рамок.
-
2024 рік — це рік президентських виборів у США, які підвищать обізнаність і привернуть увагу до конфіденційності даних. Конфіденційність дітей також набуває все більшого значення: такі штати, як Коннектикут, запроваджують додаткові вимоги.
-
Компанії також повинні передбачити тенденцію до суверенітету даних у 2024 році. Транснаціональні корпорації повинні витрачати більше часу на те, щоб зрозуміти, де зберігаються їхні дані та вимоги за цими міжнародними зобов’язаннями, щоб відповідати вимогам резидентності та суверенітету даних для дотримання міжнародного права.
Детальніше: Конвергентні державні закони про конфіденційність і новий виклик ШІ
За темою: Конфіденційність перевершує програмне забезпечення-вимагач як головне страхування
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok
