CISO-hjørne: DoD Regs, Neurodiverse Talent & Tel Avivs letbane

Velkommen til CISO Corner, Dark Readings ugentlige sammendrag af artikler, der er skræddersyet specifikt til læsere af sikkerhedsoperationer og sikkerhedsledere. Hver uge vil vi tilbyde artikler hentet fra hele vores nyhedsfunktion, The Edge, DR Tech, DR Global og vores kommentarsektion. Vi er forpligtet til at give dig et mangfoldigt sæt af perspektiver til at understøtte arbejdet med at operationalisere cybersikkerhedsstrategier for ledere i organisationer af alle former og størrelser.

I dette nummer:

Hvordan SEC's regler om offentliggørelse af cybersikkerhedshændelser udnyttes

Kommentar af Ken Dunham, Cyber ​​Threat Director, Qualys Threat Research Unit

Cyberhygiejne er ikke længere en god ting at have, men nødvendig for organisationer, der ønsker at overleve den ubarmhjertige byge af cyberangreb, der udløses dagligt.

Securities and Exchange Commission (SEC) har for nylig vedtaget nye regler, der kræver, at børsnoterede virksomheder rapporterer cyberangreb med væsentlig indvirkning. Undladelse af at gøre det vil sandsynligvis resultere i økonomiske sanktioner og skade på omdømme.

Selvom det i teorien er en velsignelse for virksomhedens interessenter, ser trusselsaktører en mulighed for afpresning. For eksempel har ALPHV ransomware-banden angiveligt brudt MeridianLinks netværk i november og eksfiltreret data uden at kryptere systemer. Da MeridianLink undlod at betale en løsesum for at beskytte sine data, ALPHV sendte en klage direkte til SEC ud af bruddet.

Det er et glimt af, hvordan tingene kunne gå fremad i den hastigt udviklende verden af ​​afpresningstaktik, især i betragtning af den store mængde muligheder for at kompromittere virksomheder i disse dage. Der blev afsløret 26,447 sårbarheder i 2023 ifølge Qualys-analytikere, og af dem, der blev kategoriseret som højrisiko- eller kritiske, slog hackere ind på en fjerdedel af dem og offentliggjorde "n-dages"-benyttelser samme dag som de blev offentliggjort.

Heldigvis er der nogle skridt, virksomheder kan tage for at modarbejde denne form for pres.

Læs videre: Hvordan SEC's regler om offentliggørelse af cybersikkerhedshændelser udnyttes

Relateret: Et cyberforsikringsselskabs perspektiv på, hvordan man undgår ransomware

styret alt? Leverandører skifter fokus til tjenester

Af Robert Lemos, bidragende skribent, Dark Reading

Flere virksomheder vælger at administrere komplekse sikkerhedsfunktioner, såsom datadetektion og respons.

Trusselhåndteringsfirmaet Rapid7 og datasikkerhedsfirmaet Varonis annoncerede nye administrerede tjenester i denne uge, og de er blevet de seneste sikkerhedsvirksomheder til at samle komplekse sikkerhedsfunktioner sammen i administrerede tilbud.

På mange måder, managed detection and response (MDR) dækker meget af jorden og har indtil videre gjort det godt for leverandører og deres kunder. Leverandører har glade kunder, usædvanlig hurtig vækstrate og en meget høj margin for servicen. I mellemtiden kan virksomheder fokusere på selve truslerne, hvilket fører til hurtigere opdagelse og reaktion. Fokus på dataene kunne forbedre responstiden, men det er langt fra sikkert.

At tilbyde en administreret version af en ny sikkerhedstjeneste vil være en stadig mere almindelig tilgang, da oprettelsen af ​​en intern cybersikkerhedskapacitet er dyr, ifølge analytikerfirmaet Frost & Sullivan.

"I lyset af manglen på cybersikkerhedsprofessionelle leder organisationer efter måder at automatisere processen med trusselsdetektion og -respons," hedder det i rapporten. "Den nye generation af løsninger og tjenester lover at implementere maskinlæring og kunstig intelligens og automatisere beslutningstagning for at forbedre den overordnede ydeevne af sikkerhedsstakken."

Få mere at vide om overgangen til administreret: styret alt? Leverandører skifter fokus til tjenester

Relateret: Tips til at tjene penge på SecOps-hold

Spørgsmål og svar: Tel Aviv Railway Project bager i cyberforsvar

Fra DR Global

Hvordan en letbane i Israel styrker sin cybersikkerhedsarkitektur midt i en stigning i OT-netværkstrusler.

Jernbanenetværk lider under en stigning i cyberangreb, især en hændelse i august, hvor hackere infiltreret radiofrekvenskommunikationen fra Polens jernbanenet og midlertidigt forstyrrede togtrafikken.

For at undgå den samme skæbne er Tel Avivs Purple Line letbanetransport (LRT), en linje, der i øjeblikket er under opførelse og skal være åben og køre i slutningen af ​​dette årti, ved at indbygge cybersikkerhed direkte i sin konstruktion.

Dark Reading talte med Eran Ner Gaon, CISO fra Tel Aviv Purple Line LRT, og Shaked Kafzan, medstifter og CTO for udbyderen af ​​jernbanecybersikkerhed Cervello, om jernbanens omfattende OT sikkerhedsstrategi, som omfatter foranstaltninger som trusselsefterretninger, teknologiske foranstaltninger, hændelsesresponsplaner og træning af medarbejdere relateret til reguleringen af ​​Israels nationale cyberdirektorat.

Læs mere om dette casestudie: Spørgsmål og svar: Tel Aviv Railway Project bager i cyberforsvar

Relateret: Jernbanecybersikkerhed er et komplekst miljø

Verdens regeringer, tekniske giganter underskriver løfte om spywareansvar

Af Tara Seals, administrerende redaktør, Dark Reading

Frankrig, Storbritannien, USA og andre vil arbejde på en ramme for ansvarlig brug af værktøjer som NSO Groups Pegasus, og Shadowserver Foundation vinder en investering på 1 million pund.

Kommerciel spyware, såsom NSO Groups Pegasus, er normalt installeret på iPhones eller Android-enheder og kan aflytte telefonopkald; opsnappe beskeder; tage billeder med kameraerne; eksfiltrere appdata, billeder og filer; og tage stemme- og videooptagelser. Værktøjerne gør normalt brug af zero-day exploits til indledende adgang og sælger for millioner af dollars, hvilket betyder, at deres målmarkedet har en tendens til at bestå af globale regeringskunder og store kommercielle interesser.

I denne uge har en koalition af snesevis af lande inklusive Frankrig, Storbritannien og USA sammen med teknologigiganter som Google, Meta, Microsoft og NCC Group underskrevet en fælles aftale om at bekæmpe brugen af ​​kommerciel spyware på måder. der krænker menneskerettighederne.

Den britiske vicepremierminister Oliver Dowden annoncerede startskuddet for spyware-initiativet, kaldet "Pall Mall-processen", som vil være et "multi-stakeholder-initiativ ... for at tackle spredningen og uansvarlig brug af kommercielt tilgængelige cyberindtrængningskapaciteter," forklarede han. .

Mere specifikt vil koalitionen etablere retningslinjer for udvikling, salg, facilitering, køb og brug af disse typer værktøjer og tjenester, herunder at definere uansvarlig adfærd og skabe en ramme for deres gennemsigtige og ansvarlige brug.

Find ud af, hvorfor kommercielt spywareløfte er vigtigt: Verdens regeringer, tekniske giganter underskriver løfte om spywareansvar

Relateret: Pegasus Spyware retter sig mod det jordanske civilsamfund i vidtrækkende angreb

DoD's CMMC er startlinjen, ikke finishen

Kommentar af Chris Petersen, Co-Founder & CEO, RADICL

Cybersecurity Maturity Model Certification (CMMC) og en hærde, opdage og reagere tankegang er nøglen til at beskytte forsvars- og kritiske infrastrukturvirksomheder.

Som trusselsaktører kan lide Volt Typhoon fortsætter med at målrette kritisk infrastruktur, vil det amerikanske forsvarsministeriums Cybersecurity Maturity Model Certification (CMMC) snart blive et strengt håndhævet mandat.

Virksomheder, der opnår overholdelse af CMMC (som er blevet tilpasset til NIST 800-171 på "Avanceret" certificeringsniveau), vil blive et sværere mål, men ægte cybertrusselsbeskyttelse og modstandsdygtighed betyder, at man går ud over "check-the-box" CMMC / NIST 800-171 overholdelse. Det betyder, at du skal flytte til "harden-detect-respond (HDR)"-operationer.

CMMC/NIST 800-171 giver de fleste HDR-funktioner. En virksomheds stringens og dybde i at realisere dem kan dog gøre forskellen mellem at forblive sårbar over for en nationalstats cybertrussel eller forblive beskyttet.

Her er de 7 kritiske HDR-praksis: CMMC er startlinjen, ikke afslutningen

Relateret: Hvordan 'Big 4′ Nations' cyberkapacitet truer Vesten

Hvorfor efterspørgslen efter bordøvelser vokser

Af Grant Gross, medvirkende forfatter, Dark Reading

Bordøvelser kan være en effektiv og overkommelig måde at teste en organisations forsvars- og reaktionsevner mod cyberangreb.

Cybersikkerhedsøvelser findes i mange former, men en af ​​de billigste og mest effektive er bordøvelsen. Disse øvelser løber typisk i to til fire timer og kan koste mindre end $50,000 (nogle gange meget mindre), med en stor del af udgifterne relateret til planlægning og facilitering af begivenheden.

Den almindelige tilgang til bordøvelser er gammeldags og lavteknologisk, men tilhængere siger, at et veldrevet scenarie kan afsløre huller i organisationers reaktions- og afhjælpningsplaner. Og efterspørgslen efter bordøvelser er vokset eksponentielt i de sidste to år, drevet af compliance-problemer, bestyrelsesdirektiver og cyberforsikringsmandater.

Faktisk kalder nonprofitcentret for internetsikkerhed bordplader "et must", og understreger, at de hjælper organisationer med bedre at koordinere separate forretningsenheder som reaktion på et angreb og identificere de medarbejdere, der vil spille kritiske roller under og efter et angreb.

Læs mere om at få mest muligt ud af bordøvelser: Hvorfor efterspørgslen efter bordøvelser vokser

Relateret: Top 6 fejl i hændelsesrespons bordøvelser

Hvordan neurodiversitet kan hjælpe med at udfylde manglen på arbejdsstyrke inden for cybersikkerhed

Kommentar af Dr. Jodi Asbell-Clarke, Senior Research Leader, TERC

Mange mennesker med ADHD, autisme, ordblindhed og andre neurodiverse tilstande bringer nye perspektiver, der kan hjælpe organisationer med at løse cybersikkerhedsudfordringer.

ISC2, som siger global arbejdsstyrkeforskel er på 3.4 millioner, går ind for, at virksomheder rekrutterer en mere forskelligartet befolkning, hvilket mange tolker som at det betyder inklusionsindsats omkring race og køn. Selvom det er afgørende, er der et andet område at udvide til: Neurodiversitet.

Mange top STEM-virksomheder, herunder Microsoft, SAP og EY, har initiativer til neurodiversitetsarbejdsstyrke. Mens de fleste ansættelsesprogrammer for neurodiversitet oprindeligt fokuserede på autisme, udvider mange arbejdsgivere til at omfatte personer med opmærksomhedsunderskud/hyperaktivitetsforstyrrelse (ADHD), ordblindhed og andre (nogle gange ikke-mærkede) forskelle.

Neurodiversitet er en konkurrencefordel: Nogle mennesker med autisme udmærker sig for eksempel i detaljeret mønstergenkendelse og systematisk tænkning - perfekt til jobs, der involverer overvågning og opdagelse af sikkerhedsbrud. ADHD og ordblindhed er i mellemtiden forbundet med øget idégenerering og evnen til at se sammenhænge mellem nye ideer - værdifulde for at tilgå problemer på nye og anderledes måder.

Et problem, disse virksomheder står over for, er ikke at finde nok neurodivergent talent. Heldigvis er der strategier til at overvinde vanskeligheder med at afdække disse individer.

Sådan rekrutterer du neurodiverse talent: Hvordan neurodiversitet kan hjælpe med at udfylde manglen på arbejdsstyrke inden for cybersikkerhed

Relateret: Cyberbeskæftigelse 2024: Skyhøje forventninger fejler virksomheder og jobsøgende

QR-kode 'Quishing' angreb på ledere, der undgår e-mailsikkerhed

Af Robert Lemos, bidragende skribent, Dark Reading

Brugen af ​​QR-koder til at levere ondsindede nyttelaster steg i Q4 2023, især over for ledere, som oplevede 42 gange mere QR-kode-phishing end den gennemsnitlige medarbejder.

Cyberangribere omfavner QR-koder som en måde at specifikt målrette mod ledere: I fjerde kvartal af 2023 så den gennemsnitlige topchef i C-suiten 42 gange flere phishing-angreb ved hjælp af QR-koder sammenlignet med den gennemsnitlige medarbejder.

Andre lederroller led også af en stigning i angreb, selvom de var betydeligt mindre, hvor disse ikke-C-suite ledere stødte på fem gange flere QR-kode-baserede phishing-angreb, ifølge virksomhedens rapport.

Fokus på de øverste niveauer af en organisation kan skyldes effektiviteten af ​​"quishing" til at komme forbi endpoint-forsvar, som kan være mere stringent på højere-ups' maskiner. Fordi angribere skjuler deres phishing-link i et billede, QR-kode phishing omgår brugermistanker og nogle e-mailsikkerhedsprodukter.

Mere end en fjerdedel af QR-kodeangrebene (27 %) i 4. kvartal var falske meddelelser om at slå MFA til, mens omkring et ud af fem angreb (21 %) var falske meddelelser om et delt dokument.

Hvordan sikkerhedsteam kan tackle quishing: QR-kode 'Quishing' angreb på ledere, der undgår e-mailsikkerhed

Relateret: QR-kode Phishing-kampagne rettet mod Top US Energy Company

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cybersecurity-operations/ciso-corner-dod-regs-neurodiverse-talent-tel-aviv-light-rail