CISO-hjørne: Operationalisering af NIST CSF 2.0; AI-modeller kører amok

Velkommen til CISO Corner, Dark Readings ugentlige sammendrag af artikler, der er skræddersyet specifikt til læsere af sikkerhedsoperationer og sikkerhedsledere. Hver uge vil vi tilbyde artikler hentet fra hele vores nyhedsvirksomhed, The Edge, DR Technology, DR Global og vores kommentarsektion. Vi er forpligtet til at give dig et mangfoldigt sæt af perspektiver til at understøtte arbejdet med at operationalisere cybersikkerhedsstrategier for ledere i organisationer af alle former og størrelser.

I dette nummer:

NIST Cybersecurity Framework 2.0: 4 trin til at komme i gang

Af Robert Lemos, bidragende skribent, Dark Reading

National Institute of Standards and Technology (NIST) har revideret bogen om at skabe et omfattende cybersikkerhedsprogram, der har til formål at hjælpe organisationer af enhver størrelse med at være mere sikre. Her er hvor du skal begynde at omsætte ændringerne til handling.

Operationalisering af den seneste version af NIST's Cybersecurity Framework (CSF), udgivet i denne uge, kan betyde betydelige ændringer af cybersikkerhedsprogrammer.

For eksempel er der en helt ny "Govern"-funktion til at inkorporere større ledelses- og bestyrelsesovervågning af cybersikkerhed, og den udvider bedste sikkerhedspraksis ud over kun dem for kritiske industrier. Alt i alt vil cybersikkerhedsteams få deres arbejde skåret ud for dem, og de bliver nødt til at se grundigt på eksisterende vurderinger, identificerede huller og udbedringsaktiviteter for at bestemme virkningen af ​​rammeændringerne.

Heldigvis kan vores tips til operationalisering af den seneste version af NIST Cybersecurity Framework hjælpe med at pege vejen frem. De omfatter brug af alle NIST-ressourcerne (CSF er ikke bare et dokument, men en samling af ressourcer, som virksomheder kan bruge til at anvende rammerne til deres specifikke miljø og krav); sidde ned med C-suiten for at diskutere "Govern"-funktionen; indpakning i forsyningskædesikkerhed; og bekræfter, at konsulenttjenester og produkter til styring af cybersikkerhedsstillinger reevalueres og opdateres for at understøtte den seneste CSF.

Læs mere: NIST Cybersecurity Framework 2.0: 4 trin til at komme i gang

Relateret: Den amerikanske regering udvider rolle i softwaresikkerhed

Apple, signaldebuterede kvantebestandig kryptering, men udfordrer væven

Af Jai Vijayan, bidragende skribent, Dark Reading

Apples PQ3 til sikring af iMessage og Signals PQXH viser, hvordan organisationer forbereder sig på en fremtid, hvor krypteringsprotokoller skal være eksponentielt sværere at knække.

Efterhånden som kvantecomputere modnes og giver modstandere en trivielt nem måde at åbne selv de mest sikre nuværende krypteringsprotokoller på, er organisationer nødt til at flytte nu for at beskytte kommunikation og data.

Til det formål er Apples nye PQ3 post-kvantekryptografiske (PQC) protokol til sikring af iMessage-kommunikation og en lignende krypteringsprotokol, som Signal introducerede sidste år kaldet PQXDH, kvanteresistente, hvilket betyder, at de - teoretisk set i det mindste - kan modstå angreb fra kvante. computere forsøger at bryde dem.

Men organisationer, skiftet til ting som PQC vil være langt, kompliceret og sandsynligvis smertefuldt. Nuværende mekanismer, der er stærkt afhængige af offentlige nøgleinfrastrukturer, vil kræve revurdering og tilpasning for at integrere kvanteresistente algoritmer. Og migration til post-kvantekryptering introducerer et nyt sæt ledelsesudfordringer for virksomhedens IT-, teknologi- og sikkerhedsteams, der er parallelle med tidligere migreringer, som fra TLS1.2 til 1.3 og ipv4 til v6, som begge har taget årtier.

Læs mere: Apple, signaldebuterede kvantebestandig kryptering, men udfordrer væven

Relateret: Knækker svag kryptografi, før kvanteberegning gør det

Ikl. 10 Ved du, hvor dine AI-modeller er i aften?

Af Ericka Chickowski, bidragende forfatter, Dark Reading

En mangel på AI-modellens synlighed og sikkerhed sætter softwareforsyningskædens sikkerhedsproblem på steroider.

Hvis du troede, at softwareforsyningskædens sikkerhedsproblem var svært nok i dag, så spænd op. Den eksplosive vækst i brugen af ​​kunstig intelligens er ved at gøre disse forsyningskædeproblemer eksponentielt sværere at navigere i i de kommende år.

AI/machine learning-modeller danner grundlaget for et AI-systems evne til at genkende mønstre, lave forudsigelser, træffe beslutninger, udløse handlinger eller skabe indhold. Men sandheden er, at de fleste organisationer ikke engang ved, hvordan de skal begynde at vinde synlighed i alle de indlejrede AI-modeller i deres software.

For at starte op er modeller og infrastrukturen omkring dem bygget anderledes end andre softwarekomponenter, og traditionelt sikkerheds- og softwareværktøj er ikke bygget til at scanne efter eller forstå, hvordan AI-modeller fungerer, eller hvordan de er fejlbehæftede.

"En model er ved design et selvudførende stykke kode. Det har en vis mængde handlekraft,” siger Daryan Dehghanpisheh, medstifter af Protect AI. "Hvis jeg fortalte dig, at du har aktiver overalt i din infrastruktur, som du ikke kan se, du ikke kan identificere, du ved ikke, hvad de indeholder, du ved ikke, hvad koden er, og de udfører selv og har eksterne opkald, det lyder mistænkeligt som en tilladelsesvirus, ikke?

Læs mere: Klokken er 10. Ved du, hvor dine AI-modeller er i aften?

Relateret: Knusende ansigt AI-platform fyldt med 100 ondsindet kodeudførelsesmodeller

Organisationer står over for store SEC-straffe for ikke at afsløre brud

Af Robert Lemos, medvirkende forfatter

I hvad der kunne være et håndhævelsesmareridt, venter potentielt millioner af dollars i bøder, skade på omdømmet, søgsmål for aktionærer og andre sanktioner på virksomheder, der ikke overholder SEC's nye regler for offentliggørelse af databrud.

Virksomheder og deres CISO'er kan stå over for alt fra hundredtusindvis til millioner af dollars i bøder og andre sanktioner fra US Securities and Exchange Commission (SEC), hvis de ikke får deres cybersikkerhed og afsløringsprocesser for databrud for at overholde med de nye regler, der nu er trådt i kraft.

SEC-regs har tænder: Kommissionen kan give et permanent påbud, der beordrer den tiltalte til at indstille adfærden i sagens kerne, beordre tilbagebetaling af dårligt opnåede gevinster eller implementere tre niveauer af eskalerende sanktioner, der kan resultere i astronomiske bøder .

Måske mest bekymrende for CISO'er er det personlige ansvar, de nu står over for for mange områder af forretningsdriften, som de historisk set ikke har haft ansvar for. Kun halvdelen af ​​CISO'erne (54%) er sikre på deres evne til at efterleve SEC's afgørelse.

Alt dette fører til en bred gentænkning af CISO's rolle og ekstra omkostninger for virksomhederne.

Læs mere: Organisationer står over for store SEC-straffe for ikke at afsløre brud

Relateret: Hvad virksomheder og CISO'er bør vide om stigende juridiske trusler

Biometrireguleringen bliver varmere, varsler overholdelseshovedpine

Af David Strom, bidragende forfatter, Dark Reading

Et voksende krat af privatlivslove, der regulerer biometri, er rettet mod at beskytte forbrugere midt i stigende skybrud og AI-skabte deepfakes. Men for virksomheder, der håndterer biometriske data, er det lettere sagt end gjort at forblive compliant.

Biometriske bekymringer om privatlivets fred bliver varmere, takket være stigende kunstig intelligens (AI)-baserede deepfake trusler, voksende biometrisk brug af virksomheder, forventet ny privatlivslovgivning på statsniveau og en ny bekendtgørelse udstedt af præsident Biden i denne uge, som omfatter biometrisk beskyttelse af privatlivets fred.

Det betyder, at virksomheder skal være mere fremadskuende og forudse og forstå risiciene for at opbygge den passende infrastruktur til at spore og bruge biometrisk indhold. Og dem, der driver forretning nationalt, bliver nødt til at revidere deres databeskyttelsesprocedurer for overholdelse af et kludetæppe af regulering, herunder at forstå, hvordan de opnår forbrugernes samtykke eller giver forbrugerne mulighed for at begrænse brugen af ​​sådanne data og sørge for, at de matcher de forskellige finesser i reglerne.

Læs mere: Biometrireguleringen bliver varmere, varsler overholdelseshovedpine

Relateret: Vælg den bedste biometriske godkendelse til din brug

DR Global: 'Illlusiv' Iranian Hacking Group fanger israelske, UAE-luftfarts- og forsvarsvirksomheder

Af Robert Lemos, bidragende skribent, Dark Reading

UNC1549, alias Smoke Sandstorm og Tortoiseshell, ser ud til at være synderen bag en cyberangrebskampagne, der er skræddersyet til hver målrettet organisation.

Den iranske trusselgruppe UNC1549 - også kendt som Smoke Sandstorm og Tortoiseshell - går efter rumfart og forsvarsfirmaer i Israel, De Forenede Arabiske Emirater og andre lande i det større Mellemøsten.

Især mellem skræddersyet beskæftigelsesfokuseret spear-phishing og brugen af ​​cloud-infrastruktur til kommando-og-kontrol, kan angrebet være svært at opdage, siger Jonathan Leathery, hovedanalytiker for Google Cloud's Mandiant.

"Den mest bemærkelsesværdige del er, hvor illusion denne trussel kan være at opdage og spore - de har tydeligvis adgang til betydelige ressourcer og er selektive i deres målretning," siger han. "Der er sandsynligvis mere aktivitet fra denne skuespiller, som endnu ikke er opdaget, og der er endnu mindre information om, hvordan de fungerer, når de først har kompromitteret et mål."

Læs mere: 'Illlusiv' iransk hackinggruppe fanger israelske, UAE-luftfarts- og forsvarsvirksomheder

Relateret: Kina lancerer ny cyberforsvarsplan for industrielle netværk

MITER udruller 4 splinternye CWE'er til mikroprocessorsikkerhedsfejl

Af Jai Vijayan, bidragende skribent, Dark Reading

Målet er at give chipdesignere og sikkerhedsudøvere i halvlederrummet en bedre forståelse af store mikroprocessorfejl som Meltdown og Spectre.

Med et stigende antal side-kanal-udnyttelser rettet mod CPU-ressourcer, tilføjede det MITRE-ledede Common Weakness Enumeration (CWE)-program fire nye mikroprocessor-relaterede svagheder til sin liste over almindelige software- og hardwaresårbarhedstyper.

CWE'erne er resultatet af et samarbejde mellem Intel, AMD, Arm, Riscure og Cycuity og giver processordesignere og sikkerhedsudøvere i halvlederrummet et fælles sprog til at diskutere svagheder i moderne mikroprocessorarkitekturer.

De fire nye CWE'er er CWE-1420, CWE-1421, CWE-1422 og CWE-1423.

CWE-1420 vedrører eksponering af følsomme oplysninger under forbigående eller spekulativ udførelse - hardwareoptimeringsfunktionen forbundet med Meltdown og Specter - og er "forælder" til de tre andre CWE'er.

CWE-1421 har at gøre med følsomme informationslækager i delte mikroarkitektoniske strukturer under forbigående udførelse; CWE-1422 adresserer datalækager knyttet til forkert videresendelse af data under forbigående eksekvering. CWE-1423 ser på dataeksponering knyttet til en specifik intern tilstand i en mikroprocessor.

Læs mere: MITER udruller 4 splinternye CWE'er til mikroprocessorsikkerhedsfejl

Relateret: MITER udruller Supply Chain Security Prototype

Konvergerende statslige privatlivslove og den nye AI-udfordring

Kommentar af Jason Eddinger, Senior Security Consultant, Data Privacy, GuidePoint Security

Det er på tide, at virksomheder ser på, hvad de behandler, hvilke typer risici de har, og hvordan de planlægger at mindske denne risiko.

Otte amerikanske stater vedtog databeskyttelseslovgivning i 2023, og i 2024 træder love i kraft om fire, så virksomheder skal læne sig tilbage og se dybt på de data, de behandler, hvilke typer risici de har, hvordan de håndterer dette risiko, og deres planer om at mindske den risiko, de har identificeret. Indførelsen af ​​kunstig intelligens vil gøre det sværere.

Efterhånden som virksomheder udstikker en strategi for at overholde alle disse nye regler, der er derude, er det værd at bemærke, at selvom disse love stemmer overens i mange henseender, udviser de også statsspecifikke nuancer.

Virksomheder skal forvente at se mange nye tendenser til databeskyttelse i år, herunder:

Læs mere: Konvergerende statslige privatlivslove og den nye AI-udfordring

Relateret: Privatliv slår ransomware som den største bekymring for forsikring

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok