CISO Corner: NIST CSF 2.0 kasutuselevõtt; AI mudelid jooksevad Amoki

Tere tulemast CISO Cornerisse, mis on Dark Readingi iganädalane kokkuvõte artiklitest, mis on kohandatud spetsiaalselt turvatoimingute lugejatele ja turvajuhtidele. Igal nädalal pakume artikleid, mis on kogutud meie uudisteoperatsioonist The Edge, DR Technology, DR Global ja meie kommentaaride jaotisest. Oleme pühendunud sellele, et pakkuda teile erinevaid vaatenurki, et toetada küberjulgeolekustrateegiate elluviimist igas vormis ja suurusega organisatsioonide juhtide jaoks.

Selles väljaandes:

NIST küberturvalisuse raamistik 2.0: 4 sammu alustamiseks

Autor Robert Lemos, kaaskirjanik, Dark Reading

National Institute of Standards and Technology (NIST) on läbi vaadanud raamatu tervikliku küberjulgeolekuprogrammi loomise kohta, mille eesmärk on aidata igas suuruses organisatsioonidel olla turvalisem. Siit saate alustada muudatuste elluviimist.

Sel nädalal avaldatud NISTi küberturvalisuse raamistiku (CSF) uusima versiooni kasutuselevõtt võib tähendada olulisi muudatusi küberturvalisuse programmides.

Näiteks on olemas uhiuus "valitsemise" funktsioon, mis hõlmab küberjulgeoleku üle suuremat juhtide ja juhatuse järelevalvet, ning see laieneb. parimaid turvatavasid peale kriitiliste tööstusharude tavade. Kokkuvõttes on küberjulgeolekumeeskondadel oma töö jagu ning nad peavad olemasolevaid hinnanguid, tuvastatud lünki ja parandustegevusi põhjalikult vaatama, et teha kindlaks raamistiku muudatuste mõju.

Õnneks võivad meie näpunäited NIST küberturvalisuse raamistiku uusima versiooni kasutuselevõtuks aidata suunata teed edasi. Need hõlmavad kõigi NIST-i ressursside kasutamist (CSF ei ole lihtsalt dokument, vaid ressursside kogum, mida ettevõtted saavad kasutada raamistiku rakendamiseks oma konkreetse keskkonna ja nõuetega); istudes C-komplektiga maha, et arutada funktsiooni "Valitsemine"; tarneahela turvalisusesse mähkimine; ning kinnitades, et konsultatsiooniteenused ja küberturvalisuse pooside haldamise tooted hinnatakse ümber ja värskendatakse, et toetada uusimat CSF-i.

Loe rohkem: NIST küberturvalisuse raamistik 2.0: 4 sammu alustamiseks

Seotud: USA valitsus laiendab rolli tarkvaraturbe vallas

Apple, signaalidebüüt kvantkindel krüptimine, kuid väljakutsed Loomile

Autor Jai Vijayan, kaaskirjanik, Dark Reading

Apple'i PQ3 iMessage'i turvamiseks ja Signali PQXH näitavad, kuidas organisatsioonid valmistuvad tulevikuks, kus krüpteerimisprotokolle peab olema eksponentsiaalselt raskem lahti murda.

Kuna kvantarvutid arenevad ja annavad vastastele triviaalselt lihtsa viisi isegi kõige turvalisemate krüpteerimisprotokollide avamiseks, peavad organisatsioonid side ja andmete kaitsmiseks kohe liikuma.

Selleks on Apple'i uus PQ3 postkvantkrüptograafiline (PQC) protokoll iMessage side turvamiseks ja sarnane krüpteerimisprotokoll, mille Signal eelmisel aastal tutvustas nimega PQXDH, kvantikindlad, mis tähendab, et nad suudavad – vähemalt teoreetiliselt – vastu pidada kvantrünnakutele. arvutid üritavad neid murda.

Kuid organisatsioonide jaoks on üleminek sellistele asjadele nagu PQC pikk, keeruline ja tõenäoliselt valus. Praegused mehhanismid, mis sõltuvad suuresti avaliku võtme infrastruktuuridest, nõuavad kvantkindlate algoritmide integreerimiseks ümberhindamist ja kohandamist. Ja migratsioon postkvantkrüpteerimisele tutvustab ettevõtte IT-, tehnoloogia- ja turbemeeskondade jaoks uusi haldusprobleeme, mis on paralleelsed varasemate üleminekutega, näiteks TLS1.2-lt 1.3-le ja ipv4-lt v6-le, mis mõlemad on kestnud aastakümneid.

Loe rohkem: Apple, signaalidebüüt kvantkindel krüptimine, kuid väljakutsed Loomile

Seotud: Nõrga krüptograafia lõhenemine enne kvantarvutite kasutamist

Ikell 10 Kas teate, kus teie tehisintellekti mudelid täna õhtul on?

Autor Ericka Chickowski, kaaskirjanik, Dark Reading

Tehisintellekti mudeli nähtavuse ja turvalisuse puudumine seab tarkvara tarneahela turvaprobleemi steroididele.

Kui arvate, et tarkvara tarneahela turbeprobleem on täna piisavalt keeruline, pange kinni. Tehisintellekti kasutamise plahvatuslik kasv muudab järgmistel aastatel nende tarneahela probleemidega toimetuleku hüppeliselt raskemaks.

Tehisintellekti/masinõppe mudelid loovad aluse tehisintellektisüsteemi võimele tuvastada mustreid, teha prognoose, teha otsuseid, käivitada toiminguid või luua sisu. Kuid tõde on see, et enamik organisatsioone ei tea isegi, kuidas kasumit alustada nähtavus kõikidesse manustatud AI mudelitesse nende tarkvaras.

Käivitamiseks on mudelid ja neid ümbritsev infrastruktuur üles ehitatud teisiti kui muud tarkvarakomponendid ning traditsioonilised turbe- ja tarkvaratööriistad pole loodud selleks, et otsida ega mõista, kuidas tehisintellekti mudelid töötavad või kui need on vigased.

„Mudel on disainilt isetäituv kooditükk. Sellel on teatud määral agentuuri, ”ütleb Protect AI kaasasutaja Daryan Dehghanpisheh. "Kui ma ütlesin teile, et teie infrastruktuuris on varasid, mida te ei näe, mida te ei saa tuvastada, te ei tea, mida need sisaldavad, te ei tea, mis on kood ja need käitavad ise ja väliskõnesid teha, see kõlab kahtlaselt loaviirusena, kas pole?

Loe rohkem: Kell on 10 Kas teate, kus teie tehisintellekti mudelid täna õhtul on?

Seotud: Kallistava näo tehisintellekti platvorm, mis on täis 100 pahatahtlikku koodikäivitusmudelit

Organisatsioone ootab rikkumiste avalikustamata jätmise eest SEC-i suured karistused

Autor Robert Lemos, kaastööline kirjanik

Mis võib olla jõustamise õudusunenägu, ootavad potentsiaalselt miljoneid dollareid trahve, mainekahju, aktsionäride kohtuasju ja muid karistusi ettevõtteid, kes ei järgi SEC-i uusi andmerikkumiste avalikustamise eeskirju.

Ettevõtteid ja nende CISO-sid võivad USA väärtpaberi- ja börsikomisjonilt (SEC) oodata sadade tuhandete kuni miljonite dollarite suurused trahvid ja muud karistused, kui nad ei saa oma küberturvalisuse ja andmerikkumiste avalikustamisprotsesse nõuete täitmiseks. uute reeglitega, mis nüüd jõustusid.

SEC-i reeglitel on hambad: komisjon võib teha alalise ettekirjutuse, millega kohustab kostjat lõpetama kohtuasja keskmes olev käitumine, kohustada tagasi maksma ebaseaduslikult saadud kasu või rakendada kolmeastmelisi karistusi, mis võivad kaasa tuua astronoomilised trahvid. .

Võib-olla kõige murettekitavam CISO-d on nende isiklik vastutus paljude äritegevuse valdkondade jaoks, mille eest neil ajalooliselt vastutust pole olnud. Vaid pooled CISO-dest (54%) on kindlad, et nad suudavad SECi otsust täita.

Kõik see toob kaasa CISO rolli laiaulatusliku ümbermõtestamise ja ettevõtetele lisakulud.

Loe rohkem: Organisatsioone ootab rikkumiste avalikustamata jätmise eest SEC-i suured karistused

Seotud: Mida peaksid ettevõtted ja CISOd teadma kasvavate juriidiliste ohtude kohta?

Biomeetria reguleerimine kuumeneb, mis tähendab vastavuse peavalu

Autor David Strom, kaaskirjanik, Dark Reading

Biomeetrilisi andmeid reguleerivate privaatsusseaduste kasvav tihnik on suunatud tarbijate kaitsmisele pilve rikkumiste ja tehisintellektiga loodud süvavõltsingute ajal. Kuid biomeetrilisi andmeid töötlevate ettevõtete jaoks on nõuetele vastavust lihtsam öelda kui teha.

Biomeetriliste andmetega seotud privaatsusprobleemid muutuvad üha suuremaks tehisintellektil (AI) põhinevad süvavõltsitud ohud, biomeetriliste andmete kasutamine ettevõtetes, oodatavad uued osariigi tasandi eraelu puutumatuse õigusaktid ja president Bideni sel nädalal välja antud uus korraldus, mis hõlmab biomeetrilisi privaatsuskaitseid.

See tähendab, et ettevõtted peavad olema rohkem tulevikku vaatavad ning riske ette nägema ja mõistma, et luua biomeetrilise sisu jälgimiseks ja kasutamiseks sobiv infrastruktuur. Ja need, kes tegelevad riigisisese äritegevusega, peavad kontrollima oma andmekaitsemenetlusi, et tagada vastavus mitmetele eeskirjadele, sealhulgas mõistma, kuidas nad saavad tarbija nõusoleku või lubavad tarbijatel piirata selliste andmete kasutamist ja veenduma, et need vastavad eeskirjade erinevatele nüanssidele.

Loe rohkem: Biomeetria reguleerimine kuumeneb, mis tähendab vastavuse peavalu

Seotud: Valige oma kasutusjuhtumi jaoks parim biomeetriline autentimine

DR Global: Iraani häkkimisrühmitus haarab Iisraeli, AÜE lennundus- ja kaitsefirmasid.

Autor Robert Lemos, kaaskirjanik, Dark Reading

UNC1549 ehk Smoke Sandstorm ja Tortoiseshell näib olevat iga sihtorganisatsiooni jaoks kohandatud küberrünnakukampaania süüdlane.

Iraani ohurühmitus UNC1549 (tuntud ka kui Smoke Sandstorm ja Tortoiseshell) tegeleb kosmoselennunduse ja kaitsefirmad Iisraelis, Araabia Ühendemiraadid ja teised Lähis-Ida suuremad riigid.

Google Cloudi Mandiandi peaanalüütik Jonathan Leathery ütleb eelkõige, et kohandatud tööhõivele keskendunud andmepüügi ja pilveinfrastruktuuri kasutamise vahel käsu- ja juhtimiseks võib rünnakut olla raske tuvastada.

"Kõige tähelepanuväärsem on see, kui illusiivne võib olla selle ohu avastamine ja jälgimine – neil on selgelt juurdepääs olulistele ressurssidele ja nad on oma sihtimisel valivad," ütleb ta. "Tõenäoliselt on sellel näitlejal rohkem tegevust, mida pole veel avastatud, ja veelgi vähem on teavet selle kohta, kuidas nad tegutsevad, kui nad on sihtmärgi ohustanud."

Loe rohkem: "Illusiivne" Iraani häkkimisrühm tõmbab Iisraeli, AÜE lennundus- ja kaitsefirmasid vahele

Seotud: Hiina käivitas uue tööstusvõrkude küberkaitseplaani

MITER toob välja 4 uhiuut CWE-d mikroprotsessori turvavigade jaoks

Autor Jai Vijayan, kaaskirjanik, Dark Reading

Eesmärk on anda pooljuhtide ruumi kiibidisaineritele ja turbespetsialistidele paremini mõista peamisi mikroprotsessori vigu, nagu Meltdown ja Spectre.

Protsessori ressursse sihitavate külgkanalite ärakasutamiste arvu suurenemisega lisas MITRE juhitud Common Weakness Enumeration (CWE) programm oma tavaliste tarkvara- ja riistvara haavatavuse tüüpide loendisse neli uut mikroprotsessoriga seotud nõrkust.

CWE-d on Inteli, AMD, Armi, Riscure'i ja Cycuity koostöö tulemus ning annavad protsessorite disaineritele ja pooljuhtide ruumi turbespetsialistidele ühise keele, et arutada kaasaegsete mikroprotsessorite arhitektuuride nõrkusi.

Neli uut CWE-d on CWE-1420, CWE-1421, CWE-1422 ja CWE-1423.

CWE-1420 käsitleb tundliku teabe paljastamist mööduva või spekulatiivse täitmise ajal – riistvara optimeerimise funktsioon, mis on seotud Meltdown ja Spectre — ja on kolme ülejäänud CWE „vanem”.

CWE-1421 on seotud tundliku teabe leketega jagatud mikroarhitektuuristruktuurides ajutise täitmise ajal; CWE-1422 käsitleb andmelekete, mis on seotud ebaõige andmeedastusega ajutise täitmise ajal. CWE-1423 vaatleb andmete eksponeerimist, mis on seotud mikroprotsessori konkreetse sisemise olekuga.

Loe rohkem: MITER toob välja 4 uhiuut CWE-d mikroprotsessori turvavigade jaoks

Seotud: MITER toob turule tarneahela turvaprototüübi

Ühinevad osariigi privaatsusseadused ja arenev tehisintellekti väljakutse

Kommentaar Jason Eddingerilt, vanemturbekonsultandilt, andmeprivaatsus, GuidePointi turvalisus

Ettevõtetel on aeg vaadata, mida nad töötlevad, millist tüüpi riske neil on ja kuidas nad kavatsevad seda riski maandada.

Kaheksa USA osariiki võtsid 2023. aastal vastu andmete privaatsust käsitlevad õigusaktid ja 2024. aastal jõustuvad seadused neljas osariigis, nii et ettevõtted peavad maha istuma ja põhjalikult vaatama, milliseid andmeid nad töötlevad, millist tüüpi riske neil on ja kuidas neid hallata. risk ja nende plaanid tuvastatud riski maandamiseks. AI kasutuselevõtt muudab selle raskemaks.

Kuna ettevõtted koostavad strateegia, et järgida kõiki neid uusi kehtivaid eeskirju, tasub märkida, et kuigi need seadused on paljudes aspektides vastavuses, on neil ka riigispetsiifilisi nüansse.

Ettevõtted peaksid ootama paljusid esilekerkivad andmekaitsetrendid sel aastal, sealhulgas:

Loe rohkem: Ühinevad osariigi eraelu puutumatuse seadused ja arenev tehisintellekti väljakutse

Seotud: Privaatsus ületab lunavara kui peamise kindlustusprobleemi

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok