گوشه CISO: عملیاتی کردن NIST CSF 2.0. مدل‌های هوش مصنوعی Amok را اجرا می‌کنند

به CISO Corner، خلاصه مقالات هفتگی Dark Reading که به طور خاص برای خوانندگان عملیات امنیتی و رهبران امنیتی طراحی شده است، خوش آمدید. هر هفته، ما مقالاتی را ارائه خواهیم کرد که از سراسر عملیات خبری، The Edge، DR Technology، DR Global، و بخش تفسیر خود جمع آوری شده اند. ما متعهد هستیم که مجموعه‌ای از دیدگاه‌های متنوع را برای پشتیبانی از کار عملیاتی کردن استراتژی‌های امنیت سایبری، برای رهبران سازمان‌هایی با هر شکل و اندازه‌ای به شما ارائه دهیم.

در این شماره:

NIST Cybersecurity Framework 2.0: 4 مرحله برای شروع

توسط رابرت لموس، نویسنده مشارکت کننده، خواندن تاریک

مؤسسه ملی استانداردها و فناوری (NIST) کتاب ایجاد یک برنامه جامع امنیت سایبری را اصلاح کرده است که هدف آن کمک به سازمان‌ها در هر اندازه ای برای ایمن‌تر شدن است. در اینجا شروع به اعمال تغییرات است.

عملیاتی شدن آخرین نسخه چارچوب امنیت سایبری NIST (CSF) که این هفته منتشر شد، می تواند به معنای تغییرات قابل توجهی در برنامه های امنیت سایبری باشد.

به عنوان مثال، یک عملکرد کاملاً جدید "Govern" برای ترکیب نظارت بیشتر اجرایی و هیئت مدیره بر امنیت سایبری وجود دارد و گسترش می یابد. بهترین شیوه های امنیتی فراتر از مواردی که فقط برای صنایع حیاتی هستند. در مجموع، تیم‌های امنیت سایبری کار خود را برای آنها قطع می‌کنند و باید ارزیابی‌های موجود، شکاف‌های شناسایی‌شده و فعالیت‌های اصلاحی را برای تعیین تأثیر تغییرات چارچوب بررسی کنند.

خوشبختانه، راهنمایی‌های ما برای عملیاتی‌سازی آخرین نسخه چارچوب امنیت سایبری NIST می‌تواند به نشان دادن راه رو به جلو کمک کند. آنها شامل استفاده از تمام منابع NIST هستند (CSF فقط یک سند نیست، بلکه مجموعه ای از منابعی است که شرکت ها می توانند برای اعمال چارچوب در محیط خاص و الزامات خود استفاده کنند). نشستن با C-suite برای بحث در مورد عملکرد "Govern". بسته بندی در امنیت زنجیره تامین؛ و تأیید می کند که خدمات مشاوره و محصولات مدیریت وضعیت امنیت سایبری برای پشتیبانی از آخرین CSF مجدداً ارزیابی و به روز می شوند.

ادامه مطلب: NIST Cybersecurity Framework 2.0: 4 مرحله برای شروع

مرتبط: دولت ایالات متحده نقش خود را در امنیت نرم افزار گسترش می دهد

اپل، سیگنال رمزگذاری مقاوم در برابر کوانتومی را آغاز کرد، اما چالش‌هایی وجود دارد

توسط Jai Vijayan، نویسنده مشارکت کننده، Dark Reading

PQ3 اپل برای ایمن‌سازی iMessage و سیگنال PQXH نشان می‌دهند که چگونه سازمان‌ها برای آینده‌ای آماده می‌شوند که در آن شکستن پروتکل‌های رمزگذاری به طور تصاعدی سخت‌تر است.

از آنجایی که رایانه‌های کوانتومی بالغ می‌شوند و به دشمنان راه ساده‌ای برای باز کردن حتی امن‌ترین پروتکل‌های رمزگذاری فعلی می‌دهند، سازمان‌ها باید اکنون برای محافظت از ارتباطات و داده‌ها حرکت کنند.

برای این منظور، پروتکل جدید رمزنگاری پس کوانتومی (PQC) اپل PQ3 برای ایمن سازی ارتباطات iMessage و پروتکل رمزگذاری مشابهی که سیگنال سال گذشته به نام PQXDH معرفی کرد، در برابر کوانتومی مقاوم هستند، به این معنی که می توانند - حداقل از نظر تئوری - در برابر حملات کوانتومی مقاومت کنند. کامپیوترهایی که سعی در شکستن آنها دارند.

اما سازمان‌ها، تغییر به چیزهایی مانند PQC طولانی، پیچیده و احتمالاً دردناک خواهد بود. مکانیسم‌های فعلی که به شدت به زیرساخت‌های کلید عمومی وابسته هستند، نیاز به ارزیابی مجدد و سازگاری برای ادغام الگوریتم‌های مقاوم در برابر کوانتومی دارند. و مهاجرت به رمزگذاری پس کوانتومی مجموعه جدیدی از چالش‌های مدیریتی را برای تیم‌های فناوری اطلاعات، فناوری و امنیت سازمانی معرفی می‌کند که به موازات مهاجرت‌های قبلی، مانند TLS1.2 به 1.3 و ipv4 به v6 است، که هر دو دهه‌ها طول کشیده است.

ادامه مطلب: اپل، سیگنال رمزگذاری مقاوم در برابر کوانتومی را آغاز کرد، اما چالش‌هایی وجود دارد

مرتبط: شکستن رمزنگاری ضعیف قبل از انجام محاسبات کوانتومی

Iساعت 10 شب آیا می دانید مدل های هوش مصنوعی شما امشب کجا هستند؟

توسط Ericka Chickowski، نویسنده مشارکت کننده، Dark Reading

عدم دید و امنیت مدل هوش مصنوعی، مشکل امنیتی زنجیره تامین نرم افزار را بر روی استروئیدها قرار می دهد.

اگر فکر می‌کردید مشکل امنیت زنجیره تامین نرم‌افزار امروز به اندازه کافی دشوار است، دست و پنجه نرم کنید. رشد انفجاری در استفاده از هوش مصنوعی در حال تبدیل شدن به مشکلات زنجیره تامین در سال‌های آینده است.

مدل‌های یادگیری AI/ماشین پایه و اساس توانایی سیستم هوش مصنوعی در تشخیص الگوها، پیش‌بینی، تصمیم‌گیری، فعال کردن اقدامات یا ایجاد محتوا را فراهم می‌کنند. اما حقیقت این است که بیشتر سازمان‌ها حتی نمی‌دانند چگونه حتی شروع به کسب سود کنند قابلیت مشاهده در تمام مدل‌های هوش مصنوعی تعبیه‌شده در نرم افزار آنها

برای راه‌اندازی، مدل‌ها و زیرساخت‌های اطراف آن‌ها متفاوت از سایر اجزای نرم‌افزار ساخته شده‌اند و ابزارهای امنیتی و نرم‌افزاری سنتی برای اسکن یا درک نحوه عملکرد مدل‌های هوش مصنوعی یا نقص آن‌ها ساخته نشده‌اند.

«مدل، بر اساس طراحی، یک قطعه کد است که خود اجرا می شود. داریان دهقان پیشه، یکی از بنیانگذاران Protect AI می‌گوید: «این مقدار مشخصی نمایندگی دارد. «اگر به شما بگویم که دارایی‌هایی در سرتاسر زیرساخت خود دارید که نمی‌توانید آنها را ببینید، نمی‌توانید شناسایی کنید، نمی‌دانید حاوی چه چیزهایی هستند، نمی‌دانید کد چیست، و آنها خودشان اجرا می‌شوند. و تماس های خارجی داشته باشید، که به طرز مشکوکی مانند ویروس مجوز به نظر می رسد، اینطور نیست؟

ادامه مطلب: ساعت 10 شب است آیا می دانید مدل های هوش مصنوعی شما امشب کجا هستند؟

مرتبط: پلتفرم هوش مصنوعی Hugging Face با 100 مدل اجرای کد مخرب

سازمان ها به دلیل عدم افشای تخلفات با مجازات های عمده SEC مواجه می شوند

توسط رابرت لموس، نویسنده مشارکت کننده

در چیزی که می‌تواند یک کابوس اجرایی باشد، میلیون‌ها دلار جریمه، آسیب به شهرت، شکایت سهامداران و سایر مجازات‌ها در انتظار شرکت‌هایی است که از قوانین جدید افشای نقض داده‌های SEC پیروی نمی‌کنند.

شرکت‌ها و CISO‌های آن‌ها ممکن است با صدها هزار تا میلیون‌ها دلار جریمه و جریمه‌های دیگر از سوی کمیسیون بورس و اوراق بهادار ایالات متحده (SEC) مواجه شوند، اگر فرآیندهای افشای امنیت سایبری و نقض داده‌های خود را به منظور رعایت نکنند. با قوانین جدیدی که اکنون اجرایی شده است.

قوانین SEC دارای دندان هستند: کمیسیون می تواند دستور دائمی صادر کند که به متهم دستور دهد رفتار در قلب پرونده را متوقف کند، دستور بازپرداخت دستاوردهای غیرقانونی را صادر کند، یا سه سطح تشدید مجازات را اجرا کند که می تواند منجر به جریمه های نجومی شود. .

شاید نگران کننده ترین برای CISOs مسئولیت شخصی است که اکنون با آن روبرو هستند برای بسیاری از حوزه‌های عملیات تجاری که از لحاظ تاریخی مسئولیتی در قبال آنها نداشته‌اند. تنها نیمی از CISO ها (54%) به توانایی خود در انطباق با حکم SEC اطمینان دارند.

همه اینها منجر به بازنگری گسترده در نقش CISO و هزینه های اضافی برای مشاغل می شود.

ادامه مطلب: سازمان ها به دلیل عدم افشای تخلفات با مجازات های عمده SEC مواجه می شوند

مرتبط: آنچه که شرکت‌ها و سازمان‌های دولتی باید درباره افزایش تهدیدات قانونی بدانند

مقررات بیومتریک گرم می شود و سردردهای سازگاری را به تصویر می کشد

توسط دیوید استروم، نویسنده مشارکت کننده، تاریک خواندن

مجموعه فزاینده ای از قوانین حفظ حریم خصوصی که بیومتریک را تنظیم می کنند، با هدف محافظت از مصرف کنندگان در بحبوحه نفوذ فزاینده ابر و دیپ فیک های ایجاد شده توسط هوش مصنوعی است. اما برای کسب‌وکارهایی که داده‌های بیومتریک را مدیریت می‌کنند، گفتن آن آسان‌تر از انجام آن است.

نگرانی‌های مربوط به حریم خصوصی بیومتریک به لطف افزایش آن در حال افزایش است تهدیدات دیپ فیک مبتنی بر هوش مصنوعی (AI)، افزایش استفاده از بیومتریک توسط مشاغل، پیش بینی قانون جدید حریم خصوصی در سطح ایالت و فرمان اجرایی جدیدی که رئیس جمهور بایدن در این هفته صادر کرد که شامل حفاظت از حریم خصوصی بیومتریک می شود.

این بدان معناست که کسب و کارها باید آینده نگرتر باشند و خطرات را پیش بینی و درک کنند تا زیرساخت مناسب برای ردیابی و استفاده از محتوای بیومتریک ایجاد کنند. و کسانی که در سطح ملی تجارت می کنند باید رویه های حفاظت از داده های خود را برای انطباق با مجموعه ای از مقررات بازرسی کنند، از جمله درک اینکه چگونه رضایت مصرف کننده را دریافت می کنند یا به مصرف کنندگان اجازه می دهند استفاده از چنین داده هایی را محدود کنند و مطمئن شوند که آنها با ظرافت های مختلف در مقررات مطابقت دارند.

ادامه مطلب: مقررات بیومتریک گرم می شود و سردردهای سازگاری را به تصویر می کشد

مرتبط: بهترین احراز هویت بیومتریک را برای مورد استفاده خود انتخاب کنید

دی‌آر گلوبال: گروه هک ایرانی «توهم» شرکت‌های هوافضا و دفاعی اسرائیل، امارات متحده عربی را به دام انداخته است.

توسط رابرت لموس، نویسنده مشارکت کننده، خواندن تاریک

UNC1549، با نام مستعار Smoke Sandstorm و Tortoiseshell، به نظر می رسد مقصر یک کمپین حمله سایبری باشد که برای هر سازمان هدف سفارشی شده است.

گروه تهدید ایرانی UNC1549 که با نام‌های Smoke Sandstorm و Tortoiseshell نیز شناخته می‌شود، در حال تعقیب هوافضا و شرکت های دفاعی در اسرائیل، امارات متحده عربی و سایر کشورهای خاورمیانه بزرگ.

Jonathan Leathery، تحلیلگر اصلی Google Cloud's Mandiant می‌گوید، مشخصاً، بین فیشینگ نیزه‌ای متمرکز بر اشتغال و استفاده از زیرساخت‌های ابری برای فرمان و کنترل، تشخیص این حمله ممکن است دشوار باشد.

او می‌گوید: «قابل توجه‌ترین بخش این است که کشف و ردیابی این تهدید تا چه حد می‌تواند توهم‌آمیز باشد – آنها به وضوح به منابع قابل توجهی دسترسی دارند و در هدف‌گیری انتخابی هستند. احتمالاً فعالیت بیشتری از این بازیگر وجود دارد که هنوز کشف نشده است، و حتی اطلاعات کمتری در مورد نحوه عملکرد آنها پس از به خطر انداختن یک هدف وجود دارد.

ادامه مطلب: گروه هک ایرانی «توهم» شرکت‌های هوافضا و دفاعی اسرائیل، امارات را به دام انداخت

مرتبط: چین طرح جدیدی برای دفاع سایبری برای شبکه های صنعتی راه اندازی می کند

MITER 4 CWE کاملاً جدید را برای اشکالات امنیتی ریزپردازنده تولید می کند

توسط Jai Vijayan، نویسنده مشارکت کننده، Dark Reading

هدف این است که به طراحان تراشه و متخصصان امنیت در فضای نیمه هادی درک بهتری از ایرادات اصلی ریزپردازنده مانند Meltdown و Spectre داده شود.

با افزایش تعداد اکسپلویت های کانال جانبی که منابع CPU را هدف قرار می دهند، برنامه Common Weakness Enumeration (CWE) به رهبری MITRE، چهار نقطه ضعف جدید مرتبط با ریزپردازنده را به لیست انواع آسیب پذیری نرم افزاری و سخت افزاری متداول خود اضافه کرد.

CWE ها نتیجه تلاش مشترک بین Intel، AMD، Arm، Riscure و Cycuity هستند و به طراحان پردازنده و متخصصان امنیت در فضای نیمه هادی زبان مشترکی برای بحث در مورد نقاط ضعف در معماری های ریزپردازنده مدرن می دهند.

چهار CWE جدید CWE-1420، CWE-1421، CWE-1422 و CWE-1423 هستند.

CWE-1420 مربوط به قرار گرفتن در معرض اطلاعات حساس در طول اجرای گذرا یا فرضی - تابع بهینه سازی سخت افزار مرتبط با Meltdown و Spectre - و "والد" سه CWE دیگر است.

CWE-1421 با نشت اطلاعات حساس در ساختارهای ریزمعماری مشترک در طول اجرای گذرا ارتباط دارد. CWE-1422 به نشت داده های مرتبط با ارسال نادرست داده در طول اجرای گذرا رسیدگی می کند. CWE-1423 به قرار گرفتن در معرض داده های مرتبط با یک حالت داخلی خاص در یک ریزپردازنده نگاه می کند.

ادامه مطلب: MITER 4 CWE کاملاً جدید را برای اشکالات امنیتی ریزپردازنده تولید می کند

مرتبط: MITER نمونه اولیه امنیتی زنجیره تامین را تولید می کند

قوانین حریم خصوصی ایالتی همگرا و چالش هوش مصنوعی در حال ظهور

تفسیر توسط جیسون ادینگر، مشاور ارشد امنیت، حریم خصوصی داده ها، امنیت راهنما

زمان آن فرا رسیده است که شرکت‌ها ببینند چه چیزی در حال پردازش هستند، چه نوع ریسکی دارند و چگونه برای کاهش این ریسک برنامه‌ریزی می‌کنند.

هشت ایالت ایالات متحده قانون حفظ حریم خصوصی داده ها را در سال 2023 تصویب کردند و در سال 2024، قوانین در چهار ایالت اجرایی خواهند شد، بنابراین شرکت ها باید عقب بنشینند و عمیقاً به داده هایی که پردازش می کنند، انواع خطرات و نحوه مدیریت این موارد را نگاه کنند. ریسک و برنامه های آنها برای کاهش خطری که شناسایی کرده اند. استفاده از هوش مصنوعی این امر را سخت تر خواهد کرد.

از آنجایی که کسب‌وکارها استراتژی‌ای را برای پیروی از همه این مقررات جدید ترسیم می‌کنند، شایان ذکر است که اگرچه این قوانین از بسیاری جهات همسو هستند، اما تفاوت‌های ظریف خاص دولت را نیز نشان می‌دهند.

شرکت ها باید انتظار دیدن بسیاری را داشته باشند روندهای نوظهور حفظ حریم خصوصی داده ها امسال از جمله:

ادامه مطلب: قوانین حفظ حریم خصوصی ایالتی و چالش در حال ظهور هوش مصنوعی

مرتبط: حریم خصوصی باج افزار را به عنوان نگرانی اصلی بیمه شکست می دهد

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok