CISO Corner: Operationalizing NIST CSF 2.0; AI Models Run Amok

Tervetuloa CISO Corneriin, Dark Readingin viikoittaiseen tiivistelmään artikkeleista, jotka on räätälöity erityisesti turvallisuustoimintojen lukijoille ja tietoturvajohtajille. Joka viikko tarjoamme artikkeleita, jotka on poimittu uutistoiminnastamme, The Edgestä, DR Technologysta, DR Globalista ja kommenttiosiostamme. Olemme sitoutuneet tuomaan sinulle monipuolisen joukon näkökulmia tukeaksemme kyberturvallisuusstrategioiden toteuttamista kaikenmuotoisten ja -kokoisten organisaatioiden johtajille.

Tässä numerossa:

NIST Cybersecurity Framework 2.0: 4 vaihetta alkuun

Robert Lemos, avustava kirjailija, Dark Reading

National Institute of Standards and Technology (NIST) on tarkistanut kirjaa kattavan kyberturvallisuusohjelman luomisesta, jonka tavoitteena on auttaa kaikenkokoisia organisaatioita olemaan turvallisempia. Tästä voit aloittaa muutosten toteuttamisen.

Tällä viikolla julkaistun NIST:n Cybersecurity Frameworkin (CSF) viimeisimmän version toimittaminen voi tarkoittaa merkittäviä muutoksia kyberturvallisuusohjelmiin.

Esimerkiksi siellä on upouusi "Govern"-toiminto, joka sisältää laajemman kyberturvallisuuden johdon ja hallituksen valvonnan, ja se laajenee. parhaat turvallisuuskäytännöt kriittisten toimialojen käytäntöjen lisäksi. Kaiken kaikkiaan kyberturvatiimeillä on työnsä ja heidän on tarkasteltava tarkasti olemassa olevia arviointeja, havaittuja puutteita ja korjaustoimia määrittääkseen kehyksen muutosten vaikutukset.

Onneksi vinkkimme NIST Cybersecurity Frameworkin uusimman version käyttöönottamiseksi voivat auttaa osoittamaan tietä eteenpäin. Niihin sisältyy kaikkien NIST-resurssien käyttö (CSF ei ole vain asiakirja, vaan kokoelma resursseja, joita yritykset voivat käyttää soveltaakseen puitteita erityisiin ympäristöönsä ja vaatimuksiinsa); istuu alas C-sarjan kanssa keskustelemaan "Hallitse"-toiminnosta; kääriminen toimitusketjun turvallisuuteen; ja vahvistaa, että konsultointipalvelut ja kyberturvallisuuden asennonhallintatuotteet on arvioitu uudelleen ja päivitetty tukemaan uusinta CSF:ää.

Lue lisää: NIST Cybersecurity Framework 2.0: 4 vaihetta alkuun

Related: Yhdysvaltain hallitus laajentaa roolia ohjelmistoturvallisuuden alalla

Apple, Signal Debyytti Quantum Resistant Encryption, mutta Challenges Loom

Kirjailija Jai ​​Vijayan, avustava kirjoittaja, Dark Reading

Applen PQ3 iMessagen suojaamiseen ja Signalin PQXH osoittavat, kuinka organisaatiot valmistautuvat tulevaisuuteen, jossa salausprotokollien on oltava eksponentiaalisesti vaikeampi murtaa.

Kun kvanttitietokoneet kypsyvät ja antavat vastustajille triviaalisen helpon tavan murtaa jopa kaikkein turvallisimmat nykyiset salausprotokollat, organisaatioiden on siirryttävä nyt suojatakseen viestintää ja tietoja.

Tätä varten Applen uusi PQ3 post-quantum cryptographic (PQC) -protokolla iMessage-viestinnän turvaamiseksi ja samanlainen salausprotokolla, jonka Signal esitteli viime vuonna nimeltä PQXDH, ovat kvanttiresistenttejä, mikä tarkoittaa, että ne kestävät - ainakin teoriassa - kvanttihyökkäyksiä. tietokoneet yrittävät rikkoa niitä.

Mutta organisaatioille siirtyminen PQC:n kaltaisiin asioihin on pitkä, monimutkainen ja todennäköisesti tuskallinen. Nykyiset mekanismit, jotka ovat vahvasti riippuvaisia ​​julkisen avaimen infrastruktuureista, edellyttävät uudelleenarviointia ja mukauttamista kvanttiresistenttien algoritmien integroimiseksi. Ja siirtyminen jälkeiseen kvanttisalaukseen esittelee uudet hallintahaasteet yritysten IT-, teknologia- ja tietoturvatiimeille, jotka vastaavat aikaisempia siirtymiä, kuten TLS1.2:sta 1.3:een ja ipv4:stä v6:een, jotka molemmat ovat kestäneet vuosikymmeniä.

Lue lisää: Apple, Signal Debyytti Quantum Resistant Encryption, mutta Challenges Loom

Related: Halkeileva heikko kryptografia ennen kvanttilaskentaa

Ikello 10. Tiedätkö, missä tekoälymallisi ovat tänä iltana?

Kirjailija: Ericka Chickowski, avustava kirjoittaja, Dark Reading

Tekoälymallin näkyvyyden ja turvallisuuden puute asettaa ohjelmiston toimitusketjun tietoturvaongelman steroideihin.

Jos luulit ohjelmistojen toimitusketjun tietoturvaongelman olevan tarpeeksi vaikea tänään, kiinnitä se. Tekoälyn käytön räjähdysmäinen kasvu tekee näistä toimitusketjun ongelmista eksponentiaalisesti vaikeampia tulevina vuosina.

Tekoäly-/koneoppimismallit tarjoavat perustan tekoälyjärjestelmän kyvylle tunnistaa malleja, tehdä ennusteita, tehdä päätöksiä, käynnistää toimia tai luoda sisältöä. Mutta totuus on, että useimmat organisaatiot eivät edes tiedä, miten edes alkaa saada voittoa näkyvyys kaikkiin upotettuihin tekoälymalleihin heidän ohjelmistossaan.

Käynnistystä varten mallit ja niitä ympäröivä infrastruktuuri on rakennettu eri tavalla kuin muut ohjelmistokomponentit, eikä perinteisiä tietoturva- ja ohjelmistotyökaluja ole rakennettu etsimään tai ymmärtämään, kuinka tekoälymallit toimivat tai kuinka niissä on virheitä.

”Malli on suunnittelultaan itsetoimiva koodinpala. Sillä on tietty määrä agentuuria", sanoo Daryan Dehghanpisheh, Protect AI:n perustaja. "Jos sanoin sinulle, että sinulla on kaikkialla infrastruktuurissasi omaisuutta, jota et näe, et voi tunnistaa, et tiedä mitä ne sisältävät, et tiedä mikä koodi on, ja ne suorittavat itse ja soittaa ulkopuolelta, se kuulostaa epäilyttävän lupavirukselta, eikö niin?"

Lue lisää: Kello on 10 Tiedätkö, missä tekoälymallisi ovat tänä iltana?

Related: Hugging Face AI -alusta täynnä 100 haitallista koodin suoritusmallia

Organisaatiot saavat suuret SEC-rangaistukset rikkomusten paljastamatta jättämisestä

Kirjailija: Robert Lemos, avustava kirjoittaja

Mikä voisi olla täytäntöönpanon painajainen, mahdollisesti miljoonia dollareita sakkoja, mainevaurioita, osakkeenomistajien oikeudenkäyntejä ja muita rangaistuksia odottaa yrityksiä, jotka eivät noudata SEC:n uusia tietoturvaloukkausten paljastamissääntöjä.

Yrityksiä ja niiden CISO:ita voi kohdata satojen tuhansien ja miljoonien dollarien sakkoja ja muita rangaistuksia Yhdysvaltain arvopaperi- ja pörssiviranomaiselta (SEC), jos ne eivät saa kyberturvallisuus- ja tietomurtojen paljastamisprosessejaan noudattaakseen vaatimuksia. nyt voimaan tulleilla uusilla säännöillä.

SEC:n säännöillä on hampaat: komissio voi antaa pysyvän kieltomääräyksen, jolla vastaaja määrätään lopettamaan tapauksen ytimessä oleva toiminta, määrätä väärin saatujen voittojen takaisinmaksu tai toteuttaa kolme tasoa kovenevia rangaistuksia, jotka voivat johtaa tähtitieteellisiin sakkoihin. .

Ehkä huolestuttavinta CISO on henkilökohtainen vastuu, jota he kohtaavat nyt monille liiketoiminta-alueille, joista heillä ei ole historiallisesti ollut vastuuta. Vain puolet CISO:sta (54 %) luottaa kykyynsä noudattaa SEC:n päätöstä.

Kaikki tämä johtaa CISO:n roolin laajaan uudelleenarviointiin ja lisäkustannuksiin yrityksille.

Lue lisää: Organisaatiot saavat suuret SEC-rangaistukset rikkomusten paljastamatta jättämisestä

Related: Mitä yritysten ja CISO:n tulisi tietää lisääntyvistä oikeudellisista uhista

Biometristen tietojen säätely kuumenee, mikä ennakoi vaatimustenmukaisuuden päänsärkyä

David Strom, avustava kirjoittaja, Dark Reading

Kasvava joukko biometrisiä tietoja sääteleviä yksityisyyslakeja pyrkii suojelemaan kuluttajia lisääntyvien pilviloukkausten ja tekoälyn luomien syväväärennösten keskellä. Mutta biometrisiä tietoja käsitteleville yrityksille vaatimusten noudattaminen on helpommin sanottu kuin tehty.

Biometriset yksityisyydensuojaongelmat kuumenevat lisääntymisen ansiosta tekoälyyn (AI) perustuvat syväväärennösuhat, kasvava biometristen tietojen käyttö yrityksissä, odotettavissa oleva uusi osavaltiotason tietosuojalaki ja presidentti Bidenin tällä viikolla antama uusi toimeenpanomääräys, joka sisältää biometrisen yksityisyyden suojan.

Tämä tarkoittaa, että yritysten on katsottava enemmän eteenpäin ja ennakoitava ja ymmärrettävä riskit rakentaakseen sopivan infrastruktuurin biometrisen sisällön seurantaa ja käyttöä varten. Ja niiden, jotka harjoittavat liiketoimintaa kansallisesti, on tarkastettava tietosuojamenettelynsä säännösten tilkkutäkkien noudattamiseksi, mukaan lukien ymmärtäminen, kuinka he saavat kuluttajan suostumuksen tai sallivat kuluttajien rajoittaa tällaisten tietojen käyttöä ja varmistavat, että ne vastaavat säädösten eri hienouksia.

Lue lisää: Biometristen tietojen säätely kuumenee, mikä ennakoi vaatimustenmukaisuuden päänsärkyä

Related: Valitse käyttötarpeeseesi paras biometrinen todennus

DR Global: "Illusive" Iranin Hakkerointiryhmä houkuttelee Israelin, Arabiemiirikuntien ilmailu- ja puolustusalan yrityksiä

Robert Lemos, avustava kirjailija, Dark Reading

UNC1549, eli Smoke Sandstorm ja Tortoiseshell, näyttää olevan syyllinen jokaiselle kohdeorganisaatiolle räätälöidyn kyberhyökkäyskampanjan takana.

Iranilainen uhkaryhmä UNC1549 – joka tunnetaan myös nimellä Smoke Sandstorm ja Tortoiseshell – pyrkii avaruuteen ja avaruuteen. puolustusalan yritykset Israelissa, Yhdistyneet arabiemiirikunnat ja muut Lähi-idän maat.

Erityisesti räätälöidyn työllisyyteen keskittyvän keihäs-phishingin ja pilviinfrastruktuurin käytön välillä komentoihin ja hallintaan hyökkäystä voi olla vaikea havaita, sanoo Jonathan Leathery, Google Cloudin Mandiantin pääanalyytikko.

"Tärkein osa on se, kuinka kuvitteellinen tämä uhka voi olla havaita ja jäljittää – heillä on selvästi pääsy merkittäviin resursseihin ja he ovat valikoivia kohdistaessaan", hän sanoo. "Tällä toimijalla on todennäköisesti enemmän toimintaa, jota ei ole vielä löydetty, ja on vielä vähemmän tietoa siitä, kuinka he toimivat, kun he ovat vaarantuneet kohteen."

Lue lisää: "Illusive" iranilainen hakkerointiryhmä houkuttelee Israelin, Arabiemiirikuntien ilmailu- ja puolustusalan yrityksiä

Related: Kiina käynnistää uuden kyberpuolustussuunnitelman teollisille verkoille

MITER tuo markkinoille 4 upouutta CWE:tä mikroprosessoriturvavirheille

Kirjailija Jai ​​Vijayan, avustava kirjoittaja, Dark Reading

Tavoitteena on antaa puolijohdealan piirisuunnittelijoille ja turvallisuusalan ammattilaisille parempi käsitys tärkeimmistä mikroprosessorivirheistä, kuten Meltdown ja Spectre.

CPU-resursseihin kohdistettujen sivukanavahyödykkeiden lisääntyessä MITRE:n johtama Common Weakness Enumeration (CWE) -ohjelma lisäsi neljä uutta mikroprosessoriin liittyvää heikkoutta yleisten ohjelmisto- ja laitteistohaavoittuvuuksien luetteloonsa.

CWE:t ovat Intelin, AMD:n, Armin, Riscuren ja Cycuityn yhteistyön tulosta, ja ne antavat prosessorisuunnittelijoille ja puolijohdealan turvallisuusalan ammattilaisille yhteisen kielen keskustellakseen nykyaikaisten mikroprosessoriarkkitehtuurien heikkouksista.

Neljä uutta CWE:tä ovat CWE-1420, CWE-1421, CWE-1422 ja CWE-1423.

CWE-1420 koskee arkaluonteisten tietojen paljastamista ohimenevän tai spekulatiivisen suorituksen aikana – laitteiston optimointitoimintoa, joka liittyy Meltdown ja Specter - ja on kolmen muun CWE:n "emo".

CWE-1421 liittyy arkaluontoisten tietojen vuotamiseen jaetuissa mikroarkkitehtuurirakenteissa ohimenevän suorituksen aikana; CWE-1422 korjaa tietovuodot, jotka liittyvät virheelliseen tiedon edelleenlähetykseen ohimenevän suorituksen aikana. CWE-1423 tarkastelee tietojen altistumista, joka on sidottu tiettyyn mikroprosessorin sisäiseen tilaan.

Lue lisää: MITER tuo markkinoille 4 upouutta CWE:tä mikroprosessoriturvavirheille

Related: MITER ottaa käyttöön Supply Chain Security Prototypen

Lähentyvät valtion tietosuojalait ja uusi tekoälyhaaste

Kommentti: Jason Eddinger, vanhempi tietoturvakonsultti, Tietosuoja, GuidePoint Security

Yritysten on aika tarkastella, mitä ne käsittelevät, millaisia ​​riskejä niillä on ja miten ne aikovat pienentää tätä riskiä.

Kahdeksan Yhdysvaltain osavaltiota hyväksyi tietosuojalainsäädännön vuonna 2023, ja vuonna 2024 lait tulevat voimaan neljässä osavaltiossa, joten yritysten on katsottava syvällisesti käsittelemiään tietoja, millaisia ​​riskejä niillä on ja miten niitä voidaan hallita. riskiä ja suunnitelmiaan tunnistamansa riskin vähentämiseksi. Tekoälyn käyttöönotto tekee siitä vaikeampaa.

Kun yritykset suunnittelevat strategiaa noudattaakseen kaikkia näitä olemassa olevia uusia säännöksiä, on syytä huomata, että vaikka nämä lait ovat monessa suhteessa yhdenmukaisia, niissä on myös osavaltiokohtaisia ​​vivahteita.

Yritysten pitäisi odottaa näkevänsä monia nousevat tietosuojatrendit tänä vuonna, mukaan lukien:

Lue lisää: Lähentyvät valtion tietosuojalait ja uusi tekoälyhaaste

Related: Yksityisyys voittaa Ransomwaren tärkeimpänä vakuutusyhtiönä

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok