Bienvenue dans CISO Corner, le résumé hebdomadaire d'articles de Dark Reading spécialement conçu pour les lecteurs des opérations de sécurité et les responsables de la sécurité. Chaque semaine, nous proposons des articles glanés dans nos opérations d'information, The Edge, DR Technology, DR Global et notre section Commentaires. Nous nous engageons à vous apporter un ensemble diversifié de perspectives pour soutenir le travail de mise en œuvre des stratégies de cybersécurité, pour les dirigeants d'organisations de toutes formes et tailles.
Dans ce numéro du RSSI Corner :
-
Les entreprises dotées d’une cybergouvernance créent près de 4 fois plus de valeur
-
Même les cyberprofessionnels se font escroquer : au cœur d’une véritable attaque de hameçonnage
-
L’atténuation des risques liés aux tiers nécessite une approche collaborative et approfondie
-
Monde : le gouvernement australien redouble d’efforts en matière de cybersécurité à la suite d’attaques majeures
-
Guide du RSSI sur la détermination de l'importance relative et des risques
-
Zero-Day Bonanza génère davantage d'exploits contre les entreprises
-
Placer les mesures correctives en matière de sécurité à l’ordre du jour des conseils d’administration
Les entreprises dotées d’une cybergouvernance créent près de 4 fois plus de valeur
Par David Strom, écrivain collaborateur, Dark Reading
Ceux qui disposent de comités spéciaux comprenant un cyberexpert plutôt que de s’appuyer sur l’ensemble du conseil d’administration sont plus susceptibles d’améliorer leur sécurité et leurs performances financières.
Les entreprises qui ont fait l’effort de suivre les lignes directrices pour une meilleure gouvernance de la cybersécurité ont créé près de quatre fois leur valeur actionnariale par rapport à celles qui ne l’ont pas fait.
C'est la conclusion d'une nouvelle enquête menée conjointement par Bitsight et le Diligent Institute, qui a mesuré l'expertise en matière de cybersécurité sur 23 facteurs de risque différents, tels que le présence d'infections par botnet, des serveurs hébergeant des logiciels malveillants, des certificats de cryptage obsolètes pour les communications Web et par courrier électronique et des ports réseau ouverts sur les serveurs publics.
Le rapport révèle également que la mise en place de comités distincts du conseil d'administration axés sur les risques spécialisés et la conformité en matière d'audit produit les meilleurs résultats. « Les conseils d’administration qui exercent une surveillance cybernétique par l’intermédiaire de comités spécialisés composés d’un membre expert en cybersécurité, plutôt que de s’appuyer sur l’ensemble du conseil d’administration, sont plus susceptibles d’améliorer leur sécurité globale et leurs performances financières », convient Ladi Adefala, consultant en cybersécurité et PDG d’Omega315.
Lire la suite: Les entreprises dotées d’une cybergouvernance créent près de 4 fois plus de valeur
Connexe: Avec les interdictions de TikTok, l'heure de la gouvernance opérationnelle est arrivée
Même les cyberprofessionnels se font escroquer : au cœur d’une véritable attaque de hameçonnage
Par Elizabeth Montalbano, rédactrice collaboratrice de Dark Reading
Les attaquants qui réussissent se concentrent sur la manipulation psychologique des émotions humaines, c’est pourquoi n’importe qui, même un cyber-pro ou une personne experte en technologie, peut devenir une victime.
Tout a commencé par un appel téléphonique vers 10h30 un mardi provenant d'un numéro de portable inconnu. Je travaillais sur mon ordinateur à la maison et je ne réponds généralement pas aux appels téléphoniques de personnes que je ne connais pas. Pour une raison quelconque, j'ai décidé d'arrêter ce que je faisais et de répondre à cet appel.
C'était la première erreur d'une série de plusieurs que je commettrais au cours des quatre heures suivantes, au cours desquelles j'étais le victime d'une campagne de vishing ou de voice-phishing. À la fin de l’épreuve, j’avais transféré près de 5,000 1,000 € de fonds depuis mon compte bancaire et en Bitcoin aux escrocs. Ma banque a pu annuler la plupart des virements ; cependant, j'ai perdu XNUMX XNUMX € que j'avais envoyés dans le portefeuille Bitcoin des attaquants.
Les experts affirment que peu importe votre expertise dans la connaissance des tactiques utilisées par les attaquants ou votre expérience pour détecter les escroqueries. La clé du succès des attaquants est quelque chose de plus ancien que la technologie, car elle réside dans la manipulation de ce qui nous rend humains : nos émotions.
Lire la suite: Ne répondez pas au téléphone : dans le cadre d'une véritable attaque de hameçonnage
Connexe: Les pirates nord-coréens ciblent à nouveau les chercheurs en sécurité
L’atténuation des risques liés aux tiers nécessite une approche collaborative et approfondie
Commentaire de Matt Mettenheimer, directeur associé du cyber-conseil, pratique de cybersécurité, S-RM
Le problème peut sembler intimidant, mais la plupart des organisations disposent de plus de liberté et de flexibilité qu’elles ne le pensent pour gérer les risques liés aux tiers.
Le risque tiers présente un défi unique pour les organisations. En apparence, un tiers peut paraître digne de confiance. Mais sans une transparence totale sur le fonctionnement interne de ce fournisseur tiers, comment une organisation peut-elle garantir que les données qui lui sont confiées sont sécurisées ?
Souvent, les organisations minimisent cette question pressante, en raison des relations de longue date qu’elles entretiennent avec leurs fournisseurs tiers. Mais l’émergence de fournisseurs de quatrième, voire de cinquième partie, devrait inciter les organisations à sécuriser leurs données externes. Faire diligence raisonnable en matière de sécurité sur un fournisseur tiers Il faut désormais déterminer si le tiers sous-traite les données des clients privés à davantage de parties en aval, ce qu'ils font probablement, grâce à l'omniprésence des services SaaS.
Heureusement, il existe cinq étapes simples et prêtes à l’emploi qui fournissent une feuille de route aux organisations pour réussir à atténuer les risques liés aux tiers.
Lire la suite: L’atténuation des risques liés aux tiers nécessite une approche collaborative et approfondie
Connexe: Cl0p revendique l'attaque MOVEit ; Voici comment le gang a procédé
Le gouvernement australien redouble d’efforts en matière de cybersécurité à la suite d’attaques majeures
Par John Leyden, écrivain collaborateur, Dark Reading Global
Le gouvernement propose des réglementations de cybersécurité plus modernes et plus complètes pour les entreprises, le gouvernement et les fournisseurs d'infrastructures critiques de l'Australie.
Les faiblesses des capacités australiennes de réponse aux cyberincidents ont été mises à nu en septembre 2022. cyberattaque contre le fournisseur de télécommunications Optus, suivie en octobre par une attaque basée sur un ransomware contre la société d'assurance maladie Medibank.
En conséquence, le gouvernement australien élabore des plans pour réorganiser les lois et réglementations en matière de cybersécurité, avec une stratégie proclamée visant à positionner le pays comme un leader mondial en matière de cybersécurité d’ici 2030.
En plus de combler les lacunes des lois existantes sur la cybercriminalité, les législateurs australiens espèrent modifier la loi de 2018 sur la sécurité des infrastructures critiques (SOCI) afin de mettre davantage l'accent sur la prévention des menaces, le partage d'informations et la réponse aux cyberincidents.
Lire la suite: Le gouvernement australien redouble d’efforts en matière de cybersécurité à la suite d’attaques majeures
Connexe: Les ports australiens reprennent leurs activités après une cyber-perturbation paralysante
Guide du RSSI sur la détermination de l'importance relative et des risques
Commentaire de Peter Dyson, responsable de l'analyse des données, Kovrr
Pour de nombreux RSSI, la « matérialité » reste un terme ambigu. Ils doivent néanmoins pouvoir discuter de l’importance relative et des risques avec leur conseil d’administration.
La SEC exige désormais que les entreprises publiques évaluer si les cyberincidents sont « importants », comme seuil pour les signaler. Mais pour de nombreux RSSI, la matérialité reste un terme ambigu, ouvert à des interprétations basées sur l'environnement de cybersécurité unique d'une organisation.
Le cœur de la confusion autour de l’importance relative est de déterminer ce qui constitue une « perte matérielle ». Certains considèrent que l'importance relative a un impact sur 0.01 % du chiffre d'affaires de l'année précédente, ce qui équivaut à environ un point de base de chiffre d'affaires (ce qui équivaut à une heure de chiffre d'affaires pour les sociétés Fortune 1000).
En testant différents seuils par rapport aux références du secteur, les organisations peuvent mieux comprendre leur vulnérabilité aux cyberattaques matérielles.
Lire la suite: Guide du RSSI sur la détermination de l'importance relative et des risques
Connexe: Prudential dépose un avis de violation volontaire auprès de la SEC
Zero-Day Bonanza génère davantage d'exploits contre les entreprises
Par Becky Bracken, rédactrice en chef, Dark Reading
Les adversaires avancés se concentrent de plus en plus sur les technologies d'entreprise et leurs fournisseurs, tandis que les plates-formes d'utilisateurs finaux parviennent à étouffer les exploits du jour zéro grâce à des investissements dans la cybersécurité, selon Google.
En 50, il y a eu 2023 % plus de vulnérabilités Zero Day exploitées qu’en 2022. Les entreprises sont particulièrement touchées.
Selon une étude de Mandiant et du Google Threat Analysis Group (TAG), des adversaires sophistiqués soutenus par des États-nations profitent d’une surface d’attaque tentaculaire pour les entreprises. Les empreintes constituées de logiciels provenant de plusieurs fournisseurs, de composants tiers et de bibliothèques tentaculaires constituent un riche terrain de chasse pour ceux qui ont la capacité de développer des exploits Zero Day.
Les groupes de cybercriminalité se sont particulièrement concentrés sur les logiciels de sécurité, notamment Passerelle de sécurité de messagerie Barracuda; Appliance de sécurité adaptative Cisco ; Ivanti Endpoint Manager, Mobile et Sentry ; et Trend Micro Apex One, ajoute la recherche.
Lire la suite: Zero-Day Bonanza génère davantage d'exploits contre les entreprises
Connexe: Les attaquants exploitent les bugs de sécurité Microsoft en contournant les bugs Zero-Day
Placer les mesures correctives en matière de sécurité à l’ordre du jour des conseils d’administration
Commentaire de Matt Middleton-Leal, directeur général pour la région EMEA Nord, Qualys
Les équipes informatiques peuvent mieux résister aux contrôles en aidant leur conseil d'administration à comprendre les risques et la manière dont ils sont résolus, ainsi qu'en expliquant leur vision à long terme de la gestion des risques.
Les PDG du passé n’ont peut-être pas perdu le sommeil sur la façon dont leur équipe de sécurité aborde des CVE spécifiques, mais avec CVE pour les bugs dangereux comme Apache Log4j n’ayant pas encore été corrigées dans de nombreuses organisations, la remédiation en matière de sécurité est désormais à l’ordre du jour de manière plus large. Cela signifie que de plus en plus de responsables de la sécurité sont invités à donner un aperçu de la manière dont ils gèrent les risques d'un point de vue commercial.
Cela soulève des questions difficiles, notamment en ce qui concerne les budgets et la manière dont ils sont utilisés.
La plupart des RSSI sont tentés d'utiliser des informations sur les principes fondamentaux de la sécurité informatique (nombre de problèmes résolus, de mises à jour déployées, de problèmes critiques résolus), mais sans comparaison avec d'autres risques et problèmes commerciaux, il peut être difficile de maintenir l'attention et de démontrer qu'un RSSI tient ses promesses. .
Pour surmonter ces problèmes, nous devons utiliser des comparaisons et des données contextuelles pour raconter une histoire autour du risque. Fournir des chiffres de base sur le nombre de correctifs déployés ne décrit pas les énormes efforts déployés pour résoudre un problème critique qui mettait en péril une application génératrice de revenus. Cela ne montre pas non plus comment votre équipe se comporte par rapport aux autres. Essentiellement, vous souhaitez démontrer à quoi ressemble une bonne chose au conseil d’administration et comment vous continuez à y parvenir au fil du temps.
Lire la suite: Placer les mesures correctives en matière de sécurité à l’ordre du jour des conseils d’administration
Connexe: Ce qui manque à la salle de conférence : les RSSI
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation
- :est
- :ne pas
- 000
- 10
- 2018
- 2022
- 2023
- 2030
- 23
- 30
- 7
- 8
- a
- suis
- capacité
- Capable
- Qui sommes-nous
- Selon
- Compte
- à travers
- Agis
- adaptatif
- ajoutée
- adresser
- Avantage
- consultatif
- Après
- à opposer à
- agence
- ordre du jour
- accepte
- Tous
- presque
- aussi
- quantités
- an
- selon une analyse de l’Université de Princeton
- analytique
- ainsi que le
- répondre
- chacun.e
- Apache
- Apex
- apparaître
- Application
- une approche
- approchant
- d'environ
- SONT
- autour
- sur notre blog
- AS
- agression
- Associé(e)
- At
- attaquer
- Attaques
- précaution
- audit
- Australie
- Australien
- soutenu
- Banque
- compte bancaire
- Bans
- base
- basé
- base
- point de base
- BE
- devenez
- était
- va
- repères
- LES MEILLEURS
- Améliorée
- Bitcoin
- Bitcoin Wallet
- planche
- l'attrait
- Botnet
- violation
- Apporter
- largement
- budgets
- bogues
- la performance des entreprises
- entreprises
- mais
- by
- Appelez-nous
- Appels
- CAN
- capacités
- sculpture
- CEO
- certificats
- challenge
- Réseautage et Mentorat
- Cisco
- CISO
- prétentions
- plus clair
- client
- collaborative
- commentaire
- engagé
- comités
- Communications
- Sociétés
- par rapport
- Comparaison
- comparaisons
- complet
- conformité
- composants électriques
- complet
- ordinateur
- conclusion
- menée
- confusion
- Considérer
- consultant
- contexte
- continuer
- contribuant
- Core
- Coin
- Corporations
- Pays
- engendrent
- créée
- paralysant
- critique
- Infrastructure critique
- cyber
- cyber-attaques
- la cybercriminalité
- Cybersécurité
- dangereux
- Foncé
- Lecture sombre
- données
- Analyse de Donnée
- David
- affaire
- décidé
- livrer
- livrer
- démontrer
- déployé
- décrire
- détermination
- détermination
- développer
- DID
- différent
- Digérer
- diligence
- Directeur
- discuter
- plusieurs
- do
- doesn
- faire
- Don
- Double
- down
- dr
- les lecteurs
- deux
- pendant
- Edge
- éditeur
- effort
- elizabeth
- sécurité de messagerie
- EMEA
- émergence
- émotions
- l'accent
- chiffrement
- fin
- Endpoint
- assurer
- Entreprise
- entreprises
- confié
- Environment
- équivaut
- notamment
- essentiellement
- Pourtant, la
- Chaque
- Exercises
- existant
- d'experience
- expert
- nous a permis de concevoir
- expliquant
- Exploiter
- Exploités
- exploits
- externe
- visages
- facteurs
- Figures
- Fichiers
- la traduction de documents financiers
- performance financière
- trouver
- Prénom
- cinq
- fixé
- Flexibilité
- Focus
- concentré
- suivre
- suivi
- Pour
- fortune
- trouvé
- quatre
- De
- plein
- fonds
- Gain
- Gang
- lacunes
- obtenez
- obtention
- Global
- Bien
- gouvernance
- Gouvernement
- plus grand
- Sol
- Réservation de groupe
- Groupes
- guide
- lignes directrices
- les pirates
- ait eu
- Dur
- Vous avez
- havre
- ayant
- front
- Santé
- l'assurance maladie
- aider
- ici
- Frappé
- Accueil
- d'espérance
- hébergement
- heure
- HEURES
- Comment
- Cependant
- HTTPS
- majeur
- humain
- Chasse
- i
- ICON
- if
- impactant
- améliorer
- in
- encourager
- incident
- réponse à l'incident
- comprendre
- Y compris
- de plus en plus
- industrie
- d'information
- Infrastructure
- infrastructures
- intérieur
- à l'intérieur
- perspicacité
- Institut
- Assurance
- l'interprétation
- développement
- Investissements
- aide
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- sécurité informatique
- Emploi
- John
- jpg
- XNUMX éléments à
- ACTIVITES
- Savoir
- connaissance
- Coréen
- vergé
- Lois
- Lois et règlements
- leader
- dirigeants
- Conduit
- législateurs
- bibliothèques
- se trouve
- comme
- Probable
- long-term
- longtemps
- LOOKS
- perte
- perdu
- LES PLANTES
- majeur
- a prendre une
- FAIT DU
- malware
- gestion
- manager
- les gérer
- Directeur Général
- manipuler
- Manipulation
- de nombreuses
- Matériel
- mat
- Matière
- veux dire
- membre
- micro
- Microsoft
- pourrait
- manquant
- erreur
- Réduire les
- atténuer
- Breeze Mobile
- Villas Modernes
- PLUS
- (en fait, presque toutes)
- beaucoup
- plusieurs
- must
- my
- nation
- presque
- Besoin
- réseau et
- Nouveauté
- nouvelles
- next
- Nord
- Remarquer..
- maintenant
- nombre
- octobre
- of
- code
- plus
- on
- ONE
- ouvert
- réseau ouvert
- opération
- opérationnel
- Opérations
- opposé
- or
- organisation
- organisations
- Autre
- Autres
- nos
- ande
- les résultats
- désuet
- plus de
- global
- Overcome
- Surveillance
- particulièrement
- les parties
- fête
- passé
- Patches
- Personnes
- performant
- effectue
- personne
- objectifs
- perspectives
- Peter
- Téléphone
- Appel téléphonique
- appels téléphoniques
- Place
- plans
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Point
- ports
- position
- pratique
- cadeaux
- pressant
- Prévention
- principes
- Avant
- Privé
- produit
- propose
- AVANTAGES
- fournir
- de voiture.
- fournisseurs
- aportando
- psychologique
- public
- Entreprises publiques
- question
- fréquemment posées
- plutôt
- RE
- lecteurs
- en cours
- raison
- règlements
- Les relations
- s'appuyer
- restant
- reste
- assainissement
- rapport
- Rapports
- a besoin
- un article
- chercheurs
- réponse
- résultat
- CV
- de revenus
- Rich
- Analyse
- facteurs de risque
- la gestion des risques
- risques
- feuille de route
- s
- SaaS.
- dire
- Les escrocs
- les escroqueries
- examen minutieux
- SEC
- Section
- sécurisé
- sécurité
- sembler
- supérieur
- envoyé
- séparé
- Septembre
- Série
- Serveurs
- Services
- set
- plusieurs
- formes
- actionnaire
- partage
- devrait
- montrer
- étapes
- tailles
- sleep
- So
- Logiciels
- quelques
- quelque chose
- sophistiqué
- spécial
- spécialisé
- groupe de neurones
- spécifiquement
- repérage
- tentaculaire
- j'ai commencé
- Commencez
- Étapes
- Arrêter
- arrêté
- Histoire
- les stratégies
- de Marketing
- succès
- Avec succès
- tel
- Support
- Surface
- Sondage
- tactique
- TAG
- Prenez
- prise
- Target
- équipe
- équipes
- Les technologies
- Technologie
- monde de télécommunications
- dire
- terme
- Essais
- que
- Merci
- qui
- Les
- leur
- Les
- Là.
- Ces
- l'ont
- chose
- penser
- Troisièmement
- des tiers.
- this
- approfondi
- ceux
- menace
- prévention des menaces
- порог
- Avec
- TikTok
- fiable
- fois
- à
- difficile
- transféré
- transferts
- Transparence
- Trend
- digne de confiance
- Mardi
- sous
- comprendre
- compréhension
- expérience unique et authentique
- inconnu
- Actualités
- us
- utilisé
- d'utiliser
- d'habitude
- Évaluation
- Plus-value
- vendeur
- fournisseurs
- très
- Victime
- vishing
- vision
- volontaire
- vulnérabilités
- vulnérabilité
- Réveiller
- Wallet
- souhaitez
- était
- we
- web
- semaine
- hebdomadaire
- WELL
- est allé
- ont été
- Quoi
- que
- qui
- tout en
- why
- Sauvage
- comprenant
- sans
- de travail
- fonctionnement
- world
- pourra
- écrivain
- an
- Vous n'avez
- Votre
- zéphyrnet
- vulnérabilités zero-day