Benvenuti in CISO Corner, la raccolta settimanale di articoli di Dark Reading pensati specificatamente per i lettori e i leader della sicurezza che si occupano di operazioni di sicurezza. Ogni settimana offriamo articoli raccolti dalle nostre attività di notizie, The Edge, DR Technology, DR Global e dalla nostra sezione Commenti. Ci impegniamo a offrirti una serie diversificata di prospettive per supportare il lavoro di operatività delle strategie di sicurezza informatica, per i leader di organizzazioni di ogni forma e dimensione.
In questo numero di CISO Corner:
-
Le aziende con cyber governance creano quasi 4 volte più valore
-
Anche i professionisti informatici vengono truffati: all'interno di un attacco di vishing nella vita reale
-
La mitigazione del rischio di terze parti richiede un approccio collaborativo e approfondito
-
Globale: il governo australiano raddoppia la sicurezza informatica in seguito a gravi attacchi
-
Una guida del CISO alla determinazione della materialità e del rischio
-
Zero-Day Bonanza favorisce ulteriori exploit contro le imprese
-
Inserire le misure di sicurezza nell'agenda del consiglio d'amministrazione
Le aziende con cyber governance creano quasi 4 volte più valore
Di David Strom, scrittore collaboratore, Dark Reading
Quelli con comitati speciali che includono un esperto informatico piuttosto che fare affidamento sull’intero consiglio hanno maggiori probabilità di migliorare la sicurezza e le prestazioni finanziarie.
Le aziende che si sono sforzate di seguire le linee guida per una migliore governance della sicurezza informatica hanno creato quasi quattro volte il loro valore per gli azionisti rispetto a quelle che non lo hanno fatto.
Questa è la conclusione di un nuovo sondaggio condotto congiuntamente da Bitsight e dal Diligent Institute, che ha misurato le competenze in materia di sicurezza informatica rispetto a 23 diversi fattori di rischio, come il presenza di infezioni botnet, server che ospitano malware, certificati di crittografia obsoleti per comunicazioni Web ed e-mail e porte di rete aperte su server pubblici.
Il rapporto ha inoltre rilevato che avere comitati separati del consiglio focalizzati sul rischio specializzato e sulla conformità degli audit produce i migliori risultati. “I consigli di amministrazione che esercitano la supervisione informatica attraverso comitati specializzati con un membro esperto informatico invece di affidarsi all’intero consiglio hanno maggiori probabilità di migliorare le loro posizioni di sicurezza complessive e le prestazioni finanziarie”, concorda Ladi Adefala, consulente di sicurezza informatica e CEO di Omega315.
Leggi di più: Le aziende con cyber governance creano quasi 4 volte più valore
Correlato: Con i divieti di TikTok, è giunto il momento della governance operativa
Anche i professionisti informatici vengono truffati: all'interno di un attacco di vishing nella vita reale
Di Elizabeth Montalbano, scrittrice collaboratrice, Dark Reading
Gli aggressori di successo si concentrano sulla manipolazione psicologica delle emozioni umane, motivo per cui chiunque, anche un cyber-professionista o un esperto di tecnologia, può diventare una vittima.
Tutto è iniziato con una telefonata intorno alle 10 di un martedì da un numero di cellulare sconosciuto. Stavo lavorando al computer a casa e di solito non rispondo alle telefonate di persone che non conosco. Per qualche ragione, ho deciso di interrompere quello che stavo facendo e di rispondere a quella chiamata.
Quello fu il mio primo errore di una serie di altri che avrei commesso nelle quattro ore successive, durante le quali ero il vittima di una campagna di vishing o voice-phishing. Alla fine della vicenda, avevo trasferito ai truffatori quasi 5,000 euro in fondi dal mio conto bancario e in Bitcoin. La mia banca è riuscita ad annullare la maggior parte dei trasferimenti; tuttavia, ho perso 1,000 euro che avevo inviato al portafoglio Bitcoin degli aggressori.
Gli esperti dicono che non importa quanta esperienza tu abbia nel conoscere le tattiche utilizzate dagli aggressori o sperimentare nell'individuare le truffe. La chiave del successo degli aggressori è qualcosa di più antico della tecnologia, poiché risiede nella manipolazione di ciò che ci rende umani: le nostre emozioni.
Leggi di più: Non rispondere al telefono: all'interno di un attacco di Vishing nella vita reale
Correlato: Gli hacker nordcoreani prendono di mira i ricercatori nel campo della sicurezza: ancora una volta
La mitigazione del rischio di terze parti richiede un approccio collaborativo e approfondito
Commento di Matt Mettenheimer, Direttore associato di Cyber Advisory, Cybersecurity Practice, S-RM
La questione può sembrare scoraggiante, ma la maggior parte delle organizzazioni dispone di più libertà e flessibilità per gestire il rischio di terze parti di quanto pensi.
Il rischio di terze parti rappresenta una sfida unica per le organizzazioni. In superficie, una terza parte può sembrare affidabile. Ma senza una completa trasparenza sul funzionamento interno di quel fornitore di terze parti, come può un’organizzazione garantire che i dati a lei affidati siano sicuri?
Spesso le organizzazioni minimizzano questa domanda urgente, a causa dei rapporti di lunga data che hanno con i propri fornitori di terze parti. Ma l’emergere di fornitori di quarta e anche di quinta parte dovrebbe incentivare le organizzazioni a proteggere i propri dati esterni. Facendo un'adeguata due diligence di sicurezza su un fornitore terzo deve ora includere la scoperta se la terza parte esternalizza i dati dei clienti privati a soggetti più a valle, cosa che probabilmente fanno, grazie alla pervasività dei servizi SaaS.
Fortunatamente, esistono cinque semplici passaggi predefiniti che forniscono alle organizzazioni una tabella di marcia iniziale per mitigare con successo il rischio di terze parti.
Leggi di più: La mitigazione del rischio di terze parti richiede un approccio collaborativo e approfondito
Correlato: Cl0p rivendica l'attacco MOVEit; Ecco come l'ha fatto la banda
Il governo australiano raddoppia la sicurezza informatica in seguito a gravi attacchi
Di John Leyden, scrittore collaboratore, Dark Reading Global
Il governo propone normative sulla sicurezza informatica più moderne e complete per le imprese, il governo e i fornitori di infrastrutture critiche dell’Australia.
Le debolezze nelle capacità di risposta agli incidenti informatici dell’Australia sono state messe a nudo nel settembre 2022 attacco informatico al provider di telecomunicazioni Optus, seguito in ottobre da un attacco basato su ransomware contro la compagnia di assicurazioni sanitarie Medibank.
Di conseguenza, il governo australiano sta elaborando piani per rinnovare le leggi e i regolamenti sulla sicurezza informatica, con una strategia proclamata per posizionare la nazione come leader mondiale nella sicurezza informatica entro il 2030.
Oltre a colmare le lacune nelle leggi esistenti sulla criminalità informatica, i legislatori australiani sperano di modificare il Security of Critical Infrastructure (SOCI) Act 2018 del paese per porre maggiore enfasi sulla prevenzione delle minacce, sulla condivisione delle informazioni e sulla risposta agli incidenti informatici.
Leggi di più: Il governo australiano raddoppia la sicurezza informatica in seguito a gravi attacchi
Correlato: I porti australiani riprendono le operazioni dopo la paralizzante interruzione informatica
Una guida del CISO alla determinazione della materialità e del rischio
Commento di Peter Dyson, responsabile dell'analisi dei dati, Kovrr
Per molti CISO, “materialità” rimane un termine ambiguo. Anche così, devono essere in grado di discutere la materialità e il rischio con i loro consigli di amministrazione.
La SEC ora richiede alle società pubbliche di farlo valutare se gli incidenti informatici sono “materiali” come soglia per segnalarli. Ma per molti CISO, la materialità rimane un termine ambiguo, aperto all’interpretazione in base all’ambiente di sicurezza informatica unico di un’organizzazione.
Il nocciolo della confusione sulla materialità è determinare cosa costituisce una “perdita materiale”. Alcuni considerano la materialità come un impatto pari allo 0.01% delle entrate dell'anno precedente, pari a circa un punto base di entrate (che equivale a un'ora di entrate per le aziende Fortune 1000).
Testando diverse soglie rispetto ai benchmark di settore, le organizzazioni possono acquisire una comprensione più chiara della propria vulnerabilità agli attacchi informatici materiali.
Leggi di più: Una guida del CISO alla determinazione della materialità e del rischio
Correlato: Avviso di violazione volontaria di Prudential Files presso la SEC
Zero-Day Bonanza favorisce ulteriori exploit contro le imprese
Di Becky Bracken, redattore senior, Dark Reading
Secondo Google, gli avversari avanzati sono sempre più concentrati sulle tecnologie aziendali e sui loro fornitori, mentre le piattaforme degli utenti finali stanno avendo successo nel soffocare gli exploit zero-day con investimenti nella sicurezza informatica.
Nel 50 sono state sfruttate il 2023% in più di vulnerabilità zero-day rispetto al 2022. Le imprese sono particolarmente colpite.
Secondo una ricerca di Mandiant e Google Threat Analysis Group (TAG), sofisticati avversari sostenuti da stati-nazione stanno approfittando di una vasta superficie di attacco aziendale. Le impronte costituite da software di più fornitori, componenti di terze parti e librerie estese forniscono un ricco terreno di caccia per coloro che hanno la capacità di sviluppare exploit zero-day.
I gruppi di criminalità informatica si sono concentrati particolarmente sui software di sicurezza, inclusi Gateway di sicurezza e-mail Barracuda; Dispositivo di sicurezza adattiva Cisco; Ivanti Endpoint Manager, Mobile e Sentry; e Trend Micro Apex One, ha aggiunto la ricerca.
Leggi di più: Zero-Day Bonanza favorisce ulteriori exploit contro le imprese
Correlato: Gli aggressori sfruttano i bug zero-day di Microsoft Security per aggirarli
Inserire le misure di sicurezza nell'agenda del consiglio d'amministrazione
Commento di Matt Middleton-Leal, amministratore delegato per l'area EMEA Nord, Qualys
I team IT possono resistere meglio al controllo aiutando il consiglio di amministrazione a comprendere i rischi e il modo in cui vengono risolti, oltre a spiegare la loro visione a lungo termine per la gestione del rischio.
I CEO del passato potrebbero non aver perso il sonno su come il loro team di sicurezza si sta avvicinando a specifici CVE, ma con CVE per bug pericolosi come Apache Log4j rimanendo senza patch in molte organizzazioni, la correzione della sicurezza è ora all'ordine del giorno in un modo più ampio. Ciò significa che a un numero sempre maggiore di leader della sicurezza viene chiesto di fornire informazioni su come stanno gestendo il rischio dal punto di vista aziendale.
Ciò porta a domande difficili, in particolare sui budget e su come vengono utilizzati.
La maggior parte dei CISO è tentata di utilizzare le informazioni relative ai principi fondamentali della sicurezza IT (numero di problemi risolti, aggiornamenti distribuiti, problemi critici risolti), ma senza confronto con altri rischi e problemi aziendali, può essere difficile mantenere l'attenzione e dimostrare che un CISO sta fornendo risultati .
Per superare questi problemi, dobbiamo utilizzare confronti e dati contestuali per raccontare una storia sul rischio. Fornire cifre di base sul numero di patch distribuite non descrive l'enorme sforzo profuso per risolvere un problema critico che metteva a repentaglio un'applicazione generatrice di entrate. Inoltre, non mostra le prestazioni della tua squadra rispetto agli altri. In sostanza, vuoi dimostrare che aspetto ha il consiglio di amministrazione e come continui a mantenere i tuoi risultati nel tempo.
Leggi di più: Inserire le misure di sicurezza nell'agenda del consiglio d'amministrazione
Correlato: Cosa manca al consiglio d’amministrazione: i CISO
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation
- :È
- :non
- 000
- 10
- 2018
- 2022
- 2023
- 2030
- 23
- 30
- 7
- 8
- a
- am
- capacità
- capace
- Chi siamo
- Secondo
- Il mio account
- operanti in
- Legge
- adattabile
- aggiunto
- indirizzamento
- Vantaggio
- consultivo
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- agenzia
- ordine del giorno
- concorda
- Tutti
- quasi
- anche
- importi
- an
- .
- analitica
- ed
- rispondere
- chiunque
- Apache
- Apex
- apparire
- Applicazioni
- approccio
- si avvicina
- circa
- SONO
- in giro
- news
- AS
- assalto
- Associate
- At
- attacco
- attacchi
- attenzione
- revisione
- Australia
- Australiano
- Backed
- Banca
- conto bancario
- divieti
- base
- basato
- base
- punto base
- BE
- diventare
- stato
- essendo
- parametri di riferimento
- MIGLIORE
- Meglio
- Bitcoin
- Bitcoin Wallet
- tavola
- aumenta
- Botnet
- violazione
- Portare
- in linea di massima
- Per i bilanci
- bug
- affari
- aziende
- ma
- by
- chiamata
- Bandi
- Materiale
- funzionalità
- intaglio
- ceo
- certificato
- Challenge
- Cerchio
- Cisco
- CISO
- più chiaro
- cliente
- collaborativo
- commento
- impegnata
- comitati
- Comunicazioni
- Aziende
- rispetto
- confronto
- confronto
- completamento di una
- conformità
- componenti
- globale
- computer
- conclusione
- condotto
- confusione
- Prendere in considerazione
- consulente
- contesto
- continua
- contribuendo
- Nucleo
- Angolo
- Corporazioni
- nazione
- creare
- creato
- paralizzante
- critico
- Infrastruttura critica
- Cyber
- attacchi informatici
- cybercrime
- Cybersecurity
- Pericoloso
- Scuro
- Lettura oscura
- dati
- Dati Analytics
- David
- affare
- deciso
- consegnare
- consegna
- dimostrare
- schierato
- descrivere
- determinazione
- determinazione
- sviluppare
- DID
- diverso
- digerire
- diligenza
- Direttore
- discutere
- paesaggio differenziato
- do
- effettua
- doesn
- fare
- don
- doppio
- giù
- dr
- unità
- dovuto
- durante
- bordo
- editore
- sforzo
- Elizabeth
- sicurezza della posta elettronica
- emersione
- emozioni
- enfasi
- crittografia
- fine
- endpoint
- garantire
- Impresa
- aziende
- affidato
- Ambiente
- è assimilato
- particolarmente
- essenzialmente
- Anche
- Ogni
- Esercitare
- esistente
- esperienza
- esperto
- competenza
- spiegando
- Sfruttare
- Exploited
- gesta
- esterno
- facce
- Fattori
- Cifre
- File
- finanziario
- rendimento finanziario
- ricerca
- Nome
- cinque
- fisso
- Flessibilità
- Focus
- concentrato
- seguire
- seguito
- Nel
- Fortune
- essere trovato
- quattro
- da
- pieno
- fondi
- Guadagno
- banda
- lacune
- ottenere
- ottenere
- globali
- buono
- la governance
- Enti Pubblici
- maggiore
- Terra
- Gruppo
- Gruppo
- guida
- linee guida
- hacker
- ha avuto
- Hard
- Avere
- porto
- avendo
- capo
- Salute e benessere
- assicurazione sanitaria
- aiutare
- qui
- Colpire
- Casa
- speranza
- di hosting
- ora
- ORE
- Come
- Tuttavia
- HTTPS
- Enorme
- umano
- Caccia
- i
- ICON
- if
- impatto
- competenze
- in
- incentivare
- incidente
- risposta agli incidenti
- includere
- Compreso
- sempre più
- industria
- informazioni
- Infrastruttura
- infrastruttura
- interno
- interno
- intuizione
- Istituto
- assicurazione
- interpretazione
- ai miglioramenti
- Investimenti
- problema
- sicurezza
- IT
- sicurezza
- Lavoro
- John
- jpg
- mantenere
- Le
- Sapere
- Conoscere
- Coreano
- laid
- Legislazione
- Leggi e regolamenti
- leader
- capi
- Leads
- legislatori
- biblioteche
- si trova
- piace
- probabile
- a lungo termine
- di lunga data
- SEMBRA
- spento
- perso
- fatto
- maggiore
- make
- FA
- il malware
- gestione
- direttore
- gestione
- Consigliere Delegato
- manipolazione
- Manipolazione
- molti
- materiale
- opaco
- Importanza
- si intende
- membro
- microfono
- Microsoft
- forza
- mancante
- errore
- Ridurre la perdita dienergia con una
- attenuante
- Mobile
- moderno
- Scopri di più
- maggior parte
- molti
- multiplo
- devono obbligatoriamente:
- my
- nazione
- quasi
- Bisogno
- Rete
- New
- notizie
- GENERAZIONE
- Nord
- Avviso..
- adesso
- numero
- ottobre
- of
- offrire
- maggiore
- on
- ONE
- aprire
- rete aperta
- operazione
- operativa
- Operazioni
- opposto
- or
- organizzazione
- organizzazioni
- Altro
- Altri
- nostro
- su
- risultati
- antiquato
- ancora
- complessivo
- Superare
- svista
- particolarmente
- parti
- partito
- passato
- Patch
- Persone
- performance
- esegue
- persona
- prospettiva
- prospettive
- Peter
- telefono
- Telefonata
- telefonate
- posto
- piani
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- punto
- porte
- posizione
- pratica
- regali
- premendo
- Frodi
- principi
- Precedente
- un bagno
- produce
- propone
- PROS
- fornire
- fornitore
- fornitori
- fornitura
- psicologico
- la percezione
- aziende pubbliche
- domanda
- Domande
- piuttosto
- RE
- lettori
- Lettura
- ragione
- normativa
- Relazioni
- basandosi
- rimanente
- resti
- bonifica
- rapporto
- Reportistica
- richiede
- riparazioni
- ricercatori
- risposta
- colpevole
- curriculum vitae
- Le vendite
- Ricco
- Rischio
- fattori di rischio
- gestione del rischio
- rischi
- tabella di marcia
- s
- SaaS
- dire
- Truffatori
- truffe
- scrutinio
- SEC
- Sezione
- sicuro
- problemi di
- sembrare
- anziano
- inviato
- separato
- Settembre
- Serie
- Server
- Servizi
- set
- alcuni
- forme
- azionista
- compartecipazione
- dovrebbero
- mostrare attraverso le sue creazioni
- Un'espansione
- Dimensioni
- sonno
- So
- Software
- alcuni
- qualcosa
- sofisticato
- la nostra speciale
- specializzata
- specifico
- in particolare
- smacchiatura
- tentacolare
- iniziato
- Di partenza
- Passi
- Fermare
- fermato
- Storia
- strategie
- Strategia
- il successo
- Con successo
- tale
- supporto
- superficie
- Indagine
- tattica
- TAG
- su misura
- Fai
- presa
- Target
- team
- le squadre
- Tecnologie
- Tecnologia
- telecomunicazioni
- dire
- termine
- Testing
- di
- Grazie
- che
- Il
- loro
- Li
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- cosa
- think
- Terza
- di parti terze standard
- questo
- completo
- quelli
- minaccia
- prevenzione delle minacce
- soglia
- Attraverso
- tic toc
- tempo
- volte
- a
- difficile
- trasferito
- trasferimenti
- Trasparenza
- Trend
- affidabili sul mercato
- Martedì
- per
- capire
- e una comprensione reciproca
- unico
- Sconosciuto
- Aggiornamenti
- us
- uso
- utilizzato
- generalmente
- Valorizzazione
- APPREZZIAMO
- venditore
- fornitori
- molto
- Vittima
- Vishing
- visione
- volontario
- vulnerabilità
- vulnerabilità
- Wake
- Portafoglio
- volere
- Prima
- we
- sito web
- settimana
- settimanale
- WELL
- è andato
- sono stati
- Che
- se
- quale
- while
- perché
- Selvaggio
- con
- senza
- lavoro
- lavorazioni
- mondo
- sarebbe
- scrittore
- anno
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro
- vulnerabilità zero-day