CISO Corner: operatività del NIST CSF 2.0; I modelli IA impazziscono

CISO Corner: operatività del NIST CSF 2.0; I modelli IA impazziscono

Timestamp: 1 marzo 2024 5:22
CISO Corner: operatività del NIST CSF 2.0; I modelli di intelligenza artificiale scatenano la data intelligence di PlatoBlockchain. Ricerca verticale. Ai.

Benvenuti in CISO Corner, la raccolta settimanale di articoli di Dark Reading pensati specificatamente per i lettori e i leader della sicurezza che si occupano di operazioni di sicurezza. Ogni settimana offriremo articoli raccolti dalle nostre attività di notizie, The Edge, DR Technology, DR Global e dalla nostra sezione Commenti. Ci impegniamo a offrirti una serie diversificata di prospettive per supportare il lavoro di operatività delle strategie di sicurezza informatica, per i leader di organizzazioni di ogni forma e dimensione.

In questo problema:

  • NIST Cybersecurity Framework 2.0: 4 passaggi per iniziare

  • Apple, Signal debutta con la crittografia quantistica resistente, ma le sfide incombono

  • Sono le 10:XNUMX. Sai dove sono i tuoi modelli di intelligenza artificiale stasera?

  • Le organizzazioni devono affrontare gravi sanzioni da parte della SEC per non aver divulgato le violazioni

  • La regolamentazione biometrica si surriscalda, facendo presagire mal di testa in materia di conformità

  • DR Global: un gruppo di hacker iraniano "illusivo" intrappola aziende aerospaziali e della difesa israeliane e degli Emirati Arabi Uniti

  • MITRE lancia 4 nuovissimi CWE per i bug di sicurezza dei microprocessori

  • Convergenza delle leggi statali sulla privacy e la sfida emergente dell'intelligenza artificiale

NIST Cybersecurity Framework 2.0: 4 passaggi per iniziare

Di Robert Lemos, scrittore collaboratore, Dark Reading

Il National Institute of Standards and Technology (NIST) ha rivisto il libro sulla creazione di un programma completo di sicurezza informatica che mira ad aiutare le organizzazioni di ogni dimensione a essere più sicure. Ecco da dove iniziare a mettere in atto le modifiche.

Rendere operativa l’ultima versione del Cybersecurity Framework (CSF) del NIST, rilasciata questa settimana, potrebbe comportare cambiamenti significativi ai programmi di sicurezza informatica.

Ad esempio, esiste una nuovissima funzione "Governare" per incorporare una maggiore supervisione da parte dei dirigenti e del consiglio di amministrazione della sicurezza informatica, e si espande le migliori pratiche di sicurezza oltre a quelle per i settori critici. Nel complesso, i team di sicurezza informatica avranno il loro bel da fare e dovranno esaminare attentamente le valutazioni esistenti, le lacune identificate e le attività correttive per determinare l’impatto dei cambiamenti del quadro normativo.

Fortunatamente, i nostri suggerimenti per l’operatività dell’ultima versione del NIST Cybersecurity Framework possono aiutare a indicare la strada da seguire. Includono l'utilizzo di tutte le risorse del NIST (il CSF non è solo un documento ma una raccolta di risorse che le aziende possono utilizzare per applicare il quadro al loro ambiente e ai requisiti specifici); sedersi con il vertice aziendale per discutere della funzione “Governare”; inclusione nella sicurezza della catena di fornitura; e confermando che i servizi di consulenza e i prodotti per la gestione della postura della sicurezza informatica vengono rivalutati e aggiornati per supportare l’ultimo CSF.

Leggi di più: NIST Cybersecurity Framework 2.0: 4 passaggi per iniziare

Correlato: Il governo degli Stati Uniti amplia il suo ruolo nella sicurezza del software

Apple, Signal debutta con la crittografia quantistica resistente, ma le sfide incombono

Di Jai Vijayan, scrittore collaboratore, Dark Reading

Il PQ3 di Apple per la sicurezza di iMessage e il PQXH di Signal mostrano come le organizzazioni si stiano preparando per un futuro in cui i protocolli di crittografia devono essere esponenzialmente più difficili da decifrare.

Man mano che i computer quantistici maturano e offrono agli avversari un modo banalmente semplice per violare anche gli attuali protocolli di crittografia più sicuri, le organizzazioni devono muoversi ora per proteggere le comunicazioni e i dati.

A tal fine, il nuovo protocollo crittografico post-quantistico (PQC) PQ3 di Apple per proteggere le comunicazioni iMessage e un protocollo di crittografia simile introdotto da Signal lo scorso anno chiamato PQXDH, sono resistenti ai quanti, il che significa che possono, almeno in teoria, resistere agli attacchi quantistici. computer che cercano di violarli.

Ma per le organizzazioni, il passaggio a cose come PQC sarà lungo, complicato e probabilmente doloroso. Gli attuali meccanismi che dipendono fortemente dalle infrastrutture a chiave pubblica richiederanno una rivalutazione e un adattamento per integrare algoritmi resistenti ai quanti. E il migrazione alla crittografia post-quantistica introduce una nuova serie di sfide gestionali per i team IT, tecnologici e di sicurezza aziendali che mettono in parallelo le precedenti migrazioni, come da TLS1.2 a 1.3 e da IPv4 a v6, che hanno richiesto decenni.

Leggi di più: Apple, Signal debutta con la crittografia quantistica resistente, ma le sfide incombono

Correlato: Craccare la crittografia debole prima che lo faccia il calcolo quantistico

ISono le 10:XNUMX. Sai dove sono i tuoi modelli di intelligenza artificiale stasera?

Di Ericka Chickowski, scrittrice collaboratrice, Dark Reading

La mancanza di visibilità e sicurezza del modello di intelligenza artificiale aggrava il problema della sicurezza della catena di fornitura del software.

Se pensavate che il problema della sicurezza della catena di fornitura del software fosse già abbastanza difficile oggi, allacciate le cinture. La crescita esplosiva dell’uso dell’intelligenza artificiale sta per rendere esponenzialmente più difficile affrontare questi problemi della catena di approvvigionamento negli anni a venire.

I modelli di intelligenza artificiale/apprendimento automatico forniscono le basi per la capacità di un sistema di intelligenza artificiale di riconoscere modelli, fare previsioni, prendere decisioni, attivare azioni o creare contenuti. Ma la verità è che la maggior parte delle organizzazioni non sa nemmeno come iniziare a guadagnare visibilità in tutti i modelli di intelligenza artificiale incorporati nel loro software.

Per di più, i modelli e l'infrastruttura che li circonda sono costruiti in modo diverso rispetto ad altri componenti software e gli strumenti software e di sicurezza tradizionali non sono progettati per scansionare o comprendere come funzionano i modelli di intelligenza artificiale o come sono difettosi.

“Un modello, in base alla progettazione, è un pezzo di codice autoeseguibile. Ha una certa capacità di azione”, afferma Daryan Dehghanpisheh, co-fondatore di Protect AI. "Se ti dicessi che in tutta la tua infrastruttura ci sono risorse che non puoi vedere, non puoi identificare, non sai cosa contengono, non sai qual è il codice e si autoeseguono e ricevere chiamate esterne, suona sospettosamente come un virus dei permessi, non è vero?"

Leggi di più: Sono le 10:XNUMX. Sai dove sono i tuoi modelli di intelligenza artificiale stasera?

Correlato: Piattaforma AI Hugging Face piena di 100 modelli di esecuzione di codice dannosi

Le organizzazioni devono affrontare gravi sanzioni da parte della SEC per non aver divulgato le violazioni

Di Robert Lemos, scrittore collaboratore

In quello che potrebbe essere un incubo di applicazione delle norme, potenzialmente milioni di dollari in multe, danni alla reputazione, azioni legali degli azionisti e altre sanzioni attendono le aziende che non rispettano le nuove regole sulla divulgazione delle violazioni dei dati della SEC.

Le aziende e i loro CISO potrebbero dover affrontare multe e altre sanzioni da centinaia di migliaia a milioni di dollari da parte della Securities and Exchange Commission (SEC) degli Stati Uniti, se non si adeguano ai processi di sicurezza informatica e di divulgazione delle violazioni dei dati. con le nuove regole ormai entrate in vigore.

I regolamenti della SEC sono efficaci: la commissione può emettere un'ingiunzione permanente che ordina all'imputato di cessare la condotta al centro del caso, ordinare la restituzione dei guadagni illeciti o implementare tre livelli di sanzioni crescenti che possono comportare multe astronomiche. .

Forse la cosa più preoccupante per I CISO rappresentano la responsabilità personale che ora devono affrontare per molte aree delle operazioni aziendali per le quali storicamente non hanno avuto responsabilità. Solo la metà dei CISO (54%) è fiduciosa nella propria capacità di rispettare la sentenza della SEC.

Tutto ciò sta portando a un ampio ripensamento del ruolo del CISO e a costi aggiuntivi per le imprese.

Leggi di più: Le organizzazioni devono affrontare gravi sanzioni da parte della SEC per non aver divulgato le violazioni

Correlato: Cosa dovrebbero sapere le aziende e i CISO sulle crescenti minacce legali

La regolamentazione biometrica si surriscalda, facendo presagire mal di testa in materia di conformità

Di David Strom, scrittore collaboratore, Dark Reading

Un crescente numero di leggi sulla privacy che regolano la biometria mira a proteggere i consumatori dalle crescenti violazioni del cloud e dai deepfake creati dall’intelligenza artificiale. Ma per le aziende che gestiscono dati biometrici, rimanere conformi è più facile a dirsi che a farsi.

Le preoccupazioni sulla privacy biometrica si stanno intensificando, grazie all’aumento minacce deepfake basate sull’intelligenza artificiale (AI)., il crescente utilizzo dei dati biometrici da parte delle imprese, l'anticipazione di una nuova legislazione sulla privacy a livello statale e un nuovo ordine esecutivo emesso dal presidente Biden questa settimana che include protezioni sulla privacy biometrica.

Ciò significa che le aziende devono essere più lungimiranti e anticipare e comprendere i rischi al fine di costruire l’infrastruttura adeguata per tracciare e utilizzare i contenuti biometrici. E coloro che operano a livello nazionale dovranno verificare le proprie procedure di protezione dei dati per verificarne la conformità con un mosaico di normative, inclusa la comprensione di come ottenere il consenso dei consumatori o consentire ai consumatori di limitare l’uso di tali dati e assicurarsi che rispettino le diverse sottigliezze delle normative.

Leggi di più: La regolamentazione biometrica si surriscalda, facendo presagire mal di testa in materia di conformità

Correlato: Scegli la migliore autenticazione biometrica per il tuo caso d'uso

DR Global: un gruppo di hacker iraniano "illusivo" intrappola aziende aerospaziali e della difesa israeliane e degli Emirati Arabi Uniti

Di Robert Lemos, scrittore collaboratore, Dark Reading

UNC1549, alias Smoke Sandstorm e Tortoiseshell, sembra essere il colpevole di una campagna di attacco informatico personalizzata per ciascuna organizzazione presa di mira.

Il gruppo minaccioso iraniano UNC1549, noto anche come Smoke Sandstorm e Tortoiseshell, sta dando la caccia al settore aerospaziale e aziende della difesa in Israele, gli Emirati Arabi Uniti e altri paesi del Medio Oriente.

In particolare, tra lo spear-phishing mirato all’occupazione e l’uso dell’infrastruttura cloud per il comando e controllo, l’attacco potrebbe essere difficile da rilevare, afferma Jonathan Leathery, principale analista di Mandiant di Google Cloud.

"La parte più notevole è quanto possa essere illusoria questa minaccia da scoprire e monitorare: hanno chiaramente accesso a risorse significative e sono selettivi nel prendere di mira", afferma. "Probabilmente c'è più attività da parte di questo attore che non è stata ancora scoperta, e ci sono ancora meno informazioni su come operano una volta compromesso un obiettivo."

Leggi di più: Un gruppo di hacking iraniano "illusorio" intrappola aziende aerospaziali e della difesa israeliane e degli Emirati Arabi Uniti

Correlato: La Cina lancia un nuovo piano di difesa informatica per le reti industriali

MITRE lancia 4 nuovissimi CWE per i bug di sicurezza dei microprocessori

Di Jai Vijayan, scrittore collaboratore, Dark Reading

L'obiettivo è fornire ai progettisti di chip e ai professionisti della sicurezza nel settore dei semiconduttori una migliore comprensione dei principali difetti dei microprocessori come Meltdown e Spectre.

Con un numero crescente di exploit side-channel che prendono di mira le risorse della CPU, il programma Common Weakness Enumeration (CWE) guidato da MITRE ha aggiunto quattro nuovi punti deboli relativi ai microprocessori al suo elenco di tipi comuni di vulnerabilità software e hardware.

I CWE sono il risultato di uno sforzo di collaborazione tra Intel, AMD, Arm, Riscure e Cycuity e offrono ai progettisti di processori e ai professionisti della sicurezza nel settore dei semiconduttori un linguaggio comune per discutere i punti deboli delle moderne architetture dei microprocessori.

I quattro nuovi CWE sono CWE-1420, CWE-1421, CWE-1422 e CWE-1423.

CWE-1420 riguarda l'esposizione di informazioni sensibili durante l'esecuzione transitoria o speculativa, la funzione di ottimizzazione hardware associata Meltdown e Spectre – ed è il “genitore” degli altri tre CWE.

CWE-1421 ha a che fare con la fuga di informazioni sensibili nelle strutture microarchitettoniche condivise durante l'esecuzione transitoria; CWE-1422 risolve le perdite di dati legate all'inoltro errato dei dati durante l'esecuzione transitoria. CWE-1423 esamina l'esposizione dei dati legata a uno specifico stato interno all'interno di un microprocessore.

Leggi di più: MITRE lancia 4 nuovissimi CWE per i bug di sicurezza dei microprocessori

Correlato: MITRE lancia il prototipo di sicurezza della catena di approvvigionamento

Convergenza delle leggi statali sulla privacy e la sfida emergente dell'intelligenza artificiale

Commento di Jason Eddinger, consulente senior per la sicurezza, privacy dei dati, GuidePoint Security

È giunto il momento che le aziende esaminino ciò che stanno elaborando, quali tipi di rischio corrono e come intendono mitigare tale rischio.

Otto stati degli Stati Uniti hanno approvato una legislazione sulla privacy dei dati nel 2023 e nel 2024 le leggi entreranno in vigore in quattro, quindi le aziende devono sedersi ed esaminare in modo approfondito i dati che stanno elaborando, quali tipi di rischio corrono, come gestirli. rischio e i loro piani per mitigare il rischio che hanno identificato. L’adozione dell’intelligenza artificiale renderà tutto più difficile.

Mentre le aziende delineano una strategia per conformarsi a tutte queste nuove normative disponibili, vale la pena notare che, sebbene queste leggi siano allineate sotto molti aspetti, mostrano anche sfumature specifiche dello stato.

Le aziende dovrebbero aspettarsi di vederne molti tendenze emergenti in materia di privacy dei dati quest'anno, tra cui:

  • Una continuazione degli stati che adottano leggi complete sulla privacy. Non sappiamo quanti ne passeranno quest'anno, ma sicuramente ci sarà un dibattito molto attivo.

  • L’intelligenza artificiale rappresenterà una tendenza significativa, poiché le aziende vedranno conseguenze indesiderate dal suo utilizzo, con conseguenti violazioni e sanzioni a causa della rapida adozione dell’intelligenza artificiale senza alcuna legislazione effettiva o quadri standardizzati.

  • Il 2024 è un anno di elezioni presidenziali negli Stati Uniti, che aumenteranno la consapevolezza e aumenteranno l’attenzione sulla privacy dei dati. Anche la privacy dei bambini sta guadagnando importanza, con stati come il Connecticut che introducono requisiti aggiuntivi.

  • Le aziende dovrebbero anche aspettarsi di vedere le tendenze della sovranità dei dati nel 2024. Le multinazionali devono dedicare più tempo a capire dove risiedono i loro dati e i requisiti previsti da questi obblighi internazionali per soddisfare i requisiti di residenza e sovranità dei dati per conformarsi alle leggi internazionali.

Leggi di più: La convergenza delle leggi statali sulla privacy e la sfida emergente dell'intelligenza artificiale

Correlato: La privacy batte il ransomware come principale preoccupazione assicurativa

Timestamp:

Di più da Lettura oscura