ברוכים הבאים ל-CISO Corner, התקציר השבועי של מאמרים של Dark Reading המותאמים במיוחד לקוראי פעולות אבטחה ולמנהיגי אבטחה. מדי שבוע, אנו מציעים מאמרים שנאספו מכל מבצע החדשות שלנו, The Edge, DR Technology, DR Global ומדור הפרשנות שלנו. אנו מחויבים להביא לך קבוצה מגוונת של נקודות מבט כדי לתמוך בעבודה של הפעלת אסטרטגיות אבטחת סייבר, עבור מנהיגים בארגונים מכל הצורות והגדלים.
בגיליון זה של CISO Corner:
-
תאגידים עם ממשל סייבר יוצרים כמעט פי 4 יותר ערך
-
אפילו מקצועני סייבר נראים: בתוך מתקפת ויסינג בחיים האמיתיים
-
הפחתת סיכון של צד שלישי דורשת גישה משותפת ויסודית
-
גלובלי: ממשלת אוסטרליה מכפילה את אבטחת הסייבר בעקבות התקפות גדולות
-
מדריך CISO לחומריות וקביעת סיכונים
-
בוננזה של אפס יום מניע יותר ניצול נגד ארגונים
-
קבלת תיקון אבטחה בסדר היום של חדר הישיבות
תאגידים עם ממשל סייבר יוצרים כמעט פי 4 יותר ערך
מאת דיוויד שטרום, סופר תורם, קריאה אפלה
אלה שיש להם ועדות מיוחדות הכוללות מומחה סייבר במקום להסתמך על הדירקטוריון המלא נוטים יותר לשפר את האבטחה והביצועים הפיננסיים.
חברות שעשו את המאמץ לציית להנחיות לניהול טוב יותר של אבטחת סייבר יצרו כמעט פי ארבעה את ערך בעלי המניות שלהן בהשוואה לאלו שלא.
זו המסקנה של סקר חדש שנערך במשותף על ידי Bitsight ו-Diligent Institute, אשר מדד מומחיות אבטחת סייבר על פני 23 גורמי סיכון שונים, כגון נוכחות של זיהומים בבוטנט, שרתים המארחים תוכנות זדוניות, אישורי הצפנה מיושנים לתקשורת אינטרנט ואימייל, ויציאות רשת פתוחות בשרתים הפונה לציבור.
הדו"ח גם מצא כי קיום ועדות מועצות נפרדות המתמקדות בסיכונים מיוחדים ובציות לביקורת מניבה את התוצאות הטובות ביותר. "מועצות המנהלות פיקוח על סייבר באמצעות ועדות מיוחדות עם חבר מומחה סייבר, לעומת הסתמכות על הדירקטוריון המלא, נוטות יותר לשפר את עמדות האבטחה הכוללות והביצועים הפיננסיים שלהן", מסכים לאדי אדפלה, יועץ אבטחת סייבר ומנכ"ל Omega315.
קרא עוד: תאגידים עם ממשל סייבר יוצרים כמעט פי 4 יותר ערך
מידע נוסף: עם איסורים של TikTok, הזמן לממשל תפעולי הוא עכשיו
אפילו מקצועני סייבר נראים: בתוך מתקפת ויסינג בחיים האמיתיים
מאת אליזבת מונטלבנו, סופרת תורמת, קריאה אפלה
תוקפים מצליחים מתמקדים במניפולציה פסיכולוגית של רגשות אנושיים, וזו הסיבה שכל אחד, אפילו מקצוען סייבר או בעל ידע טכנולוגי, יכול להפוך לקורבן.
זה התחיל בשיחת טלפון בסביבות 10:30 בבוקר ביום שלישי ממספר נייד לא ידוע. עבדתי על המחשב בבית ובדרך כלל לא עונה לטלפונים מאנשים שאני לא מכיר. מסיבה כלשהי, החלטתי להפסיק את מה שאני עושה ולקחת את השיחה הזו.
זו הייתה הטעות הראשונה שלי בסדרה של כמה שהייתי עושה במהלך ארבע השעות הבאות, שבמהלכן הייתי ה- קורבן של קמפיין וישינג או דיוג קולי. בסוף המבחן, העברתי כמעט 5,000 אירו בכספים מחשבון הבנק שלי ובביטקוין לרמאים. הבנק שלי הצליח לבטל את רוב ההעברות; עם זאת, הפסדתי 1,000 אירו ששלחתי לארנק הביטקוין של התוקפים.
מומחים אומרים שזה לא משנה כמה מומחיות יש לך לדעת את הטקטיקות שבהן משתמשים התוקפים או ניסיון באיתור הונאות. המפתח להצלחת התוקפים הוא משהו ישן יותר מהטכנולוגיה, שכן הוא טמון במניפולציה בדיוק של הדבר שהופך אותנו לאנושיים: הרגשות שלנו.
קרא עוד: אל תענה לטלפון: בתוך מתקפת ויסינג בחיים האמיתיים
מידע נוסף: האקרים צפון קוריאנים מכוונים לחוקרי אבטחה - שוב
הפחתת סיכון של צד שלישי דורשת גישה משותפת ויסודית
פרשנות מאת מאט מטנהיימר, מנהל שותף של ייעוץ סייבר, פרקטיקת אבטחת סייבר, S-RM
הבעיה יכולה להיראות מרתיעה, אבל לרוב הארגונים יש יותר סוכנות וגמישות להתמודד עם סיכון של צד שלישי ממה שהם חושבים.
סיכון צד שלישי מהווה אתגר ייחודי לארגונים. על פני השטח, צד שלישי יכול להיראות אמין. אך ללא שקיפות מוחלטת של פעולתו הפנימית של אותו ספק צד שלישי, כיצד יכול ארגון להבטיח שהנתונים המופקדים בידיו מאובטחים?
לעתים קרובות, ארגונים ממעיטים בשאלה הדוחקת הזו, בשל מערכת היחסים ארוכת השנים שיש להם עם ספקי הצד השלישי שלהם. אבל הופעתם של ספקי צד רביעי ואפילו חמישי צריכה לתמרץ ארגונים לאבטח את הנתונים החיצוניים שלהם. מַעֲשֶׂה בדיקת נאותות אבטחה נאותה על ספק צד שלישי חייבים כעת לכלול גילוי אם הצד השלישי מעביר נתונים של לקוחות פרטיים לגורמים נוספים במורד הזרם, מה שהם כנראה עושים, הודות לרווחיות שירותי SaaS.
למרבה המזל, ישנם חמישה שלבים פשוטים מחוץ לקופסה המספקים מפת דרכים התחלתית לארגונים להפחתת סיכונים של צד שלישי בהצלחה.
קרא עוד: הפחתת סיכון של צד שלישי דורשת גישה משותפת ויסודית
מידע נוסף: Cl0p טוען למתקפת MOVEit; הנה איך החבורה עשתה את זה
ממשלת אוסטרליה מכפילה את אבטחת הסייבר בעקבות התקפות גדולות
מאת ג'ון ליידן, סופר תורם, Dark Reading Global
הממשלה מציעה תקנות אבטחת סייבר מודרניות ומקיפות יותר עבור עסקים, ממשלה וספקי תשתיות קריטיות Down Under.
חולשות ביכולות התגובה לאירועי סייבר של אוסטרליה נחשפו בספטמבר 2022 מתקפת סייבר על ספקית התקשורת Optus, ואחריה באוקטובר התקפה מבוססת תוכנת כופר על ספקית ביטוח הבריאות Medibank.
כתוצאה מכך, ממשלת אוסטרליה מוציאה תוכניות לחידוש חוקי אבטחת סייבר ותקנות, עם אסטרטגיה מוצהרת למצב את האומה כמובילה עולמית באבטחת סייבר עד 2030.
בנוסף לטיפול בפערים בחוקי פשעי סייבר קיימים, המחוקקים האוסטרלים מקווים לתקן את חוק אבטחת התשתיות הקריטיות (SOCI) של המדינה משנת 2018 כדי לשים דגש גדול יותר על מניעת איומים, שיתוף מידע ותגובה לאירועי סייבר.
קרא עוד: ממשלת אוסטרליה מכפילה את אבטחת הסייבר בעקבות התקפות גדולות
מידע נוסף: נמלי אוסטרליה חוזרים לפעול לאחר שיבוש סייבר משתק
מדריך CISO לחומריות וקביעת סיכונים
פרשנות מאת פיטר דייסון, ראש מחלקת ניתוח נתונים, Kovrr
עבור CISOs רבים, "חומריות" נותרה מונח דו-משמעי. למרות זאת, הם צריכים להיות מסוגלים לדון בחומריות ובסיכון עם הדירקטוריונים שלהם.
ה-SEC דורש כעת מחברות ציבוריות לעשות זאת להעריך אם אירועי סייבר הם "מהותיים" כסף לדיווח עליהם. אבל עבור CISOs רבים, החומריות נשארת מונח דו-משמעי, פתוח לפרשנות על סמך סביבת אבטחת הסייבר הייחודית של ארגון.
ליבת הבלבול סביב החומריות היא לקבוע מהו "הפסד מהותי". יש הרואים שהמהותיות משפיעה על 0.01% מההכנסות של השנה הקודמת, השווה לכנקודת בסיס אחת של הכנסה (ששווה לשעה אחת של הכנסה עבור תאגידי Fortune 1000).
על ידי בדיקת ערכי סף שונים מול מדדים בתעשייה, ארגונים יכולים לקבל הבנה ברורה יותר של פגיעותם למתקפות סייבר מהותיות.
קרא עוד: מדריך CISO לחומריות וקביעת סיכונים
מידע נוסף: זהירות מגיש הודעה על הפרה מרצון עם ה-SEC
בוננזה של אפס יום מניע יותר ניצול נגד ארגונים
מאת בקי ברקן, עורכת בכירה, קריאה אפלה
יריבים מתקדמים מתמקדים יותר ויותר בטכנולוגיות ארגוניות ובספקים שלהן, בעוד שפלטפורמות משתמשי קצה מצליחות לחנוק ניצול של יום אפס עם השקעות באבטחת סייבר, לפי גוגל.
היו 50% יותר פגיעות של יום אפס שנוצלו בטבע ב-2023 מאשר ב-2022. חברות נפגעות קשה במיוחד.
על פי מחקר של Mandiant ו-Google Threat Analysis Group (TAG), יריבים מתוחכמים הנתמכים על ידי מדינות לאום מנצלים משטח התקפות ארגוני רחב ידיים. טביעות הרגל המורכבות מתוכנות של ספקים מרובים, רכיבי צד שלישי וספריות רחבות ידיים מספקות קרקע ציד עשירה לאלה עם היכולת לפתח ניצול של יום אפס.
קבוצות פשעי סייבר התמקדו במיוחד בתוכנות אבטחה, כולל שער אבטחת דוא"ל של ברקודה; Cisco Adaptive Security Appliance; Ivanti Endpoint Manager, Mobile, and Sentry; ו-Trend Micro Apex One, הוסיף המחקר.
קרא עוד: בוננזה של אפס יום מניע יותר ניצול נגד ארגונים
מידע נוסף: תוקפים מנצלים את באגי האבטחה של מיקרוסופט לעקוף אפס יום
קבלת תיקון אבטחה בסדר היום של חדר הישיבות
פרשנות מאת מאט מידלטון-ליל, מנכ"ל EMEA North, Qualys
צוותי IT יכולים לעמוד טוב יותר בבדיקה על ידי סיוע לדירקטוריון שלהם להבין סיכונים וכיצד הם מתקנים, וכן להסביר את החזון לטווח ארוך שלהם לניהול סיכונים.
מנכ"לים מהעבר אולי לא איבדו שינה לגבי האופן שבו צוות האבטחה שלהם ניגש ל-CVEs ספציפיים, אבל עם CVEs עבור באגים מסוכנים כמו Apache Log4j התיקון הביטחוני אינו מעודכן בארגונים רבים, אך כעת נמצא על סדר היום באופן רחב יותר. המשמעות היא שיותר מובילי אבטחה מתבקשים לספק תובנות לגבי מידת הניהול שלהם של סיכונים מנקודת מבט עסקית.
זה מוביל לשאלות קשות, במיוחד לגבי תקציבים ואופן השימוש בהם.
רוב ה-CISOs מתפתים להשתמש במידע סביב עקרונות הליבה של אבטחת IT - מספר הבעיות שהופסקו, עדכונים שנפרסו, בעיות קריטיות מתוקנות - אך ללא השוואה לסיכונים ובעיות עסקיים אחרים, זה יכול להיות קשה לשמור על תשומת לב ולהוכיח ש-CISO מספק .
כדי להתגבר על בעיות אלה, עלינו להשתמש בהשוואות ובנתוני הקשר כדי לספר סיפור סביב סיכון. מתן נתוני בסיס על מספר התיקונים שנפרסו אינו מתאר את כמויות המאמץ העצומות שהושקעו בתיקון בעיה קריטית שסיכנה אפליקציה מניבה הכנסות. זה גם לא מראה איך הצוות שלך מתפקד מול אחרים. בעיקרון, אתה רוצה להדגים איך נראה טוב ללוח, ואיך אתה ממשיך לספק לאורך זמן.
קרא עוד: קבלת תיקון אבטחה בסדר היום של חדר הישיבות
מידע נוסף: מה חסר בחדר הישיבות: CISOs
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation
- :הוא
- :לֹא
- 000
- 10
- 2018
- 2022
- 2023
- 2030
- 23
- 30
- 7
- 8
- a
- בבוקר
- יכולת
- יכול
- אודות
- פי
- חֶשְׁבּוֹן
- לרוחב
- לפעול
- הסתגלות
- הוסיף
- פְּנִיָה
- יתרון
- ייעוץ
- לאחר
- נגד
- סוכנות
- סדר יום
- מסכים
- תעשיות
- כמעט
- גם
- כמויות
- an
- אנליזה
- ניתוח
- ו
- לענות
- כל אחד
- אַפָּשׁ
- שיא
- לְהוֹפִיעַ
- בקשה
- גישה
- מתקרב
- בערך
- ARE
- סביב
- מאמרים
- AS
- תקיפה
- עמית
- At
- לתקוף
- המתקפות
- תשומת לב
- בדיקה
- אוסטרליה
- אוסטרלי
- מגובה
- בנק
- חשבון בנק
- איסור
- בסיס
- מבוסס
- בסיס
- נקודת בסיס
- BE
- להיות
- היה
- להיות
- מבחני ביצועים
- הטוב ביותר
- מוטב
- ביטקוין
- ארנק ביטקוין
- לוּחַ
- מגביר
- בוטנט
- הפרה
- מביאים
- בְּהַרְחָבָה
- תקציבים
- באגים
- עסקים
- עסקים
- אבל
- by
- שיחה
- שיחות
- CAN
- יכולות
- גילוף
- מנכ"ל
- תעודות
- לאתגר
- מעגל
- סיסקו
- CISO
- טענות
- יותר ברור
- לקוחות
- שיתוף פעולה
- פרשנות
- מְחוּיָב
- ועדות
- תקשורת
- חברות
- לעומת
- השוואה
- השוואות
- להשלים
- הענות
- רכיבים
- מַקִיף
- המחשב
- מסקנה
- מנוהל
- בלבול
- לשקול
- יועץ
- הקשר
- להמשיך
- תורם
- ליבה
- בפינה
- תאגידים
- מדינה
- לִיצוֹר
- נוצר
- משתק
- קריטי
- תשתית קריטית
- סייבר
- התקפות רשת
- פשעי אינטרנט
- אבטחת סייבר
- מסוכן
- כהה
- קריאה אפלה
- נתונים
- ניתוח נתונים
- דוד
- עסקה
- החליט
- למסור
- אספקה
- להפגין
- פרס
- לתאר
- נחישות
- קביעה
- לפתח
- DID
- אחר
- תקציר
- חָרִיצוּת
- מְנַהֵל
- לדון
- שונה
- do
- עושה
- לא איכפת
- עושה
- דון
- משחקי זוגות
- מטה
- dr
- כוננים
- ראוי
- בְּמַהֲלָך
- אדג '
- עורך
- מאמץ
- אליזבת
- אמייל
- אבטחת דוא"ל
- EMEA
- הִתהַוּוּת
- רגשות
- דגש
- הצף
- סוף
- נקודת קצה
- לְהַבטִיחַ
- מִפְעָל
- חברות
- מופקד
- סביבה
- שווה
- במיוחד
- למעשה
- אֲפִילוּ
- כל
- תרגיל
- קיימים
- ניסיון
- מומחה
- מומחיות
- המסביר
- לנצל
- ומנוצל
- מעללים
- חיצוני
- פנים
- גורמים
- דמויות
- קבצים
- כספי
- ביצועים פיננסיים
- מציאת
- ראשון
- חמש
- קבוע
- גמישות
- להתמקד
- מרוכז
- לעקוב
- בעקבות
- בעד
- הון עתק
- מצא
- ארבע
- החל מ-
- מלא
- כספים
- לְהַשִׂיג
- כְּנוּפִיָה
- פערים
- לקבל
- מקבל
- גלוֹבָּלִי
- טוב
- ממשל
- ממשלה
- יותר
- קרקע
- קְבוּצָה
- קבוצה
- מדריך
- הנחיות
- האקרים
- היה
- קשה
- יש
- מִקְלָט
- יש
- ראש
- בְּרִיאוּת
- ביטוח בריאות
- עזרה
- כאן
- מכה
- עמוד הבית
- לקוות
- אירוח
- שעה
- שעות
- איך
- אולם
- HTTPS
- עצום
- בן אנוש
- ציד
- i
- ICON
- if
- השפעה
- לשפר
- in
- לתמרץ
- תקרית
- תגובה לאירוע
- לכלול
- כולל
- יותר ויותר
- תעשייה
- מידע
- תשתית
- תשתית
- פְּנִימִי
- בתוך
- תובנה
- מכון
- ביטוח
- פענוח
- אל תוך
- השקעות
- סוגיה
- בעיות
- IT
- זה ביטחון
- עבודה
- ג'ון
- jpg
- שמור
- מפתח
- לדעת
- יודע
- קוריאני
- הניח
- חוקים
- החוקים והתקנות
- מנהיג
- מנהיגים
- מוביל
- מחוקקים
- ספריות
- שקרים
- כמו
- סביר
- לטווח ארוך
- ותיק
- נראה
- את
- אבוד
- עשוי
- גדול
- לעשות
- עושה
- תוכנות זדוניות
- ניהול
- מנהל
- ניהול
- מנכ"ל
- מניפולציה
- מניפולציה
- רב
- חוֹמֶר
- מט
- דבר
- אומר
- חבר
- מיקרו
- מיקרוסופט
- יכול
- חסר
- טעות
- להקל
- מקלה
- סלולרי
- מודרני
- יותר
- רוב
- הרבה
- מספר
- צריך
- my
- אוּמָה
- כמעט
- צורך
- רשת
- חדש
- חדשות
- הבא
- צפון
- הודעה..
- עַכשָׁיו
- מספר
- אוֹקְטוֹבֶּר
- of
- הַצָעָה
- מבוגר
- on
- ONE
- לפתוח
- רשת פתוחה
- מבצע
- מבצעי
- תפעול
- מִתנַגֵד
- or
- ארגון
- ארגונים
- אחר
- אחרים
- שלנו
- הַחוּצָה
- תוצאות
- מְיוּשָׁן
- יותר
- מקיף
- להתגבר על
- מֶחדָל
- במיוחד
- צדדים
- צד
- עבר
- טלאים
- אֲנָשִׁים
- ביצועים
- מבצע
- אדם
- פרספקטיבה
- נקודות מבט
- פיטר
- טלפון
- שיחת טלפון
- שיחות טלפון
- מקום
- תוכניות
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- יציאות
- עמדה
- תרגול
- מתנות
- דחוף
- מניעה
- עקרונות
- קודם
- פְּרָטִי
- ייצור
- מציע
- PROS
- לספק
- ספק
- ספקים
- מתן
- פסיכולוגי
- ציבורי
- חברות ציבוריות
- שאלה
- שאלות
- במקום
- RE
- הקוראים
- קריאה
- טעם
- תקנון
- מערכות יחסים
- הסתמכות
- נותר
- שְׂרִידִים
- תיקון
- לדווח
- דווח
- דורש
- מחקר
- חוקרים
- תגובה
- תוצאה
- קורות חיים
- הכנסה
- עשיר
- הסיכון
- גורמי סיכון
- ניהול סיכונים
- סיכונים
- מפת דרכים
- s
- SaaS
- לומר
- רמאים
- הונאות
- בדיקה
- ה-SEC
- סעיף
- לבטח
- אבטחה
- נראה
- לחצני מצוקה לפנסיונרים
- נשלח
- נפרד
- סֶפּטֶמבֶּר
- סדרה
- שרתים
- שירותים
- סט
- כמה
- צורות
- בעל מניות
- שיתוף
- צריך
- לְהַצִיג
- פָּשׁוּט
- גדל
- לִישׁוֹן
- So
- תוכנה
- כמה
- משהו
- מתוחכם
- מיוחד
- מיוחד
- ספציפי
- במיוחד
- תצפית
- משתרע
- החל
- החל
- צעדים
- עצור
- נעצר
- סיפור
- אסטרטגיות
- אִסטרָטֶגִיָה
- הצלחה
- בהצלחה
- כזה
- תמיכה
- משטח
- סֶקֶר
- טקטיקה
- תָג
- מותאם
- לקחת
- נטילת
- יעד
- נבחרת
- צוותי
- טכנולוגיות
- טכנולוגיה
- התקשורת
- לספר
- טווח
- בדיקות
- מֵאֲשֶׁר
- תודה
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- שם.
- אלה
- הֵם
- דבר
- לחשוב
- שְׁלִישִׁי
- צד שלישי
- זֶה
- יְסוֹדִי
- אלה
- איום
- מניעת איומים
- סף
- דרך
- טיק טוק
- זמן
- פִּי
- ל
- קשה
- הועבר
- העברות
- שקיפות
- מְגַמָה
- אמין
- יום שלישי
- תחת
- להבין
- הבנה
- ייחודי
- לא ידוע
- עדכונים
- us
- להשתמש
- מְשׁוּמָשׁ
- בְּדֶרֶך כְּלַל
- הערכה
- ערך
- מוכר
- ספקים
- מאוד
- קרבן
- מאחל
- חזון
- מִרָצוֹן
- פגיעויות
- פגיעות
- שרות
- ארנק
- רוצה
- היה
- we
- אינטרנט
- שבוע
- שבועי
- טוֹב
- הלכתי
- היו
- מה
- אם
- אשר
- בזמן
- למה
- בר
- עם
- לְלֹא
- עובד
- עובד
- עוֹלָם
- היה
- סופר
- שנה
- אתה
- זפירנט
- פגיעות של יום אפס