פינת CISO: DoD Regs, Neurodiverse Talent & הרכבת הקלה של תל אביב

ברוכים הבאים ל-CISO Corner, התקציר השבועי של מאמרים של Dark Reading המותאמים במיוחד לקוראי פעולות אבטחה ולמנהיגי אבטחה. מדי שבוע, נציע מאמרים שנאספו מכל מבצע החדשות שלנו, The Edge, DR Tech, DR Global ומדור הפרשנות שלנו. אנו מחויבים להביא לך קבוצה מגוונת של נקודות מבט כדי לתמוך בעבודה של הפעלת אסטרטגיות אבטחת סייבר, עבור מנהיגים בארגונים מכל הצורות והגדלים.

בנושא זה:

כיצד מנוצלים הכללים של ה-SEC בנושא גילוי אירועי אבטחת סייבר

פרשנות מאת קן דנהאם, מנהל איומי סייבר, יחידת מחקר האיומים של Qualys

היגיינת סייבר היא כבר לא משהו נחמד להחזיק אלא הכרחית עבור ארגונים שרוצים לשרוד את המטח הבלתי פוסק של מתקפות סייבר שמתפרסמות מדי יום.

רשות ניירות ערך (SEC) אימצה לאחרונה כללים חדשים המחייבים חברות הנסחרות בבורסה לדווח על התקפות סייבר בעלות השפעה מהותית. אם לא תעשה זאת, סביר להניח שיגרום לקנסות כספיים ולפגיעה במוניטין.

למרות שזה ברכה לבעלי עניין בחברה בתיאוריה, שחקני איומים רואים הזדמנות סחיטה. לדוגמה, כנופיית תוכנת הכופר ALPHV פרצה לכאורה את הרשת של MeridianLink בנובמבר, וחילצה נתונים ללא הצפנת מערכות. כאשר MeridianLink לא הצליחה לשלם כופר כדי להגן על הנתונים שלה, ALPHV שלחה תלונה ישירות ל-SEC לצאת מהפרה.

זוהי הצצה לאופן שבו דברים יכולים להתקדם בעולם המתפתח במהירות של טקטיקות סחיטה, במיוחד לאור כמות ההזדמנויות העצומה של חברות מתפשרות בימינו. 26,447 נקודות תורפה נחשפו ב-2023 על פי אנליסטים של Qualys, ומתוך אלו שסווגו כבעלי סיכון גבוה או קריטיות, האקרים התנפלו על רבע מהן ופרסמו ניצול "יום אחד" באותו היום שבו הם נחשפו.

למרבה המזל, ישנם כמה צעדים שחברות יכולות לנקוט כדי לסכל סוג זה של לחץ.

תמשיך לקרוא: כיצד מנוצלים הכללים של ה-SEC בנושא גילוי אירועי אבטחת סייבר

מידע נוסף: פרספקטיבה של מבטח סייבר כיצד להימנע מתוכנות כופר

ניהל הכל? ספקים מעבירים את המיקוד לשירותים

מאת רוברט למוס, סופר תורם, קריאה אפלה

חברות נוספות בוחרות בניהול יכולות אבטחה מורכבות, כגון זיהוי נתונים ותגובה.

חברת ניהול האיומים Rapid7 וחברת אבטחת המידע Varonis הכריזו השבוע על שירותים מנוהלים חדשים, והפכו לחברות האבטחה העדכניות ביותר שמאגדות יכולות אבטחה מורכבות יחד בהצעות מנוהלות.

בדרכים רבות, זיהוי ותגובה מנוהלים (MDR) מכסה הרבה קרקע ועד כה, עשה טוב עבור הספקים ולקוחותיהם. לספקים יש לקוחות מרוצים, קצב צמיחה מהיר במיוחד ומרווח גבוה מאוד לשירות. בינתיים, עסקים יכולים להתמקד באיומים עצמם, מה שמוביל לזיהוי ותגובה מהירים יותר. התמקדות בנתונים יכולה לשפר את זמן התגובה, אבל זה רחוק מלהיות בטוח.

הצעת גרסה מנוהלת של שירות אבטחה מתפתח תהיה גישה נפוצה יותר ויותר, שכן יצירת יכולת אבטחת סייבר פנימית היא יקרה, לפי חברת האנליסטים Frost & Sullivan.

"לאור המחסור באנשי אבטחת סייבר, ארגונים מחפשים דרכים להפוך את תהליך זיהוי האיומים והתגובה לאוטומטיים", נכתב בדו"ח. "הדור החדש של הפתרונות והשירותים מבטיח לפרוס למידת מכונה ובינה מלאכותית, ולהפוך את קבלת ההחלטות לאוטומטית לשיפור הביצועים הכוללים של מחסנית האבטחה."

למידע נוסף על המעבר לניהול: ניהל הכל? ספקים מעבירים את המיקוד לשירותים

מידע נוסף: טיפים למונטיזציה של צוותי SecOps

שאלות ותשובות: פרויקט רכבת תל אביב אופה בהגנת סייבר

מ DR גלובל

כיצד רכבת קלה בישראל מבצרת את ארכיטקטורת אבטחת הסייבר שלה על רקע עלייה באיומי רשת OT.

רשתות הרכבת סובלות מגידול במתקפות סייבר, בעיקר תקרית באוגוסט שבה האקרים חדרו התקשורת בתדר הרדיו של רשת הרכבות של פולין והפרעה זמנית את תנועת הרכבות.

בניסיון להימנע מאותו גורל, תחבורה של הרכבת הקלה (LRT, Purple Line) של תל אביב, קו שנמצא כעת בבנייה ואמור להיות פתוח ופועל עד סוף העשור הזה, אופה את אבטחת הסייבר ישירות לתוך המבנה שלו.

Dark Reading שוחח עם ערן נר גאון, CISO של תל אביב Purple Line LRT, ושקד קפזן, מייסד שותף ו-CTO של ספקית אבטחת הסייבר סרבלו, על המקיף של הרכבת אסטרטגיית אבטחה OT, הכולל אמצעים כגון מודיעין איומים, אמצעים טכנולוגיים, תכניות תגובה לאירועים והדרכת עובדים הקשורים להסדרת מנהל הסייבר הלאומי בישראל.

קרא עוד על מקרה מבחן זה: שאלות ותשובות: פרויקט רכבת תל אביב אופה בהגנת סייבר

מידע נוסף: אבטחת סייבר של רכבות היא סביבה מורכבת

ממשלי העולם, ענקי הטכנולוגיה חותמים על הבטחת אחריות לתוכנות ריגול

מאת טרה סילס, עורכת מנהלת, Dark Reading

צרפת, בריטניה, ארה"ב ואחרות יעבדו על מסגרת לשימוש אחראי בכלים כמו Pegasus של קבוצת NSO ו-Shadowserver Foundation זוכה בהשקעה של מיליון ליש"ט.

תוכנות ריגול מסחריות, כמו Pegasus של NSO Group, מותקנות בדרך כלל במכשירי אייפון או אנדרואיד ויכולות לצותת לשיחות טלפון; יירוט הודעות; לצלם תמונות עם המצלמות; לסנן נתוני אפליקציה, תמונות וקבצים; ולקחת הקלטות קול ווידיאו. הכלים בדרך כלל עושים שימוש בניצול של יום אפס לגישה ראשונית ומוכרים במיליוני דולרים, כלומר שלהם שוק היעד נוטה להיות מורכב מלקוחות ממשלתיים גלובליים ואינטרסים מסחריים גדולים.

השבוע, קואליציה של עשרות מדינות כולל צרפת, בריטניה וארה"ב, יחד עם ענקיות טכנולוגיה כמו גוגל, מטה, מיקרוסופט וקבוצת NCC, חתמו על הסכם משותף למאבק בשימוש בתוכנות ריגול מסחריות בדרכים. שמפרים זכויות אדם.

סגן ראש ממשלת בריטניה, אוליבר דאודן, הכריז על הפתיחה של יוזמת תוכנות הריגול, שזכתה לכינוי "תהליך Pall Mall", שתהיה "יוזמה מרובת אינטרסים... כדי להתמודד עם התפשטות ושימוש חסר אחריות ביכולות פריצת סייבר זמינות מסחרית", הוא הסביר. .

ליתר דיוק, הקואליציה תקבע קווים מנחים לפיתוח, מכירה, הנחייה, רכישה ושימוש בכלים ושירותים מסוג זה, לרבות הגדרת התנהגות חסרת אחריות ויצירת מסגרת לשימוש שקוף ואחראי בהם.

גלה מדוע חשובה הבטחת תוכנות ריגול מסחריות: ממשלי העולם, ענקי הטכנולוגיה חותמים על הבטחת אחריות לתוכנות ריגול

מידע נוסף: תוכנת ריגול פגסוס מכוונת לחברה האזרחית הירדנית בהתקפות רחבות טווח

CMMC של DoD הוא קו ההתחלה, לא הסיום

פרשנות מאת כריס פטרסן, מייסד שותף ומנכ"ל, RADICL

הסמכת מודל הבגרות של אבטחת סייבר (CMMC) והקשחת חשיבה, זיהוי ותגובה הן המפתח להגנה על חברות הגנה ותשתיות קריטיות.

כמו שחקני איום אוהבים וולט טייפון ממשיכים לכוון לתשתית קריטית, ייתכן שאישור מודל הבגרות של אבטחת סייבר (CMMC) של משרד ההגנה האמריקאי יהפוך בקרוב למנדט שנאכף בקפדנות.

חברות שישיגו עמידה ב-CMMC (שהותאם ל-NIST 800-171 ברמת ההסמכה "מתקדם") יהפכו למטרה קשה יותר, אבל הגנה אמיתית על איומי סייבר וחוסן פירושם מעבר ל"סמן את התיבה" CMMC / NIST 800-171 תאימות. זה אומר לעבור לפעולות "הקשיח-זהה-תגיב (HDR)".

CMMC/NIST 800-171 מחייבים את רוב יכולות ה-HDR. עם זאת, הקפדה ועומק של חברה במימושם יכולים לעשות את ההבדל בין להישאר פגיע להתקדמות של איום סייבר של מדינת לאום או להישאר מוגן.

להלן 7 שיטות ה-HDR הקריטיות: CMMC הוא קו הזינוק, לא הסיום

קשור: איך יכולות הסייבר של '4 המדינות הגדולות' מאיימות על המערב

מדוע הביקוש לתרגילי שולחן גדל

מאת גרנט גרוס, סופר תורם, קריאה אפלה

תרגילים שולחניים יכולים להיות דרך יעילה ובמחיר סביר לבחון את יכולות ההגנה והתגובה של הארגון מפני מתקפות סייבר.

תרגילי אבטחת סייבר באים בצורות רבות, אך אחד מהפחות יקרים והיעילים ביותר הוא תרגיל השולחן. תרגילים אלו נמשכים בדרך כלל בין שעתיים לארבע שעות ויכולות לעלות פחות מ-50,000 דולר (לפעמים הרבה פחות), כאשר חלק ניכר מההוצאות קשור לתכנון והנחיית האירוע.

הגישה הנפוצה לתרגילי שולחן היא אולד-אסקול ולואו-טק, אבל התומכים אומרים שתרחיש מנוהל היטב יכול לחשוף חורים ב תוכניות תגובה והפחתה של ארגונים. והביקוש לתרגילים שולחניים גדל באופן אקספוננציאלי בשנתיים האחרונות, מונע על ידי בעיות ציות, הנחיות דירקטוריון ומנדטים של ביטוח סייבר.

למעשה, המרכז לאבטחת אינטרנט ללא מטרות רווח קורא למשטחים שולחניים "חובה", והדגיש שהם עוזרים לארגונים לתאם טוב יותר יחידות עסקיות נפרדות בתגובה למתקפה ולזהות את העובדים שימלאו תפקידים קריטיים במהלך ואחרי התקפה.

קרא עוד על להפיק את המרב מתרגילי שולחן: מדוע הביקוש לתרגילי שולחן גדל

מידע נוסף: 6 הטעויות המובילות בתרגילים שולחניים בתגובה לתקריות

כיצד המגוון הנוירודי יכול לעזור למלא את המחסור בכוח העבודה באבטחת סייבר

פרשנות מאת ד"ר ג'ודי אסבל-קלארק, ראש מחקר בכיר, TERC

אנשים רבים עם הפרעות קשב וריכוז, אוטיזם, דיסלקציה ומצבים נוירו-מגוון אחרים מביאים נקודות מבט חדשות שיכולות לעזור לארגונים לפתור אתגרי אבטחת סייבר.

ה-ISC2, שאומר את פער כוח העבודה העולמי היא 3.4 מיליון, דוגלת בגיוס חברות לאוכלוסייה מגוונת יותר, שרבים מפרשים כמאמצי הכלה סביב גזע ומגדר. למרות שזה חיוני, יש עוד תחום להתרחב אליו: מגוון נוירודיסיטי.

לחברות STEM מובילות רבות, כולל מיקרוסופט, SAP ו-EY, יש יוזמות כוח אדם למגוון נוירו. בעוד שרוב תוכניות הגיוס למגוון הנוירו התמקדו במקור באוטיזם, מעסיקים רבים מתרחבים לכלול אנשים עם הפרעות קשב וריכוז (ADHD), דיסלקציה והבדלים אחרים (לפעמים ללא תווית).

המגוון הנוירודי הוא יתרון תחרותי: חלק מהאנשים עם אוטיזם מצטיינים למשל בזיהוי דפוסים מפורט וחשיבה שיטתית - מושלם עבור עבודות הכוללות ניטור ואיתור פרצות אבטחה. הפרעות קשב וריכוז ודיסלקסיה קשורות בינתיים ליצירת רעיונות מוגברת וליכולת לראות קשרים בין רעיונות חדשים - חשובים לגישה לבעיות בדרכים חדשות ושונות.

בעיה אחת שחברות אלה מתמודדות עם היא לא למצוא מספיק כישרונות נוירודיברגנטים. למרבה המזל, ישנן אסטרטגיות להתגבר על קשיים בגילוי אנשים אלו.

כיצד לגייס כישרונות נוירו-מגוון: כיצד המגוון הנוירודי יכול לעזור למלא את המחסור בכוח העבודה באבטחת סייבר

מידע נוסף: Cyber ​​Employment 2024: ציפיות בשמיים נכשלות עסקים ומחפשי עבודה

קוד QR 'מרדף' התקפות על עליית מנהלים, התחמקות מאבטחת דוא"ל

מאת רוברט למוס, סופר תורם, קריאה אפלה

השימוש בקודי QR כדי לספק מטענים זדוניים קפץ ברבעון הרביעי של 4, במיוחד מול מנהלים, שראו פי 2023 יותר התחזות בקוד QR מאשר העובד הממוצע.

תוקפי סייבר מאמצים קודי QR כדרך לכוון ספציפית למנהלים: ברבעון הרביעי של 2023, המנהל הבכיר הממוצע ב-C-suite ראה פי 42 יותר התקפות דיוג באמצעות קודי QR בהשוואה לעובד הממוצע.

תפקידים ניהוליים אחרים סבלו מגידול בהתקפות גם כן, אם כי קטנות יותר באופן משמעותי, כאשר מנהלים אלה שאינם ב-C Suite נתקלו בפי חמישה יותר התקפות פישינג מבוססות קוד QR, על פי דוח החברה.

ההתמקדות בשכבות העליונות של ארגון יכולה להיות בגלל האפקטיביות של "קווישינג" בהשגת הגנות עבר על נקודות קצה, שעשויות להיות מחמירות יותר במכונות של גבוהים יותר. מכיוון שתוקפים מסתירים את קישור ההתחזות שלהם בתמונה, עוקף דיוג בקוד QR חשדות של משתמשים וכמה מוצרי אבטחת דוא"ל.

יותר מרבע ממתקפות קוד QR (27%) ברבעון הרביעי היו הודעות מזויפות על הפעלת MFA, בעוד שכאחת מכל חמש התקפות (4%) היו הודעות מזויפות על מסמך משותף.

כיצד צוותי אבטחה יכולים להתמודד עם quishing: קוד QR 'מרדף' התקפות על עליית מנהלים, התחמקות מאבטחת דוא"ל

מידע נוסף: קמפיין דיוג בקוד QR מכוון לחברת האנרגיה המובילה בארה"ב

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cybersecurity-operations/ciso-corner-dod-regs-neurodiverse-talent-tel-aviv-light-rail