פינת CISO: הפעלת NIST CSF 2.0; מודלים של AI Run Amok

ברוכים הבאים ל-CISO Corner, התקציר השבועי של מאמרים של Dark Reading המותאמים במיוחד לקוראי פעולות אבטחה ולמנהיגי אבטחה. מדי שבוע, נציע מאמרים שנאספו מכל מבצע החדשות שלנו, The Edge, DR Technology, DR Global ומדור הפרשנות שלנו. אנו מחויבים להביא לך קבוצה מגוונת של נקודות מבט כדי לתמוך בעבודה של הפעלת אסטרטגיות אבטחת סייבר, עבור מנהיגים בארגונים מכל הצורות והגדלים.

בנושא זה:

NIST Cybersecurity Framework 2.0: 4 שלבים לתחילת העבודה

מאת רוברט למוס, סופר תורם, קריאה אפלה

המכון הלאומי לתקנים וטכנולוגיה (NIST) תיקן את הספר על יצירת תוכנית אבטחת סייבר מקיפה שמטרתה לעזור לארגונים בכל סדר גודל להיות בטוחים יותר. כאן אפשר להתחיל ליישם את השינויים.

הפעלת הגרסה האחרונה של מסגרת אבטחת הסייבר (CSF) של NIST, שפורסמה השבוע, עשויה להיות שינויים משמעותיים בתוכניות אבטחת סייבר.

לדוגמה, יש פונקציית "ממשל" חדשה לגמרי לשילוב פיקוח רב יותר של מנהלים ושל דירקטוריון על אבטחת סייבר, והיא מתרחבת נוהלי אבטחה מומלצים מעבר לאלה של תעשיות קריטיות בלבד. בסך הכל, צוותי אבטחת סייבר יסתיימו בעבודתם עבורם, ויצטרכו להסתכל היטב על הערכות קיימות, פערים שזוהו ופעילויות תיקון כדי לקבוע את ההשפעה של שינויי המסגרת.

למרבה המזל, הטיפים שלנו להפעלה של הגרסה העדכנית ביותר של מסגרת אבטחת הסייבר של NIST יכולים לעזור להצביע על הדרך קדימה. הם כוללים שימוש בכל משאבי ה-NIST (ה-CSF אינו רק מסמך אלא אוסף של משאבים שחברות יכולות להשתמש בהם כדי להחיל את המסגרת על הסביבה והדרישות הספציפיות שלהן); לשבת עם ה-C-suite לדון בפונקציית "הממשל"; עטיפה באבטחת שרשרת האספקה; ומאשר ששירותי ייעוץ ומוצרי ניהול תנוחות אבטחת סייבר מוערכים ומתעדכנים כדי לתמוך ב-CSF העדכני ביותר.

קרא עוד: NIST Cybersecurity Framework 2.0: 4 שלבים לתחילת העבודה

מידע נוסף: ממשלת ארה"ב מרחיבה את התפקיד באבטחת תוכנה

אפל, הצפנה עמידה קוונטית לראשונה לאותות, אך מאתגרת את הנול

מאת Jai Vijayan, סופר תורם, קריאה אפלה

ה-PQ3 של אפל לאבטחת iMessage וה-PQXH של Signal מראים כיצד ארגונים מתכוננים לעתיד שבו פרוטוקולי הצפנה חייבים להיות קשים יותר לפיצוח אקספוננציאלי.

כאשר מחשבים קוונטיים מתבגרים ומעניקים ליריבים דרך קלה להפליא לפתוח אפילו את פרוטוקולי ההצפנה העדכניים המאובטחים ביותר, ארגונים צריכים לזוז כעת כדי להגן על תקשורת ונתונים.

לשם כך, פרוטוקול ההצפנה הפוסט-קוונטי (PQC) החדש של אפל לאבטחת תקשורת iMessage, ופרוטוקול הצפנה דומה ש-Signal הציגה בשנה שעברה בשם PQXDH, הם עמידים לקוונטים, כלומר הם יכולים - תיאורטית, לפחות - לעמוד בהתקפות קוונטיות מחשבים שמנסים לשבור אותם.

אבל ארגונים, המעבר לדברים כמו PQC יהיה ארוך, מסובך וכנראה כואב. המנגנונים הנוכחיים הנשענים במידה רבה על תשתיות מפתח ציבורי ידרשו הערכה מחדש והתאמה לשילוב אלגוריתמים עמידים לקוונטים. וה הגירה להצפנה פוסט-קוונטית מציג סט חדש של אתגרי ניהול עבור צוותי IT, טכנולוגיה ואבטחה ארגוניים המקבילים להגירות קודמות, כמו מ-TLS1.2 ל-1.3 ו-ipv4 ל-v6, שניהם נמשכו עשרות שנים.

קרא עוד: אפל, הצפנה עמידה קוונטית לראשונה לאותות, אך מאתגרת את הנול

מידע נוסף: פיצוח קריפטוגרפיה חלשה לפני שהמחשוב הקוונטי יצליח

Iהשעה 10:XNUMX האם אתה יודע היכן נמצאים דגמי הבינה המלאכותית שלך הלילה?

מאת אריקה צ'יקובסקי, סופרת תורמת, קריאה אפלה

היעדר נראות ואבטחה של מודל AI מציב את בעיית האבטחה של שרשרת אספקת התוכנה על סטרואידים.

אם חשבתם שבעיית האבטחה של שרשרת האספקה ​​של התוכנה הייתה קשה מספיק היום, התקדמו. הצמיחה הנפיצה בשימוש בבינה מלאכותית עומדת להפוך את הבעיות הללו בשרשרת האספקה ​​לקשות באופן אקספוננציאלי לניווט בשנים הבאות.

מודלים של AI/למידת מכונה מספקים את הבסיס ליכולת של מערכת AI לזהות דפוסים, לבצע תחזיות, לקבל החלטות, להפעיל פעולות או ליצור תוכן. אבל האמת היא שרוב הארגונים אפילו לא יודעים איך להתחיל להרוויח נראות לכל דגמי הבינה המלאכותית המוטמעת בתוכנה שלהם.

כדי לאתחל, מודלים והתשתית שסביבם בנויים בצורה שונה ממרכיבי תוכנה אחרים וכלי אבטחה ותוכנה מסורתיים אינם בנויים כדי לסרוק או להבין איך מודלים של AI עובדים או איך הם פגומים.

"מודל, בעיצובו, הוא פיסת קוד לביצוע עצמי. יש לזה מידה מסוימת של סוכנות", אומר דריאן דהג'אנפישה, מייסד שותף של Protect AI. "אם אמרתי לך שיש לך נכסים בכל התשתית שלך שאתה לא יכול לראות, אתה לא יכול לזהות, אתה לא יודע מה הם מכילים, אתה לא יודע מה הקוד, והם מבצעים את עצמם ולקיים שיחות חיצוניות, זה נשמע באופן חשוד כמו וירוס הרשאות, לא?"

קרא עוד: השעה 10:XNUMX. האם אתה יודע היכן נמצאים דגמי הבינה המלאכותית שלך הלילה?

מידע נוסף: פלטפורמת בינה מלאכותית מחבקת פנים עמוסה ב-100 דגמי ביצוע קוד זדוני

ארגונים עומדים בפני עונשים גדולים של ה-SEC על אי חשיפת הפרות

מאת רוברט למוס, סופר תורם

במה שעלול להיות סיוט אכיפה, ממתינים לחברות שלא יעמדו בכללי החשיפה החדשים של ה-SEC, של מיליוני דולרים בקנסות, פגיעה במוניטין, תביעות של בעלי מניות ועונשים אחרים.

חברות ו-CISO שלהן עלולות לעמוד בפני קנסות של מאות אלפי עד מיליוני דולרים וקנסות אחרים מרשות ניירות הערך של ארה"ב (SEC), אם הן לא יקבלו את תהליכי אבטחת הסייבר וגילוי פרצות נתונים כדי לעמוד בדרישות. עם הכללים החדשים שנכנסו כעת לתוקף.

לרשות ה-SEC יש שיניים: הוועדה יכולה לתת צו מניעה קבוע המורה על הנאשם להפסיק את ההתנהלות בלב התיק, להורות על החזר של רווחים שלא הושגו, או ליישם שלוש שכבות של עונשים מתגברים שעלולים לגרום לקנסות אסטרונומיים .

אולי הכי מדאיג עבור CISOs הם האחריות האישית שעומדת בפניהם כעת לתחומים רבים של פעילות עסקית שלעתים לא הייתה להם אחריות עליהם. רק מחצית מה-CISO (54%) בטוחים ביכולתם לציית לפסיקת ה-SEC.

כל זה מוביל לחשיבה מחודשת רחבה על תפקיד ה-CISO ולעלויות נוספות לעסקים.

קרא עוד: ארגונים עומדים בפני עונשים גדולים של ה-SEC על אי חשיפת הפרות

מידע נוסף: מה חברות ו-CISOs צריכים לדעת על איומים משפטיים מתגברים

הרגולציה הביומטרית מתחממת, מעידה על כאבי ראש של תאימות

מאת דיוויד שטרום, סופר תורם, קריאה אפלה

סבך הולך וגדל של חוקי פרטיות המסדירים ביומטריה נועד להגן על צרכנים על רקע הפרות הענן הגדלות וזיופים עמוקים שנוצרו בינה מלאכותית. אבל לעסקים שמטפלים בנתונים ביומטריים, שמירה על תאימות היא קלה לומר מאשר לעשות.

חששות הפרטיות הביומטריים מתחממים, הודות לעלייה איומים עמוקים מבוססי בינה מלאכותית (AI)., הגדלת השימוש ביומטרי על ידי עסקים, צפי לחקיקת פרטיות חדשה ברמת המדינה, וצו ביצוע חדש שהוציא הנשיא ביידן השבוע הכולל הגנות ביומטריות על פרטיות.

המשמעות היא שעסקים צריכים להיות יותר צופים קדימה ולצפות ולהבין את הסיכונים כדי לבנות את התשתית המתאימה למעקב ושימוש בתוכן ביומטרי. ואלה שעושים עסקים בארץ יצטרכו לבחון את נהלי הגנת המידע שלהם כדי לעמוד ברצף של רגולציה, כולל הבנה כיצד הם משיגים הסכמת צרכנים או מאפשרים לצרכנים להגביל את השימוש בנתונים כאלה ולוודא שהם תואמים את הדקויות השונות בתקנות.

קרא עוד: הרגולציה הביומטרית מתחממת, מעידה על כאבי ראש של תאימות

מידע נוסף: בחר את האימות הביומטרי הטוב ביותר עבור מקרה השימוש שלך

DR Global: קבוצת הפריצה האיראנית "אשליה" מלכדת חברות תעופה וחלל והגנה ישראליות, איחוד האמירויות הערביות

מאת רוברט למוס, סופר תורם, קריאה אפלה

נראה כי UNC1549, הידוע גם בשם סופת חול עשן וצב, הוא האשם מאחורי מסע התקפות סייבר המותאם אישית לכל ארגון ממוקד.

קבוצת האיומים האירנית UNC1549 - המכונה גם סופת חול עשן וצב - רודפת אחר תעופה וחלל חברות ביטחוניות בישראל, איחוד האמירויות הערביות ומדינות אחרות במזרח התיכון הגדול.

יש לציין שבין דיוג מותאם תעסוקה ממוקד-החנית והשימוש בתשתית ענן לפיקוד ובקרה, ייתכן שהתקיפה תהיה קשה לזיהוי, אומר ג'ונתן לתירי, אנליסט ראשי של Mandiant של Google Cloud.

"החלק הבולט ביותר הוא עד כמה האיום הזה יכול להיות אשליה לגילוי ולמעקב - ברור שיש להם גישה למשאבים משמעותיים והם סלקטיביים במיקוד שלהם", הוא אומר. "סביר להניח שיש יותר פעילות מהשחקן הזה שעדיין לא התגלתה, ויש עוד פחות מידע על איך הם פועלים ברגע שהם התפשרו על יעד."

קרא עוד: קבוצת הפריצה האיראנית "אשליה" מלכדת חברות תעופה וחלל והגנה ישראליות, איחוד האמירויות הערביות

מידע נוסף: סין משיקה תוכנית חדשה להגנת סייבר עבור רשתות תעשייתיות

MITER מוציא 4 CWEs חדשים לגמרי עבור באגי אבטחה של מיקרו-מעבדים

מאת Jai Vijayan, סופר תורם, קריאה אפלה

המטרה היא לתת למעצבי שבבים ולעוסקים באבטחה במרחב המוליכים למחצה הבנה טובה יותר של פגמי מיקרו-מעבד מרכזיים כמו Meltdown ו-Spectre.

עם מספר הולך וגדל של ניצול צדדי המתמקד במשאבי מעבד, תוכנית ה-Common Weakness Enumeration (CWE) בהובלת MITRE הוסיפה ארבע חולשות חדשות הקשורות למיקרו-מעבד לרשימת סוגי פגיעות התוכנה והחומרה הנפוצים שלה.

ה-CWEs הם תוצאה של מאמץ שיתופי בין אינטל, AMD, Arm, Riscure ו-Cycuity ומעניקים למעצבי מעבדים ולעוסקים באבטחה במרחב המוליכים למחצה שפה משותפת לדיון בחולשות בארכיטקטורות מיקרו-מעבדים מודרניות.

ארבעת ה-CWE החדשים הם CWE-1420, CWE-1421, CWE-1422 ו-CWE-1423.

CWE-1420 נוגע לחשיפה של מידע רגיש במהלך ביצוע חולף או ספקולטיבי - פונקציית ייעול החומרה הקשורה Meltdown ו ספקטר - והוא ה"הורה" של שלושת ה-CWEs האחרים.

CWE-1421 קשור לדליפות מידע רגיש במבנים מיקרו-אדריכליים משותפים במהלך ביצוע חולף; CWE-1422 מטפל בדליפות נתונים הקשורות להעברת נתונים שגויים במהלך ביצוע חולף. CWE-1423 מסתכל על חשיפת נתונים הקשורה למצב פנימי ספציפי בתוך מעבד מיקרו.

קרא עוד: MITER מוציא 4 CWEs חדשים לגמרי עבור באגי אבטחה של מיקרו-מעבדים

מידע נוסף: MITER מוציא אבטיפוס לאבטחת שרשרת אספקה

חוקי הפרטיות המתכנסים של המדינה ואתגר הבינה המלאכותית המתעוררת

פרשנות מאת ג'ייסון אדינגר, יועץ אבטחה בכיר, פרטיות נתונים, אבטחת GuidePoint

הגיע הזמן שחברות יבדקו מה הן מעבדות, אילו סוגי סיכון יש להן וכיצד הן מתכננות להפחית את הסיכון הזה.

שמונה מדינות בארה"ב העבירו את חקיקת פרטיות הנתונים בשנת 2023, ובשנת 2024, החוקים ייכנסו לתוקף בעוד ארבע, כך שחברות צריכות לשבת לאחור ולהסתכל לעומק על הנתונים שהם מעבדים, אילו סוגי סיכונים יש להם, איך לנהל את זה. הסיכון, והתוכניות שלהם לצמצם את הסיכון שהם זיהו. אימוץ הבינה המלאכותית יהפוך את זה לקשה יותר.

כשעסקים ממפים אסטרטגיה לציית לכל התקנות החדשות האלה שקיימות בחוץ, ראוי לציין שלמרות שהחוקים הללו מתאימים מבחינות רבות, הם גם מציגים ניואנסים ספציפיים למדינה.

חברות צריכות לצפות לראות רבים מגמות מתפתחות של פרטיות נתונים השנה, כולל:

קרא עוד: חוקי הפרטיות המתכנסים של המדינה ואתגר הבינה המלאכותית המתעוררת

מידע נוסף: הפרטיות מנצחת את תוכנת הכופר כדאגת הביטוח המובילה

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok