CISO コーナーへようこそ。Dark Reading の毎週の記事のダイジェストは、特にセキュリティ運用の読者とセキュリティ リーダー向けに調整されています。ニュース業務、ザ エッジ、DR テクノロジー、DR グローバル、および解説セクション全体から収集した記事を毎週提供します。私たちは、あらゆる形態や規模の組織のリーダー向けに、サイバーセキュリティ戦略の運用をサポートするための多様な視点を提供することに尽力しています。
この問題では:
-
NIST サイバーセキュリティ フレームワーク 2.0: 始めるための 4 つのステップ
-
Apple、Signal 耐量子暗号化をデビュー、しかし課題は山積
-
もう午後 10 時です、今夜 AI モデルがどこにいるか知っていますか?
-
違反を開示しなかった組織は SEC の重大な罰金に直面する
-
生体認証規制が激化し、コンプライアンスの悩みの予兆
-
DR Global:「幻の」イランのハッキンググループがイスラエル、UAEの航空宇宙・防衛企業を罠にかける
-
MITRE、マイクロプロセッサのセキュリティバグに対応する 4 つの新しい CWE を発表
-
収束する州のプライバシー法と新たな AI の課題
NIST サイバーセキュリティ フレームワーク 2.0: 始めるための 4 つのステップ
Robert Lemos、寄稿ライター、Dark Reading
米国立標準技術研究所 (NIST) は、あらゆる規模の組織の安全性を高めることを目的とした包括的なサイバーセキュリティ プログラムの作成に関する書籍を改訂しました。ここから変更を実行に移していきます。
今週リリースされた NIST のサイバーセキュリティ フレームワーク (CSF) の最新バージョンが運用可能になると、サイバーセキュリティ プログラムが大幅に変更される可能性があります。
たとえば、サイバーセキュリティに対する経営陣と取締役会の監視を強化するためのまったく新しい「ガバナンス」機能があり、その機能が拡大されています。 重要な業界だけを超えたセキュリティのベストプラクティス。全体として、サイバーセキュリティ チームは自らの仕事を任されることになり、フレームワーク変更の影響を判断するために、既存の評価、特定されたギャップ、修復活動を綿密に検討する必要があります。
幸いなことに、NIST サイバーセキュリティ フレームワークの最新バージョンを運用するためのヒントが、今後の方向性を示すのに役立ちます。これらには、すべての NIST リソースの使用が含まれます (CSF は単なる文書ではなく、企業がフレームワークを自社の特定の環境や要件に適用するために使用できるリソースのコレクションです)。経営幹部と座って「統治」機能について話し合う。サプライチェーンのセキュリティを包み込む。そして、コンサルティング サービスとサイバーセキュリティ体制管理製品が再評価され、最新の CSF をサポートするように更新されていることを確認します。
続きを読む: NIST サイバーセキュリティ フレームワーク 2.0: 始めるための 4 つのステップ
関連する 米国政府、ソフトウェアセキュリティにおける役割を拡大
Apple、Signal 耐量子暗号化をデビュー、しかし課題は山積
Jai Vijayan 著、寄稿ライター、Dark Reading
iMessage を保護するための Apple の PQ3 と Signal の PQXH は、暗号化プロトコルの解読が飛躍的に困難になる未来に組織がどのように備えているかを示しています。
量子コンピューターが成熟し、最も安全な現在の暗号化プロトコルさえも簡単に突破できる方法が敵に与えられるようになった今、組織は通信とデータを保護するために今すぐ行動する必要があります。
そのために、iMessage 通信を保護するための Apple の新しい PQ3 ポスト量子暗号 (PQC) プロトコルと、Signal が昨年導入した PQXDH と呼ばれる同様の暗号化プロトコルは耐量子性を備えています。つまり、少なくとも理論的には量子攻撃に耐えることができます。コンピューターがそれらを破壊しようとしています。
しかし、組織にとって、PQC のようなものへの移行は長く、複雑で、おそらく痛みを伴うものになるでしょう。公開鍵インフラストラクチャに大きく依存している現在のメカニズムは、耐量子アルゴリズムを統合するための再評価と適応が必要になります。そしてその ポスト量子暗号化への移行 これは、TLS1.2 から 1.3 への移行や ipv4 から v6 への移行など、どちらも数十年を要した以前の移行に匹敵する、企業の IT、テクノロジー、セキュリティ チームに一連の新しい管理課題をもたらします。
続きを読む: Apple、Signal 耐量子暗号化をデビュー、しかし課題は山積
関連する 量子コンピューティングが解ける前に弱い暗号を解読する
I午後 10 時です、今夜 AI モデルがどこにいるか知っていますか?
Ericka Chickowski、寄稿ライター、Dark Reading
AI モデルの可視性とセキュリティの欠如により、ソフトウェア サプライ チェーンのセキュリティ問題がさらに深刻になります。
ソフトウェア サプライ チェーンのセキュリティ問題が今日では十分に難しいと思っているなら、しっかりと腰を据えてください。 AI 使用の爆発的な増加により、今後数年間でサプライ チェーンの問題の解決が飛躍的に困難になるでしょう。
AI/機械学習モデルは、パターンの認識、予測、意思決定、アクションのトリガー、またはコンテンツの作成を行う AI システムの機能の基盤を提供します。しかし実のところ、ほとんどの組織は利益を得る方法さえ知りません。 埋め込まれたすべての AI モデルの可視性 彼らのソフトウェアで。
まず、モデルとその周囲のインフラストラクチャは他のソフトウェア コンポーネントとは異なる方法で構築されており、従来のセキュリティとソフトウェア ツールは、AI モデルがどのように機能するか、どのように欠陥があるかをスキャンしたり理解したりするように構築されていません。
「モデルは設計上、自己実行されるコードです。それにはある程度の主体性があります」と Protect AI の共同創設者、ダリアン・デガンピシェ氏は言います。 「インフラストラクチャ全体に、目に見えず、識別もできず、何が含まれているかも、コードが何であるかも分からず、自己実行される資産があると言ったら、外部に電話をかけるなんて、疑わしいほど許可ウイルスのように聞こえますよね?」
続きを読む: もう午後 10 時です、今夜 AI モデルがどこにいるか知っていますか?
関連する ハグフェイス AI プラットフォームには 100 個の悪意のあるコード実行モデルが存在
違反を開示しなかった組織は SEC の重大な罰金に直面する
Robert Lemos、寄稿者
SEC の新しいデータ侵害開示規則に従わなかった企業には、数百万ドルの罰金、風評被害、株主訴訟、その他の罰金が待ち受ける可能性がある執行上の悪夢となる可能性があります。
企業とその CISO は、サイバーセキュリティとデータ侵害の開示プロセスを遵守しない場合、米国証券取引委員会 (SEC) から数十万ドルから数百万ドルの罰金やその他の罰金に直面する可能性があります。新しいルールが施行されました。
SEC規制当局には牙があり、同委員会は被告に対し、訴訟の核心部分にある行為の中止、不当利得の返還命令、または天文学的な罰金をもたらす可能性のある3段階の段階的な罰則の導入を命じる永久差し止め命令を下すことができる。 。
おそらく最も心配しているのは、 CISO は現在直面している個人責任です これまで彼らが責任を負っていなかった事業運営の多くの分野に対して。 CISO の半数 (54%) だけが、SEC の裁定に従う能力に自信を持っています。
これらすべてが、CISO の役割の広範な再考と企業の追加コストにつながっています。
続きを読む: 違反を開示しなかった組織は SEC の重大な罰金に直面する
関連する 増大する法的脅威について企業と CISO が知っておくべきこと
生体認証規制が激化し、コンプライアンスの悩みの予兆
David Strom、寄稿ライター、Dark Reading
クラウド侵害やAIが作成したディープフェイクが増加する中、消費者を保護することを目的として、生体認証を規制するプライバシー法の厚さが増している。しかし、生体認証データを扱う企業にとって、コンプライアンスを遵守することは言うは易く行うは難しです。
生体認証のプライバシーに関する懸念は、増加のおかげでさらに高まっています 人工知能 (AI) ベースのディープフェイクの脅威、企業による生体認証の利用の増加、予想される新たな州レベルのプライバシー法、そして今週バイデン大統領によって発行された生体認証のプライバシー保護を含む新たな大統領令。
つまり、企業は、生体認証コンテンツを追跡して使用するための適切なインフラストラクチャを構築するために、より将来を見据えてリスクを予測し、理解する必要があるということです。また、国内でビジネスを行う企業は、消費者の同意をどのように取得するか、消費者がそのようなデータの使用を制限できるようにする方法を理解し、規制のさまざまな微妙な点に適合しているかどうかを理解するなど、データ保護手順を監査して規制のパッチワークを順守する必要があります。
続きを読む: 生体認証規制が激化し、コンプライアンスの悩みの予兆
関連する ユースケースに最適な生体認証認証を選択してください
DR Global:「幻の」イランのハッキンググループがイスラエル、UAEの航空宇宙・防衛企業を罠にかける
Robert Lemos、寄稿ライター、Dark Reading
UNC1549 (別名 Smoke Sandstorm and Tortoiseshell) は、標的となった組織ごとにカスタマイズされたサイバー攻撃キャンペーンの背後にある犯人と思われます。
イランの脅威グループ UNC1549 (煙砂嵐やべっ甲としても知られる) は、航空宇宙と宇宙を狙っています。 イスラエルの防衛企業、アラブ首長国連邦、およびその他の大中東諸国。
特に、雇用に焦点を当てたカスタマイズされたスピアフィッシングと指揮統制のためのクラウドインフラストラクチャの使用との間では、攻撃を検出するのが難しい可能性があると、Google CloudのMandiantの主任アナリストであるJonathan Leathery氏は述べています。
「最も注目すべき点は、この脅威の発見と追跡がどれほど幻想的であるかということです。彼らは明らかに重要なリソースにアクセスしており、標的を選択的に選択しています」と彼は言います。 「この攻撃者によるまだ発見されていない活動が存在する可能性が高く、標的に侵入した後に彼らがどのように活動するかについての情報はさらに少ないです。」
続きを読む: 「幻の」イランのハッキンググループがイスラエルとUAEの航空宇宙・防衛企業を罠にかける
関連する 中国、産業ネットワーク向けの新たなサイバー防御計画を開始
MITRE、マイクロプロセッサのセキュリティバグに対応する 4 つの新しい CWE を発表
Jai Vijayan 著、寄稿ライター、Dark Reading
目標は、半導体分野のチップ設計者やセキュリティ専門家に、メルトダウンやスペクターなどのマイクロプロセッサの主要な欠陥についてより深く理解してもらうことです。
CPU リソースをターゲットとしたサイドチャネルエクスプロイトの増加に伴い、MITRE 主導の Common Weakness Enumeration (CWE) プログラムは、一般的なソフトウェアおよびハードウェアの脆弱性タイプのリストに、マイクロプロセッサ関連の 4 つの新しい弱点を追加しました。
CWE は、Intel、AMD、Arm、Riscure、Cycuity の共同作業の成果であり、半導体分野のプロセッサ設計者とセキュリティ担当者に、最新のマイクロプロセッサ アーキテクチャの弱点について議論するための共通言語を提供します。
1420 つの新しい CWE は、CWE-1421、CWE-1422、CWE-1423、および CWE-XNUMX です。
CWE-1420 は、一時的実行または投機的実行中の機密情報の漏洩に関するものです。これは、CWE-XNUMX に関連付けられたハードウェア最適化機能です。 メルトダウンとスペクター — そして他の 3 つの CWE の「親」です。
CWE-1421 は、一時的な実行中の共有マイクロアーキテクチャ構造における機密情報の漏洩に関係しています。 CWE-1422 は、一時的な実行中の誤ったデータ転送に関連するデータ漏洩に対処します。 CWE-1423 は、マイクロプロセッサ内の特定の内部状態に関連するデータの漏洩に焦点を当てています。
続きを読む: MITRE、マイクロプロセッサのセキュリティバグに対応する 4 つの新しい CWE を発表
関連する MITRE がサプライ チェーン セキュリティのプロトタイプを公開
収束する州のプライバシー法と新たな AI の課題
GuidePoint Security、データ プライバシー担当シニア セキュリティ コンサルタント、Jason Eddinger による解説
企業は、何を処理しているのか、どのような種類のリスクがあるのか、そしてそのリスクをどのように軽減する計画があるのかを検討する時期が来ています。
米国の 2023 つの州が 2024 年にデータ プライバシー法案を可決し、XNUMX 年には XNUMX つの州で法律が施行される予定です。そのため、企業は、処理しているデータ、どのような種類のリスクがあるか、これをどのように管理するかをじっくりと検討する必要があります。リスクと、特定したリスクを軽減するための計画。 AIの導入により、それはさらに困難になるでしょう。
企業がこれらすべての新しい規制に準拠するための戦略を立てる際に、これらの法律は多くの点で一致しているものの、州固有のニュアンスも示していることに注目する価値があります。
企業は、多くの人々の目に触れることを期待する必要があります。 データプライバシーの新たなトレンド 今年は以下のものが含まれます:
-
包括的なプライバシー法を採用する州が続く。今年は何名が通過するか分かりませんが、活発な議論が行われることは間違いありません。
-
実際の法律や標準化されたフレームワークのない AI の急速な導入により、企業はその使用によって意図しない結果が発生し、違反や執行罰金が発生するため、AI は重要なトレンドとなるでしょう。
-
2024 年は米国大統領選挙の年であり、データプライバシーに対する意識が高まり、注目が高まることになります。コネチカット州などの州では追加要件を導入するなど、子供のプライバシーも重要視されてきている。
-
また、企業は、2024 年にデータ主権がトレンドになることを予測する必要があります。多国籍企業は、データがどこに存在するのか、また、国際法を遵守するためのデータの所在地と主権の要件を満たすために、これらの国際義務に基づく要件を理解するために、より多くの時間を費やす必要があります。
続きを読む: 収束する州のプライバシー法と新たな AI の課題
関連する プライバシーが保険上の最大の懸念事項としてランサムウェアを上回る
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok
- :持っている
- :は
- :not
- :どこ
- ][p
- $UP
- 1
- 1.3
- 10
- 100
- 11
- 2023
- 2024
- 7
- 8
- 9
- a
- 能力
- 私たちについて
- アクセス
- 越えて
- Action
- 行動
- アクティブ
- 活動
- アクティビティ
- 実際の
- 適応
- 追加されました
- NEW
- アドレス
- 採用
- 養子縁組
- 航空宇宙
- 後
- 代理店
- AI
- AIモデル
- AIプラットフォーム
- 目的としました
- 目指して
- 別名
- アルゴリズム
- 整列する
- すべて
- 許す
- また
- AMD
- の中で
- 間で
- 量
- an
- アナリスト
- および
- 予想する
- 予期された
- どれか
- どこにでも
- 登場する
- Apple
- 申し込む
- 適切な
- アラブ
- アラブ首長国連邦
- アーキテクチャ
- です
- エリア
- ARM
- 周りに
- 物品
- AS
- アセスメント
- 資産
- 関連する
- At
- 攻撃
- 攻撃
- 注意
- 監査
- 認証
- 待つ
- 認知度
- バック
- BE
- ビート
- 背後に
- BEST
- より良いです
- の間に
- 越えて
- 二人
- バイオメトリック
- バイオメトリクス
- ボード
- 本
- 両言語で
- 違反
- ブレーク
- 持参
- 広い
- バックル
- バグ
- ビルド
- 内蔵
- ビジネス
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- Cスイート
- 呼ばれます
- コール
- キャンペーン
- 缶
- 場合
- やめる
- 一定
- チェーン
- 挑戦する
- 課題
- 変更
- 子供達
- チップ
- サークル
- CISO
- はっきりと
- クラウド
- クラウドインフラ
- 共同創設者
- コード
- 共同
- コレクション
- 来ます
- 解説
- 委員会
- コミットした
- コマンドと
- 通信部
- 企業
- コンプライアンス
- 準拠した
- 複雑な
- 従う
- コンポーネント
- 包括的な
- 損害を受けた
- コンピューター
- コンピューティング
- 懸念事項
- プロフェッショナルな方法で
- 確信して
- 同意
- 結果
- コンサルタント
- コンサルティング
- consumer
- 消費者
- 含む
- コンテンツ
- 継続
- 貢献
- 収束する
- コーナー
- コスト
- 可能性
- 国
- クラック
- 作ります
- 作成
- 重大な
- 暗号
- 暗号
- 電流プローブ
- カスタマイズ
- カット
- サイバー攻撃
- サイバーセキュリティ
- 損傷
- 暗いです
- 暗い読書
- データ
- データプライバシー
- データ保護
- デイビッド
- デビュー
- 数十年
- 決定
- ディープフェイク
- 深く
- 防衛
- 設計
- デザイナー
- 検出
- 決定する
- 異なります
- 異なって
- 難しい
- ダイジェスト
- 開示する
- 開示
- 発見する
- 発見
- 話し合います
- 議論
- 議論
- 異なる
- do
- ドキュメント
- doesnの
- すること
- ドル
- ドン
- 行われ
- ダウン
- dr
- 原因
- 間に
- 各
- 容易
- 東
- 簡単に
- エッジ(Edge)
- 効果
- 努力
- 選挙
- 新興の
- エミレーツ航空
- 暗号化
- end
- 執行
- 十分な
- Enterprise
- 環境
- 高まる
- さらに
- あらゆる
- 交換
- 実行
- エグゼクティブ
- 行政命令
- 展示
- 既存の
- 拡大する
- 期待する
- エクスプロイト
- 指数関数的に
- 暴露
- 顔
- 向い
- フェイル
- 失敗
- 企業
- 欠陥
- 欠陥
- フォワード
- 将来を見据えた
- Foundation
- 4
- フレームワーク
- フレームワーク
- から
- function
- 未来
- 獲得
- 利益
- ギャップ
- 取得する
- 与える
- グローバル
- 目標
- 行く
- 行って
- でログイン
- Googleクラウド
- 支配する
- 政府・公共機関
- 大きい
- グループ
- 成長
- 成長性
- ハッキング
- 持っていました
- 半分
- ハンド
- ハンドル
- ハード
- もっと強く
- Hardware
- 持ってる
- he
- 頭痛
- ハート
- 重く
- 助けます
- こちら
- 歴史的に
- 認定条件
- How To
- HTTPS
- 何百
- i
- ICON
- 特定され
- 識別する
- if
- 影響
- 実装する
- in
- include
- 含ま
- 含めて
- 組み込む
- 誤った
- の増加
- インダストリアル
- 情報
- インフラ関連事業
- インフラ
- 機関
- 保険
- 統合する
- インテル
- インテリジェンス
- 内部
- 世界全体
- に
- 導入
- 紹介します
- 導入
- イラン人
- ISN
- イスラエルの
- 問題
- 発行済み
- 問題
- IT
- ITS
- ジョブ
- ジョナサン
- JPG
- ただ
- キー
- 知っている
- 既知の
- 欠如
- 言語
- 姓
- 昨年
- 最新の
- 起動
- 法制
- 訴訟
- リーダー
- 主要な
- リーク
- 学習
- 最低
- リーガルポリシー
- 立法
- less
- 賠償責任
- ような
- 可能性が高い
- リスト
- 命
- ll
- 長い
- 見て
- LOOKS
- 織機
- 主要な
- make
- 悪意のある
- 管理します
- 管理
- 多くの
- 地図
- 一致
- 成熟した
- 五月..
- 意味する
- 意味
- 手段
- メカニズム
- 大会
- メルトダウン
- 真ん中
- 中東
- 何百万
- 軽減する
- モデル
- モダン
- 他には?
- 最も
- ずっと
- しなければなりません
- 国民
- 全国的に
- ナビゲート
- 必要
- 新作
- ニュース
- ニスト
- 注目すべき
- 注記
- 今
- ニュアンス
- 数
- 義務
- 入手する
- of
- 提供
- on
- かつて
- の
- 開いた
- 操作する
- 操作
- 業務執行統括
- 最適化
- or
- 注文
- 組織
- 組織
- その他
- 私たちの
- でる
- 外側
- が
- 見落とし
- 痛みを伴う
- Parallels
- 部
- パス
- 渡された
- パターン
- 支払い
- 罰則
- 恒久的な
- 許可
- 個人的な
- 視点
- ピース
- 計画
- プラン
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- :
- PQC
- プラクティス
- 予測
- 準備中
- 社長
- バイデン大統領
- 大統領の
- 大統領選挙
- 前
- 校長
- プライバシー
- 問題
- 手続き
- ラボレーション
- 処理
- プロセッサ
- 製品
- 演奏曲目
- プログラム
- 目立つ
- 守る
- 保護
- 保護
- プロトコル
- 提供します
- 公共
- 公開鍵
- 置く
- パッティング
- 量子
- 量子コンピュータ
- 量子コンピューティング
- 上げる
- ランサムウェア
- 急速な
- RE
- 読者
- リーディング
- 認識する
- 規制
- 規制
- 規制
- リリース
- 改善
- 必要とする
- 要件
- 居住
- 耐性
- リソース
- 尊重
- 責任
- 制限する
- 結果
- 結果として
- 謎の
- 上昇
- リスク
- リスク
- ROBERT
- 職種
- ロール
- ルール
- 判決
- ラン
- s
- 前記
- 言う
- スキャン
- SEC
- セクション
- 安全に
- 確保する
- 有価証券
- 証券取引委員会
- セキュリティ
- 見ること
- 選択的
- 半導体
- シニア
- 敏感な
- サービス
- セッションに
- シェイプ
- shared
- 株主
- シフト
- すべき
- 表示する
- シグナル
- 重要
- 同様の
- 座る
- 座っている
- サイズ
- サイズ
- スモーク
- So
- ソフトウェア
- ソフトウェアコンポーネント
- ソフトウェアサプライチェーン
- 音
- 主権
- スペース
- 特定の
- 特に
- 分光
- 投機的な
- 過ごす
- 規格
- start
- 開始
- 都道府県
- 米国
- 滞在
- ステップ
- 作戦
- 戦略
- 構造
- そのような
- 供給
- サプライチェーン
- サポート
- 確か
- 確かに
- 疑わしい
- テーラード
- 取る
- 撮影
- ターゲット
- 対象となります
- ターゲット
- チーム
- テクノロジー
- より
- 感謝
- それ
- 米国証券取引委員会
- アプリ環境に合わせて
- それら
- そこ。
- ボーマン
- 彼ら
- 物事
- この
- 今週
- 今年
- それらの
- 考え
- 数千
- 脅威
- 三
- タイド
- 時間
- ヒント
- 〜へ
- 今日
- 言われ
- top
- 追跡する
- 伝統的な
- トレンド
- トレンド
- トリガー
- 真実
- しよう
- UAE
- 下
- わかる
- 理解する
- ユナイテッド
- アラブ首長国連邦
- アラブ首長国連邦
- 更新しました
- us
- 米国証券取引委員会
- 米国の州
- 使用法
- つかいます
- Ve
- バージョン
- ウイルス
- 視認性
- 脆弱性
- ました
- 仕方..
- we
- 弱い
- 弱点
- 弱点
- 週間
- weekly
- この試験は
- which
- while
- 意志
- 以内
- 無し
- 仕事
- 価値
- ラッピング
- 作家
- 年
- 年
- まだ
- You
- あなたの
- ゼファーネット