CISO コーナーへようこそ。Dark Reading の毎週の記事のダイジェストは、特にセキュリティ運用の読者とセキュリティ リーダー向けに調整されています。毎週、ニュース業務、ザ エッジ、DR テクノロジー、DR グローバル、および解説セクション全体から収集した記事を提供します。私たちは、あらゆる形態や規模の組織のリーダー向けに、サイバーセキュリティ戦略の運用をサポートするための多様な視点を提供することに尽力しています。
今号の CISO コーナーでは次のようになります。
-
サイバー ガバナンスを導入した企業はほぼ 4 倍の価値を生み出す
-
サイバープロも騙される: 現実のビッシング攻撃の内部
-
サードパーティのリスクを軽減するには、協力的で徹底的なアプローチが必要です
-
グローバル: オーストラリア政府、大規模な攻撃を受けてサイバーセキュリティを倍増
-
CISO の重要性とリスクの決定ガイド
-
ゼロデイ ボナンザが企業に対するさらなるエクスプロイトを推進
-
取締役会の議題にセキュリティ修復を盛り込む
サイバー ガバナンスを導入した企業はほぼ 4 倍の価値を生み出す
David Strom、寄稿ライター、Dark Reading
取締役会全体に依存するのではなく、サイバー専門家を含む特別委員会を設置した委員会は、セキュリティと財務パフォーマンスを向上させる可能性が高くなります。
サイバーセキュリティガバナンスを向上させるためのガイドラインに従う努力をした企業は、そうでない企業と比較して、株主価値をほぼ4倍生み出しました。
これは、Bitsight と Diligent Institute が共同で実施した新しい調査の結論です。調査では、次のような 23 の異なるリスク要因にわたってサイバーセキュリティの専門知識を測定しました。 ボットネット感染の存在、マルウェアをホストするサーバー、Web および電子メール通信用の古い暗号化証明書、および公開サーバー上のオープン ネットワーク ポート。
同報告書はまた、専門的なリスクと監査コンプライアンスに焦点を当てた個別の取締役会委員会を設置することが最良の結果を生み出すことも明らかにした。 「取締役会全体に依存するのではなく、サイバー専門家メンバーによる専門委員会を通じてサイバー監視を行う取締役会は、全体的なセキュリティ体制と財務パフォーマンスを向上させる可能性が高くなります」と、サイバーセキュリティ コンサルタントで Omega315 の CEO である Ladi Adefala 氏も同意します。
続きを読む: サイバー ガバナンスを導入した企業はほぼ 4 倍の価値を生み出す
関連する TikTokの禁止により、運用ガバナンスの時が来ました
サイバープロも騙される: 現実のビッシング攻撃の内部
エリザベス・モンタルバーノ著、寄稿ライター、Dark Reading
成功した攻撃者は、人間の感情を心理的に操作することに重点を置いているため、サイバー プロやテクノロジーに精通した人であっても、誰もが被害者になる可能性があります。
事の始まりは、火曜日の午前10時30分頃、見知らぬ携帯番号からの電話でした。私は家でコンピューターを使って仕事をしており、通常は知らない人からの電話には出ません。何らかの理由で、私は今までしていた仕事をやめてその電話に出ることにしました。
それが、その後 4 時間にわたって私が犯した一連の間違いのうちの最初の間違いでした。 ビッシングまたはボイスフィッシングキャンペーンの被害者。試練が終わるまでに、私は銀行口座からビットコインで5,000ユーロ近くの資金を詐欺師に送金していました。私の銀行はほとんどの送金をキャンセルすることができました。しかし、私は攻撃者のビットコインウォレットに送金した1,000ユーロを失いました。
専門家らは、攻撃者が詐欺行為を発見する際に使用する戦術や経験を知る上で、どれだけの専門知識を持っているかは重要ではないと主張する。攻撃者の成功の鍵はテクノロジーよりも古いものであり、それは私たちを人間たらしめているもの、つまり感情を操作することにあるからです。
続きを読む: 電話には出ないでください: 実際の悪質な攻撃の内部
サードパーティのリスクを軽減するには、協力的で徹底的なアプローチが必要です
S-RM、サイバーセキュリティプラクティス、サイバーアドバイザリー担当アソシエイトディレクター、マット・メッテンハイマーによる解説
この問題は困難に思えるかもしれませんが、ほとんどの組織は、サードパーティのリスクに対処するための主体性と柔軟性を、思っているよりも持っています。
サードパーティのリスクは、組織に特有の課題をもたらします。表面的には、第三者は信頼できるように見えることがあります。しかし、サードパーティ ベンダーの内部動作に対する完全な透明性がなければ、組織はどのようにして、委託されたデータの安全性を確保できるでしょうか?
多くの場合、組織はサードパーティ ベンダーとの長年にわたる関係を理由に、この差し迫った問題を軽視します。しかし、第 4 パーティ、さらには第 5 パーティのベンダーの出現により、組織は外部データを保護するよう奨励されるはずです。やってる サードパーティベンダーに対する適切なセキュリティデューデリジェンス 今後は、サードパーティがクライアントのプライベートデータをより下流のパーティにアウトソーシングしているかどうかを調査することを含める必要があります。SaaS サービスの普及のおかげで、サードパーティはアウトソーシングする可能性が高くなります。
幸いなことに、組織がサードパーティのリスクを適切に軽減するための開始ロードマップを提供する、すぐに使用できる 5 つの簡単な手順があります。
続きを読む: サードパーティのリスクを軽減するには、協力的で徹底的なアプローチが必要です
関連する Cl0p は MOVEit 攻撃を主張します。 ギャングのやり方はこうだ
オーストラリア政府、大規模攻撃を受けてサイバーセキュリティを倍増
John Leyden、寄稿者、Dark Reading Global
政府は、企業、政府、重要インフラプロバイダー向けに、より現代的で包括的なサイバーセキュリティ規制を提案しています。
オーストラリアのサイバーインシデント対応能力の弱点が2022年XNUMX月に露呈した 通信プロバイダー Optus に対するサイバー攻撃、10月に続いて、健康保険プロバイダーのメディバンクに対するランサムウェアベースの攻撃が発生しました。
その結果、オーストラリア政府は、2030年までに同国をサイバーセキュリティの世界リーダーの地位に置くという戦略を掲げ、サイバーセキュリティ法と規制を刷新する計画を立てている。
オーストラリアの議員らは、既存のサイバー犯罪法のギャップに対処するだけでなく、2018年重要インフラセキュリティ法(SOCI)法を改正して、脅威の防止、情報共有、サイバーインシデント対応に重点を置くことを望んでいる。
続きを読む: オーストラリア政府、大規模な攻撃を受けてサイバーセキュリティを強化
関連する オーストラリアの港湾、壊滅的なサイバー混乱後に操業を再開
CISO の重要性とリスクの決定ガイド
Kovrr データ分析責任者 Peter Dyson による解説
多くの CISO にとって、「重要性」は依然として曖昧な用語です。そうであっても、重要性とリスクについて取締役会と議論できる必要があります。
SEC は現在、上場企業に次のことを義務付けています。 サイバーインシデントが「重大」かどうかを評価する それらを報告するためのしきい値として。しかし、多くの CISO にとって、重要性は依然として曖昧な用語であり、組織固有のサイバーセキュリティ環境に基づいて解釈の余地があります。
重要性に関する混乱の核心は、何が「重要な損失」を構成するのかを決定することです。一部の人々は、重要性が前年の収益の 0.01% に影響を及ぼし、これは収益の約 1000 ベーシス ポイントに相当します (フォーチュン XNUMX 企業の XNUMX 時間の収益に相当します)。
業界のベンチマークに対してさまざまなしきい値をテストすることで、組織は重大なサイバー攻撃に対する自社の脆弱性をより明確に理解できます。
続きを読む: CISO の重要性とリスクの決定ガイド
ゼロデイ ボナンザが企業に対するさらなるエクスプロイトを推進
ベッキー・ブラッケン著、Dark Reading 上級編集者
Google によると、高度な攻撃者はエンタープライズ テクノロジーとそのベンダーにますます注目している一方、エンドユーザー プラットフォームはサイバーセキュリティへの投資によってゼロデイ エクスプロイトを阻止することに成功しています。
50 年に実際に悪用されたゼロデイ脆弱性の数は、2023 年よりも 2022% 増加しました。企業は特に大きな打撃を受けています。
Mandiant と Google Threat Analysis Group (TAG) の調査によると、国家が支援する高度な攻撃者が、広大な企業攻撃対象領域を利用しています。複数のベンダーのソフトウェア、サードパーティのコンポーネント、無秩序に広がるライブラリで構成されるフットプリントは、ゼロデイ エクスプロイトを開発する能力を持つ人々にとって豊富な狩場となります。
サイバー犯罪グループは、次のようなセキュリティ ソフトウェアに特に重点を置いています。 バラクーダ E メール セキュリティ ゲートウェイ; Cisco 適応型セキュリティ アプライアンス。 Ivanti エンドポイント マネージャー、モバイル、セントリー。そしてTrend Micro Apex Oneであると研究は付け加えた。
続きを読む: ゼロデイ ボナンザが企業に対するさらなるエクスプロイトを推進
関連する 攻撃者は Microsoft のセキュリティを悪用し、ゼロデイ バグを回避します
取締役会の議題にセキュリティ修復を盛り込む
Qualys EMEA North 担当マネージング ディレクター、Matt Middleton-Leal 氏のコメント
IT チームは、取締役会がリスクとその解決方法を理解し、リスク管理の長期的なビジョンを説明できるようにすることで、精査に耐えることができます。
過去の CEO は、セキュリティ チームが特定の CVE にどのようにアプローチしているかについて眠れなかったかもしれませんが、 Apache Log4j などの危険なバグに対する CVE 多くの組織ではパッチが適用されていないため、セキュリティ修復がより広範な課題となっています。これは、より多くのセキュリティ リーダーが、ビジネスの観点からリスクをどの程度適切に管理しているかについての洞察を求められることを意味します。
これは、特に予算とその使用方法に関して難しい質問につながります。
ほとんどの CISO は、IT セキュリティの基本原則 (停止した問題の数、導入されたアップデート、修正された重大な問題の数) に関する情報を利用したがりますが、他のビジネス リスクや問題と比較しなければ、注意を払い続け、CISO が成果を上げていることを実証するのは難しい場合があります。 。
これらの問題を克服するには、比較とコンテキスト データを使用して、リスクに関するストーリーを伝える必要があります。導入されたパッチの数に関する基本的な数字を提供しても、収益を生み出すアプリケーションを危険にさらす重大な問題を修正するために費やされた膨大な労力を説明するものではありません。また、自分のチームが他のチームに対してどのようなパフォーマンスを発揮するのかも示されません。基本的に、取締役会にとって良いことがどのようなものであるか、そして長期にわたってどのように成果を出し続けるかを実証する必要があります。
続きを読む: 取締役会の議題にセキュリティ修復を盛り込む
関連する 取締役会に欠けているもの: CISO
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud-security/ciso-corner-cyber-pro-swindle-risk-valuation
- :は
- :not
- 000
- 10
- 2018
- 2022
- 2023
- 2030
- 23
- 30
- 7
- 8
- a
- 午前
- 能力
- できる
- 私たちについて
- 従った
- 越えて
- 行為
- 適応
- 追加されました
- アドレッシング
- 利点
- アドバイザリー
- 後
- に対して
- 代理店
- 議題
- 同意する
- すべて
- ほとんど
- また
- 金額
- an
- 分析
- 分析論
- および
- 回答
- 誰も
- アパッチ
- Apex
- 現れる
- 申し込み
- アプローチ
- 接近する
- 約
- です
- 周りに
- 物品
- AS
- 暴行
- 仲間
- At
- 攻撃
- 攻撃
- 注意
- 監査
- オーストラリア
- オーストラリア人
- 支持された
- 銀行
- 預金
- 禁止
- ベース
- ベース
- 基礎
- 基礎点
- BE
- になる
- き
- さ
- ベンチマーク
- BEST
- より良いです
- Bitcoin
- ビットコイン財布
- ボード
- ブースト
- ボットネット
- 違反
- 持参
- 広く
- 予算
- バグ
- ビジネス
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- コール
- コール
- 缶
- 機能
- カービング
- 最高経営責任者(CEO)
- 証明書
- 挑戦する
- サークル
- Cisco
- CISO
- クレーム
- より明確に
- クライアント
- 共同
- 解説
- コミットした
- 委員会
- 通信部
- 企業
- 比べ
- 比較
- 比較
- コンプリート
- コンプライアンス
- コンポーネント
- 包括的な
- コンピュータ
- 結論
- 実施
- 混乱
- 検討
- コンサルタント
- コンテキスト
- 続ける
- 貢献
- 基本
- コーナー
- 法人
- 国
- 作ります
- 作成した
- 不自由
- 重大な
- 重要インフラ
- サイバー
- サイバー攻撃
- サイバー犯罪
- サイバーセキュリティ
- 危険な
- 暗いです
- 暗い読書
- データ
- データ分析
- デイビッド
- 取引
- 決定しました
- 配信する
- 配信する
- 実証します
- 展開
- 説明する
- 決定
- 決定
- 開発する
- DID
- 異なります
- ダイジェスト
- 勤勉
- 取締役
- 話し合います
- 異なる
- do
- ありません
- doesnの
- すること
- ドン
- ダブルス
- ダウン
- dr
- ドライブ
- 原因
- 間に
- エッジ(Edge)
- エディタ
- 努力
- エリザベス
- メールセキュリティ
- EMEA
- 出現
- 感情
- 強調
- 暗号化
- end
- エンドポイント
- 確保
- Enterprise
- 企業
- 委託
- 環境
- 等しい
- 特に
- 本質的に
- さらに
- あらゆる
- 運動
- 既存の
- 体験
- エキスパート
- 専門知識
- 説明
- 悪用する
- 搾取
- エクスプロイト
- 外部
- 顔
- 要因
- フィギュア
- ファイナンシャル
- 財務実績
- 発見
- 名
- 五
- 固定の
- 柔軟性
- フォーカス
- 焦点を当て
- 続いて
- フォーチュン
- 発見
- 4
- から
- フル
- 資金
- 利得
- ギャング
- ギャップ
- 取得する
- 受け
- グローバル
- 良い
- でログイン
- ガバナンス
- 政府・公共機関
- 大きい
- 陸上
- グループ
- グループの
- ガイド
- ガイドライン
- ハッカー
- 持っていました
- ハード
- 持ってる
- 避難所
- 持って
- 健康
- 健康保険
- 助け
- こちら
- ヒット
- ホーム
- 希望
- ホスティング
- 時間
- HOURS
- 認定条件
- しかしながら
- HTTPS
- 巨大な
- 人間
- 狩猟
- i
- ICON
- if
- 影響を与える
- 改善します
- in
- 奨励します
- 事件
- インシデント対応
- include
- 含めて
- ますます
- 産業を変えます
- 情報
- インフラ
- インフラ
- 内側の
- 内部
- 洞察力
- 機関
- 保険
- 解釈
- に
- インベストメント
- 問題
- 問題
- IT
- それセキュリティ
- ジョブ
- John Redfern
- JPG
- キープ
- キー
- 知っている
- 知っている
- 韓国語
- レイド
- 法制
- 法令
- リーダー
- リーダー
- リード
- 議員
- ライブラリ
- ある
- ような
- 可能性が高い
- 長期的
- 長年の
- LOOKS
- 損失
- 失われた
- 製
- 主要な
- make
- 作る
- マルウェア
- 管理
- マネージャー
- 管理する
- 取締役社長
- 操作する
- 操作
- 多くの
- 材料
- マット
- 問題
- 手段
- メンバー
- マイクロ
- Microsoft
- かもしれない
- 行方不明
- ミス
- 軽減する
- 緩和する
- モバイル
- モダン
- 他には?
- 最も
- ずっと
- の試合に
- しなければなりません
- my
- 国
- ほぼ
- 必要
- ネットワーク
- 新作
- ニュース
- 次の
- ノース
- 知らせ..
- 今
- 数
- 10月
- of
- 提供
- 古い
- on
- ONE
- 開いた
- オープンネットワーク
- 操作
- オペレーショナル
- 業務執行統括
- 反対した
- or
- 組織
- 組織
- その他
- その他
- 私たちの
- でる
- 成果
- 時代遅れの
- が
- 全体
- 克服する
- 見落とし
- 特に
- パーティー
- パーティー
- 過去
- パッチ
- のワークプ
- パフォーマンス
- 実行する
- 人
- 視点
- 視点
- Peter Bauman
- 電話
- 電話
- 電話
- 場所
- プラン
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- ポート
- 位置
- 練習
- プレゼント
- を押す
- 防止
- 原則
- 事前の
- プライベート
- 生産する
- 提案する
- PROS
- 提供します
- プロバイダー
- プロバイダ
- 提供
- 心理的な
- 公共
- 公開会社
- 質問
- 質問
- むしろ
- RE
- 読者
- リーディング
- 理由
- 規制
- の関係
- 信頼
- 残り
- 残っている
- 改善
- レポート
- 各種レポート作成
- 必要
- 研究
- 研究者
- 応答
- 結果
- 履歴書
- 収入
- 富裕層
- リスク
- 危険因子
- リスク管理
- リスク
- ロードマップ
- s
- SaaSの
- 言う
- 詐欺師
- 詐欺
- 精査
- SEC
- セクション
- 安全に
- セキュリティ
- 思われる
- シニア
- 送信
- 別
- 9月
- シリーズ
- サーバー
- サービス
- セッションに
- いくつかの
- シェイプ
- 株主
- シェアリング
- すべき
- 表示する
- 簡単な拡張で
- サイズ
- 眠る
- So
- ソフトウェア
- 一部
- 何か
- 洗練された
- 特別
- 専門の
- 特定の
- 特に
- スポッティング
- 広がる
- 開始
- 起動
- ステップ
- Force Stop
- 停止
- ストーリー
- 作戦
- 戦略
- 成功
- 首尾よく
- そのような
- サポート
- 表面
- Survey
- 戦術
- TAG
- テーラード
- 取る
- 取得
- ターゲット
- チーム
- チーム
- テクノロジー
- テクノロジー
- 電気通信
- 言う
- 期間
- テスト
- より
- 感謝
- それ
- アプリ環境に合わせて
- それら
- そこ。
- ボーマン
- 彼ら
- もの
- 考える
- 三番
- サードパーティ
- この
- 完全な
- それらの
- 脅威
- 脅威の防止
- しきい値
- 介して
- TikTok
- 時間
- <font style="vertical-align: inherit;">回数</font>
- 〜へ
- 厳しい
- 転送
- 転送
- 透明性
- トレンド
- 信頼できる
- 火曜日
- 下
- わかる
- 理解する
- ユニーク
- 未知の
- 更新版
- us
- つかいます
- 中古
- 通常
- 評価
- 値
- ベンダー
- ベンダー
- 非常に
- 被害者
- ヴィッシング
- ビジョン
- 自発的
- 脆弱性
- 脆弱性
- ウェーク
- 財布
- 欲しいです
- ました
- we
- ウェブ
- 週間
- weekly
- WELL
- went
- した
- この試験は
- かどうか
- which
- while
- なぜ
- ワイルド
- 無し
- ワーキング
- 仕組み
- 世界
- でしょう
- 作家
- 年
- You
- あなたの
- ゼファーネット
- ゼロデイ脆弱性