CISO-hjørne: Operasjonalisering av NIST CSF 2.0; AI-modeller kjører amok

Velkommen til CISO Corner, Dark Readings ukentlige sammendrag av artikler skreddersydd spesifikt for lesere av sikkerhetsoperasjoner og sikkerhetsledere. Hver uke vil vi tilby artikler hentet fra hele nyhetsvirksomheten vår, The Edge, DR Technology, DR Global og vår kommentarseksjon. Vi er forpliktet til å gi deg et mangfoldig sett med perspektiver for å støtte jobben med å operasjonalisere cybersikkerhetsstrategier, for ledere i organisasjoner av alle former og størrelser.

I denne saken:

NIST Cybersecurity Framework 2.0: 4 trinn for å komme i gang

Av Robert Lemos, medvirkende skribent, Dark Reading

National Institute of Standards and Technology (NIST) har revidert boken om å lage et omfattende cybersikkerhetsprogram som tar sikte på å hjelpe organisasjoner av alle størrelser til å bli sikrere. Her er hvor du skal begynne å implementere endringene.

Operasjonalisering av den nyeste versjonen av NISTs Cybersecurity Framework (CSF), utgitt denne uken, kan bety betydelige endringer i cybersikkerhetsprogrammer.

For eksempel er det en splitter ny "Govern"-funksjon for å innlemme større ledelses- og styretilsyn med cybersikkerhet, og den utvider beste sikkerhetspraksis utover bare de for kritiske bransjer. Alt i alt vil cybersikkerhetsteam ha arbeidet sitt for dem, og de må ta en grundig titt på eksisterende vurderinger, identifiserte hull og utbedringsaktiviteter for å fastslå virkningen av rammeendringene.

Heldigvis kan våre tips for operasjonalisering av den nyeste versjonen av NIST Cybersecurity Framework bidra til å peke veien videre. De inkluderer bruk av alle NIST-ressursene (CSF er ikke bare et dokument, men en samling av ressurser som bedrifter kan bruke for å bruke rammeverket til deres spesifikke miljø og krav); å sette seg ned med C-suiten for å diskutere "Govern"-funksjonen; innpakning i forsyningskjedesikkerhet; og bekrefter at konsulenttjenester og cybersecurity posture management-produkter blir revurdert og oppdatert for å støtte den siste CSF.

Les mer: NIST Cybersecurity Framework 2.0: 4 trinn for å komme i gang

Relatert: Amerikanske myndigheter utvider rollen i programvaresikkerhet

Apple, signaldebuterte kvantebestandig kryptering, men utfordrer vevstolen

Av Jai Vijayan, medvirkende skribent, Dark Reading

Apples PQ3 for sikring av iMessage og Signals PQXH viser hvordan organisasjoner forbereder seg på en fremtid der krypteringsprotokoller må være eksponentielt vanskeligere å knekke.

Ettersom kvantedatamaskiner modnes og gir motstandere en trivielt enkel måte å åpne selv de mest sikre nåværende krypteringsprotokollene på, må organisasjoner flytte nå for å beskytte kommunikasjon og data.

For det formål er Apples nye PQ3 post-kvantekryptografiske (PQC)-protokoll for sikring av iMessage-kommunikasjon, og en lignende krypteringsprotokoll som Signal introduserte i fjor kalt PQXDH, kvanteresistente, noe som betyr at de - teoretisk sett, i det minste - kan motstå angrep fra kvante. datamaskiner som prøver å bryte dem.

Men organisasjoner, skiftet til ting som PQC vil være langt, komplisert og sannsynligvis smertefullt. Nåværende mekanismer som er sterkt avhengige av offentlige nøkkelinfrastrukturer vil kreve revurdering og tilpasning for å integrere kvanteresistente algoritmer. Og migrering til postkvantekryptering introduserer et nytt sett med ledelsesutfordringer for IT-, teknologi- og sikkerhetsteam for bedrifter som er parallelle med tidligere migreringer, som fra TLS1.2 til 1.3 og ipv4 til v6, som begge har tatt flere tiår.

Les mer: Apple, signaldebuterte kvantebestandig kryptering, men utfordrer vevstolen

Relatert: Sprekker svak kryptografi før kvanteberegning gjør det

Iklokken er 10 Vet du hvor AI-modellene dine er i kveld?

Av Ericka Chickowski, medvirkende forfatter, Dark Reading

Mangel på AI-modellsynlighet og sikkerhet setter sikkerhetsproblemet for programvareforsyningskjeden på steroider.

Hvis du trodde sikkerhetsproblemet for programvareforsyningskjeden var vanskelig nok i dag, spenn opp. Den eksplosive veksten i bruk av AI er i ferd med å gjøre disse forsyningskjedeproblemene eksponentielt vanskeligere å navigere i årene som kommer.

AI/maskinlæringsmodeller gir grunnlaget for et AI-systems evne til å gjenkjenne mønstre, lage spådommer, ta beslutninger, utløse handlinger eller lage innhold. Men sannheten er at de fleste organisasjoner ikke engang vet hvordan de skal begynne å vinne synlighet i alle AI-modellene som er innebygd i programvaren deres.

For å starte opp, er modeller og infrastrukturen rundt dem bygget annerledes enn andre programvarekomponenter, og tradisjonelle sikkerhets- og programvareverktøy er ikke bygd for å skanne etter eller forstå hvordan AI-modeller fungerer eller hvordan de har feil.

"En modell, ved design, er et selvutførende stykke kode. Den har en viss grad av handlekraft, sier Daryan Dehghanpisheh, medgründer av Protect AI. "Hvis jeg fortalte deg at du har eiendeler over hele infrastrukturen din som du ikke kan se, du kan ikke identifisere, du vet ikke hva de inneholder, du vet ikke hva koden er, og de utfører selv og har eksterne samtaler, det høres mistenkelig ut som et tillatelsesvirus, ikke sant?»

Les mer: Klokken er 10. Vet du hvor AI-modellene dine er i kveld?

Relatert: Hugging Face AI-plattform full av 100 ondsinnede kodeutførelsesmodeller

Organisasjoner møter store SEC-straff for ikke å avsløre brudd

Av Robert Lemos, medvirkende skribent

I det som kan være et håndhevingsmareritt, venter potensielt millioner av dollar i bøter, skade på omdømmet, aksjonærsøksmål og andre straffer selskaper som ikke overholder SECs nye regler for avsløring av datainnbrudd.

Selskaper og deres CISO-er kan bli utsatt for alt fra hundretusener til millioner av dollar i bøter og andre straffer fra US Securities and Exchange Commission (SEC), hvis de ikke får cybersikkerhets- og avsløringsprosessene for databrudd for å overholde med de nye reglene som nå har trådt i kraft.

SEC-reglene har tenner: Kommisjonen kan gi et permanent forføyning som pålegger tiltalte å slutte med oppførselen i sakens kjerne, beordre tilbakebetaling av dårlig oppnådde gevinster, eller implementere tre nivåer med eskalerende straffer som kan resultere i astronomiske bøter .

Kanskje mest bekymringsfullt for CISOer er det personlige ansvaret de nå står overfor for mange områder av virksomheten som de historisk sett ikke har hatt ansvar for. Bare halvparten av CISO-er (54%) er trygge på deres evne til å etterkomme SECs kjennelse.

Alt dette fører til en bred nytenkning av rollen til CISO, og ekstra kostnader for bedrifter.

Les mer: Organisasjoner møter store SEC-straff for ikke å avsløre brudd

Relatert: Hva selskaper og CISOer bør vite om økende juridiske trusler

Biometrisk regulering varmes opp, varsler hodepine i samsvar

Av David Strøm, medvirkende skribent, Dark Reading

Et voksende kratt av personvernlover som regulerer biometri er rettet mot å beskytte forbrukere midt i økende skybrudd og AI-skapte deepfakes. Men for bedrifter som håndterer biometriske data, er det lettere sagt enn gjort å overholde kravene.

Biometriske personvernbekymringer øker, takket være økende kunstig intelligens (AI)-baserte dypfalske trusler, økende biometrisk bruk av bedrifter, forventet ny personvernlovgivning på statlig nivå, og en ny executive order utstedt av president Biden denne uken som inkluderer biometrisk personvern.

Det betyr at virksomheter må være mer fremtidsrettede og forutse og forstå risikoene for å bygge den riktige infrastrukturen for å spore og bruke biometrisk innhold. Og de som driver virksomhet nasjonalt, vil måtte revidere databeskyttelsesprosedyrene deres for å følge et lappeteppe av reguleringer, inkludert å forstå hvordan de innhenter forbrukersamtykke eller lar forbrukere begrense bruken av slike data og sørge for at de samsvarer med de forskjellige finessene i regelverket.

Les mer: Biometrisk regulering varmes opp, varsler hodepine i samsvar

Relatert: Velg den beste biometriske autentiseringen for ditt bruk

DR Global: 'Illlusive' iranske hackinggruppe fanger israelske, UAE romfarts- og forsvarsfirmaer

Av Robert Lemos, medvirkende skribent, Dark Reading

UNC1549, alias Smoke Sandstorm og Tortoiseshell, ser ut til å være synderen bak en nettangrepskampanje tilpasset hver målrettet organisasjon.

Den iranske trusselgruppen UNC1549 – også kjent som Smoke Sandstorm og Tortoiseshell – går etter romfart og forsvarsfirmaer i Israel, De forente arabiske emirater og andre land i det større Midtøsten.

Spesielt, mellom skreddersydd sysselsettingsfokusert spyd-phishing og bruken av skyinfrastruktur for kommando-og-kontroll, kan angrepet være vanskelig å oppdage, sier Jonathan Leathery, hovedanalytiker for Google Cloud's Mandiant.

"Den mest bemerkelsesverdige delen er hvor illusorisk denne trusselen kan være å oppdage og spore - de har tydelig tilgang til betydelige ressurser og er selektive i målrettingen," sier han. "Det er sannsynligvis mer aktivitet fra denne skuespilleren som ennå ikke er oppdaget, og det er enda mindre informasjon om hvordan de opererer når de har kompromittert et mål."

Les mer: 'Illlusive' iranske hackinggruppe fanger israelske, UAE romfarts- og forsvarsfirmaer

Relatert: Kina lanserer ny cyberforsvarsplan for industrielle nettverk

MITER ruller ut 4 splitter nye CWE-er for mikroprosessorsikkerhetsfeil

Av Jai Vijayan, medvirkende skribent, Dark Reading

Målet er å gi brikkedesignere og sikkerhetsutøvere i halvlederområdet en bedre forståelse av store mikroprosessorfeil som Meltdown og Spectre.

Med et økende antall sidekanalutnyttelser rettet mot CPU-ressurser, la MITRE-ledede Common Weakness Enumeration (CWE)-programmet fire nye mikroprosessorrelaterte svakheter til listen over vanlige programvare- og maskinvaresårbarhetstyper.

CWE-ene er et resultat av et samarbeid mellom Intel, AMD, Arm, Riscure og Cycuity og gir prosessordesignere og sikkerhetsutøvere i halvlederområdet et felles språk for å diskutere svakheter i moderne mikroprosessorarkitekturer.

De fire nye CWE-ene er CWE-1420, CWE-1421, CWE-1422 og CWE-1423.

CWE-1420 gjelder eksponering av sensitiv informasjon under forbigående eller spekulativ utførelse – maskinvareoptimaliseringsfunksjonen knyttet til Meltdown og Specter - og er "forelder" til de tre andre CWE-ene.

CWE-1421 har å gjøre med sensitiv informasjonslekkasje i delte mikroarkitektoniske strukturer under forbigående utførelse; CWE-1422 adresserer datalekkasjer knyttet til feil videresending av data under forbigående utførelse. CWE-1423 ser på dataeksponering knyttet til en spesifikk intern tilstand i en mikroprosessor.

Les mer: MITER ruller ut 4 splitter nye CWE-er for mikroprosessorsikkerhetsfeil

Relatert: MITER ruller ut prototype for forsyningskjedesikkerhet

Sammenfallende statlige personvernlover og den nye AI-utfordringen

Kommentar av Jason Eddinger, Senior Security Consultant, Data Privacy, GuidePoint Security

Det er på tide at selskaper ser på hva de behandler, hvilke typer risiko de har, og hvordan de planlegger å redusere denne risikoen.

Åtte amerikanske stater vedtok personvernlovgivning i 2023, og i 2024 trer lover i kraft om fire, så selskaper må lene seg tilbake og se dypt på dataene de behandler, hvilke typer risiko de har, hvordan de skal håndtere dette risiko, og deres planer om å redusere risikoen de har identifisert. Innføringen av AI vil gjøre det tøffere.

Når bedrifter legger ut en strategi for å overholde alle disse nye forskriftene som er der ute, er det verdt å merke seg at selv om disse lovene stemmer overens i mange henseender, viser de også statsspesifikke nyanser.

Bedrifter bør forvente å se mange nye trender for personvern i år, inkludert:

Les mer: Sammenfallende statlige personvernlover og den nye AI-utfordringen

Relatert: Personvern slår løsepengevare som topp forsikringsbekymring

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok