CISO-hjørne: DoD Regs, Neurodiverse Talent og Tel Avivs bybane

Velkommen til CISO Corner, Dark Readings ukentlige sammendrag av artikler skreddersydd spesifikt for lesere av sikkerhetsoperasjoner og sikkerhetsledere. Hver uke vil vi tilby artikler hentet fra hele nyhetsvirksomheten vår, The Edge, DR Tech, DR Global og vår kommentarseksjon. Vi er forpliktet til å gi deg et mangfoldig sett med perspektiver for å støtte jobben med å operasjonalisere cybersikkerhetsstrategier, for ledere i organisasjoner av alle former og størrelser.

I denne saken:

Hvordan SECs regler for avsløring av cybersikkerhetshendelser blir utnyttet

Kommentar av Ken Dunham, Cyber ​​Threat Director, Qualys Threat Research Unit

Cyberhygiene er ikke lenger en hyggelig å ha, men nødvendig for organisasjoner som ønsker å overleve den nådeløse bølgen av nettangrep som utløses daglig.

Securities and Exchange Commission (SEC) vedtok nylig nye regler som krever at børsnoterte selskaper rapporterer nettangrep med vesentlig innvirkning. Unnlatelse av å gjøre det vil sannsynligvis føre til økonomiske straffer og skade på omdømmet.

Selv om det er en velsignelse for selskapets interessenter i teorien, ser trusselaktører en utpressingsmulighet. For eksempel skal ALPHV-ransomwaregjengen ha brutt MeridianLinks nettverk i november, og eksfiltrert data uten å kryptere systemer. Da MeridianLink ikke klarte å betale løsepenger for å beskytte dataene sine, ALPHV sendte en klage direkte til SEC ut av bruddet.

Det er et glimt av hvordan ting kan gå fremover i den raskt utviklende verden av utpressingstaktikker, spesielt gitt den store muligheten for kompromitterende selskaper i disse dager. Det ble avslørt 26,447 2023 sårbarheter i XNUMX ifølge Qualys-analytikere, og av de som ble kategorisert som høyrisiko eller kritiske, angrep hackere en fjerdedel av dem og publiserte "n-dagers" utnyttelser samme dag som de ble avslørt.

Heldigvis er det noen skritt selskaper kan ta for å hindre denne typen press.

Les videre: Hvordan SECs regler for avsløring av cybersikkerhetshendelser blir utnyttet

Relatert: Et cyberforsikringsselskaps perspektiv på hvordan unngå løsepengeprogramvare

Klarte alt? Leverandører skifter fokus til tjenester

Av Robert Lemos, medvirkende skribent, Dark Reading

Flere selskaper velger å administrere komplekse sikkerhetsfunksjoner, for eksempel datadeteksjon og respons.

Trusselhåndteringsfirmaet Rapid7 og datasikkerhetsfirmaet Varonis kunngjorde nye administrerte tjenester denne uken, og ble de siste sikkerhetsselskapene som samler komplekse sikkerhetsfunksjoner i administrerte tilbud.

På mange måter, administrert deteksjon og respons (MDR) dekker mye og har så langt gjort det bra for leverandører og deres kunder. Leverandører har fornøyde kunder, eksepsjonelt rask vekst og en svært høy margin for tjenesten. I mellomtiden kan bedrifter fokusere på truslene selv, noe som fører til raskere oppdagelse og respons. Å fokusere på dataene kan forbedre responstiden, men det er langt fra sikkert.

Å tilby en administrert versjon av en fremvoksende sikkerhetstjeneste vil være en stadig mer vanlig tilnærming, ettersom etableringen av en intern cybersikkerhetskapasitet er kostbar, ifølge analytikerfirmaet Frost & Sullivan.

"I lys av mangelen på fagfolk innen cybersikkerhet, leter organisasjoner etter måter å automatisere prosessen med trusseldeteksjon og respons," heter det i rapporten. "Den nye generasjonen av løsninger og tjenester lover å implementere maskinlæring og kunstig intelligens, og automatisere beslutningstaking for å forbedre den generelle ytelsen til sikkerhetsstakken."

Finn ut mer om overgangen til administrert: Klarte alt? Leverandører skifter fokus til tjenester

Relatert: Tips for å tjene penger på SecOps-team

Spørsmål og svar: Tel Aviv Railway Project bakes i cyberforsvar

Fra DR Global

Hvordan en lettbane i Israel befester sin cybersikkerhetsarkitektur midt i en økning i OT-nettverkstrusler.

Jernbanenettverk lider av en økning i cyberangrep, særlig en hendelse i august hackere infiltrerte radiofrekvenskommunikasjonen til Polens jernbanenett og midlertidig forstyrret togtrafikken.

For å unngå samme skjebne, baker Tel Avivs Purple Line lettbanetransport (LRT), en linje som for tiden er under bygging og som skal være åpen og kjøres innen slutten av dette tiåret, cybersikkerhet direkte inn i bygget.

Dark Reading snakket med Eran Ner Gaon, CISO ved Tel Aviv Purple Line LRT, og Shaked Kafzan, medgründer og CTO for leverandøren av jernbanenettsikkerhet Cervello, om jernbanens omfattende OT sikkerhetsstrategi, som inkluderer tiltak som trusseletterretning, teknologiske tiltak, hendelsesresponsplaner og opplæring av ansatte knyttet til reguleringen av Israel National Cyber ​​Directorate.

Les mer om denne casestudien: Spørsmål og svar: Tel Aviv Railway Project bakes i cyberforsvar

Relatert: Rail Cybersecurity er et komplekst miljø

World Govs, Tech Giants signerer Spyware Responsibility Pledge

Av Tara Seals, administrerende redaktør, Dark Reading

Frankrike, Storbritannia, USA og andre vil jobbe med et rammeverk for ansvarlig bruk av verktøy som NSO Groups Pegasus, og Shadowserver Foundation får en investering på 1 million pund.

Kommersiell spyware, som NSO Groups Pegasus, er vanligvis installert på iPhone eller Android-enheter og kan avlytte telefonsamtaler; avskjære meldinger; ta bilder med kameraene; eksfiltrere appdata, bilder og filer; og ta tale- og videoopptak. Verktøyene bruker vanligvis nulldagers utnyttelser for førstegangstilgang og selger for millioner av dollar, noe som betyr at deres målmarkedet har en tendens til å bestå av globale offentlige kunder og store kommersielle interesser.

Denne uken har en koalisjon av dusinvis av land inkludert Frankrike, Storbritannia og USA, sammen med teknologigiganter som Google, Meta, Microsoft og NCC Group, signert en felles avtale for å bekjempe bruken av kommersiell spionvare på måter. som bryter menneskerettighetene.

Storbritannias visestatsminister Oliver Dowden kunngjorde startskuddet for spyware-initiativet, kalt "Pall Mall Process", som vil være et "multi-stakeholder-initiativ ... for å takle spredningen og uansvarlig bruk av kommersielt tilgjengelige cyber-inntrengningsevner," forklarte han .

Mer spesifikt vil koalisjonen etablere retningslinjer for utvikling, salg, tilrettelegging, kjøp og bruk av denne typen verktøy og tjenester, inkludert å definere uansvarlig atferd og skape et rammeverk for transparent og ansvarlig bruk.

Finn ut hvorfor kommersielle spionprogrammer er viktige: World Govs, Tech Giants signerer Spyware Responsibility Pledge

Relatert: Pegasus Spyware retter seg mot det jordanske sivilsamfunnet i omfattende angrep

DoDs CMMC er startlinjen, ikke målstreken

Kommentar av Chris Petersen, medgründer og administrerende direktør, RADICL

Cybersecurity Maturity Model Certification (CMMC) og en herde, oppdage og reagere tankesett er nøkkelen til å beskytte forsvars- og kritisk infrastrukturselskaper.

Som trusselaktører liker Volt Typhoon fortsetter å målrette kritisk infrastruktur, kan det amerikanske forsvarsdepartementets Cybersecurity Maturity Model Certification (CMMC) snart bli et strengt håndhevet mandat.

Selskaper som oppnår overholdelse av CMMC (som har blitt justert til NIST 800-171 på "Avansert" sertifiseringsnivå) vil bli et vanskeligere mål, men ekte cybertrusselbeskyttelse og motstandskraft betyr å gå utover "sjekk-boksen" CMMC / NIST 800-171 samsvar. Det betyr å gå til «harden-detect-responder (HDR)»-operasjoner.

CMMC/NIST 800-171 gir de fleste HDR-funksjoner. Imidlertid kan et selskaps strenghet og dybde i å realisere dem utgjøre forskjellen mellom å forbli sårbar for fremskritt fra en nasjonalstats cybertrussel eller forbli beskyttet.

Her er de 7 kritiske HDR-praksisene: CMMC er startlinjen, ikke målstreken

Relatert: Hvordan 'Big 4' Nations' cyberkapasiteter truer Vesten

Hvorfor etterspørselen etter bordøvelser vokser

Av Grant Gross, medvirkende skribent, Dark Reading

Bordøvelser kan være en effektiv og rimelig måte å teste en organisasjons forsvars- og responsevne mot nettangrep.

Cybersikkerhetsøvelser kommer i mange former, men en av de minst kostbare og mest effektive er bordøvelser. Disse øvelsene går vanligvis i to til fire timer og kan koste mindre enn $50,000 XNUMX (noen ganger mye mindre), med mye av utgiftene knyttet til planlegging og tilrettelegging av arrangementet.

Den vanlige tilnærmingen til bordøvelser er gammeldags og lavteknologisk, men talsmenn sier at et veldrevet scenario kan avdekke hull i organisasjonenes reaksjons- og avbøtende planer. Og etterspørselen etter bordøvelser har vokst eksponentielt de siste to årene, drevet av overholdelsesproblemer, styredirektiver og cyberforsikringsmandater.

Faktisk kaller det ideelle organisasjonen Center for Internet Security bordplater "et must", og understreker at de hjelper organisasjoner med å bedre koordinere separate forretningsenheter som svar på et angrep og identifisere de ansatte som vil spille kritiske roller under og etter et angrep.

Les mer om hvordan du får mest mulig ut av bordøvelser: Hvorfor etterspørselen etter bordøvelser vokser

Relatert: Topp 6 feil i hendelsesrespons bordøvelser

Hvordan nevrodiversitet kan bidra til å fylle mangelen på arbeidsstyrke på nettsikkerhet

Kommentar av Dr. Jodi Asbell-Clarke, senior forskningsleder, TERC

Mange mennesker med ADHD, autisme, dysleksi og andre nevrodiverse tilstander bringer nye perspektiver som kan hjelpe organisasjoner med å løse cybersikkerhetsutfordringer.

ISC2, som sier global arbeidsstyrkegap er 3.4 millioner, går inn for at bedrifter skal rekruttere en mer mangfoldig befolkning, noe som mange tolker som å bety inkluderingsarbeid rundt rase og kjønn. Selv om det er avgjørende, er det et annet område å utvide til: Nevrodiversitet.

Mange topp STEM-selskaper, inkludert Microsoft, SAP og EY, har initiativer for nevromangfold. Mens de fleste ansettelsesprogrammer for nevromangfold opprinnelig fokuserte på autisme, utvider mange arbeidsgivere til å inkludere personer med oppmerksomhetssvikt/hyperaktivitetsforstyrrelse (ADHD), dysleksi og andre (noen ganger ikke-merkede) forskjeller.

Nevrodiversitet er et konkurransefortrinn: Noen mennesker med autisme utmerker seg for eksempel i detaljert mønstergjenkjenning og systematisk tenkning – perfekt for jobber som involverer overvåking og oppdagelse av sikkerhetsbrudd. ADHD og dysleksi er i mellomtiden assosiert med økt idégenerering og evnen til å se sammenhenger mellom nye ideer – verdifulle for å nærme seg problemer på nye og annerledes måter.

Et problem disse selskapene står overfor er ikke å finne nok nevrodivergent talent. Heldigvis finnes det strategier for å overvinne vanskeligheter med å avdekke disse personene.

Slik rekrutterer du talent for nevrodiversitet: Hvordan nevrodiversitet kan bidra til å fylle mangelen på arbeidsstyrke på nettsikkerhet

Relatert: Cyber ​​Employment 2024: Skyhøye forventninger svikter bedrifter og jobbsøkere

QR-koden «Quishing»-angrep på toppledere, unngår e-postsikkerhet

Av Robert Lemos, medvirkende skribent, Dark Reading

Bruken av QR-koder for å levere skadelige nyttelaster økte i Q4 2023, spesielt mot ledere, som så 42 ganger mer QR-kode-phishing enn gjennomsnittlig ansatt.

Cyberangripere omfavner QR-koder som en måte å spesifikt målrette mot ledere: I fjerde kvartal 2023 så den gjennomsnittlige topplederen i C-suiten 42 ganger flere phishing-angrep ved bruk av QR-koder sammenlignet med gjennomsnittlig ansatt.

Andre lederroller fikk også en økning i angrep, selv om de var betydelig mindre, med disse ikke-C-suite-lederne som møtte fem ganger flere QR-kodebaserte phishing-angrep, ifølge selskapets rapport.

Fokuset på de øverste lagene i en organisasjon kan være på grunn av effektiviteten av "quishing" for å komme forbi endepunktsforsvar, som kan være strengere på maskiner i høyere oppstilling. Fordi angripere skjuler phishing-lenken sin i et bilde, QR-kode phishing omgår brukermistanker og noen e-postsikkerhetsprodukter.

Mer enn en fjerdedel av QR-kodeangrepene (27 %) i 4. kvartal var falske meldinger om å slå på MFA, mens omtrent ett av fem angrep (21 %) var falske varsler om et delt dokument.

Hvordan sikkerhetsteam kan takle quishing: QR-koden «Quishing»-angrep på toppledere, unngår e-postsikkerhet

Relatert: QR Code Phishing-kampanje retter seg mot topp amerikanske energiselskaper

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/cybersecurity-operations/ciso-corner-dod-regs-neurodiverse-talent-tel-aviv-light-rail