Kącik CISO: Operacjonalizacja NIST CSF 2.0; Modele AI wpadają w amok

Witamy w CISO Corner, cotygodniowym podsumowaniu artykułów Dark Reading dostosowanych specjalnie do czytelników zajmujących się bezpieczeństwem i liderów bezpieczeństwa. Co tydzień będziemy udostępniać artykuły z naszych serwisów informacyjnych, The Edge, DR Technology, DR Global oraz z naszej sekcji komentarzy. Zależy nam na zapewnieniu różnorodnego zestawu perspektyw wspierających operacjonalizację strategii cyberbezpieczeństwa dla liderów w organizacjach wszelkich kształtów i rozmiarów.

W tym przypadku:

Ramy cyberbezpieczeństwa NIST 2.0: 4 kroki, aby rozpocząć

Robert Lemos, współautor książki Dark Reading

Narodowy Instytut Standardów i Technologii (NIST) zrewidował książkę na temat tworzenia kompleksowego programu cyberbezpieczeństwa, którego celem jest pomaganie organizacjom każdej wielkości w zwiększaniu bezpieczeństwa. Oto, od czego zacząć wprowadzanie zmian w życie.

Uruchomienie najnowszej wersji Ram Cyberbezpieczeństwa (CSF) NIST, wydanej w tym tygodniu, może oznaczać znaczące zmiany w programach cyberbezpieczeństwa.

Na przykład dostępna jest zupełnie nowa funkcja „Zarządzanie”, która zapewnia większy nadzór kadry kierowniczej i zarządu nad cyberbezpieczeństwem, a także rozszerza najlepsze praktyki w zakresie bezpieczeństwa, wykraczające poza te dotyczące branż krytycznych. Podsumowując, zespoły ds. cyberbezpieczeństwa będą miały trochę pracy i będą musiały dokładnie przyjrzeć się istniejącym ocenom, zidentyfikowanym lukom i działaniom zaradczym, aby określić wpływ zmian ramowych.

Na szczęście nasze wskazówki dotyczące operacjonalizacji najnowszej wersji Ram Cyberbezpieczeństwa NIST mogą pomóc wskazać drogę naprzód. Obejmują one wykorzystanie wszystkich zasobów NIST (CSF to nie tylko dokument, ale zbiór zasobów, z których firmy mogą skorzystać, aby zastosować ramy do swojego specyficznego środowiska i wymagań); zasiadanie do kadry kierowniczej w celu omówienia funkcji „Zarządzania”; pakowanie w bezpieczeństwo łańcucha dostaw; oraz potwierdzenie, że usługi doradcze i produkty do zarządzania stanem cyberbezpieczeństwa zostały ponownie ocenione i zaktualizowane w celu obsługi najnowszej wersji CSF.

Czytaj więcej: Ramy cyberbezpieczeństwa NIST 2.0: 4 kroki, aby rozpocząć

Związane z: Rząd USA zwiększa rolę w bezpieczeństwie oprogramowania

Apple, debiut sygnału w zakresie szyfrowania kwantowo-odpornego, ale pojawiają się wyzwania

Autor: Jai Vijayan, współautor książki Dark Reading

PQ3 firmy Apple do zabezpieczania iMessage i PQXH firmy Signal pokazują, jak organizacje przygotowują się na przyszłość, w której protokoły szyfrowania będą wykładniczo trudniejsze do złamania.

W miarę jak komputery kwantowe dojrzewają i dają przeciwnikom banalnie łatwy sposób na złamanie nawet najbezpieczniejszych obecnych protokołów szyfrowania, organizacje muszą już teraz podjąć działania, aby chronić komunikację i dane.

W tym celu nowy protokół kryptografii postkwantowej (PQC) firmy Apple do zabezpieczania komunikacji iMessage oraz podobny protokół szyfrowania wprowadzony przez Signal w zeszłym roku, nazwany PQXDH, są odporne na kwanty, co oznacza, że ​​mogą – przynajmniej teoretycznie – wytrzymać ataki kwantowe komputery próbują je złamać.

Jednak w organizacjach przejście na takie rozwiązania jak PQC będzie długie, skomplikowane i prawdopodobnie bolesne. Obecne mechanizmy w dużym stopniu zależne od infrastruktury klucza publicznego będą wymagały ponownej oceny i dostosowania w celu zintegrowania algorytmów odpornych na kwanty. I migracja do szyfrowania postkwantowego wprowadza nowy zestaw wyzwań związanych z zarządzaniem dla zespołów IT, technologii i bezpieczeństwa w przedsiębiorstwie, analogicznie do poprzednich migracji, takich jak TLS 1.2 do 1.3 i IPv4 do v6, które trwały dziesięciolecia.

Czytaj więcej: Apple, debiut sygnału w zakresie szyfrowania kwantowo-odpornego, ale pojawiają się wyzwania

Związane z: Złamanie słabej kryptografii, zanim zrobią to obliczenia kwantowe

IJest 10:XNUMX. Czy wiesz, gdzie są dziś wieczorem Twoje modele AI?

Ericka Chickowski, autorka współpracująca z Dark Reading

Brak widoczności i bezpieczeństwa modelu sztucznej inteligencji sprawia, że ​​bezpieczeństwo łańcucha dostaw oprogramowania staje się problemem.

Jeśli uważasz, że problem bezpieczeństwa łańcucha dostaw oprogramowania był dziś wystarczająco trudny, zapnij pasy. Gwałtowny wzrost wykorzystania sztucznej inteligencji wkrótce sprawi, że kwestie związane z łańcuchem dostaw będą wykładniczo trudniejsze do rozwiązania w nadchodzących latach.

Modele sztucznej inteligencji/uczenia maszynowego stanowią podstawę zdolności systemu sztucznej inteligencji do rozpoznawania wzorców, dokonywania prognoz, podejmowania decyzji, wyzwalania działań lub tworzenia treści. Ale prawda jest taka, że ​​większość organizacji nawet nie wie, jak zacząć zyskiwać wgląd we wszystkie wbudowane modele sztucznej inteligencji w ich oprogramowaniu.

Przede wszystkim modele i otaczająca je infrastruktura są zbudowane inaczej niż inne składniki oprogramowania, a tradycyjne narzędzia zabezpieczające i programowe nie są tworzone w celu skanowania lub zrozumienia, jak działają modele sztucznej inteligencji ani jakie są ich wady.

„Model z założenia jest samowykonującym się fragmentem kodu. Ma pewną swobodę działania” – mówi Daryan Dehghanpisheh, współzałożyciel Protect AI. „Gdybym ci powiedział, że w całej infrastrukturze masz zasoby, których nie widzisz, nie możesz zidentyfikować, nie wiesz, co zawierają, nie wiesz, jaki jest kod, i one się samowykonują i wykonywać połączenia zewnętrzne, to brzmi podejrzanie jak wirus uprawnień, prawda?”

Czytaj więcej: Jest 10:XNUMX. Czy wiesz, gdzie są dziś wieczorem Twoje modele AI?

Związane z: Platforma AI Hugging Face pełna 100 modeli wykonywania złośliwego kodu

Organizacje grożą poważnymi karami SEC za nieujawnianie naruszeń

Autor: Robert Lemos, współautor

W obliczu koszmaru związanego z egzekwowaniem prawa na firmy, które nie zastosują się do nowych przepisów SEC dotyczących ujawniania naruszeń danych, czekają potencjalnie wielomilionowe kary, szkody dla reputacji, pozwy akcjonariuszy i inne kary.

Firmom i ich CISO mogą grozić kary od setek tysięcy do milionów dolarów grzywien i innych kar nałożonych przez amerykańską Komisję Papierów Wartościowych i Giełd (SEC), jeśli nie przejdą procesów ujawniania cyberbezpieczeństwa i naruszeń danych w celu zapewnienia zgodności z nowymi przepisami, które weszły w życie.

Przepisy SEC nie mają sobie równych: Komisja może wydać stały nakaz nakazujący oskarżonemu zaprzestanie postępowania w samym sercu sprawy, nakazać zwrot nieuczciwie uzyskanych zysków lub zastosować trzy poziomy rosnących kar, które mogą skutkować astronomicznymi karami finansowymi .

Być może najbardziej niepokojące dla CISO to osobista odpowiedzialność, przed którą stoją obecnie dla wielu obszarów działalności biznesowej, za które w przeszłości nie byli odpowiedzialni. Tylko połowa CISO (54%) jest pewna, że ​​jest w stanie zastosować się do orzeczenia SEC.

Wszystko to prowadzi do szerokiego przemyślenia na nowo roli CISO i dodatkowych kosztów dla przedsiębiorstw.

Czytaj więcej: Organizacje grożą poważnymi karami SEC za nieujawnianie naruszeń

Związane z: Co firmy i CISO powinni wiedzieć o rosnących zagrożeniach prawnych

Rozporządzenie dotyczące biometrii nabiera tempa, zwiastując problemy związane z przestrzeganiem przepisów

David Strom, współautor książki Dark Reading

Rosnący gąszcz przepisów dotyczących prywatności regulujących dane biometryczne ma na celu ochronę konsumentów w obliczu coraz częstszych naruszeń rozwiązań chmurowych i fałszywych fałszywych informacji tworzonych przez sztuczną inteligencję. Jednak w przypadku firm przetwarzających dane biometryczne zachowanie zgodności jest łatwiejsze do powiedzenia, niż do zrobienia.

Obawy dotyczące prywatności biometrycznej nasilają się dzięki rosnącemu wzrostowi zagrożenia typu deepfake oparte na sztucznej inteligencji (AI)., rosnące wykorzystanie biometrii przez przedsiębiorstwa, przewidywane nowe przepisy dotyczące prywatności na poziomie stanowym oraz nowe zarządzenie wykonawcze wydane w tym tygodniu przez prezydenta Bidena, które obejmuje biometryczną ochronę prywatności.

Oznacza to, że przedsiębiorstwa muszą bardziej patrzeć w przyszłość, przewidywać i rozumieć ryzyko, aby zbudować odpowiednią infrastrukturę do śledzenia i wykorzystywania treści biometrycznych. Natomiast podmioty prowadzące działalność gospodarczą na szczeblu krajowym będą musiały dokonać audytu swoich procedur ochrony danych pod kątem zgodności z mozaiką przepisów, w tym dowiedzieć się, w jaki sposób uzyskują zgodę konsumentów lub umożliwiają konsumentom ograniczenie wykorzystania takich danych i upewnić się, że odpowiadają one różnym subtelnościom przepisów.

Czytaj więcej: Rozporządzenie dotyczące biometrii nabiera tempa, zwiastując problemy związane z przestrzeganiem przepisów

Związane z: Wybierz najlepsze uwierzytelnianie biometryczne dla swojego przypadku użycia

DR Global: „Iluzoryczna” irańska grupa hakerska wpada w sidła izraelskich, Zjednoczonych Emiratów Arabskich firm z branży lotniczej i obronnej

Robert Lemos, współautor książki Dark Reading

UNC1549, znany również jako Smoke Sandstorm i Tortoiseshell, wydaje się być sprawcą kampanii cyberataków dostosowanej do każdej docelowej organizacji.

Irańska grupa zagrażająca UNC1549 – znana również jako Smoke Sandstorm i Tortoiseshell – atakuje przemysł lotniczy i kosmiczny firm obronnych w Izraelu, Zjednoczone Emiraty Arabskie i inne kraje większego Bliskiego Wschodu.

Warto zauważyć, że w przypadku dostosowanego do potrzeb zatrudnienia spear-phishingu i wykorzystania infrastruktury chmury do wydawania poleceń i kontroli atak może być trudny do wykrycia, mówi Jonathan Leathery, główny analityk Mandiant w Google Cloud.

„Najbardziej godne uwagi jest to, jak iluzoryczne może być wykrycie i śledzenie tego zagrożenia – bez wątpienia mają oni dostęp do znacznych zasobów i wybierają cele selektywnie” – mówi. „Prawdopodobnie istnieje więcej aktywności tego aktora, które nie zostały jeszcze odkryte, a jeszcze mniej informacji na temat jego działania po naruszeniu celu”.

Czytaj więcej: „Iluzoryczna” irańska grupa hakerska usidla izraelskie, Zjednoczone Emiraty Arabskie firmy z branży lotniczej i obronnej

Związane z: Chiny uruchamiają nowy plan cyberobrony dla sieci przemysłowych

MITER wprowadza 4 zupełnie nowe CWE dla błędów bezpieczeństwa mikroprocesora

Autor: Jai Vijayan, współautor książki Dark Reading

Celem jest umożliwienie projektantom chipów i specjalistom ds. bezpieczeństwa w dziedzinie półprzewodników lepszego zrozumienia głównych wad mikroprocesorów, takich jak Meltdown i Spectre.

Wraz ze wzrostem liczby exploitów kanału bocznego atakujących zasoby procesora, prowadzony przez MITRE program Common Weakness Enumeration (CWE) dodał cztery nowe słabe punkty związane z mikroprocesorem do swojej listy typowych typów luk w oprogramowaniu i sprzęcie.

CWE są wynikiem współpracy firm Intel, AMD, Arm, Riscure i Cycuity i zapewniają projektantom procesorów i specjalistom ds. bezpieczeństwa w dziedzinie półprzewodników wspólny język do omawiania słabych punktów w nowoczesnych architekturach mikroprocesorów.

Cztery nowe CWE to CWE-1420, CWE-1421, CWE-1422 i CWE-1423.

CWE-1420 dotyczy ujawniania poufnych informacji podczas wykonywania przejściowego lub spekulacyjnego — jest to powiązana z funkcją optymalizacji sprzętu Meltdown and Spectre — i jest „rodzicem” trzech pozostałych CWE.

CWE-1421 ma związek z wyciekami wrażliwych informacji we współdzielonych strukturach mikroarchitektonicznych podczas wykonywania przejściowego; CWE-1422 rozwiązuje problem wycieków danych związanych z nieprawidłowym przesyłaniem danych podczas wykonywania przejściowego. CWE-1423 analizuje ekspozycję danych związaną z określonym stanem wewnętrznym mikroprocesora.

Czytaj więcej: MITER wprowadza 4 zupełnie nowe CWE dla błędów bezpieczeństwa mikroprocesora

Związane z: MITRE wdraża prototyp bezpieczeństwa łańcucha dostaw

Zbieżne przepisy państwowe dotyczące prywatności i pojawiające się wyzwania związane ze sztuczną inteligencją

Komentarz Jasona Eddingera, starszego konsultanta ds. bezpieczeństwa w dziale ochrony danych w firmie GuidePoint Security

Nadszedł czas, aby firmy przyjrzały się temu, co przetwarzają, jakie rodzaje ryzyka ponoszą i jak planują je ograniczyć.

W 2023 r. osiem stanów USA przyjęło przepisy dotyczące prywatności danych, a w 2024 r. przepisy wejdą w życie w czterech, więc firmy muszą usiąść i dokładnie przyjrzeć się przetwarzanym danym, jakie rodzaje ryzyka ponoszą i jak sobie z nimi radzić. ryzyko oraz plany mające na celu złagodzenie zidentyfikowanego ryzyka. Wprowadzenie sztucznej inteligencji utrudni to zadanie.

Kiedy przedsiębiorstwa opracowują strategię mającą na celu zapewnienie zgodności ze wszystkimi nowymi przepisami, warto zauważyć, że chociaż przepisy te są pod wieloma względami zbieżne, wykazują również niuanse specyficzne dla poszczególnych stanów.

Firmy powinny spodziewać się wielu takich wydarzeń pojawiające się trendy w zakresie ochrony danych w tym roku, w tym:

Czytaj więcej: Zbieżne przepisy państwowe dotyczące prywatności i pojawiające się wyzwania związane ze sztuczną inteligencją

Związane z: Prywatność przewyższa oprogramowanie ransomware jako główny problem ubezpieczeniowy

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok