CISO Corner: Operaționalizarea NIST CSF 2.0; Modelele AI Run Amok

Bine ați venit la CISO Corner, rezumatul săptămânal al articolelor realizate de Dark Reading, concepute special pentru cititorii operațiunilor de securitate și liderii de securitate. În fiecare săptămână, vom oferi articole culese din operațiunile noastre de știri, The Edge, DR Technology, DR Global și secțiunea noastră de comentarii. Ne angajăm să vă oferim un set divers de perspective pentru a sprijini munca de operaționalizare a strategiilor de securitate cibernetică, pentru liderii organizațiilor de toate formele și dimensiunile.

În această problemă:

Cadrul de securitate cibernetică NIST 2.0: 4 pași pentru a începe

De Robert Lemos, scriitor colaborator, Dark Reading

Institutul Național de Standarde și Tehnologie (NIST) a revizuit cartea despre crearea unui program cuprinzător de securitate cibernetică care își propune să ajute organizațiile de orice dimensiune să fie mai sigure. Iată de unde să începeți să puneți modificările în acțiune.

Operaționalizarea celei mai recente versiuni a Cadrului de securitate cibernetică (CSF) al NIST, lansată în această săptămână, ar putea însemna modificări semnificative ale programelor de securitate cibernetică.

De exemplu, există o nouă funcție „Govern” pentru a încorpora o mai bună supraveghere a securității cibernetice a executivului și a consiliului de administrație și se extinde cele mai bune practici de securitate dincolo de cele pentru industriile critice. În total, echipele de securitate cibernetică vor avea nevoie de munca lor și vor trebui să analizeze cu atenție evaluările existente, lacunele identificate și activitățile de remediere pentru a determina impactul modificărilor cadrului.

Din fericire, sfaturile noastre pentru operaționalizarea celei mai recente versiuni a NIST Cybersecurity Framework pot ajuta la indicarea drumului de urmat. Acestea includ utilizarea tuturor resurselor NIST (CSF nu este doar un document, ci o colecție de resurse pe care companiile le pot folosi pentru a aplica cadrul la mediul și cerințele lor specifice); a se așeza cu C-suite pentru a discuta despre funcția „Govern”; ambalarea în securitatea lanțului de aprovizionare; și confirmarea faptului că serviciile de consultanță și produsele de management al posturii securității cibernetice sunt reevaluate și actualizate pentru a sprijini cel mai recent CSF.

Citeşte mai mult: Cadrul de securitate cibernetică NIST 2.0: 4 pași pentru a începe

Related: Guvernul SUA își extinde rolul în securitatea software-ului

Apple, Signal debutează cu criptare rezistentă la cuantum, dar provocările apar

De Jai Vijayan, scriitor care contribuie, Lectură întunecată

PQ3 de la Apple pentru securizarea iMessage și PQXH de la Signal arată modul în care organizațiile se pregătesc pentru un viitor în care protocoalele de criptare trebuie să fie exponențial mai greu de spart.

Pe măsură ce computerele cuantice se maturizează și oferă adversarilor o modalitate trivial de ușoară de a deschide chiar și cele mai sigure protocoale de criptare actuale, organizațiile trebuie să se miște acum pentru a proteja comunicațiile și datele.

În acest scop, noul protocol de criptare post-cuantică (PQC) al Apple PQ3 pentru securizarea comunicațiilor iMessage și un protocol de criptare similar pe care Signal l-a introdus anul trecut, numit PQXDH, sunt rezistente la cuantum, ceea ce înseamnă că pot – cel puțin teoretic – să reziste atacurilor cuantice. computere care încearcă să le spargă.

Dar pentru organizații, trecerea la lucruri precum PQC va fi lungă, complicată și probabil dureroasă. Mecanismele actuale care se bazează în mare măsură pe infrastructurile de cheie publică vor necesita reevaluare și adaptare pentru a integra algoritmi rezistenți la cuanți. Si migrarea la criptarea post-cuantică introduce un nou set de provocări de management pentru echipele IT, tehnologice și de securitate ale întreprinderilor, care sunt paralele cu migrațiile anterioare, cum ar fi de la TLS1.2 la 1.3 și ipv4 la v6, ambele au durat decenii.

Citeşte mai mult: Apple, Signal debutează cu criptare rezistentă la cuantum, dar provocările apar

Related: Scurgerea criptografiei slabe înainte ca calculul cuantic să o facă

Ila ora 10:XNUMX Știți unde sunt modelele dvs. AI în seara asta?

De Ericka Chickowski, scriitor colaborator, Dark Reading

Lipsa de vizibilitate și securitate a modelului AI pune problema de securitate a lanțului de aprovizionare a software-ului pe steroizi.

Dacă ați crezut că problema securității lanțului de aprovizionare cu software-ul este destul de dificilă astăzi, legați-vă. Creșterea explozivă a utilizării AI este pe cale să facă aceste probleme ale lanțului de aprovizionare exponențial mai greu de abordat în anii următori.

Modelele de AI/învățare automată oferă baza capacității unui sistem AI de a recunoaște tipare, de a face predicții, de a lua decizii, de a declanșa acțiuni sau de a crea conținut. Dar adevărul este că majoritatea organizațiilor nici măcar nu știu cum să înceapă să câștige vizibilitate asupra tuturor modelelor AI încorporate în software-ul lor.

Pentru a porni, modelele și infrastructura din jurul lor sunt construite diferit față de alte componente software, iar instrumentele tradiționale de securitate și software nu sunt create pentru a scana sau pentru a înțelege cum funcționează modelele AI sau cum sunt defecte.

„Un model, prin design, este o bucată de cod care se execută automat. Are o anumită agenție”, spune Daryan Dehghanpisheh, co-fondatorul Protect AI. „Dacă ți-aș spune că ai active în întreaga infrastructură pe care nu le poți vedea, nu le poți identifica, nu știi ce conțin, nu știi ce este codul și se auto-execută și ai apeluri din exterior, asta sună suspect ca un virus cu permisiuni, nu-i așa?

Citeşte mai mult: Este ora 10:XNUMX Știi unde sunt modelele tale AI în seara asta?

Related: Platformă AI Hugging Face plină de 100 de modele de execuție de cod rău intenționat

Organizațiile se confruntă cu sancțiuni SEC majore pentru că nu dezvăluie încălcări

De Robert Lemos, scriitor colaborator

În ceea ce ar putea fi un coșmar de aplicare, potențial milioane de dolari în amenzi, daune reputației, procese ale acționarilor și alte penalități așteaptă companiile care nu respectă noile reguli de divulgare a încălcării datelor ale SEC.

Companiile și CISO-urile lor s-ar putea confrunta cu amenzi și alte amenzi de la sute de mii la milioane de dolari din partea Comisiei pentru Valori Mobiliare și Burse (SEC) din SUA, dacă nu obțin procesele lor de securitate cibernetică și de dezvăluire a încălcării datelor pentru a se conforma. cu noile reguli care au intrat acum în vigoare.

Reglementările SEC au dinți: Comisia poate emite o ordonanță permanentă prin care să-i ordone inculpatului să înceteze comportamentul în centrul cazului, să dispună rambursarea câștigurilor obținute necorespunzător sau să pună în aplicare trei niveluri de pedepse crescătoare care pot duce la amenzi astronomice. .

Poate cel mai îngrijorător pentru CISO este răspunderea personală cu care se confruntă acum pentru multe domenii ale operațiunilor comerciale pentru care istoric nu au avut responsabilitate. Doar jumătate dintre CISO (54%) sunt încrezători în capacitatea lor de a se conforma hotărârii SEC.

Toate acestea duc la o regândire amplă a rolului CISO și la costuri suplimentare pentru afaceri.

Citeşte mai mult: Organizațiile se confruntă cu sancțiuni SEC majore pentru că nu dezvăluie încălcări

Related: Ce ar trebui să știe companiile și CISO despre creșterea amenințărilor legale

Reglementarea biometrică se încălzește, prevestind dureri de cap conformității

De David Strom, scriitor colaborator, Dark Reading

O grămadă tot mai mare de legi privind confidențialitatea care reglementează biometria are ca scop protejarea consumatorilor pe fondul încălcărilor din ce în ce mai mari în cloud și a deepfake-urilor create de AI. Dar pentru companiile care se ocupă de date biometrice, este mai ușor de spus decât de făcut.

Preocupările privind confidențialitatea biometrică se încălzesc, datorită creșterii amenințări deepfake bazate pe inteligența artificială (AI)., utilizarea biometrică în creștere de către întreprinderi, a anticipat o nouă legislație privind confidențialitatea la nivel de stat și un nou ordin executiv emis de președintele Biden în această săptămână, care include protecția biometrică a confidențialității.

Aceasta înseamnă că întreprinderile trebuie să fie mai perspicace și să anticipeze și să înțeleagă riscurile pentru a construi infrastructura adecvată pentru a urmări și utiliza conținutul biometric. Iar cei care desfășoară afaceri la nivel național vor trebui să își auditeze procedurile de protecție a datelor pentru conformitatea cu un mozaic de reglementare, inclusiv să înțeleagă modul în care obțin consimțământul consumatorilor sau le permit consumatorilor să restricționeze utilizarea acestor date și să se asigure că se potrivesc cu diferitele subtilități ale reglementărilor.

Citeşte mai mult: Reglementarea biometrică se încălzește, prevestind dureri de cap conformității

Related: Alegeți cea mai bună autentificare biometrică pentru cazul dvs. de utilizare

DR Global: Grupul „iluzitor” iranian de hacking captează firmele israeliene, aerospațiale și de apărare din Emiratele Arabe Unite

De Robert Lemos, scriitor colaborator, Dark Reading

UNC1549, alias Smoke Sandstorm și Tortoiseshell, pare a fi vinovatul din spatele unei campanii de atac cibernetic personalizat pentru fiecare organizație vizată.

Grupul iranian de amenințare UNC1549 – cunoscut și sub numele de Smoke Sandstorm și Tortoiseshell – urmărește industria aerospațială și firme de apărare din Israel, Emiratele Arabe Unite și alte țări din Orientul Mijlociu.

În special, între spear-phishing-ul personalizat centrat pe angajare și utilizarea infrastructurii cloud pentru comandă și control, atacul poate fi dificil de detectat, spune Jonathan Leathery, analist principal pentru Google Cloud's Mandiant.

„Cea mai notabilă parte este cât de iluzorie poate fi această amenințare pentru a descoperi și urmări – ei au în mod clar acces la resurse semnificative și sunt selectivi în direcționarea lor”, spune el. „Este probabil mai multă activitate din partea acestui actor care nu a fost încă descoperită și există și mai puține informații despre modul în care funcționează odată ce au compromis o țintă.”

Citeşte mai mult: Grupul „iluzitor” iranian de hacking captează firmele israeliene, aerospațiale și de apărare din Emiratele Arabe Unite

Related: China lansează un nou plan de apărare cibernetică pentru rețelele industriale

MITRE lansează 4 CWE-uri noi pentru erorile de securitate ale microprocesoarelor

De Jai Vijayan, scriitor care contribuie, Lectură întunecată

Scopul este de a oferi designerilor de cipuri și practicienilor în securitate din spațiul semiconductorilor o mai bună înțelegere a defectelor majore ale microprocesoarelor, cum ar fi Meltdown și Spectre.

Având în vedere un număr tot mai mare de exploit-uri pe canale laterale care vizează resursele CPU, programul Common Weakness Enumeration (CWE) condus de MITRE a adăugat patru noi puncte slabe legate de microprocesor la lista sa de tipuri comune de vulnerabilități software și hardware.

CWE-urile sunt rezultatul unui efort de colaborare între Intel, AMD, Arm, Riscure și Cycuity și oferă designerilor de procesoare și specialiștilor în securitate din spațiul semiconductorilor un limbaj comun pentru a discuta punctele slabe ale arhitecturilor moderne de microprocesoare.

Cele patru noi CWE sunt CWE-1420, CWE-1421, CWE-1422 și CWE-1423.

CWE-1420 se referă la expunerea informațiilor sensibile în timpul execuției tranzitorii sau speculative - funcția de optimizare hardware asociată cu Meltdown și Spectre — și este „părintele” celorlalți trei CWE.

CWE-1421 are de-a face cu scurgerile de informații sensibile în structurile microarhitecturale partajate în timpul execuției tranzitorii; CWE-1422 abordează scurgerile de date legate de transmiterea incorectă a datelor în timpul execuției tranzitorii. CWE-1423 analizează expunerea datelor legate de o anumită stare internă a unui microprocesor.

Citeşte mai mult: MITRE lansează 4 CWE-uri noi pentru erorile de securitate ale microprocesoarelor

Related: MITRE lansează un prototip de securitate a lanțului de aprovizionare

Legile convergente ale statului privind confidențialitatea și provocarea emergentă a inteligenței artificiale

Comentariu de Jason Eddinger, consultant senior de securitate, confidențialitatea datelor, GuidePoint Security

Este timpul ca companiile să analizeze ce procesează, ce tipuri de risc au și cum plănuiesc să atenueze acest risc.

Opt state din SUA au adoptat legislația privind confidențialitatea datelor în 2023, iar în 2024, legile vor intra în vigoare în patru, așa că companiile trebuie să se oprească și să analizeze în profunzime datele pe care le prelucrează, ce tipuri de risc au, cum să gestioneze acest lucru. riscul și planurile lor de atenuare a riscului pe care l-au identificat. Adoptarea IA va face acest lucru mai greu.

Pe măsură ce întreprinderile elaborează o strategie pentru a se conforma tuturor acestor noi reglementări care există, merită remarcat faptul că, deși aceste legi se aliniază în multe privințe, ele prezintă, de asemenea, nuanțe specifice statului.

Companiile ar trebui să se aștepte să vadă multe tendințe emergente în materie de confidențialitate a datelor anul acesta, inclusiv:

Citeşte mai mult: Legile convergente ale statului privind confidențialitatea și provocarea emergentă a inteligenței artificiale

Related: Confidențialitatea depășește ransomware-ul ca principală preocupare în materie de asigurări

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok