Добро пожаловать в CISO Corner, еженедельный дайджест статей Dark Reading, специально предназначенный для читателей, занимающихся вопросами безопасности, и руководителей служб безопасности. Каждую неделю мы будем предлагать статьи, собранные из наших новостей, The Edge, DR Technology, DR Global и нашего раздела комментариев. Мы стремимся предоставить вам разнообразные точки зрения для поддержки работы по реализации стратегий кибербезопасности для руководителей организаций всех форм и размеров.
В этом выпуске:
-
NIST Cybersecurity Framework 2.0: 4 шага для начала работы
-
Apple и Signal дебютируют с квантово-устойчивым шифрованием, но надвигаются проблемы
-
Сейчас 10:XNUMX. Знаете ли вы, где сегодня вечером ваши модели искусственного интеллекта?
-
Организациям грозят серьезные штрафы SEC за нераскрытие информации о нарушениях
-
Регулирование биометрии становится все более жарким, что грозит головными болями в соблюдении требований
-
DR Global: «Призрачная» иранская хакерская группа ловит в ловушку аэрокосмические и оборонные фирмы Израиля и ОАЭ
-
MITRE представляет 4 совершенно новых CWE для устранения ошибок безопасности микропроцессоров
-
Сближение государственных законов о конфиденциальности и новые проблемы искусственного интеллекта
NIST Cybersecurity Framework 2.0: 4 шага для начала работы
Роберт Лемос, автор статей, Dark Reading
Национальный институт стандартов и технологий (NIST) пересмотрел книгу о создании комплексной программы кибербезопасности, призванной помочь организациям любого размера стать более безопасными. Вот с чего начать воплощать изменения в жизнь.
Введение в действие последней версии NIST Cybersecurity Framework (CSF), выпущенной на этой неделе, может означать существенные изменения в программах кибербезопасности.
Например, появилась совершенно новая функция «Управление», которая обеспечивает более строгий надзор за кибербезопасностью со стороны исполнительной власти и совета директоров, и она расширяет возможности лучшие практики обеспечения безопасности, помимо тех, что применяются в критически важных отраслях. В целом, командам по кибербезопасности придется много работать, и им придется внимательно изучить существующие оценки, выявленные пробелы и действия по исправлению, чтобы определить влияние изменений в системе.
К счастью, наши советы по внедрению последней версии NIST Cybersecurity Framework могут помочь указать путь вперед. Они включают в себя использование всех ресурсов NIST (CSF — это не просто документ, а набор ресурсов, которые компании могут использовать для применения структуры к своей конкретной среде и требованиям); встреча с высшим руководством для обсуждения функции «управления»; обеспечение безопасности цепочки поставок; и подтверждение того, что консалтинговые услуги и продукты для управления состоянием кибербезопасности переоценены и обновлены для поддержки новейшей версии CSF.
Прочитайте больше: NIST Cybersecurity Framework 2.0: 4 шага для начала работы
Связанный: Правительство США расширяет роль в обеспечении безопасности программного обеспечения
Apple и Signal дебютируют с квантово-устойчивым шифрованием, но надвигаются проблемы
Джай Виджаян, автор статей, Dark Reading
PQ3 от Apple для обеспечения безопасности iMessage и PQXH от Signal показывают, как организации готовятся к будущему, в котором протоколы шифрования будут взломать в геометрической прогрессии.
По мере того, как квантовые компьютеры развиваются и предоставляют злоумышленникам тривиально простой способ взломать даже самые безопасные современные протоколы шифрования, организациям необходимо уже сейчас принимать меры для защиты коммуникаций и данных.
С этой целью новый протокол постквантовой криптографии (PQC) Apple PQ3 для защиты связи iMessage и аналогичный протокол шифрования, который Signal представила в прошлом году, под названием PQXDH, являются квантовоустойчивыми, то есть они могут — по крайней мере теоретически — противостоять квантовым атакам. компьютеры пытаются их взломать.
Но для организаций переход к таким вещам, как PQC, будет долгим, сложным и, вероятно, болезненным. Существующие механизмы, в значительной степени зависящие от инфраструктуры открытых ключей, потребуют переоценки и адаптации для интеграции квантовоустойчивых алгоритмов. И переход на постквантовое шифрование представляет новый набор задач управления для групп корпоративных ИТ, технологий и безопасности, который аналогичен предыдущим переходам, например, с TLS1.2 на 1.3 и с ipv4 на v6, оба из которых заняли десятилетия.
Прочитайте больше: Apple и Signal дебютируют с квантово-устойчивым шифрованием, но надвигаются проблемы
Связанный: Взлом слабой криптографии до того, как это сделают квантовые вычисления
IСейчас 10:XNUMX. Знаете ли вы, где сегодня вечером ваши модели искусственного интеллекта?
Эрика Чиковски, автор статей, Dark Reading
Отсутствие прозрачности и безопасности модели ИИ ставит проблему безопасности цепочки поставок программного обеспечения на стероиды.
Если вы считаете, что проблема безопасности цепочки поставок программного обеспечения сегодня достаточно сложна, пристегнитесь. Взрывной рост использования искусственного интеллекта в ближайшие годы сделает решение этих проблем в цепочке поставок экспоненциально труднее.
Модели искусственного интеллекта/машинного обучения обеспечивают основу для способности системы искусственного интеллекта распознавать закономерности, делать прогнозы, принимать решения, запускать действия или создавать контент. Но правда в том, что большинство организаций даже не знают, как начать получать прибыль. видимость всех встроенных моделей искусственного интеллекта в их программном обеспечении.
Кроме того, модели и инфраструктура вокруг них построены иначе, чем другие программные компоненты, а традиционные инструменты безопасности и программного обеспечения не предназначены для сканирования или понимания того, как работают модели ИИ или в чем их недостатки.
«Модель по своей сути представляет собой самоисполняющийся фрагмент кода. У него есть определенная свобода действий», — говорит Дарьян Дехганпише, соучредитель Protect AI. «Если бы я сказал вам, что во всей вашей инфраструктуре есть активы, которые вы не можете видеть, не можете идентифицировать, вы не знаете, что они содержат, вы не знаете, что это за код, и они самоисполняются и у вас есть внешние звонки, это подозрительно похоже на вирус разрешений, не так ли?
Прочитайте больше: Сейчас 10:XNUMX. Знаете ли вы, где сегодня вечером ваши модели искусственного интеллекта?
Связанный: Платформа искусственного интеллекта Hugging Face пронизана 100 моделями выполнения вредоносного кода
Организациям грозят серьезные штрафы SEC за нераскрытие информации о нарушениях
Роберт Лемос, писатель
Компании, которые не соблюдают новые правила SEC по раскрытию информации о утечке данных, могут столкнуться с кошмаром правоприменения: потенциально миллионы долларов штрафов, репутационный ущерб, судебные иски акционеров и другие штрафы ждут компании.
Компании и их директора по информационной безопасности могут столкнуться со штрафами и другими санкциями от сотен тысяч до миллионов долларов со стороны Комиссии по ценным бумагам и биржам США (SEC), если они не будут соблюдать свои процессы кибербезопасности и раскрытия информации о утечке данных. с новыми правилами, которые уже вступили в силу.
У регуляторов SEC есть зубы: комиссия может вынести постоянный запрет, предписывающий ответчику прекратить действия, лежащие в основе дела, распорядиться о возврате доходов, полученных незаконным путем, или ввести три уровня возрастающих наказаний, которые могут привести к астрономическим штрафам. .
Возможно, наиболее тревожным для Директора по информационной безопасности — это личная ответственность, с которой они теперь сталкиваются для многих областей деловой деятельности, за которые они исторически не несли ответственности. Только половина директоров по информационной безопасности (54%) уверены в своей способности выполнить решение SEC.
Все это ведет к широкому переосмыслению роли директора по информационной безопасности и дополнительным затратам для бизнеса.
Прочитайте больше: Организациям грозят серьезные штрафы SEC за нераскрытие информации о нарушениях
Связанный: Что компании и директора по информационной безопасности должны знать о растущих юридических угрозах
Регулирование биометрии становится все более жарким, что грозит головными болями в соблюдении требований
Дэвид Стром, автор статей, Dark Reading
Растущее количество законов о конфиденциальности, регулирующих биометрию, направлено на защиту потребителей в условиях растущего количества взломов облачных технологий и дипфейков, создаваемых искусственным интеллектом. Но для предприятий, которые обрабатывают биометрические данные, соблюдать требования легче сказать, чем сделать.
Проблемы биометрической конфиденциальности накаляются из-за растущего Deepfake-угрозы на основе искусственного интеллекта (ИИ), растущее использование биометрических данных предприятиями, ожидаемое новое законодательство о конфиденциальности на уровне штата и новый указ президента Байдена, изданный на этой неделе, который включает биометрическую защиту конфиденциальности.
Это означает, что предприятиям необходимо быть более дальновидными, предвидеть и понимать риски, чтобы построить соответствующую инфраструктуру для отслеживания и использования биометрического контента. А тем, кто ведет бизнес на национальном уровне, придется проверять свои процедуры защиты данных на предмет соответствия разным правилам, включая понимание того, как они получают согласие потребителей или позволяют потребителям ограничивать использование таких данных, и убедиться, что они соответствуют различным тонкостям правил.
Прочитайте больше: Регулирование биометрии становится все более жарким, что грозит головными болями в соблюдении требований
Связанный: Выберите лучшую биометрическую аутентификацию для вашего случая использования
DR Global: «Призрачная» иранская хакерская группа ловит в ловушку аэрокосмические и оборонные фирмы Израиля и ОАЭ
Роберт Лемос, автор статей, Dark Reading
UNC1549, также известный как Smoke Sandstorm и Tortoiseshell, судя по всему, является виновником кампании кибератак, адаптированной для каждой целевой организации.
Иранская группа угроз UNC1549, также известная как Smoke Sandstorm и Tortoiseshell, преследует аэрокосмическую и оборонные фирмы в Израиле, Объединенные Арабские Эмираты и другие страны Большого Ближнего Востока.
Примечательно, что из-за целенаправленного фишинга, ориентированного на трудоустройство, и использования облачной инфраструктуры для управления и контроля атаку может быть трудно обнаружить, говорит Джонатан Лезери, главный аналитик Mandiant Google Cloud.
«Самое примечательное заключается в том, насколько призрачной может быть эта угроза для обнаружения и отслеживания — они явно имеют доступ к значительным ресурсам и избирательно выбирают цели», — говорит он. «Вероятно, еще больше активности этого субъекта еще не обнаружено, и еще меньше информации о том, как он действует после того, как скомпрометировал цель».
Прочитайте больше: «Призрачная» иранская хакерская группа ловит в ловушку аэрокосмические и оборонные фирмы Израиля, ОАЭ
Связанный: Китай запускает новый план киберзащиты промышленных сетей
MITRE представляет 4 совершенно новых CWE для устранения ошибок безопасности микропроцессоров
Джай Виджаян, автор статей, Dark Reading
Цель состоит в том, чтобы дать разработчикам микросхем и специалистам по безопасности в области полупроводников лучшее понимание основных недостатков микропроцессоров, таких как Meltdown и Spectre.
В связи с увеличением числа эксплойтов по побочным каналам, нацеленных на ресурсы ЦП, программа Common Weakness Enumeration (CWE) под руководством MITRE добавила четыре новых уязвимости, связанных с микропроцессорами, в свой список распространенных типов уязвимостей программного и аппаратного обеспечения.
CWE являются результатом совместных усилий Intel, AMD, Arm, Riscure и Cycuity и дают разработчикам процессоров и специалистам по безопасности в полупроводниковой сфере общий язык для обсуждения слабых мест в современных микропроцессорных архитектурах.
Четыре новых CWE — это CWE-1420, CWE-1421, CWE-1422 и CWE-1423.
CWE-1420 касается раскрытия конфиденциальной информации во время временного или спекулятивного выполнения — функции аппаратной оптимизации, связанной с Распад и Призрак — и является «родителем» трёх других CWE.
CWE-1421 связан с утечками конфиденциальной информации в общих микроархитектурных структурах во время временного выполнения; CWE-1422 устраняет утечки данных, связанные с неправильной пересылкой данных во время временного выполнения. CWE-1423 рассматривает раскрытие данных, привязанное к определенному внутреннему состоянию микропроцессора.
Прочитайте больше: MITRE представляет 4 совершенно новых CWE для устранения ошибок безопасности микропроцессоров
Связанный: MITRE выпускает прототип безопасности цепочки поставок
Сближение государственных законов о конфиденциальности и новые проблемы искусственного интеллекта
Комментарий Джейсона Эддингера, старшего консультанта по безопасности, конфиденциальность данных, GuidePoint Security
Пришло время компаниям взглянуть на то, что они обрабатывают, какие типы рисков они несут и как они планируют снизить этот риск.
Восемь штатов США приняли законы о конфиденциальности данных в 2023 году, а в 2024 году законы вступят в силу в четырех, поэтому компаниям придется сидеть сложа руки и внимательно анализировать данные, которые они обрабатывают, какие типы рисков они несут и как ими управлять. риск и их планы по смягчению выявленного риска. Внедрение ИИ усложнит эту задачу.
Поскольку предприятия разрабатывают стратегию соблюдения всех этих новых правил, стоит отметить, что, хотя эти законы во многом совпадают, в них также присутствуют нюансы, специфичные для штата.
Компании должны ожидать увидеть много новые тенденции в области конфиденциальности данных в этом году, в том числе:
-
Продолжение принятия штатами всеобъемлющих законов о конфиденциальности. Мы не знаем, сколько их пройдет в этом году, но наверняка будет очень активное обсуждение.
-
ИИ станет важной тенденцией, поскольку предприятия увидят непредвиденные последствия его использования, приводящие к нарушениям и штрафам за нарушение правил из-за быстрого внедрения ИИ без какого-либо действующего законодательства или стандартизированных рамок.
-
2024 год — год президентских выборов в США, который повысит осведомленность и усилит внимание к конфиденциальности данных. Конфиденциальность детей также приобретает все большее значение: такие штаты, как Коннектикут, вводят дополнительные требования.
-
Предприятиям также следует ожидать появления тенденций в отношении суверенитета данных в 2024 году. Транснациональные корпорации должны уделять больше времени пониманию того, где находятся их данные, и требований в соответствии с этими международными обязательствами для удовлетворения требований к местонахождению и суверенитету данных для соблюдения международного права.
Прочитайте больше: Сближение государственных законов о конфиденциальности и возникающая проблема искусственного интеллекта
Связанный: Конфиденциальность превосходит программы-вымогатели как главную страховую проблему
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok
- :имеет
- :является
- :нет
- :куда
- ][п
- $UP
- 1
- 1.3
- 10
- 100
- 11
- 2023
- 2024
- 7
- 8
- 9
- a
- способность
- О нас
- доступ
- через
- Действие
- действия
- активный
- активно
- деятельность
- фактического соединения
- адаптация
- добавленный
- дополнительный
- адреса
- Принятие
- Принятие
- Аэрокосмическая индустрия
- После
- агентство
- AI
- AI модели
- Платформа AI
- Нацеленный
- Цель
- ака
- алгоритмы
- выравнивать
- Все
- позволять
- причислены
- AMD
- Среди
- среди
- количество
- an
- аналитик
- и
- предвидеть
- Ожидаемый
- любой
- откуда угодно
- появляется
- Apple
- Применить
- соответствующий
- арабский
- Арабские Эмираты
- архитектуры
- МЫ
- области
- ARM
- около
- статьи
- AS
- оценки
- Активы
- связанный
- At
- атаковать
- нападки
- внимание
- аудит
- Аутентификация
- Ждите
- осведомленность
- назад
- BE
- ударов
- до
- за
- ЛУЧШЕЕ
- Лучшая
- между
- Beyond
- Биден
- биометрический
- биометрия
- доска
- книга
- изоферменты печени
- нарушения
- Ломать
- Приведение
- широкий
- пряжка
- ошибки
- строить
- построенный
- бизнес
- бизнес
- но
- by
- С-люкс
- под названием
- Объявления
- Кампания
- CAN
- случаев
- прекращение
- определенный
- цепь
- вызов
- проблемы
- изменения
- Дети
- чип
- Circle
- CISO
- явно
- облако
- облачная инфраструктура
- Соучредитель
- код
- совместный
- лыжных шлемов
- как
- комментарий
- комиссии
- привержен
- Общий
- Связь
- Компании
- Соответствие закону
- уступчивый
- сложный
- соблюдать
- компоненты
- комплексный
- Ослабленный
- компьютеры
- вычисление
- Обеспокоенность
- Проводить
- уверенный
- согласие
- Последствия
- консультант
- консалтинг
- потребитель
- Потребители
- содержать
- содержание
- продолжение
- содействие
- сходящийся
- Corner
- Расходы
- может
- страны
- трещина
- Создайте
- Создающий
- критической
- криптографический
- криптография
- Текущий
- подгонянный
- Порез
- Кибератака
- Информационная безопасность
- повреждение
- темно
- Темное чтение
- данным
- конфиденциальность данных
- защита данных
- Давид
- дебют
- десятилетия
- решения
- deepfakes
- глубоко
- Защита
- Проект
- дизайнеры
- обнаруживать
- Определять
- различный
- по-разному
- трудный
- Digest
- Раскрывать
- раскрытие
- обнаружить
- открытый
- обсуждать
- обсуждающий
- обсуждение
- Разное
- do
- документ
- Безразлично
- дело
- долларов
- Дон
- сделанный
- вниз
- dr
- два
- в течение
- каждый
- легче
- восток
- легко
- Edge
- эффект
- усилие
- выборы
- появление
- эмираты
- шифрование
- конец
- принуждение
- достаточно
- Предприятие
- Окружающая среда
- наращивание
- Даже
- Каждая
- обмена
- выполнение
- исполнительный
- распоряжение
- проявлять
- существующий
- раскрываться
- ожидать
- использует
- экспоненциально
- Экспозиция
- Face
- всего лишь пяти граммов героина
- FAIL
- отсутствии
- конец
- Компаний
- недостатки
- недостатки
- Что касается
- вперед
- дальновидный
- Год основания
- 4
- Рамки
- каркасы
- от
- функция
- будущее
- получение
- Доходы
- пробелы
- получить
- Дайте
- Глобальный
- цель
- будет
- ушел
- Google Cloud
- регламентировать
- Правительство
- большой
- группы
- Рост
- Рост
- взлом
- было
- Половина
- рука
- обрабатывать
- Жесткий
- Сильнее
- Аппаратные средства
- Есть
- he
- головные боли
- Сердце
- сильно
- помощь
- здесь
- исторически
- Как
- How To
- HTTPS
- Сотни
- i
- ICON
- идентифицированный
- определения
- if
- Влияние
- осуществлять
- in
- включают
- включает в себя
- В том числе
- включать
- неправильный
- повышение
- промышленность
- информация
- Инфраструктура
- инфраструктура
- пример
- Институт
- страхование
- интегрировать
- Intel
- Интеллекта
- в нашей внутренней среде,
- Мультиязычность
- в
- выпустили
- Представляет
- введение
- иранец
- мобильной
- израильский
- вопрос
- Выпущен
- вопросы
- IT
- ЕГО
- работа
- Ионафан
- JPG
- всего
- Основные
- Знать
- известный
- Отсутствие
- язык
- Фамилия
- В прошлом году
- последний
- запускает
- Законодательство
- Судебные
- Лидеры
- ведущий
- Утечки
- изучение
- наименее
- Юр. Информация
- Законодательство
- Меньше
- ответственность
- такое как
- Вероятно
- Список
- Живет
- ll
- Длинное
- посмотреть
- ВЗГЛЯДЫ
- ткацкий станок
- основной
- сделать
- злонамеренный
- управлять
- управление
- многих
- карта
- Совпадение
- зрелый
- Май..
- значить
- смысл
- означает
- механизмы
- Встречайте
- Meltdown
- средняя
- Ближний Восток
- миллионы
- смягчать
- модель
- Модели
- Модерн
- БОЛЕЕ
- самых
- двигаться
- много
- должен
- национальный
- в национальном
- Откройте
- Необходимость
- Новые
- Новости
- NIST
- примечательный
- отметив,
- сейчас
- нюансы
- номер
- обязательства
- получать
- of
- предлагают
- on
- консолидировать
- только
- открытый
- работать
- операция
- Операционный отдел
- оптимизация
- or
- заказ
- организация
- организации
- Другое
- наши
- внешний
- внешнюю
- за
- надзор
- болезненный
- Parallels
- часть
- pass
- Прошло
- паттеранами
- PAYBACK
- штрафов
- постоянный
- разрешение
- личного
- перспективы
- кусок
- план
- Планы
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- потенциально
- ПКК
- практиками
- Predictions
- подготовка
- президент
- президент байден
- президентский
- выборы президента
- предыдущий
- Основной
- политикой конфиденциальности.
- Проблема
- Процедуры
- Процессы
- обработка
- процессор
- Продукция
- FitPartner™
- Программы
- протуберанец
- для защиты
- защищающий
- защиту
- протокол
- протоколы
- обеспечивать
- что такое варган?
- публичный ключ
- Оферты
- Полагая
- Квантовый
- квантовые компьютеры
- квантовые вычисления
- повышение
- вымогателей
- быстро
- RE
- читатели
- Reading
- признавать
- регулирующий
- "Регулирование"
- правила
- выпустил
- рекультивация
- требовать
- Требования
- жительство
- стойкий
- Полезные ресурсы
- уважение
- ответственность
- ограничивать
- результат
- в результате
- пронизана
- повышение
- Снижение
- рисках,
- РОБЕРТ
- Роли
- рулонах
- условиями,
- Правящая
- Run
- s
- Сказал
- говорит
- сканирование
- SEC / КОМИССИЯ ПО ЦЕННЫМ БУМАГАМ И БИРЖАМ
- Раздел
- безопасный
- обеспечение
- Ценные бумаги
- Комиссия по ценным бумагам и биржам
- безопасность
- посмотреть
- видя
- селективный
- полупроводник
- старший
- чувствительный
- Услуги
- набор
- формы
- общие
- акционер
- сдвиг
- должен
- показывать
- сигнал
- значительный
- аналогичный
- сидеть
- Сидящий
- Размер
- Размеры
- Дым
- So
- Software
- программные компоненты
- цепочка поставок программного обеспечения
- звуки
- суверенитет
- Space
- конкретный
- конкретно
- Spectre
- спекулятивный
- тратить
- стандартов
- Начало
- и политические лидеры
- Область
- Области
- пребывание
- Шаги
- стратегий
- Стратегия
- структур
- такие
- поставка
- цепочками поставок
- поддержка
- Убедитесь
- безусловно,
- с подозрением
- система
- с учетом
- взять
- приняты
- цель
- целевое
- направлены
- команды
- Технологии
- чем
- Спасибо
- который
- Ассоциация
- Комиссия по ценным бумагам и биржам США
- их
- Их
- Там.
- Эти
- они
- вещи
- этой
- На этой неделе
- В этом году
- те
- мысль
- тысячи
- угроза
- три
- Связанный
- время
- Советы
- в
- сегодня
- заявил
- топ
- трек
- традиционный
- тенденция
- трендов
- вызвать
- Правда
- пытается
- Типы
- ОАЭ
- под
- понимать
- понимание
- Объединенный
- Объединенный Араб
- Объединенные Арабские Эмираты
- обновление
- us
- Комиссия по ценным бумагам и биржам США
- США
- Применение
- использование
- через
- Ve
- версия
- вирус
- видимость
- уязвимость
- законопроект
- Путь..
- we
- слабый
- слабость
- слабые
- неделя
- еженедельно
- Что
- который
- в то время как
- будете
- в
- без
- Работа
- стоимость
- упаковка
- писатель
- год
- лет
- еще
- Ты
- ВАШЕ
- зефирнет