Уголок CISO: внедрение NIST CSF 2.0; Модели искусственного интеллекта выходят из-под контроля

Добро пожаловать в CISO Corner, еженедельный дайджест статей Dark Reading, специально предназначенный для читателей, занимающихся вопросами безопасности, и руководителей служб безопасности. Каждую неделю мы будем предлагать статьи, собранные из наших новостей, The Edge, DR Technology, DR Global и нашего раздела комментариев. Мы стремимся предоставить вам разнообразные точки зрения для поддержки работы по реализации стратегий кибербезопасности для руководителей организаций всех форм и размеров.

В этом выпуске:

NIST Cybersecurity Framework 2.0: 4 шага для начала работы

Роберт Лемос, автор статей, Dark Reading

Национальный институт стандартов и технологий (NIST) пересмотрел книгу о создании комплексной программы кибербезопасности, призванной помочь организациям любого размера стать более безопасными. Вот с чего начать воплощать изменения в жизнь.

Введение в действие последней версии NIST Cybersecurity Framework (CSF), выпущенной на этой неделе, может означать существенные изменения в программах кибербезопасности.

Например, появилась совершенно новая функция «Управление», которая обеспечивает более строгий надзор за кибербезопасностью со стороны исполнительной власти и совета директоров, и она расширяет возможности лучшие практики обеспечения безопасности, помимо тех, что применяются в критически важных отраслях. В целом, командам по кибербезопасности придется много работать, и им придется внимательно изучить существующие оценки, выявленные пробелы и действия по исправлению, чтобы определить влияние изменений в системе.

К счастью, наши советы по внедрению последней версии NIST Cybersecurity Framework могут помочь указать путь вперед. Они включают в себя использование всех ресурсов NIST (CSF — это не просто документ, а набор ресурсов, которые компании могут использовать для применения структуры к своей конкретной среде и требованиям); встреча с высшим руководством для обсуждения функции «управления»; обеспечение безопасности цепочки поставок; и подтверждение того, что консалтинговые услуги и продукты для управления состоянием кибербезопасности переоценены и обновлены для поддержки новейшей версии CSF.

Прочитайте больше: NIST Cybersecurity Framework 2.0: 4 шага для начала работы

Связанный: Правительство США расширяет роль в обеспечении безопасности программного обеспечения

Apple и Signal дебютируют с квантово-устойчивым шифрованием, но надвигаются проблемы

Джай Виджаян, автор статей, Dark Reading

PQ3 от Apple для обеспечения безопасности iMessage и PQXH от Signal показывают, как организации готовятся к будущему, в котором протоколы шифрования будут взломать в геометрической прогрессии.

По мере того, как квантовые компьютеры развиваются и предоставляют злоумышленникам тривиально простой способ взломать даже самые безопасные современные протоколы шифрования, организациям необходимо уже сейчас принимать меры для защиты коммуникаций и данных.

С этой целью новый протокол постквантовой криптографии (PQC) Apple PQ3 для защиты связи iMessage и аналогичный протокол шифрования, который Signal представила в прошлом году, под названием PQXDH, являются квантовоустойчивыми, то есть они могут — по крайней мере теоретически — противостоять квантовым атакам. компьютеры пытаются их взломать.

Но для организаций переход к таким вещам, как PQC, будет долгим, сложным и, вероятно, болезненным. Существующие механизмы, в значительной степени зависящие от инфраструктуры открытых ключей, потребуют переоценки и адаптации для интеграции квантовоустойчивых алгоритмов. И переход на постквантовое шифрование представляет новый набор задач управления для групп корпоративных ИТ, технологий и безопасности, который аналогичен предыдущим переходам, например, с TLS1.2 на 1.3 и с ipv4 на v6, оба из которых заняли десятилетия.

Прочитайте больше: Apple и Signal дебютируют с квантово-устойчивым шифрованием, но надвигаются проблемы

Связанный: Взлом слабой криптографии до того, как это сделают квантовые вычисления

IСейчас 10:XNUMX. Знаете ли вы, где сегодня вечером ваши модели искусственного интеллекта?

Эрика Чиковски, автор статей, Dark Reading

Отсутствие прозрачности и безопасности модели ИИ ставит проблему безопасности цепочки поставок программного обеспечения на стероиды.

Если вы считаете, что проблема безопасности цепочки поставок программного обеспечения сегодня достаточно сложна, пристегнитесь. Взрывной рост использования искусственного интеллекта в ближайшие годы сделает решение этих проблем в цепочке поставок экспоненциально труднее.

Модели искусственного интеллекта/машинного обучения обеспечивают основу для способности системы искусственного интеллекта распознавать закономерности, делать прогнозы, принимать решения, запускать действия или создавать контент. Но правда в том, что большинство организаций даже не знают, как начать получать прибыль. видимость всех встроенных моделей искусственного интеллекта в их программном обеспечении.

Кроме того, модели и инфраструктура вокруг них построены иначе, чем другие программные компоненты, а традиционные инструменты безопасности и программного обеспечения не предназначены для сканирования или понимания того, как работают модели ИИ или в чем их недостатки.

«Модель по своей сути представляет собой самоисполняющийся фрагмент кода. У него есть определенная свобода действий», — говорит Дарьян Дехганпише, соучредитель Protect AI. «Если бы я сказал вам, что во всей вашей инфраструктуре есть активы, которые вы не можете видеть, не можете идентифицировать, вы не знаете, что они содержат, вы не знаете, что это за код, и они самоисполняются и у вас есть внешние звонки, это подозрительно похоже на вирус разрешений, не так ли?

Прочитайте больше: Сейчас 10:XNUMX. Знаете ли вы, где сегодня вечером ваши модели искусственного интеллекта?

Связанный: Платформа искусственного интеллекта Hugging Face пронизана 100 моделями выполнения вредоносного кода

Организациям грозят серьезные штрафы SEC за нераскрытие информации о нарушениях

Роберт Лемос, писатель

Компании, которые не соблюдают новые правила SEC по раскрытию информации о утечке данных, могут столкнуться с кошмаром правоприменения: потенциально миллионы долларов штрафов, репутационный ущерб, судебные иски акционеров и другие штрафы ждут компании.

Компании и их директора по информационной безопасности могут столкнуться со штрафами и другими санкциями от сотен тысяч до миллионов долларов со стороны Комиссии по ценным бумагам и биржам США (SEC), если они не будут соблюдать свои процессы кибербезопасности и раскрытия информации о утечке данных. с новыми правилами, которые уже вступили в силу.

У регуляторов SEC есть зубы: комиссия может вынести постоянный запрет, предписывающий ответчику прекратить действия, лежащие в основе дела, распорядиться о возврате доходов, полученных незаконным путем, или ввести три уровня возрастающих наказаний, которые могут привести к астрономическим штрафам. .

Возможно, наиболее тревожным для Директора по информационной безопасности — это личная ответственность, с которой они теперь сталкиваются для многих областей деловой деятельности, за которые они исторически не несли ответственности. Только половина директоров по информационной безопасности (54%) уверены в своей способности выполнить решение SEC.

Все это ведет к широкому переосмыслению роли директора по информационной безопасности и дополнительным затратам для бизнеса.

Прочитайте больше: Организациям грозят серьезные штрафы SEC за нераскрытие информации о нарушениях

Связанный: Что компании и директора по информационной безопасности должны знать о растущих юридических угрозах

Регулирование биометрии становится все более жарким, что грозит головными болями в соблюдении требований

Дэвид Стром, автор статей, Dark Reading

Растущее количество законов о конфиденциальности, регулирующих биометрию, направлено на защиту потребителей в условиях растущего количества взломов облачных технологий и дипфейков, создаваемых искусственным интеллектом. Но для предприятий, которые обрабатывают биометрические данные, соблюдать требования легче сказать, чем сделать.

Проблемы биометрической конфиденциальности накаляются из-за растущего Deepfake-угрозы на основе искусственного интеллекта (ИИ), растущее использование биометрических данных предприятиями, ожидаемое новое законодательство о конфиденциальности на уровне штата и новый указ президента Байдена, изданный на этой неделе, который включает биометрическую защиту конфиденциальности.

Это означает, что предприятиям необходимо быть более дальновидными, предвидеть и понимать риски, чтобы построить соответствующую инфраструктуру для отслеживания и использования биометрического контента. А тем, кто ведет бизнес на национальном уровне, придется проверять свои процедуры защиты данных на предмет соответствия разным правилам, включая понимание того, как они получают согласие потребителей или позволяют потребителям ограничивать использование таких данных, и убедиться, что они соответствуют различным тонкостям правил.

Прочитайте больше: Регулирование биометрии становится все более жарким, что грозит головными болями в соблюдении требований

Связанный: Выберите лучшую биометрическую аутентификацию для вашего случая использования

DR Global: «Призрачная» иранская хакерская группа ловит в ловушку аэрокосмические и оборонные фирмы Израиля и ОАЭ

Роберт Лемос, автор статей, Dark Reading

UNC1549, также известный как Smoke Sandstorm и Tortoiseshell, судя по всему, является виновником кампании кибератак, адаптированной для каждой целевой организации.

Иранская группа угроз UNC1549, также известная как Smoke Sandstorm и Tortoiseshell, преследует аэрокосмическую и оборонные фирмы в Израиле, Объединенные Арабские Эмираты и другие страны Большого Ближнего Востока.

Примечательно, что из-за целенаправленного фишинга, ориентированного на трудоустройство, и использования облачной инфраструктуры для управления и контроля атаку может быть трудно обнаружить, говорит Джонатан Лезери, главный аналитик Mandiant Google Cloud.

«Самое примечательное заключается в том, насколько призрачной может быть эта угроза для обнаружения и отслеживания — они явно имеют доступ к значительным ресурсам и избирательно выбирают цели», — говорит он. «Вероятно, еще больше активности этого субъекта еще не обнаружено, и еще меньше информации о том, как он действует после того, как скомпрометировал цель».

Прочитайте больше: «Призрачная» иранская хакерская группа ловит в ловушку аэрокосмические и оборонные фирмы Израиля, ОАЭ

Связанный: Китай запускает новый план киберзащиты промышленных сетей

MITRE представляет 4 совершенно новых CWE для устранения ошибок безопасности микропроцессоров

Джай Виджаян, автор статей, Dark Reading

Цель состоит в том, чтобы дать разработчикам микросхем и специалистам по безопасности в области полупроводников лучшее понимание основных недостатков микропроцессоров, таких как Meltdown и Spectre.

В связи с увеличением числа эксплойтов по побочным каналам, нацеленных на ресурсы ЦП, программа Common Weakness Enumeration (CWE) под руководством MITRE добавила четыре новых уязвимости, связанных с микропроцессорами, в свой список распространенных типов уязвимостей программного и аппаратного обеспечения.

CWE являются результатом совместных усилий Intel, AMD, Arm, Riscure и Cycuity и дают разработчикам процессоров и специалистам по безопасности в полупроводниковой сфере общий язык для обсуждения слабых мест в современных микропроцессорных архитектурах.

Четыре новых CWE — это CWE-1420, CWE-1421, CWE-1422 и CWE-1423.

CWE-1420 касается раскрытия конфиденциальной информации во время временного или спекулятивного выполнения — функции аппаратной оптимизации, связанной с Распад и Призрак — и является «родителем» трёх других CWE.

CWE-1421 связан с утечками конфиденциальной информации в общих микроархитектурных структурах во время временного выполнения; CWE-1422 устраняет утечки данных, связанные с неправильной пересылкой данных во время временного выполнения. CWE-1423 рассматривает раскрытие данных, привязанное к определенному внутреннему состоянию микропроцессора.

Прочитайте больше: MITRE представляет 4 совершенно новых CWE для устранения ошибок безопасности микропроцессоров

Связанный: MITRE выпускает прототип безопасности цепочки поставок

Сближение государственных законов о конфиденциальности и новые проблемы искусственного интеллекта

Комментарий Джейсона Эддингера, старшего консультанта по безопасности, конфиденциальность данных, GuidePoint Security

Пришло время компаниям взглянуть на то, что они обрабатывают, какие типы рисков они несут и как они планируют снизить этот риск.

Восемь штатов США приняли законы о конфиденциальности данных в 2023 году, а в 2024 году законы вступят в силу в четырех, поэтому компаниям придется сидеть сложа руки и внимательно анализировать данные, которые они обрабатывают, какие типы рисков они несут и как ими управлять. риск и их планы по смягчению выявленного риска. Внедрение ИИ усложнит эту задачу.

Поскольку предприятия разрабатывают стратегию соблюдения всех этих новых правил, стоит отметить, что, хотя эти законы во многом совпадают, в них также присутствуют нюансы, специфичные для штата.

Компании должны ожидать увидеть много новые тенденции в области конфиденциальности данных в этом году, в том числе:

Прочитайте больше: Сближение государственных законов о конфиденциальности и возникающая проблема искусственного интеллекта

Связанный: Конфиденциальность превосходит программы-вымогатели как главную страховую проблему

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok