CISO kotiček: Operacionalizacija NIST CSF 2.0; AI modeli divjajo

Dobrodošli v CISO Corner, tedenski povzetek člankov Dark Reading, ki je posebej prilagojen bralcem varnostnih operacij in voditeljem varnosti. Vsak teden bomo ponudili članke, zbrane iz naših novic, The Edge, DR Technology, DR Global in našega razdelka s komentarji. Zavezani smo k temu, da vam ponudimo raznolik nabor perspektiv v podporo delu operacionalizacije strategij kibernetske varnosti za vodilne v organizacijah vseh oblik in velikosti.

V tej številki:

NIST Cybersecurity Framework 2.0: 4 koraki za začetek

Robert Lemos, sodelujoči pisec, Dark Reading

Nacionalni inštitut za standarde in tehnologijo (NIST) je revidiral knjigo o ustvarjanju celovitega programa kibernetske varnosti, katerega cilj je pomagati organizacijam vseh velikosti, da so bolj varne. Tukaj lahko začnete izvajati spremembe.

Operacionalizacija najnovejše različice NIST's Cybersecurity Framework (CSF), ki je bila izdana ta teden, bi lahko pomenila pomembne spremembe v programih kibernetske varnosti.

Na voljo je na primer povsem nova funkcija »Govern«, ki vključuje večji izvršni in upravni nadzor nad kibernetsko varnostjo in se širi najboljše varnostne prakse poleg tistih za kritične industrije. Skratka, ekipe za kibernetsko varnost bodo imele veliko dela in bodo morale natančno preučiti obstoječe ocene, ugotovljene vrzeli in sanacijske dejavnosti, da bi ugotovile vpliv sprememb okvira.

Na srečo lahko naši nasveti za operacionalizacijo najnovejše različice NIST Cybersecurity Framework pomagajo nakazati pot naprej. Vključujejo uporabo vseh virov NIST (CSF ni le dokument, ampak zbirka virov, ki jih lahko podjetja uporabijo za uporabo ogrodja v svojem posebnem okolju in zahtevah); sedeti s C-suite, da bi razpravljali o funkciji "upravljanja"; ovijanje v varnost dobavne verige; in potrditev, da so svetovalne storitve in izdelki za upravljanje položaja kibernetske varnosti ponovno ocenjeni in posodobljeni za podporo najnovejšemu CSF.

Preberite več: NIST Cybersecurity Framework 2.0: 4 koraki za začetek

Povezano: Vlada ZDA širi vlogo pri varnosti programske opreme

Apple, Signal debitira s kvantno odpornim šifriranjem, a izzivi grozijo

Jai Vijayan, sodelujoči pisec, Dark Reading

Applov PQ3 za varovanje iMessage in Signalov PQXH kažeta, kako se organizacije pripravljajo na prihodnost, v kateri mora biti šifrirne protokole eksponentno težje vdreti.

Ko kvantni računalniki dozorevajo in dajejo nasprotnikom trivialno enostaven način, da vdrejo tudi v najvarnejše trenutne šifrirne protokole, morajo organizacije takoj ukrepati, da zaščitijo komunikacije in podatke.

V ta namen sta Applov novi postkvantni kriptografski (PQC) protokol PQ3 za varovanje komunikacij iMessage in podoben šifrirni protokol, ki ga je Signal predstavil lani, imenovan PQXDH, kvantno odporna, kar pomeni, da lahko – vsaj teoretično – preneseta napade kvantnih računalniki, ki jih poskušajo zlomiti.

Toda v organizacijah bo prehod na stvari, kot je PQC, dolg, zapleten in verjetno boleč. Trenutni mehanizmi, ki so močno odvisni od infrastruktur javnih ključev, bodo zahtevali ponovno oceno in prilagoditev za integracijo kvantno odpornih algoritmov. In prehod na postkvantno šifriranje uvaja nov nabor upravljavskih izzivov za podjetniške IT, tehnološke in varnostne ekipe, ki je vzporeden s prejšnjimi migracijami, na primer s TLS1.2 na 1.3 in ipv4 na v6, ki sta trajali desetletja.

Preberite več: Apple, Signal debitira s kvantno odpornim šifriranjem, a izzivi grozijo

Povezano: Razbijanje šibke kriptografije, preden to stori kvantno računalništvo

Iob 10. Ali veste, kje so nocoj vaši modeli AI?

Ericka Chickowski, sodelujoča pisateljica, Dark Reading

Pomanjkanje vidnosti in varnosti modela AI postavlja problem varnosti dobavne verige programske opreme na steroide.

Če ste mislili, da je problem varnosti dobavne verige programske opreme danes dovolj težak, se pripnite. Zaradi eksplozivne rasti uporabe umetne inteligence bo te težave v dobavni verigi v prihodnjih letih eksponentno težje reševati.

Modeli umetne inteligence/strojnega učenja zagotavljajo osnovo za sposobnost sistema umetne inteligence za prepoznavanje vzorcev, napovedovanje, sprejemanje odločitev, sprožitev dejanj ali ustvarjanje vsebine. Toda resnica je, da večina organizacij sploh ne ve, kako sploh začeti pridobivati vpogled v vse vdelane modele AI v njihovi programski opremi.

Za začetek so modeli in infrastruktura okoli njih zgrajeni drugače kot druge komponente programske opreme, tradicionalna varnostna in programska orodja pa niso ustvarjena za iskanje ali razumevanje delovanja modelov AI ali njihove napake.

»Model je po zasnovi samoizvajajoč se del kode. Ima določeno mero posredništva,« pravi Daryan Dehghanpisheh, soustanovitelj Protect AI. »Če bi vam rekel, da imate po vsej infrastrukturi sredstva, ki jih ne vidite, ne morete identificirati, ne veste, kaj vsebujejo, ne veste, kakšna je koda, in se samoizvršijo in imeti zunanje klice, to zveni sumljivo kot virus dovoljenj, kajne?«

Preberite več: Ura je 10. Ali veste, kje so nocoj vaši modeli AI?

Povezano: Platforma umetne inteligence Hugging Face, prepredena s 100 modeli izvajanja zlonamerne kode

Organizacije se soočajo z velikimi kaznimi SEC, če ne razkrijejo kršitev

Robert Lemos, sodelujoči pisec

V nečem, kar bi lahko bila nočna mora izvrševanja, podjetja, ki ne bodo spoštovala novih pravil SEC o razkritju kršitev podatkov, čakajo potencialno milijoni dolarjev kazni, škode za ugled, tožb delničarjev in drugih kazni.

Podjetja in njihovi CISO bi se lahko soočili z globami in drugimi kaznimi ameriške komisije za vrednostne papirje in borzo (SEC) v višini od sto tisoč do milijonov dolarjev, če svojih postopkov za kibernetsko varnost in razkrivanje kršitev podatkov ne bodo uskladili z zahtevami. z novimi pravili, ki so zdaj začela veljati.

Predpisi SEC imajo zobe: Komisija lahko izreče trajno prepoved, s katero obtožencu naloži, da preneha z ravnanjem, ki je bistvo primera, naloži vračilo nezakonito pridobljene premoženjske koristi ali uvede tri stopnje stopnjevanja kazni, ki lahko povzročijo astronomske denarne kazni. .

Morda najbolj zaskrbljujoče za CISO je osebna odgovornost, s katero se zdaj soočajo za mnoga področja poslovanja, za katera zgodovinsko niso bili odgovorni. Samo polovica CISO (54 %) je prepričana v svojo sposobnost izpolnjevanja sodbe SEC.

Vse to vodi v širok premislek o vlogi CISO in dodatne stroške za podjetja.

Preberite več: Organizacije se soočajo z velikimi kaznimi SEC, če ne razkrijejo kršitev

Povezano: Kaj morajo podjetja in CISO vedeti o naraščajočih pravnih grožnjah

Predpisi o biometriji se segrejejo in povzročajo glavobole glede skladnosti

David Strom, sodelujoči pisec, Dark Reading

Vse več zakonov o zasebnosti, ki urejajo biometrijo, je usmerjeno v zaščito potrošnikov med naraščajočimi vdori v oblak in globokimi ponaredki, ki jih ustvari umetna inteligenca. Toda za podjetja, ki obdelujejo biometrične podatke, je lažje reči, kot storiti, ostati skladna.

Zaskrbljenost glede biometrične zasebnosti se zaradi vse večjega števila grožnje deepfake, ki temeljijo na umetni inteligenci (AI)., naraščajočo uporabo biometričnih podatkov v podjetjih, pričakovano novo zakonodajo o zasebnosti na državni ravni in nov izvršni ukaz, ki ga je ta teden izdal predsednik Biden in vključuje biometrično zaščito zasebnosti.

To pomeni, da morajo biti podjetja bolj usmerjena v prihodnost ter predvideti in razumeti tveganja, da lahko zgradijo ustrezno infrastrukturo za sledenje in uporabo biometričnih vsebin. In tisti, ki poslujejo na nacionalni ravni, bodo morali pregledati svoje postopke za varstvo podatkov glede skladnosti z raznovrstnimi predpisi, vključno z razumevanjem, kako pridobijo privolitev potrošnikov ali omogočijo potrošnikom, da omejijo uporabo takšnih podatkov, in zagotoviti, da ustrezajo različnim podrobnostim v predpisih.

Preberite več: Predpisi o biometriji se segrejejo in povzročajo glavobole glede skladnosti

Povezano: Izberite najboljšo biometrično avtentikacijo za vaš primer uporabe

DR Global: 'Iluzivna' iranska hekerska skupina ujame izraelska vesoljska in obrambna podjetja iz Združenih arabskih emiratov

Robert Lemos, sodelujoči pisec, Dark Reading

Zdi se, da je UNC1549, alias Smoke Sand Storm in Tortoiseshell, krivec za kampanjo kibernetskih napadov, prilagojeno vsaki ciljni organizaciji.

Iranska skupina groženj UNC1549 – znana tudi kot dimni peščeni vihar in želvovina – preganja vesoljsko in obrambna podjetja v Izraelu, Združeni arabski emirati in druge države na širšem Bližnjem vzhodu.

Jonathan Leathery, glavni analitik za Google Cloud's Mandiant, pravi Jonathan Leathery, glavni analitik za Mandiant pri Google.

"Najbolj opazen del je, kako iluzorna je lahko ta grožnja za odkrivanje in sledenje - očitno imajo dostop do pomembnih virov in so selektivni pri ciljanju," pravi. "Verjetno obstaja več aktivnosti tega akterja, ki še ni odkrit, in še manj je informacij o tem, kako delujejo, ko ogrozijo tarčo."

Preberite več: "Iluzivna" iranska hekerska skupina ujame izraelska, vesoljska in obrambna podjetja iz ZAE

Povezano: Kitajska uvaja nov načrt kibernetske obrambe za industrijska omrežja

MITER izda 4 popolnoma nove CWE za varnostne hrošče mikroprocesorjev

Jai Vijayan, sodelujoči pisec, Dark Reading

Cilj je dati oblikovalcem čipov in strokovnjakom za varnost v polprevodniškem prostoru boljše razumevanje večjih napak mikroprocesorjev, kot sta Meltdown in Spectre.

Z naraščajočim številom izkoriščanj stranskih kanalov, ki ciljajo na vire CPU, je program za naštevanje skupnih slabosti (CWE), ki ga vodi MITRE, dodal štiri nove slabosti, povezane z mikroprocesorji, na svoj seznam pogostih vrst ranljivosti programske in strojne opreme.

CWE so rezultat skupnega prizadevanja med Intel, AMD, Arm, Riscure in Cycuity ter dajejo oblikovalcem procesorjev in strokovnjakom za varnost v polprevodniškem prostoru skupni jezik za razpravo o slabostih sodobnih mikroprocesorskih arhitektur.

Štirje novi CWE so CWE-1420, CWE-1421, CWE-1422 in CWE-1423.

CWE-1420 zadeva izpostavljenost občutljivim informacijam med prehodnim ali špekulativnim izvajanjem – funkcija optimizacije strojne opreme, povezana z Zlom in spekter — in je "mater" treh drugih CWE.

CWE-1421 je povezan z uhajanjem občutljivih informacij v skupnih mikroarhitekturnih strukturah med prehodnim izvajanjem; CWE-1422 obravnava uhajanje podatkov, povezano z nepravilnim posredovanjem podatkov med prehodnim izvajanjem. CWE-1423 obravnava izpostavljenost podatkov, ki je povezana z določenim notranjim stanjem v mikroprocesorju.

Preberite več: MITER izda 4 popolnoma nove CWE za varnostne hrošče mikroprocesorjev

Povezano: MITER uvede prototip varnosti dobavne verige

Zbliževanje državnih zakonov o zasebnosti in nastajajoči izziv AI

Komentar Jasona Eddingerja, višjega varnostnega svetovalca, zasebnost podatkov, GuidePoint Security

Čas je, da podjetja pogledajo, kaj obdelujejo, kakšne vrste tveganja imajo in kako nameravajo to tveganje ublažiti.

Osem ameriških zveznih držav je leta 2023 sprejelo zakonodajo o zasebnosti podatkov, leta 2024 pa bodo zakoni začeli veljati v štirih, zato se morajo podjetja umiriti in podrobno preučiti podatke, ki jih obdelujejo, kakšna tveganja imajo in kako to obvladati tveganje in njihove načrte za ublažitev tveganja, ki so ga ugotovili. Sprejetje umetne inteligence bo to še otežilo.

Medtem ko podjetja načrtujejo strategijo za uskladitev z vsemi temi novimi predpisi, ki so tam zunaj, je treba omeniti, da čeprav so ti zakoni v mnogih pogledih usklajeni, kažejo tudi nianse, specifične za državo.

Podjetja bi morala pričakovati, da jih bo veliko nastajajoči trendi zasebnosti podatkov letos, vključno z:

Preberite več: Zbliževanje državnih zakonov o zasebnosti in nastajajoči izziv AI

Povezano: Zasebnost premaga izsiljevalsko programsko opremo kot največjo zavarovalniško skrb

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok