CISO Corner: DoD Regs, Neurodiverse Talent & Light Rail v Tel Avivu

Dobrodošli v CISO Corner, tedenski povzetek člankov Dark Reading, ki je posebej prilagojen bralcem varnostnih operacij in voditeljem varnosti. Vsak teden bomo ponudili članke, zbrane iz naših novic, The Edge, DR Tech, DR Global in našega razdelka s komentarji. Zavezani smo k temu, da vam ponudimo raznolik nabor perspektiv za podporo delu operacionalizacije strategij kibernetske varnosti za vodilne v organizacijah vseh oblik in velikosti.

V tej številki:

Kako se izkoriščajo pravila SEC o razkritju incidentov kibernetske varnosti

Komentar Kena Dunhama, direktorja kibernetskih groženj, enota za raziskovanje groženj Qualys

Kibernetska higiena ni več nekaj, kar je lepo imeti, temveč nujno za organizacije, ki želijo preživeti neusmiljen jez kibernetskih napadov, ki se sproščajo vsak dan.

Komisija za vrednostne papirje in borzo (SEC) je pred kratkim sprejela nova pravila, ki od javnih delniških družb zahtevajo poročanje o kibernetskih napadih z znatnim učinkom. Če tega ne storite, bo verjetno prišlo do finančnih kazni in škode za ugled.

Čeprav je to v teoriji korist za deležnike podjetja, akterji groženj vidijo priložnost za izsiljevanje. Na primer, tolpa izsiljevalske programske opreme ALPHV je novembra domnevno vdrla v omrežje MeridianLink in izločila podatke brez šifriranja sistemov. Ko MeridianLink ni plačal odkupnine za zaščito svojih podatkov, ALPHV je poslal pritožbo neposredno SEC odpravljanje kršitve.

To je kratek vpogled v to, kako bi lahko šle stvari naprej v hitro razvijajočem se svetu izsiljevalskih taktik, zlasti glede na ogromno priložnosti za kompromitiranje podjetij v teh dneh. Po podatkih analitikov Qualys je bilo leta 26,447 razkritih 2023 ranljivosti, od tistih, ki so bile kategorizirane kot visoko tvegane ali kritične, pa so se hekerji lotili četrtine teh in objavili "n-day" podvige. na isti dan, ko so bili razkriti.

K sreči obstaja nekaj korakov, ki jih lahko podjetja sprejmejo, da preprečijo to vrsto pritiska.

Beri naprej: Kako se izkoriščajo pravila SEC o razkritju incidentov kibernetske varnosti

Povezano: Pogled kibernetske zavarovalnice na to, kako se izogniti izsiljevalski programski opremi

Upravljal vse? Prodajalci se osredotočajo na storitve

Robert Lemos, sodelujoči pisec, Dark Reading

Več podjetij se odloča za upravljanje kompleksnih varnostnih zmogljivosti, kot sta zaznavanje podatkov in odziv.

Podjetje za obvladovanje groženj Rapid7 in podjetje za varnost podatkov Varonis sta ta teden napovedala nove upravljane storitve, s čimer sta postala zadnji varnostni podjetji, ki združujeta kompleksne varnostne zmogljivosti v upravljane ponudbe.

V mnogih pogledih, upravljano odkrivanje in odziv (MDR) pokriva veliko področij in se je doslej dobro obnesla prodajalcem in njihovim strankam. Prodajalci imajo zadovoljne stranke, izjemno hitro rast in zelo visoko maržo za storitev. Medtem se lahko podjetja osredotočijo na same grožnje, kar vodi k hitrejšemu odkrivanju in odzivu. Osredotočanje na podatke bi lahko izboljšalo odzivni čas, vendar to še zdaleč ni gotovo.

Ponudba upravljane različice nastajajoče varnostne storitve bo vse pogostejši pristop, saj je po mnenju analitične družbe Frost & Sullivan ustvarjanje lastne zmogljivosti kibernetske varnosti drago.

"Glede na pomanjkanje strokovnjakov za kibernetsko varnost organizacije iščejo načine za avtomatizacijo procesa odkrivanja groženj in odzivanja," je navedeno v poročilu. "Nova generacija rešitev in storitev obljublja uvedbo strojnega učenja in umetne inteligence, avtomatizacijo odločanja za izboljšanje splošne učinkovitosti varnostnega sklada."

Izvedite več o prehodu na upravljano: Upravljal vse? Prodajalci se osredotočajo na storitve

Povezano: Nasveti za monetizacijo ekip SecOps

Vprašanja in odgovori: Železniški projekt v Tel Avivu temelji na kibernetski obrambi

od DR Global

Kako lahka železnica v Izraelu utrjuje svojo arhitekturo kibernetske varnosti med naraščajočimi omrežnimi grožnjami OT.

Železniška omrežja trpijo zaradi vse večjega števila kibernetskih napadov, predvsem avgusta, v katerem je infiltrirani hekerji radiofrekvenčne komunikacije poljskega železniškega omrežja in začasno moten promet vlakov.

V želji, da bi se izognili enaki usodi, lahka železnica Purple Line v Tel Avivu (LRT), proga, ki je trenutno v gradnji in naj bi bila odprta in zagnana do konca tega desetletja, kibernetsko varnost vnaša neposredno v svojo zgradbo.

Dark Reading se je pogovarjal z Eranom Ner Gaonom, CISO Tel Aviv Purple Line LRT, in Shakedom Kafzanom, soustanoviteljem in tehničnim direktorjem ponudnika kibernetske varnosti v železniškem prometu Cervello, o celoviti železnici Varnostna strategija OT, ki vključuje ukrepe, kot so obveščanje o grožnjah, tehnološki ukrepi, načrti za odzivanje na incidente in usposabljanje zaposlenih v zvezi z ureditvijo Izraelskega nacionalnega kibernetskega direktorata.

Preberite več o tej študiji primera: Vprašanja in odgovori: Železniški projekt v Tel Avivu temelji na kibernetski obrambi

Povezano: Železniška kibernetska varnost je kompleksno okolje

Svetovne vlade, tehnološki velikani podpisali zavezo o odgovornosti za vohunsko programsko opremo

Avtor: Tara Seals, odgovorna urednica, Dark Reading

Francija, Združeno kraljestvo, ZDA in drugi bodo delali na okviru za odgovorno uporabo orodij, kot je Pegasus skupine NSO, fundacija Shadowserver pa bo pridobila naložbo v višini 1 milijona GBP.

Komercialna vohunska programska oprema, kot je Pegasus skupine NSO, je običajno nameščena na napravah iPhone ali Android in lahko prisluškuje telefonskim klicem; prestrezanje sporočil; fotografirati s fotoaparati; izločiti podatke aplikacij, fotografije in datoteke; in posnemite glasovne in video posnetke. Orodja običajno za začetni dostop uporabljajo izkoriščanja ničelnega dne in se prodajajo za milijone dolarjev, kar pomeni, ciljni trg običajno sestavljajo globalne vladne stranke in velike poslovne interese.

Ta teden je koalicija več deset držav, vključno s Francijo, Združenim kraljestvom in ZDA, skupaj s tehnološkimi velikani, kot so Google, Meta, Microsoft in skupina NCC, podpisala skupni sporazum za boj proti uporabi komercialne vohunske programske opreme na različne načine. ki krši človekove pravice.

Podpredsednik vlade Združenega kraljestva Oliver Dowden je napovedal začetek pobude za vohunsko programsko opremo, imenovano »Pall Mall Process«, ki bo »pobuda več deležnikov … za boj proti širjenju in neodgovorni uporabi komercialno dostopnih zmogljivosti kibernetskih vdorov,« je pojasnil. .

Natančneje, koalicija bo določila smernice za razvoj, prodajo, omogočanje, nakup in uporabo tovrstnih orodij in storitev, vključno z opredelitvijo neodgovornega vedenja in ustvarjanjem okvira za njihovo pregledno in odgovorno uporabo.

Ugotovite, zakaj je zaveza komercialne vohunske programske opreme pomembna: Svetovne vlade, tehnološki velikani podpisali zavezo o odgovornosti za vohunsko programsko opremo

Povezano: Vohunska programska oprema Pegasus cilja na jordansko civilno družbo v obsežnih napadih

CMMC Ministrstva za obrambo je startna črta, ne cilj

Komentar Chrisa Petersena, soustanovitelja in izvršnega direktorja RADICL

Certificiranje modela zrelosti kibernetske varnosti (CMMC) in miselnost o utrjevanju, zaznavanju in odzivanju sta ključna za zaščito obrambnih in kritičnih infrastrukturnih podjetij.

Kot je všeč akterjem groženj Volt Typhoon še naprej cilja na kritično infrastrukturo, bo potrjevanje modela zrelosti za kibernetsko varnost (CMMC) Ministrstva za obrambo ZDA morda kmalu postalo strogo uveljavljen mandat.

Podjetja, ki bodo dosegla spoštovanje CMMC (ki je usklajen z NIST 800-171 na ravni certifikata »Advanced«), bodo postala težja tarča, vendar prava zaščita pred kibernetskimi grožnjami in odpornost pomenita preseganje »check-the-box« CMMC / NIST 800-171 skladnost. To pomeni prehod na operacije "učvrsti-zaznaj-odzovi (HDR)".

CMMC/NIST 800-171 zahteva večino zmogljivosti HDR. Vendar pa lahko strogost in globina podjetja pri njihovem uresničevanju povzroči razliko med tem, ali ostane ranljivo za napredek kibernetske grožnje nacionalne države ali ostane zaščiteno.

Tukaj je 7 kritičnih praks HDR: CMMC je štartna črta, ne cilj

Povezano: Kako Kibernetske zmogljivosti 'velikih 4' držav ogrožajo Zahod

Zakaj povpraševanje po namiznih vajah narašča

Avtor: Grant Gross, sodelujoči pisec, Dark Reading

Namizne vaje so lahko učinkovit in cenovno dostopen način za preizkušanje obrambnih in odzivnih zmogljivosti organizacije pred kibernetskimi napadi.

Vaje kibernetske varnosti so na voljo v številnih oblikah, vendar je ena najcenejših in najučinkovitejših vaj na mizi. Te vaje običajno trajajo dve do štiri ure in lahko stanejo manj kot 50,000 USD (včasih veliko manj), pri čemer je velik del stroškov povezan z načrtovanjem in omogočanjem dogodka.

Pogost pristop k namiznim vajam je staromodni in nizkotehnološki, vendar zagovorniki pravijo, da lahko dobro voden scenarij razkrije luknje v odziv organizacij in načrte ublažitve. In povpraševanje po namiznih vajah je v zadnjih dveh letih eksponentno naraslo, kar so poganjale težave s skladnostjo, direktive upravnega odbora in mandati kibernetskega zavarovanja.

Pravzaprav neprofitni center za internetno varnost namizne plošče imenuje »nujne« in poudarja, da pomagajo organizacijam pri boljšem usklajevanju ločenih poslovnih enot v odzivu na napad in prepoznavanju zaposlenih, ki bodo med napadom in po njem igrali ključne vloge.

Preberite več o tem, kako kar najbolje izkoristiti vaje za mizo: Zakaj povpraševanje po namiznih vajah narašča

Povezano: 6 najpogostejših napak pri namiznih vajah za odzivanje na incidente

Kako lahko nevrodiverziteta pomaga zapolniti pomanjkanje delovne sile za kibernetsko varnost

Komentar dr. Jodi Asbell-Clarke, višje raziskovalne vodje, TERC

Številni ljudje z ADHD, avtizmom, disleksijo in drugimi nevroraznovrstnimi stanji prinašajo nove perspektive, ki lahko pomagajo organizacijam pri reševanju izzivov kibernetske varnosti.

ISC2, ki pravi globalna vrzel v delovni sili je 3.4 milijona, zagovarja, da podjetja zaposlujejo bolj raznoliko populacijo, kar si mnogi razlagajo kot prizadevanja za vključevanje glede na raso in spol. Čeprav je to ključnega pomena, je treba razširiti še eno področje: nevrodiverziteto.

Številna vrhunska podjetja STEM, vključno z Microsoftom, SAP in EY, imajo pobude za nevrodiverziteto delovne sile. Medtem ko se je večina programov za zaposlovanje nevrodiverzitete prvotno osredotočala na avtizem, se številni delodajalci širijo na posameznike z motnjo pozornosti/hiperaktivnostjo (ADHD), disleksijo in drugimi (včasih neoznačenimi) razlikami.

Nevrodiverziteta je konkurenčna prednost: nekateri ljudje z avtizmom se na primer odlikujejo po podrobnem prepoznavanju vzorcev in sistematičnem razmišljanju – kot nalašč za dela, ki vključujejo spremljanje in odkrivanje kršitev varnosti. ADHD in disleksija sta medtem povezana s povečanim ustvarjanjem idej in zmožnostjo videnja povezav med novimi idejami – kar je dragoceno za pristop k težavam na nove in drugačne načine.

Ena od težav, s katerimi se soočajo ta podjetja, je, da ne najdejo dovolj nevrodivergentnih talentov. Na srečo obstajajo strategije za premagovanje težav pri odkrivanju teh posameznikov.

Kako zaposliti nevrodiverzne talente: Kako lahko nevrodiverziteta pomaga zapolniti pomanjkanje delovne sile za kibernetsko varnost

Povezano: Kibernetska zaposlitev 2024: V nebo visoka pričakovanja so izjalovila podjetja in iskalce zaposlitve

Napadi QR kode 'Quishing' na izvršne direktorje naraščajo, izogibanje varnosti e-pošte

Robert Lemos, sodelujoči pisec, Dark Reading

Uporaba kod QR za dostavo zlonamernih obremenitev je v četrtem četrtletju 4 poskočila, zlasti pri vodstvenih delavcih, ki so opazili 2023-krat več lažnega predstavljanja kode QR kot povprečni zaposleni.

Kibernetski napadalci sprejemajo kode QR kot način za specifično ciljanje vodstvenih delavcev: v četrtem četrtletju leta 2023 je povprečni najvišji vodstveni delavec v vodstvu videl 42-krat več lažnih napadov z uporabo kod QR v primerjavi s povprečnim zaposlenim.

Druge vodstvene vloge so prav tako utrpele porast napadov, čeprav znatno manjši, pri čemer so ti vodstveni delavci, ki niso vodstveni kadri, naleteli na petkrat več napadov z lažnim predstavljanjem, ki temeljijo na kodi QR, glede na poročilo podjetja.

Osredotočenost na višje ravni organizacije je lahko posledica učinkovitosti »quishinga« pri premagovanju obrambe končne točke, ki je lahko strožja pri strojih višjih oseb. Ker napadalci svojo povezavo do lažnega predstavljanja skrijejo v sliko, QR koda obide lažno predstavljanje sume uporabnikov in nekatere varnostne izdelke za e-pošto.

Več kot četrtina napadov s kodo QR (27 %) v četrtem četrtletju je bila lažna obvestila o vklopu MFA, medtem ko je bil približno vsak peti napad (4 %) lažna obvestila o dokumentu v skupni rabi.

Kako se lahko varnostne ekipe lotijo ​​quishinga: Napadi QR kode 'Quishing' na izvršne direktorje naraščajo, izogibanje varnosti e-pošte

Povezano: Kampanja za lažno predstavljanje kode QR je namenjena vodilnemu ameriškemu energetskemu podjetju

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cybersecurity-operations/ciso-corner-dod-regs-neurodiverse-talent-tel-aviv-light-rail