CISO Corner: DoD Regs, Neurodiverse Talent & Tel Aviv's Light Rail

Välkommen till CISO Corner, Dark Readings veckosammanfattning av artiklar som är skräddarsydda specifikt för läsare av säkerhetsoperationer och säkerhetsledare. Varje vecka kommer vi att erbjuda artiklar från hela vår nyhetsverksamhet, The Edge, DR Tech, DR Global och vår kommentarsektion. Vi är fast beslutna att ge dig en mångsidig uppsättning perspektiv för att stödja arbetet med att operationalisera cybersäkerhetsstrategier, för ledare i organisationer av alla former och storlekar.

I detta nummer:

Hur SEC:s regler för information om cybersäkerhetsincidenter utnyttjas

Kommentar av Ken Dunham, Cyber ​​Threat Director, Qualys Threat Research Unit

Cyberhygien är inte längre något trevligt att ha utan nödvändigt för organisationer som vill överleva den obevekliga störtfloden av cyberattacker som släpps lös dagligen.

Securities and Exchange Commission (SEC) antog nyligen nya regler som kräver att börsnoterade företag rapporterar cyberattacker med väsentlig påverkan. Underlåtenhet att göra det kommer sannolikt att leda till ekonomiska påföljder och skada på ryktet.

Även om det är en välsignelse för företagets intressenter i teorin, ser hotaktörer en utpressningsmöjlighet. Till exempel ska ALPHV ransomware-gäng ha brutit mot MeridianLinks nätverk i november och exfiltrerat data utan att kryptera system. När MeridianLink inte betalade en lösensumma för att skydda sina data, ALPHV skickade ett klagomål direkt till SEC ta sig ut genom brottet.

Det är en glimt av hur saker och ting kan gå framåt i den snabbväxande världen av utpressningstaktik, särskilt med tanke på den stora mängden möjligheter för kompromissande företag nuförtiden. Det avslöjades 26,447 2023 sårbarheter under XNUMX enligt Qualys-analytiker, och av de som kategoriseras som högrisk eller kritiska, attackerade hackare en fjärdedel av dem och publicerade "n-day" exploits samma dag som de avslöjades.

Tack och lov finns det några steg som företag kan vidta för att motverka denna typ av påtryckningar.

Läs vidare: Hur SEC:s regler för information om cybersäkerhetsincidenter utnyttjas

Relaterat: En cyberförsäkringsgivares perspektiv på hur man undviker Ransomware

Klarat allt? Leverantörer flyttar fokus till tjänster

Av Robert Lemos, bidragande författare, Dark Reading

Fler företag väljer att hantera komplexa säkerhetsfunktioner, såsom datadetektering och svar.

Hothanteringsföretaget Rapid7 och datasäkerhetsföretaget Varonis tillkännagav nya hanterade tjänster denna vecka, och blev de senaste säkerhetsföretagen att kombinera komplexa säkerhetsfunktioner i hanterade erbjudanden.

På många sätt, managed detection and response (MDR) täcker mycket mark och har hittills gjort bra ifrån sig för leverantörer och deras kunder. Leverantörer har nöjda kunder, exceptionellt snabb tillväxttakt och en mycket hög marginal för tjänsten. Under tiden kan företag fokusera på själva hoten, vilket leder till snabbare upptäckt och reaktion. Att fokusera på data skulle kunna förbättra svarstiden, men det är långt ifrån säkert.

Att erbjuda en hanterad version av en framväxande säkerhetstjänst kommer att bli ett allt vanligare tillvägagångssätt, eftersom skapandet av en intern cybersäkerhetskapacitet är dyrt, enligt analytikerföretaget Frost & Sullivan.

"I ljuset av bristen på cybersäkerhetsproffs letar organisationer efter sätt att automatisera processen för att upptäcka och bemöta hot", heter det i rapporten. "Den nya generationen av lösningar och tjänster lovar att implementera maskininlärning och artificiell intelligens och automatisera beslutsfattande för att förbättra säkerhetsstackens övergripande prestanda."

Ta reda på mer om flytten till managed: Klarat allt? Leverantörer flyttar fokus till tjänster

Relaterat: Tips för att tjäna pengar på SecOps-team

Frågor och svar: Tel Aviv Railway Project bakar in cyberförsvar

Från DR Global

Hur en lätt järnväg i Israel stärker sin cybersäkerhetsarkitektur mitt i en ökning av OT-nätverkshot.

Järnvägsnäten utsätts för en ökning av cyberattacker, framför allt en incident i augusti där hackare infiltrerade radiofrekvenskommunikationen från Polens järnvägsnät och tillfälligt störda tågtrafiken.

För att undvika samma öde håller Tel Avivs Purple Line light rail transport (LRT), en linje som för närvarande är under uppbyggnad och som ska vara öppen och köras i slutet av detta decennium, in cybersäkerhet direkt i sin konstruktion.

Dark Reading pratade med Eran Ner Gaon, CISO vid Tel Aviv Purple Line LRT, och Shaked Kafzan, medgrundare och CTO för leverantören av järnvägscybersäkerhet Cervello, om järnvägens omfattande OT säkerhetsstrategi, som inkluderar åtgärder som hotintelligens, tekniska åtgärder, incidentresponsplaner och utbildning av anställda relaterat till regleringen av Israel National Cyber ​​Directorate.

Läs mer om denna fallstudie: Frågor och svar: Tel Aviv Railway Project bakar in cyberförsvar

Relaterat: Cybersäkerhet på järnväg är en komplex miljö

World Govs, Tech Giants undertecknar Spyware Responsibility Pledge

Av Tara Seals, chefredaktör, Dark Reading

Frankrike, Storbritannien, USA och andra kommer att arbeta på ett ramverk för ansvarsfull användning av verktyg som NSO Groups Pegasus, och Shadowserver Foundation vinner en investering på 1 miljon pund.

Kommersiella spionprogram, som NSO Groups Pegasus, installeras vanligtvis på iPhones eller Android-enheter och kan avlyssna telefonsamtal; avlyssna meddelanden; ta bilder med kamerorna; exfiltrera appdata, foton och filer; och ta röst- och videoinspelningar. Verktygen använder vanligtvis nolldagars utnyttjande för första åtkomst och säljer för miljontals dollar, vilket betyder att deras målmarknaden tenderar att bestå av globala statliga kunder och stora kommersiella intressen.

Den här veckan har en koalition av dussintals länder inklusive Frankrike, Storbritannien och USA, tillsammans med teknikjättar som Google, Meta, Microsoft och NCC Group, undertecknat ett gemensamt avtal för att bekämpa användningen av kommersiella spionprogram på ett sätt som kränker mänskliga rättigheter.

Storbritanniens vice premiärminister Oliver Dowden tillkännagav kickoffen för spionprogramsinitiativet, kallat "Pall Mall Process", som kommer att vara ett "initiativ med flera intressenter ... för att ta itu med spridningen och oansvarig användning av kommersiellt tillgängliga cyberintrångskapacitet", förklarade han .

Mer specifikt kommer koalitionen att fastställa riktlinjer för att utveckla, sälja, underlätta, köpa och använda dessa typer av verktyg och tjänster, inklusive att definiera oansvarigt beteende och skapa ett ramverk för deras transparenta och ansvarsfulla användning.

Ta reda på hur varför kommersiella spionprogram är viktiga: World Govs, Tech Giants undertecknar Spyware Responsibility Pledge

Relaterat: Pegasus spionprogram riktar sig till det jordanska civila samhället i omfattande attacker

DoD:s CMMC är startlinjen, inte målgången

Kommentar av Chris Petersen, medgrundare och VD, RADICL

Cybersecurity Maturity Model Certification (CMMC) och en härda, upptäcka och reagera tankesätt är nyckeln till att skydda försvars- och kritiska infrastrukturföretag.

Som hotaktörer gillar Volt Typhoon fortsätter att rikta in sig på kritisk infrastruktur, USA:s försvarsdepartements Cybersecurity Maturity Model Certification (CMMC) kan snart bli ett strikt genomdrivet mandat.

Företag som uppnår efterlevnad av CMMC (som har anpassats till NIST 800-171 på "Avancerad" certifieringsnivå) kommer att bli ett svårare mål, men äkta cyberhotsskydd och motståndskraft innebär att gå längre än "check-the-box" CMMC / NIST 800-171 efterlevnad. Det innebär att man går över till operationer "härda-upptäcka-svara (HDR)".

CMMC/NIST 800-171 kräver de flesta HDR-funktioner. Ett företags noggrannhet och djup i att förverkliga dem kan dock göra skillnaden mellan att förbli sårbara för framstegen från ett nationalstats cyberhot eller att förbli skyddad.

Här är de 7 kritiska HDR-metoderna: CMMC är startlinjen, inte målgången

Relaterat: Hur "Big 4′ Nations" cyberkapacitet hotar väst

Varför efterfrågan på bordsövningar växer

Av Grant Gross, bidragande skribent, Dark Reading

Bordsövningar kan vara ett effektivt och prisvärt sätt att testa en organisations försvars- och svarsförmåga mot cyberattack.

Cybersäkerhetsövningar finns i många former, men en av de billigaste och mest effektiva är bordsövningar. Dessa övningar pågår vanligtvis i två till fyra timmar och kan kosta mindre än $50,000 XNUMX (ibland mycket mindre), med mycket av kostnaderna för att planera och underlätta evenemanget.

Det vanliga tillvägagångssättet för bordsövningar är gammaldags och lågteknologisk, men förespråkarna säger att ett välskött scenario kan avslöja hål i organisationers reaktions- och begränsningsplaner. Och efterfrågan på bordsövningar har ökat exponentiellt de senaste två åren, drivet av efterlevnadsfrågor, styrelsedirektiv och cyberförsäkringsmandat.

Faktum är att det ideella Center for Internet Security kallar bordsskivor "ett måste", och betonar att de hjälper organisationer att bättre koordinera separata affärsenheter som svar på en attack och identifiera de anställda som kommer att spela avgörande roller under och efter en attack.

Läs mer om hur du får ut det mesta av bordsövningar: Varför efterfrågan på bordsövningar växer

Relaterat: Topp 6 misstag i incidentrespons bordsövningar

Hur neurodiversitet kan hjälpa till att fylla bristen på arbetskraft inom cybersäkerhet

Kommentar av Dr. Jodi Asbell-Clarke, Senior Research Leader, TERC

Många människor med ADHD, autism, dyslexi och andra neurodiversa tillstånd ger nya perspektiv som kan hjälpa organisationer att lösa cybersäkerhetsutmaningar.

ISC2, som säger att globala arbetskraftsklyftan är 3.4 miljoner, förespråkar att företag rekryterar en mer mångsidig befolkning, vilket många tolkar som att det betyder inkluderingsinsatser kring ras och kön. Även om det är avgörande, finns det ett annat område att expandera till: Neurodiversitet.

Många ledande STEM-företag, inklusive Microsoft, SAP och EY, har initiativ för neurodiversitetsarbetskraft. Medan de flesta anställningsprogram för neurodiversitet ursprungligen fokuserade på autism, expanderar många arbetsgivare till att inkludera individer med uppmärksamhetsbrist/hyperaktivitetsstörning (ADHD), dyslexi och andra (ibland omärkta) skillnader.

Neurodiversitet är en konkurrensfördel: Vissa personer med autism utmärker sig till exempel i detaljerad mönsterigenkänning och systematiskt tänkande – perfekt för jobb som involverar övervakning och upptäckt av säkerhetsöverträdelser. ADHD och dyslexi förknippas samtidigt med ökad idégenerering och förmågan att se samband mellan nya idéer – värdefullt för att närma sig problem på nya och annorlunda sätt.

Ett problem som dessa företag står inför är att inte hitta tillräckligt med neurodivergent talanger. Lyckligtvis finns det strategier för att övervinna svårigheter med att avslöja dessa individer.

Hur man rekryterar neurodiversa talanger: Hur neurodiversitet kan hjälpa till att fylla bristen på arbetskraft inom cybersäkerhet

Relaterat: Cyber ​​Employment 2024: Skyhöga förväntningar misslyckas företag och arbetssökande

QR-koden "Quishing" attacker på chefer Surge, undvika e-postsäkerhet

Av Robert Lemos, bidragande författare, Dark Reading

Användningen av QR-koder för att leverera skadliga nyttolaster ökade under fjärde kvartalet 4, särskilt mot chefer, som såg 2023 gånger mer QR-kodsfiske än den genomsnittliga anställde.

Cyberattackare omfamnar QR-koder som ett sätt att specifikt rikta in sig på chefer: Under fjärde kvartalet 2023 såg den genomsnittliga högsta chefen i C-suiten 42 gånger fler nätfiskeattacker med QR-koder jämfört med en genomsnittlig anställd.

Andra chefsroller drabbades också av en ökning av attacker, även om de var betydligt mindre, med dessa icke-C-suite-chefer som stötte på fem gånger fler QR-kodbaserade nätfiskeattacker, enligt företagets rapport.

Fokus på de övre nivåerna i en organisation kan bero på effektiviteten av "quishing" för att komma förbi slutpunktsförsvar, vilket kan vara strängare på högre maskiners maskiner. Eftersom angripare döljer sin nätfiske-länk i en bild, QR-kod nätfiske förbigår användares misstankar och vissa e-postsäkerhetsprodukter.

Mer än en fjärdedel av QR-kodattacker (27 %) under fjärde kvartalet var falska meddelanden om att slå på MFA, medan ungefär en av fem attacker (4 %) var falska meddelanden om ett delat dokument.

Hur säkerhetsteam kan hantera quishing: QR-koden "Quishing" attacker på chefer Surge, undvika e-postsäkerhet

Relaterat: QR Code Phishing-kampanj riktar sig till USA:s främsta energiföretag

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cybersecurity-operations/ciso-corner-dod-regs-neurodiverse-talent-tel-aviv-light-rail