CISO 角:实施 NIST CSF 2.0; AI 模型横行

CISO 角:实施 NIST CSF 2.0; AI 模型横行

时间戳记:1年2024月5日下午22:XNUMX
CISO 角:实施 NIST CSF 2.0;人工智能模型运行 Amok PlatoBlockchain 数据智能。垂直搜索。人工智能。

欢迎来到 CISO Corner,这是专门为安全运营读者和安全领导者量身定制的每周文章摘要。每周,我们都会提供从我们的新闻运营、The Edge、DR Technology、DR Global 和我们的评论部分收集的文章。我们致力于为您提供多样化的观点,以支持各种类型和规模的组织的领导者实施网络安全策略的工作。

在这个问题上:

  • NIST 网络安全框架 2.0:4 个入门步骤

  • 苹果 Signal 首次推出抗量子加密技术,但挑战迫在眉睫

  • 现在是晚上 10 点,你知道你的 AI 模型今晚在哪里吗?

  • 组织因未能披露违规行为而面临 SEC 的重大处罚

  • 生物识别监管升温,预示合规难题

  • DR Global:“虚幻”的伊朗黑客组织诱骗以色列、阿联酋航空航天和国防公司

  • MITRE 推出 4 款全新 CWE 以应对微处理器安全漏洞

  • 融合的国家隐私法和新兴的人工智能挑战

NIST 网络安全框架 2.0:4 个入门步骤

作者:Robert Lemos,《Dark Reading》特约作家

美国国家标准与技术研究所 (NIST) 修订了有关创建全面网络安全计划的书籍,旨在帮助各种规模的组织提高安全性。从这里开始将更改付诸实践。

本周发布的 NIST 网络安全框架 (CSF) 最新版本的实施可能意味着网络安全计划的重大变化。

例如,有一个全新的“治理”职能,可以纳入对网络安全的更大的执行和董事会监督,并且它扩展了 超越关键行业的最佳安全实践。总而言之,网络安全团队将有自己的工作要做,并且必须仔细研究现有的评估、发现的差距和补救活动,以确定框架变化的影响。

幸运的是,我们关于最新版本 NIST 网络安全框架的操作技巧可以帮助指明前进的方向。它们包括使用所有 NIST 资源(CSF 不仅仅是一个文档,而是一个资源集合,公司可以使用这些资源将该框架应用到其特定环境和要求);与最高管理层坐下来讨论“治理”职能;涵盖供应链安全;并确认咨询服务和网络安全态势管理产品经过重新评估和更新,以支持最新的 CSF。

了解更多: NIST 网络安全框架 2.0:4 个入门步骤

相关新闻: 美国政府扩大在软件安全方面的作用

苹果 Signal 首次推出抗量子加密技术,但挑战迫在眉睫

作者:Jai Vijayan,《Dark Reading》特约作家

Apple 用于保护 iMessage 的 PQ3 和 Signal 的 PQXH 展示了组织如何为未来加密协议的破解难度呈指数级增长做好准备。

随着量子计算机的成熟,并为对手提供了一种简单的方法来破解当前最安全的加密协议,组织现在需要采取行动来保护通信和数据。

为此,Apple 用于保护 iMessage 通信的新 PQ3 后量子加密 (PQC) 协议以及 Signal 去年推出的名为 PQXDH 的类似加密协议具有抗量子性,这意味着它们至少在理论上可以抵御量子攻击计算机试图破坏它们。

但对于组织来说,向 PQC 等事物的转变将是漫长、复杂的,而且可能会很痛苦。当前严重依赖公钥基础设施的机制将需要重新评估和调整以集成抗量子算法。还有 迁移到后量子加密 为企业 IT、技术和安全团队带来了一系列新的管理挑战,这些挑战与之前的迁移类似,例如从 TLS1.2 到 1.3、从 ipv4 到 v6,这两者都花费了数十年的时间。

了解更多: 苹果 Signal 首次推出抗量子加密技术,但挑战迫在眉睫

相关新闻: 在量子计算之前破解弱密码学

I现在是晚上 10 点,你知道你的 AI 模型今晚在哪里吗?

作者:Ericka Chickowski,《Dark Reading》特约作家

人工智能模型可见性和安全性的缺乏使得软件供应链安全问题更加严重。

如果您认为今天的软件供应链安全问题已经足够困难,那么请系好安全带。人工智能使用的爆炸性增长将使这些供应链问题在未来几年内变得更加难以解决。

人工智能/机器学习模型为人工智能系统识别模式、做出预测、做出决策、触发操作或创建内容的能力提供了基础。但事实是,大多数组织甚至不知道如何开始获得收益 对所有嵌入的人工智能模型的可见性 在他们的软件中。

首先,模型及其周围的基础设施的构建方式与其他软件组件不同,传统的安全和软件工具并不是为了扫描或理解人工智能模型的工作原理或缺陷而构建的。

“从设计上来说,模型是一段自动执行的代码。它有一定的代理权,”Protect AI 联合创始人 Daryan Dehghanpisheh 说道。 “如果我告诉你,你的基础设施中遍布着你看不到、你无法识别、你不知道它们包含什么、你不知道代码是什么的资产,而且它们会自动执行并且有外部电话,这听起来很像许可病毒,不是吗?”

了解更多: 现在是晚上 10 点,你知道你的 AI 模型今晚在哪里吗?

相关新闻: 拥抱人脸人工智能平台充斥着100个恶意代码执行模型

组织因未能披露违规行为而面临 SEC 的重大处罚

作者:罗伯特·莱莫斯,特约作家

不遵守美国证券交易委员会新的数据泄露披露规则的公司可能面临数百万美元的罚款、声誉损害、股东诉讼和其他处罚,这可能是一场执法噩梦。

如果公司及其 CISO 不遵守网络安全和数据泄露披露流程,可能会面临美国证券交易委员会 (SEC) 数十万到数百万美元的罚款和其他处罚现已生效的新规则。

美国证券交易委员会的规定是有力的:委员会可以发布永久禁令,命令被告停止案件的核心行为,下令偿还不义之财,或者实施三级逐步升级的处罚,可能导致天文数字的罚款。

也许最令人担忧的是 CISO 是他们现在面临的个人责任 他们历来不负责的许多业务运营领域。只有一半 (54%) 的 CISO 对自己遵守 SEC 裁决的能力充满信心。

所有这些都导致人们对 CISO 的角色以及企业的额外成本进行广泛的重新思考。

了解更多: 组织因未能披露违规行为而面临 SEC 的重大处罚

相关新闻: 公司和 CISO 应该了解哪些不断上升的法律威胁

生物识别监管升温,预示合规难题

作者:David Strom,《Dark Reading》特约作家

越来越多的监管生物识别技术的隐私法旨在在不断增加的云泄露和人工智能制造的深度伪造中保护消费者。但对于处理生物识别数据的企业来说,保持合规性说起来容易做起来难。

由于越来越多的生物识别隐私问题正在升温 基于人工智能 (AI) 的深度伪造威胁、企业越来越多地使用生物识别、预期新的州级隐私立法以及拜登总统本周发布的一项新的行政命令,其中包括生物识别隐私保护。

这意味着企业需要更具前瞻性,预测和了解风险,以便构建适当的基础设施来跟踪和使用生物识别内容。那些在全国范围内开展业务的企业将必须审核其数据保护程序,以确保其符合各种监管规定,包括了解他们如何获得消费者同意或允许消费者限制此类数据的使用,并确保它们符合法规中的不同细微差别。

了解更多: 生物识别监管升温,预示合规难题

相关新闻: 为您的用例选择最佳的生物识别身份验证

DR Global:“虚幻”的伊朗黑客组织诱骗以色列、阿联酋航空航天和国防公司

作者:Robert Lemos,《Dark Reading》特约作家

UNC1549,又名烟雾沙暴和龟甲,似乎是为每个目标组织定制的网络攻击活动背后的罪魁祸首。

伊朗威胁组织 UNC1549(也称为“烟雾沙尘暴”和“龟甲”)正在攻击航空航天和 以色列的国防公司、阿拉伯联合酋长国以及大中东地区的其他国家。

谷歌云 Mandiant 首席分析师 Jonathan Leathery 表示,值得注意的是,在针对就业的量身定制的鱼叉式网络钓鱼和使用云基础设施进行命令和控制之间,这种攻击可能很难检测到。

“最值得注意的是,这种威胁的发现和追踪是多么的虚幻——他们显然可以获得重要的资源,并且在瞄准目标时有选择性,”他说。 “这个攻击者可能还有更多尚未被发现的活动,而且关于他们一旦攻击目标后如何运作的信息就更少了。”

了解更多: “虚幻的”伊朗黑客组织诱捕以色列、阿联酋航空航天和国防公司

相关新闻: 中国推出新的工业网络网络防御计划

MITRE 推出 4 款全新 CWE 以应对微处理器安全漏洞

作者:Jai Vijayan,《Dark Reading》特约作家

其目标是让半导体领域的芯片设计人员和安全从业人员更好地了解 Meltdown 和 Spectre 等主要微处理器缺陷。

随着针对 CPU 资源的旁道攻击数量不断增加,MITRE 主导的常见弱点枚举 (CWE) 计划在其常见软件和硬件漏洞类型列表中添加了四个新的与微处理器相关的弱点。

CWE 是 Intel、AMD、Arm、Riscure 和 Cycuity 之间合作的成果,为半导体领域的处理器设计人员和安全从业人员提供了讨论现代微处理器架构弱点的通用语言。

这四种新的 CWE 是 CWE-1420、CWE-1421、CWE-1422 和 CWE-1423。

CWE-1420 涉及瞬态或推测执行期间敏感信息的暴露 — 与相关的硬件优化功能 崩溃和幽灵 — 并且是其他三个 CWE 的“父级”。

CWE-1421 与瞬态执行期间共享微架构结构中的敏感信息泄漏有关; CWE-1422 解决了瞬态执行期间与错误数据转发相关的数据泄漏问题。 CWE-1423 着眼于与微处理器内特定内部状态相关的数据暴露。

了解更多: MITRE 推出 4 款全新 CWE 以应对微处理器安全漏洞

相关新闻: MITRE 推出供应链安全原型

融合的国家隐私法和新兴的人工智能挑战

GuidePoint Security 数据隐私高级安全顾问 Jason Eddinger 评论

公司现在应该考虑他们正在处理什么、他们有什么类型的风险以及他们计划如何减轻这些风险。

美国八个州于 2023 年通过了数据隐私立法,到 2024 年,法律将在四个州生效,因此公司需要坐下来深入研究他们正在处理的数据、他们面临哪些类型的风险、如何管理这些数据风险,以及他们降低已识别风险的计划。人工智能的采用将使这一过程变得更加困难。

当企业制定策略以遵守所有这些新法规时,值得注意的是,虽然这些法律在许多方面都是一致的,但它们也表现出各州特定的细微差别。

公司应该会看到很多 新兴数据隐私趋势 今年,包括:

  • 各州继续采用全面的隐私法。我们不知道今年会有多少个通过,但肯定会有很多积极的讨论。

  • 人工智能将成为一个重要趋势,因为企业将看到其使用带来的意想不到的后果,由于在没有任何实际立法或标准化框架的情况下快速采用人工智能,从而导致违规和执法罚款。

  • 2024年是美国总统选举年,这将提高人们对数据隐私的认识和关注。儿童隐私也越来越受到重视,康涅狄格州等州引入了额外的要求。

  • 企业还应该预见到 2024 年数据主权的趋势。跨国公司必须花更多时间了解其数据所在的位置以及这些国际义务的要求,以满足数据驻留和主权要求,以遵守国际法。

了解更多: 融合的国家隐私法和新兴的人工智能挑战

相关新闻: 隐私击败勒索软件成为最受保险关注的问题

时间戳记:

更多来自 暗读