欢迎来到 CISO Corner,这是专门为安全运营读者和安全领导者量身定制的每周文章摘要。每周,我们都会提供从我们的新闻运营、The Edge、DR Technology、DR Global 和我们的评论部分收集的文章。我们致力于为您提供多样化的观点,以支持各种类型和规模的组织的领导者实施网络安全策略的工作。
本期 CISO 角:
-
CISO 如何使网络安全意识成为董事会的长期优先事项
-
全球:斋月期间中东网络安全威胁加剧
-
资助保护互联网安全的组织
-
2022 年卡塔尔世界杯足球赛如何险些遭到黑客攻击
-
微软加强 Azure AI 防御
-
Ivanti 承诺在又发现 4 个漏洞后第二天进行安全检查
-
为什么网络安全是一个全社会问题
CISO 如何使网络安全意识成为董事会的长期优先事项
NINJIO 网络安全意识培训首席执行官 Shaun McAlmont 的评论
网络安全不仅仅是一项勾选练习。为了获得全公司的支持,首席信息安全官需要获得董事会的支持,加强沟通,并提供意识培训计划来对抗社会工程并帮助员工应用他们所学到的知识。
CISO 在为整个公司的网络安全建立利益相关者支持方面发挥着至关重要的作用,包括在获得董事会对意识培训的长期支持方面。制胜策略包括以一种引人入胜且非技术性的方式传达网络安全概念,并向董事会成员表明: 网络安全计划可带来显着的投资回报率.
本专栏列出了 CISO 可以向董事会表明现在是优先考虑网络安全的五种方式:
-
知道如何与非技术受众沟通。 对于非技术受众来说,网络安全是一个令人生畏的主题,但事实并非如此。例如,首席信息安全官可以通过指出成功的网络攻击在现实世界中造成的毁灭性后果,为网络安全提供一个易于理解且令人信服的案例。
-
关注整个网络影响链。 网络攻击可能会导致严重的声誉损害、运营中断、法律和监管后果,并对公司员工的健康造成严重影响。
-
强调人的因素。 CISO 强调,74% 的违规行为涉及人为因素——这令人震惊地提醒我们,社会工程仍然是网络犯罪武器库中最强大的武器之一。
-
概述如何衡量意识培训计划。 CISO 需要将问责制作为其意识培训的核心支柱。当董事会成员看到网络安全支出正在得到回报时,首席信息安全官将能够保持支持。
-
确保长期支持。 由于网络威胁形势总是在变化,公司必须让员工了解最新的网络犯罪策略,例如使用人工智能大规模制作令人信服且有针对性的网络钓鱼消息。
了解更多: CISO 如何使网络安全成为董事会的长期优先事项
相关新闻: 尽管期望值飙升,首席信息安全官仍在争夺高管地位
斋月期间中东网络安全威胁加剧
作者:Alicia Buller,《Dark Reading》特约作家
在穆斯林斋月期间,该地区的安全团队如何在人员短缺以及 DDoS、网络钓鱼和勒索软件活动增加的情况下加强防御。
世界各地都会庆祝穆斯林历的第九个月,因为追随者会花时间反思和练习禁食,而网络安全团队通常配备骨干人员。斋月也是穆斯林购物者倾向于增加特色食品、礼品和特别优惠支出的时期。
所有这些也为不良行为者进行欺诈活动和诈骗创造了完美风暴。端点保护公司 Resecurity 观察到,在 10 月 100 日开始的斋月期间,网络恶意行为显着增加。该公司估计,今年斋月期间,这些网络攻击和网络诈骗对中东造成的总财务影响已高达 XNUMX 亿美元。
中东公司可以加强网络安全 在工作时间缩短和电子商务活动增加的情况下,需要格外警惕并提供外包支持。
IDC 中东、土耳其和非洲 (META) 安全副研究总监 Shilpi Handa 表示:“许多组织在此期间积极加强其外包合同,特别是注重加强 24/7 安全运营。”他补充说,部署一个斋月期间,远程和多元化的劳动力特别有利,因为穆斯林斋戒者和非穆斯林工作人员可以完全覆盖全天候的安全轮班。
了解更多: 斋月期间中东网络安全威胁加剧
相关新闻: 中东在 DMARC 电子邮件安全部署方面处于领先地位
资助保护互联网安全的组织
作者:Jennifer Lawinski,《Dark Reading》特约作家
Common Good Cyber 是一个连接非营利组织、私营部门和政府组织的全球联盟,为专注于保护互联网基础设施的组织提供资金。
没有一个实体负责 维护和保护互联网。相反,这项任务落在了各种各样的组织和个人身上,他们在资金很少或预算紧张的情况下维持这种公共事业。风险非常高,但可用于保证基础设施安全的资源却不足。
“互联网的关键组成部分是由志愿者、非营利组织、非政府组织以及其他预算和资源极少的人维护的,”帕拉丁全球研究所所长、前美国代理国家网络主管肯巴·瓦尔登 (Kemba Walden) 说。 “考虑一下:我们的数字基础设施的基础,使公民社会能够在当今的经济中蓬勃发展并不断发展的基础设施,依赖于志愿者、非营利组织、非政府组织和其他组织的网络。”
一项名为“共同利益网络”的倡议正在寻找新的方法,为法律和政策、商业政策和政府以及其他足以满足网络安全共同需求的融资工具提供充足的资金。想法包括创建联合资助组织;非营利组织联合筹款;盘点谁在做什么来支持互联网基础设施;以及为保护互联网安全的团体提供资源的中心或加速器。
了解更多: 资助保护互联网安全的组织
相关新闻: 忽视开源开发人员会使互联网面临风险
2022 年卡塔尔世界杯足球赛如何险些遭到黑客攻击
作者:Jai Vijayan,《Dark Reading》特约作家
一家安全供应商表示,与中国有关的威胁行为者可以访问路由器配置数据库,这可能会完全破坏覆盖范围。
在 2022 年卡塔尔 FIFA 世界杯足球赛举行前大约六个月,一名威胁行为者(后来被确认为与中国有关的 BlackTech)悄悄侵入了一家主要比赛通信提供商的网络,并将恶意软件植入了存储网络设备配置的关键系统中。
直到比赛结束六个月后,这一违规行为才被发现,在此期间,网络间谍组织从电信提供商的目标客户那里收集了数量未知的数据,其中包括与世界杯相关的客户以及为其提供服务的供应商。
但真正可怕的部分是“还可能发生什么”:BlackTech 对电信提供商系统的访问权限将允许威胁行为者完全破坏关键通信,包括与游戏相关的所有流媒体服务。这种破坏的后果在地缘政治影响、品牌损害、国家声誉以及潜在的影响方面将是巨大的。 数亿美元的损失 来自世界杯前谈判的许可权和广告。
了解更多: 2022 年卡塔尔世界杯足球赛如何险些遭到黑客攻击
相关新闻: NFL 和 CISA 致力于拦截第 XNUMX 届超级碗比赛的网络威胁
微软加强 Azure AI 防御
作者:Jai Vijayan,《Dark Reading》特约作家
微软添加了一些工具来保护 Azure AI 免受提示注入等威胁,并为开发人员提供确保生成式 AI 应用程序更能抵御模型和内容操纵攻击的功能。
人们越来越担心威胁行为者使用即时注入攻击来获取信息 生成式人工智能 (GenAI) 系统会以危险和意外的方式运行微软的 AI Studio 正在为开发人员提供资源,以构建对这些威胁更具弹性的 GenAI 应用程序。
Azure AI Studio 是一个托管平台,组织可以使用它来构建基于自己的数据的自定义 AI 助手、副驾驶、机器人、搜索工具和其他应用程序。
微软已经添加或即将添加的五项新功能是提示盾、接地检测、安全系统消息、安全评估以及风险和安全监控。这些功能旨在解决研究人员最近发现并在日常工作中继续发现的有关使用大型语言模型 (LLM) 和 GenAI 工具的一些重大挑战。
“生成式人工智能可以成为每个部门、公司和行业的力量倍增器,”微软负责任人工智能首席产品官莎拉·伯德(Sarah Bird)说。 “与此同时,基础模型给安全和保障带来了新的挑战,需要新颖的缓解措施和持续学习。”
了解更多: 微软加强 Azure AI 防御
相关新闻: 忘记 Deepfakes 或网络钓鱼:及时注入是 GenAI 最大的问题
Ivanti 承诺在又发现 4 个漏洞后第二天进行安全检查
作者:Jai Vijayan,《Dark Reading》特约作家
今年到目前为止,Ivanti 共披露了其远程访问产品中的 10 个缺陷(其中许多是严重缺陷)以及 ITSM 产品中的一个缺陷。
Ivanti 首席执行官杰夫·阿博特 (Jeff Abbott) 本周表示,尽管该供应商在其产品中披露了另一组新的错误,但他的公司将彻底改进其安全实践。 漏洞百出的 Ivanti Connect Secure 和策略安全远程访问产品。
在一封致客户的公开信中,雅培承诺公司将在未来几个月内做出一系列改变,以转变其安全运营模式,因为自 1 月份以来不断有大量错误披露。承诺的修复包括彻底重新设计 Ivanti 的工程、安全和漏洞管理流程,以及实施新的产品开发安全设计计划。
鉴于 Ivanti 最近的安全记录,这些承诺将在多大程度上帮助遏制客户对 Ivanti 日益增长的失望情绪,目前尚不清楚。事实上,Abbot 发表评论的一天前,Ivanti 披露了其 Connect Secure 和 Policy Secure 网关技术中的四个新错误,并为每个错误发布了补丁。
了解更多: Ivanti 承诺在又发现 4 个漏洞后第二天进行安全检查
相关新闻: 美联储对微软:立即采取行动清理你的云安全
为什么网络安全是一个全社会问题
Garrison Technology 现场首席技术官 Adam Maruyama 评论
共同努力并将网络安全纳入我们企业和个人思维的一部分,可以让黑客的生活变得更加困难,也让我们自己更加安全。
我们正被漏洞淹没:网络安全和基础设施安全局 (CISA) 主任 Jen Easterly 在最近一次有关中国网络运营的国会听证会上简单地说,通过糟糕的软件设计,“我们让攻击者变得容易”。但需要全社会的努力来重塑网络安全市场,以创造高性能和安全的技术。
正如 CISA 在其“设计安全”倡议中所阐述的那样, 供应商的安全编码 是创建既安全又可用的技术的第一步。但正如伊斯特利所说,企业必须认识到“网络风险就是商业风险”,将网络安全纳入其所有业务实践。特别是,通过提高 CISO 的地位并给予他们对整个业务(特别是采购决策)的全面网络安全监督,公司可以将网络安全作为业务流程中的一个有机步骤。
与此同时,网络安全和 IT 专业人员——两个密切相关但经常发生冲突的群体——必须齐心协力,为用户构建既安全又实用的网络。而且,全社会网络安全方法的最后一部分既是最困难也是最关键的:通过多因素身份验证等方式将网络安全融入公民的日常生活。
了解更多: 为什么网络安全是一个全社会问题
相关新闻: NIST 希望帮助解决 NVD 积压问题
- :具有
- :是
- :在哪里
- 100 百万美元
- $UP
- 10
- 12
- 2022
- 7
- 8
- 9
- a
- Able
- 关于
- 加速器
- ACCESS
- 问责制
- 横过
- 法案
- 演戏
- 活动
- 活动
- 演员
- Adam
- 加
- 添加
- 添加
- 地址
- 添加
- 充足
- 广告
- 有利
- 非洲
- 后
- 驳
- 机构
- AI
- 所有类型
- 允许
- 还
- 时刻
- 中
- 量
- an
- 和
- 和基础设施
- 另一个
- 应用领域
- 使用
- 的途径
- 应用
- 保健
- 围绕
- 阿森纳
- 刊文
- AS
- 助理
- 律师
- 相关
- At
- 攻击
- 观众
- 认证
- 可使用
- 意识
- Azure
- 坏
- 弹幕
- 基础
- BE
- 因为
- 很
- before
- 开始
- 最大
- 板
- 加强
- 都
- 机器人
- 碗
- 品牌
- 违反
- 违规
- 瞻
- 预算
- 问题
- 虫子
- 建立
- 建筑物
- 商业
- 商业惯例
- 企业
- 但是
- by
- C-套房
- 日历
- 被称为
- 来了
- 活动
- CAN
- 能力
- 案件
- 中央
- CEO
- 链
- 挑战
- 更改
- 首席
- 首席产品官
- 中文
- 圆
- CISO
- 公民
- 民间
- 清洁
- 密切
- 云端技术
- 云安全
- 编码
- 柱
- 如何
- 购买的订单均
- 未来
- 评论
- 注释
- 承诺
- 提交
- 相当常见
- 通信
- 沟通
- 沟通
- 通信
- 公司
- 公司
- 完成
- 完全
- 组件
- 概念
- 关注
- 进行
- 配置
- 美国国会
- 国会听证会
- 分享链接
- 连接
- 后果
- 考虑
- 财团
- 内容
- 继续
- 连续
- 合同的
- 贡献
- 角落
- 公司
- 可以
- 覆盖
- 覆盖
- 手艺
- 创建信息图
- 创建
- 创造
- 残废
- 危急
- 首席技术官
- 杯
- 习俗
- 顾客
- 合作伙伴
- 网络
- 网络攻击
- 网络犯罪
- 网络安全
- 损伤
- 危险的
- 黑暗
- 暗读
- data
- 数据库
- 天
- 日复一日
- DDoS攻击
- 决定
- deepfakes
- 防御
- 问题类型
- 部署
- 部署
- 设计
- 设计
- 检测
- 破坏性的
- 开发
- 研发支持
- 设备
- 难
- 消化
- 数字
- 副总经理
- 破坏
- 打乱
- 瓦解
- 不同
- 不会
- 做
- 美元
- dr
- ,我们将参加
- 每
- 佣金
- 东部
- 易
- 电子商务
- 经济
- 边缘
- 影响
- 努力
- element
- 其他
- 邮箱地址
- 员工
- 使
- 从事
- 工程师
- 提高
- 确保
- 整个
- 实体
- 估计
- 评价
- 甚至
- 所有的
- 锻炼
- 期望
- 额外
- 事实
- 余波
- 下降
- 远
- 特征
- 联盟的
- 部分
- FIFA
- 世界杯
- 战斗
- 最后
- 金融
- 寻找
- 公司
- 姓氏:
- 五
- 固定
- 缺陷
- 重点
- 聚焦
- 追随者
- 以下
- 食品
- 针对
- 力
- 前
- 强化
- 基金会
- 四
- 欺诈
- 新鲜
- 止
- 充分
- 实用
- 基金
- 资金
- 筹款
- 游戏
- Games
- 网关
- 云集
- Genai
- 生成的
- 生成式人工智能
- 地缘政治
- 得到
- 礼品
- 给
- 特定
- 给予
- 全球
- 非常好
- 政府
- 接地
- 团队
- 组的
- 增长
- 成长
- 破解
- 至少从2010年开始,
- 黑客
- 民政事务总署
- 发生
- 更难
- 有
- 健康管理
- 听力
- 帮助
- 高
- 高绩效
- 他的
- 整体
- 圣
- 托管
- HOURS
- 创新中心
- How To
- HTTPS
- 中心
- 人
- 人为因素
- ICON
- IDC
- 思路
- 确定
- 影响力故事
- 履行
- 启示
- in
- 包括
- 包含
- 合并
- 结合
- 增加
- 增加
- 增加
- 令人难以置信
- 个人
- 个人
- 行业中的应用:
- 基础设施
- 倡议
- 例
- 代替
- 研究所
- 整合
- 网络
- 吓人
- 成
- 介绍
- 涉及
- 问题
- 发行
- IT
- 它的
- 一月
- 仁
- Jennifer(珍妮弗)
- 工作
- 联合
- JPG
- 保持
- 保持
- 键
- 景观
- 语言
- 大
- 后来
- 最新
- 法律
- 布局
- 铅
- 领导人
- 信息
- 知道
- 学习
- 法律咨询
- 邮件
- 许可证
- 生活
- 喜欢
- 小
- 生活
- ll
- 长期
- 看
- 制成
- 保持
- 维持
- 主要
- 使
- 恶意软件
- 颠覆性技术
- 操作
- 许多
- 三月
- 市场
- MEA
- 满足
- 成员
- 条未读消息
- 元
- 微软
- 中间
- 中东
- 百万
- 百万
- 混合
- 模型
- 模型
- 监控
- 月
- 个月
- 更多
- 最先进的
- 许多
- 多因素身份验证
- 必须
- National
- 几乎
- 需求
- 议
- 网络
- 网络
- 全新
- 消息
- 非政府组织
- 没有
- 非技术
- 非营利
- 非营利组织
- 小说
- of
- 折扣
- 提供
- 优惠精选
- 官
- 经常
- on
- 一
- 打开
- 开放源码
- 操作
- 操作
- 操作
- 运营
- or
- 有机
- 组织
- 其他名称
- 其它
- 我们的
- 我们自己
- 输出
- 大修
- 疏忽
- 己
- 部分
- 特别
- 尤其
- 补丁
- 付款
- 期间
- 观点
- 钓鱼
- 片
- 支柱
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 政策
- 政策
- 贫困
- 可能
- 强大
- 在练习上
- 做法
- 总统
- 先
- 优先
- 优先
- 私立
- 私营部门
- 过程
- 采购
- 产品
- 产品开发
- 热销产品
- 专业人士
- 训练课程
- 许诺
- 保护
- 提供
- 提供者
- 优
- 国家
- 放
- 认沽期权
- 卡塔尔
- 悄悄
- 勒索
- RE
- 达到
- 读者
- 阅读
- 真实的世界
- 实现
- 真
- 最近
- 最近
- 记录
- 反映
- 视
- 地区
- 监管
- 有关
- 狠
- 保持
- 遗迹
- 提醒
- 远程
- 通过远程访问
- 声誉
- 要求
- 研究
- 研究人员
- 重塑
- 弹性
- 资源
- 提供品牌战略规划
- REST的
- 权利
- 风险
- 角色
- 卷
- 路由器
- 常规
- s
- 更安全
- 实现安全
- 说
- 同
- 说
- 鳞片
- 诈骗
- 搜索
- 部分
- 扇形
- 安全
- 保障
- 保安
- 看到
- 系列
- 特色服务
- 集
- 严重
- 形状
- 转换中
- 转移
- 购物
- 短
- 缩短
- 显示
- 显示
- 显著
- 只是
- 自
- 单
- SIX
- 六个月
- 尺寸
- So
- 至今
- 足球
- 社会
- 社会工程学
- 社会
- 软件
- 一些
- 或很快需要,
- 来源
- 特别
- 特别优惠
- 其他
- 特别是
- 花费
- 团队
- 人员
- 利益相关者
- 赌注
- Status
- 干
- 步
- 存储
- 风暴
- 策略
- 流
- 流媒体服务
- 应力
- 奋斗
- 工作室
- 主题
- 大量
- 成功
- 这样
- 足够
- 超级
- 超级杯
- SUPPORT
- 系统
- 产品
- 策略
- 量身定制
- 采取
- 针对
- 任务
- 队
- 技术
- 专业技术
- 电信
- 电信
- 易于
- 条款
- 比
- 这
- 世界
- 其
- 他们
- 博曼
- 他们
- 事
- 思维
- Free Introduction
- 本星期
- 今年
- 那些
- 威胁
- 威胁者
- 威胁
- 兴旺
- 通过
- 次
- 至
- 今晚
- 一起
- 工具
- 合计
- 比赛
- 跟踪时
- 跟踪记录
- 产品培训
- 改造
- 土耳其
- 二
- 揭露
- 裸露
- 基础
- 意外
- 不明
- 直到
- 更新
- 上
- us
- 可用
- 使用
- 用户
- 运用
- 效用
- Ve
- 车辆
- 供应商
- 厂商
- 警觉
- 重要
- 体积
- 志愿者
- 漏洞
- 漏洞
- 希望
- 是
- 方法..
- 方法
- we
- 武器
- 周
- 每周
- 井
- 什么是
- ,尤其是
- 这
- WHO
- 为什么
- 将
- 胜利
- 工作
- 劳动力
- 加工
- 世界
- 世界杯
- 将
- 作家
- 年
- 完全
- 您一站式解决方案
- 和风网