CISO 专区:Ivanti 的 Mea Culpa;世界杯黑客; CISO 和网络意识

CISO 专区:Ivanti 的 Mea Culpa;世界杯黑客; CISO 和网络意识

时间戳记:5年2024月3日下午26:XNUMX
CISO 专区:Ivanti 的 Mea Culpa;世界杯黑客;首席信息安全官和网络意识柏拉图区块链数据智能。垂直搜索。人工智能。

欢迎来到 CISO Corner,这是专门为安全运营读者和安全领导者量身定制的每周文章摘要。每周,我们都会提供从我们的新闻运营、The Edge、DR Technology、DR Global 和我们的评论部分收集的文章。我们致力于为您提供多样化的观点,以支持各种类型和规模的组织的领导者实施网络安全策略的工作。

本期 CISO 角:

  • CISO 如何使网络安全意识成为董事会的长期优先事项

  • 全球:斋月期间中东网络安全威胁加剧

  • 资助保护互联网安全的组织

  • 2022 年卡塔尔世界杯足球赛如何险些遭到黑客攻击

  • 微软加强 Azure AI 防御

  • Ivanti 承诺在又发现 4 个漏洞后第二天进行安全检查

  • 为什么网络安全是一个全社会问题

CISO 如何使网络安全意识成为董事会的长期优先事项

NINJIO 网络安全意识培训首席执行官 Shaun McAlmont 的评论

网络安全不仅仅是一项勾选练习。为了获得全公司的支持,首席信息安全官需要获得董事会的支持,加强沟通,并提供意识培训计划来对抗社会工程并帮助员工应用他们所学到的知识。

CISO 在为整个公司的网络安全建立利益相关者支持方面发挥着至关重要的作用,包括在获得董事会对意识培训的长期支持方面。制胜策略包括以一种引人入胜且非技术性的方式传达网络安全概念,并向董事会成员表明: 网络安全计划可带来显着的投资回报率.

本专栏列出了 CISO 可以向董事会表明现在是优先考虑网络安全的五种方式:

  1. 知道如何与非技术受众沟通。 对于非技术受众来说,网络安全是一个令人生畏的主题,但事实并非如此。例如,首席信息安全官可以通过指出成功的网络攻击在现实世界中造成的毁灭性后果,为网络安全提供一个易于理解且令人信服的案例。

  2. 关注整个网络影响链。 网络攻击可能会导致严重的声誉损害、运营中断、法律和监管后果,并对公司员工的健康造成严重影响。

  3. 强调人的因素。 CISO 强调,74% 的违规行为涉及人为因素——这令人震惊地提醒我们,社会工程仍然是网络犯罪武器库中最强大的武器之一。

  4. 概述如何衡量意识培训计划。 CISO 需要将问责制作为其意识培训的核心支柱。当董事会成员看到网络安全支出正在得到回报时,首席信息安全官将能够保持支持。

  5. 确保长期支持。 由于网络威胁形势总是在变化,公司必须让员工了解最新的网络犯罪策略,例如使用人工智能大规模制作令人信服且有针对性的网络钓鱼消息。

了解更多: CISO 如何使网络安全成为董事会的长期优先事项

相关新闻: 尽管期望值飙升,首席信息安全官仍在争夺高管地位

斋月期间中东网络安全威胁加剧

作者:Alicia Buller,《Dark Reading》特约作家

在穆斯林斋月期间,该地区的安全团队如何在人员短缺以及 DDoS、网络钓鱼和勒索软件活动增加的情况下加强防御。

世界各地都会庆祝穆斯林历的第九个月,因为追随者会花时间反思和练习禁食,而网络安全团队通常配备骨干人员。斋月也是穆斯林购物者倾向于增加特色食品、礼品和特别优惠支出的时期。

所有这些也为不良行为者进行欺诈活动和诈骗创造了完美风暴。端点保护公司 Resecurity 观察到,在 10 月 100 日开始的斋月期间,网络恶意行为显着增加。该公司估计,今年斋月期间,这些网络攻击和网络诈骗对中东造成的总财务影响已高达 XNUMX 亿美元。

中东公司可以加强网络安全 在工作时间缩短和电子商务活动增加的情况下,需要格外警惕并提供外包支持。

IDC 中东、土耳其和非洲 (META) 安全副研究总监 Shilpi Handa 表示:“许多组织在此期间积极加强其外包合同,特别是注重加强 24/7 安全运营。”他补充说,部署一个斋月期间,远程和多元化的劳动力特别有利,因为穆斯林斋戒者和非穆斯林工作人员可以完全覆盖全天候的安全轮班。

了解更多: 斋月期间中东网络安全威胁加剧

相关新闻: 中东在 DMARC 电子邮件安全部署方面处于领先地位

资助保护互联网安全的组织

作者:Jennifer Lawinski,《Dark Reading》特约作家

Common Good Cyber​​ 是一个连接非营利组织、私营部门和政府组织的全球联盟,为专注于保护互联网基础设施的组织提供资金。

没有一个实体负责 维护和保护互联网。相反,这项任务落在了各种各样的组织和个人身上,他们在资金很少或预算紧张的情况下维持这种公共事业。风险非常高,但可用于保证基础设施安全的资源却不足。

“互联网的关键组成部分是由志愿者、非营利组织、非政府组织以及其他预算和资源极少的人维护的,”帕拉丁全球研究所所长、前美国代理国家网络主管肯巴·瓦尔登 (Kemba Walden) 说。 “考虑一下:我们的数字基础设施的基础,使公民社会能够在当今的经济中蓬勃发展并不断发展的基础设施,依赖于志愿者、非营利组织、非政府组织和其他组织的网络。”

一项名为“共同利益网络”的倡议正在寻找新的方法,为法律和政策、商业政策和政府以及其他足以满足网络安全共同需求的融资工具提供充足的资金。想法包括创建联合资助组织;非营利组织联合筹款;盘点谁在做什么来支持互联网基础设施;以及为保护互联网安全的团体提供资源的中心或加速器。

了解更多: 资助保护互联网安全的组织

相关新闻: 忽视开源开发人员会使互联网面临风险

2022 年卡塔尔世界杯足球赛如何险些遭到黑客攻击

作者:Jai Vijayan,《Dark Reading》特约作家

一家安全供应商表示,与中国有关的威胁行为者可以访问路由器配置数据库,这可能会完全破坏覆盖范围。

在 2022 年卡塔尔 FIFA 世界杯足球赛举行前大约六个月,一名威胁行为者(后来被确认为与中国有关的 BlackTech)悄悄侵入了一家主要比赛通信提供商的网络,并将恶意软件植入了存储网络设备配置的关键系统中。

直到比赛结束六个月后,这一违规行为才被发现,在此期间,网络间谍组织从电信提供商的目标客户那里收集了数量未知的数据,其中包括与世界杯相关的客户以及为其提供服务的供应商。

但真正可怕的部分是“还可能发生什么”:BlackTech 对电信提供商系统的访问权限将允许威胁行为者完全破坏关键通信,包括与游戏相关的所有流媒体服务。这种破坏的后果在地缘政治影响、品牌损害、国家声誉以及潜在的影响方面将是巨大的。 数亿美元的损失 来自世界杯前谈判的许可权和广告。

了解更多: 2022 年卡塔尔世界杯足球赛如何险些遭到黑客攻击

相关新闻: NFL 和 CISA 致力于拦截第 XNUMX 届超级碗比赛的网络威胁

微软加强 Azure AI 防御

作者:Jai Vijayan,《Dark Reading》特约作家

微软添加了一些工具来保护 Azure AI 免受提示注入等威胁,并为开发人员提供确保生成式 AI 应用程序更能抵御模型和内容操纵攻击的功能。

人们越来越担心威胁行为者使用即时注入攻击来获取信息 生成式人工智能 (GenAI) 系统会以危险和意外的方式运行微软的 AI Studio 正在为开发人员提供资源,以构建对这些威胁更具弹性的 GenAI 应用程序。

Azure AI Studio 是一个托管平台,组织可以使用它来构建基于自己的数据的自定义 AI 助手、副驾驶、机器人、搜索工具和其他应用程序。

微软已经添加或即将添加的五项新功能是提示盾、接地检测、安全系统消息、安全评估以及风险和安全监控。这些功能旨在解决研究人员最近发现并在日常工作中继续发现的有关使用大型语言模型 (LLM) 和 GenAI 工具的一些重大挑战。

“生成式人工智能可以成为每个部门、公司和行业的力量倍增器,”微软负责任人工智能首席产品官莎拉·伯德(Sarah Bird)说。 “与此同时,基础模型给安全和保障带来了新的挑战,需要新颖的缓解措施和持续学习。”

了解更多: 微软加强 Azure AI 防御

相关新闻: 忘记 Deepfakes 或网络钓鱼:及时注入是 GenAI 最大的问题

Ivanti 承诺在又发现 4 个漏洞后第二天进行安全检查

作者:Jai Vijayan,《Dark Reading》特约作家

今年到目前为止,Ivanti 共披露了其远程访问产品中的 10 个缺陷(其中许多是严重缺陷)以及 ITSM 产品中的一个缺陷。

Ivanti 首席执行官杰夫·阿博特 (Jeff Abbott) 本周表示,尽管该供应商在其产品中披露了另一组新的错误,但他的公司将彻底改进其安全实践。 漏洞百出的 Ivanti Connect Secure 和策略安全远程访问产品。

在一封致客户的公开信中,雅培承诺公司将在未来几个月内做出一系列改变,以转变其安全运营模式,因为自 1 月份以来不断有大量错误披露。承诺的修复包括彻底重新设计 Ivanti 的工程、安全和漏洞管理流程,以及实施新的产品开发安全设计计划。

鉴于 Ivanti 最近的安全记录,这些承诺将在多大程度上帮助遏制客户对 Ivanti 日益增长的失望情绪,目前尚不清楚。事实上,Abbot 发表评论的一天前,Ivanti 披露了其 Connect Secure 和 Policy Secure 网关技术中的四个新错误,并为每个错误发布了补丁。

了解更多: Ivanti 承诺在又发现 4 个漏洞后第二天进行安全检查

相关新闻: 美联储对微软:立即采取行动清理你的云安全

为什么网络安全是一个全社会问题

Garrison Technology 现场首席技术官 Adam Maruyama 评论

共同努力并将网络安全纳入我们企业和个人思维的一部分,可以让黑客的生活变得更加困难,也让我们自己更加安全。

我们正被漏洞淹没:网络安全和基础设施安全局 (CISA) 主任 Jen Easterly 在最近一次有关中国网络运营的国会听证会上简单地说,通过糟糕的软件设计,“我们让攻击者变得容易”。但需要全社会的努力来重塑网络安全市场,以创造高性能和安全的技术。

正如 CISA 在其“设计安全”倡议中所阐述的那样, 供应商的安全编码 是创建既安全又可用的技术的第一步。但正如伊斯特利所说,企业必须认识到“网络风险就是商业风险”,将网络安全纳入其所有业务实践。特别是,通过提高 CISO 的地位并给予他们对整个业务(特别是采购决策)的全面网络安全监督,公司可以将网络安全作为业务流程中的一个有机步骤。

与此同时,网络安全和 IT 专业人员——两个密切相关但经常发生冲突的群体——必须齐心协力,为用户构建既安全又实用的网络。而且,全社会网络安全方法的最后一部分既是最困难也是最关键的:通过多因素身份验证等方式将网络安全融入公民的日常生活。

了解更多: 为什么网络安全是一个全社会问题

相关新闻: NIST 希望帮助解决 NVD 积压问题

时间戳记:

更多来自 暗读