CISO 专区：人工智能供应链；人工智能安全平台；网络意识

欢迎来到 CISO Corner，这是专门为安全运营读者和安全领导者量身定制的每周文章摘要。每周，我们都会提供从我们的新闻部门、The Edge、DR Technology、DR Global 和我们的评论部分收集的文章。我们致力于为您提供多样化的观点，以支持各种类型和规模的组织的领导者实施网络安全策略的工作。

本期 CISO 角

人工智能驱动的安全平台之争愈演愈烈

作者：Robert Lemos，《Dark Reading》特约作家

微软、谷歌和 Simbian 都提供了生成式人工智能系统，允许安全运营团队使用自然语言来自动化网络安全任务。

谷歌和微软都投入了大量资源来开发用于网络安全的生成人工智能（AI）工具。 Microsoft 的 Security Copilot 可以在生成人工智能的帮助下发现漏洞、收集和分析数据。 谷歌的安全双子座 是类似的竞争对手服务。

现在，一家初创公司加入了竞争，Simbian 拥有自己的系统，该系统利用生成式 AI 以及大型语言模型 (LLM)，通过自动配置事件管理系统 (SIEM) 或安全编排、自动化和响应 (SOAR) 来帮助安全团队）。

虽然每种产品都有自己的优点，但它们都致力于简化紧张的网络安全团队的流程。尚未回答的问题是团队最终是否会相信自动化系统会按预期运行。

了解更多： 人工智能驱动的安全平台之争愈演愈烈

相关新闻： 人工智能和自动化如何帮助弥合网络安全人才差距

为什么 MLBOM 对于保护 AI/ML 供应链很有用

保护人工智能 CISO Diana Kelley 的评论

机器学习物料清单 (MLBOM) 框架可以为 AI 和 ML 供应链带来透明度、可审计性、控制力和取证洞察力。

软件物料清单 (SBOM) 已成为识别构成应用程序的代码的重要工具，但在人工智能 (AI) 时代，SBOM 在机器学习框架中存在一些局限性。

机器学习软件物料清单 (MLBOM) 可以填补传统 SBOM 中的空白，并增加对数据和资产的保护。

阅读更多： 为什么 MLBOM 对于保护 AI/ML 供应链很有用

相关新闻： SBOM 的现状

网络安全意识之战

评论：Erik Gross，CISO，QAD

投资网络安全技能可以为每个人创造一个更安全的数字世界。

传播风险意识是减轻网络安全风险的最佳方法，但不断对人员进行有关最新威胁的培训和再培训的任务可能令人望而生畏。人工智能时代让它变得更加困难。

建立安全文化至关重要，可以通过深思熟虑来实现 网络安全培训 注重个人方法、讲故事，并帮助人们轻松地公开谈论网络安全。人类是不可预测的，承认人类是复杂生物的网络安全培训过程取得了最大的成功。

阅读更多： 网络安全意识之战

相关：问答： 工业网络中的网络安全培训差距

雄心勃勃的培训计划挖掘盲人和视障人才

作者：Jennifer Lawinski，《Dark Reading》特约作家

Novacoast 的 Apex 计划帮助视力障碍人士为网络安全职业做好准备。

盲人和视障人士 (BVI) 是尚未开发的人才资源 网络安全公司努力吸引人才。只需一台配备屏幕阅读器和盲文键盘的计算机，英属维尔京群岛人就可以成为有价值的贡献者。两位网络首席执行官推出了 Apex 计划，这是一个为想要进入网络安全领域的英属维尔京群岛人提供的在线点播课程。

到目前为止，已有四名学生完成了课程，其中一名学生已经找到了 SOC 1 分析师的工作。现在白宫也介入其中，甚至还有一部以 Apex 计划为主题的短片正在制作中。

阅读更多： 雄心勃勃的培训计划挖掘盲人和视障人才

相关新闻： 企业克服网络安全技能短缺的 3 种方法

越南网络犯罪集团 CoralRaider Nets 财务数据

作者：Robert Lemos，《Dark Reading》特约作家

CoralRaider 拥有复杂的攻击链并使用 Telegram 进行指挥和控制，其目标是亚洲国家的受害者，而且似乎也意外感染了自己。

一个新人在 越南网络犯罪 在这个场景中，一个名为 CoralRaider 的组织正在采取行动，并犯了一些新手错误，例如感染自己的系统。

Cisco Talos 的安全研究人员一直在跟踪 CoralRaider 的活动，发现他们的动机是利润，尽管该组织在开展业务方面遇到了困难。到目前为止，思科 Talos 分析师尚未看到任何迹象表明 CoralRaider 已成功交付有效负载，但该组织正在积极努力提高其网络犯罪技能。

阅读更多： 越南网络犯罪集团 CoralRaider Nets 财务数据

相关新闻： 勒索软件、垃圾银行账户：网络威胁在越南激增

XZ Utils Scare 揭露软件安全的残酷真相

作者：Jai Vijayan，《Dark Reading》特约作家

企业软件堆栈中嵌入的大部分开源代码都来自小型、资源不足、志愿者运行的项目。

最近在 XZ Utils 工具中发现的后门应该给网络团队敲响警钟，让他们知道开源存储库充满了漏洞。

这些项目由志愿者运营，资源不足，无法跟上最新的威胁。 XZ Utils 本身就是一个人操作的。使用这些开源代码的企业需要自行承担风险。

建议各组织审查其使用 来自公共存储库的代码 并确定他们是否有适当的安全控制措施。专家还建议让工程和网络安全团队定义开源代码的流程和角色。

阅读更多： XZ Utils Scare 揭露软件安全的残酷真相

美国国家安全局更新零信任建议以减少攻击面

作者：暗读人员

该机构鼓励更广泛地使用加密、数据丢失防护以及数据权限管理来保护数据、网络和用户。

其不断努力为公共部门和私营部门提供支持，以实现 零信任之路国家安全局发布了与数据保护相关的指南，或者按照国家安全局的说法，“数据支柱”。该机构的建议包括使用加密、标记、标签等。

在此数据安全指南之前，美国国家安全局提供了有关网络宏观和微观分段及其在建立零信任框架中的作用的详细指南。

阅读更多： 美国国家安全局更新零信任建议以减少攻击面

相关新闻： 美国国家安全局的零信任准则侧重于细分

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cybersecurity-operations/ciso-corner-securing-ai-supply-chain-ai-powered-security-platforms-cyber-awareness