Dark Reading’in özellikle güvenlik operasyonları okuyucuları ve güvenlik liderleri için hazırlanmış haftalık makale özeti olan CISO Corner’a hoş geldiniz. Her hafta haber operasyonumuz The Edge, DR Technology, DR Global ve Yorumlar bölümümüzden derlenen makaleleri sunacağız. Her şekil ve büyüklükteki kuruluştaki liderler için siber güvenlik stratejilerini operasyonel hale getirme işini desteklemek üzere size çeşitli bakış açıları sunmaya kararlıyız.
CISO Corner’ın bu sayısında:
-
CISO’lar ve Şirketleri SEC İfşa Kurallarına Uyma Mücadelesi Veriyor
-
Podcast: Karanlık Okuma Gizli: CISO ve SEC
-
2024 Yılının En Tehlikeli 5 Siber Tehdidi
-
DR Global: Singapur Siber Güvenlik Güncellemesi Bulut Sağlayıcılarını Dikkate Aldı
-
Siber İşgücü Eksikliği Yok
-
CISA’nın Tasarım Taahhüdü Güvencesi Dişsiz mi?
CISO’lar ve Şirketleri SEC İfşa Kurallarına Uyma Mücadelesi Veriyor
Yazan: Rob Lemos, Katkıda Bulunan Yazar, Dark Reading
Çoğu şirket, SEC’in zorunlu kıldığı dört gün içinde bir ihlalin önemli olup olmadığını hala belirleyemiyor, bu da olaya müdahaleyi çarpıtıyor.
Şirketler, SEC’e önemli bir ihlal bildiriminde bulunmamaları halinde milyonlarca dolar para cezasıyla karşı karşıya kalabilir. Ancak bulut güvenlik firması VikingCloud tarafından 16 Mayıs’ta yayınlanan bir ankete göre genel olarak siber güvenlik ekiplerinin %68’i şirketlerinin dört günlük ifşa kuralına uyabileceğine inanmıyor.
En büyük halka açık şirketlerin, şiddetli hava koşullarından ekonomik değişikliklere ve jeopolitik huzursuzluğa kadar çeşitli olayların maddi bir etkiye sahip olup olmayacağını belirlemek için halihazırda açıklama komiteleri var. Ancak PricewaterhouseCoopers danışmanlık şirketindeki Siber ve Gizlilik İnovasyon Enstitüsü’nün lideri Matt Gorham, büyük şirketlerin bir yılı aşkın bir süredir (hatta kural kesinleşmeden önce) bu konuya odaklandığını söylüyor. Şirketlerin, her olay için bu süreç üzerinde çalışırken belgelenmiş bir süreç oluşturmaya ve eşzamanlı kanıtları kaydetmeye odaklanması gerekir.
“Bir şirketten diğerine ve olaylar arasında büyük bir eşitsizlik var” diyor. “Başlangıçta buna karar vermiş olabilirsiniz [the breach] o noktada maddi olmayabilir, ancak hasarı değerlendirmeye devam etmeniz ve maddi seviyeye yükselip yükselmediğine bakmanız gerekecek.”
Devamını oku: CISO’lar ve Şirketleri SEC İfşa Kurallarına Uyma Mücadelesi Veriyor
İlgili: Veri İhlalinin Anatomisi: Başınıza Gelirse Ne Yapmalısınız?20 Haziran’da yapılması planlanan ücretsiz bir Karanlık Okuma sanal etkinliği. Verizon’dan Alex Pinto, DBIR bulgularını ve daha fazlasını ayrıntılarıyla anlatan “Yakın Yakın: Gerçek Dünya Veri İhlalleri” başlıklı bir açılış konuşması yapacak.
Podcast: Karanlık Okuma Gizli: CISO ve SEC
Sunuculuğunu Dark Reading’in Kıdemli Editörü Becky Bracken ve Genel Yayın Yönetmeni Kelly Jackson Higgins üstleniyor
Dark Reading Confidential’ın 1. Bölümünde Reddit’in CISO’su Frederick “Flee” Lee; Birçok CISO’yu temsil eden, aktif bir siber avukat olan Beth Burgin Waller; ve Reddit’in Baş Hukuk Sorumlusu Ben Lee masaya oturuyor.
Bu, Dark Reading editörlerinin hazırladığı yepyeni bir podcast; burada size doğrudan siber siperlerden gelen gerçek dünya hikayelerini sunmaya odaklanacağız. İlk bölüm, Menkul Kıymetler ve Borsa Komisyonu (SEC) ile halka açık şirketlerde bilgi güvenliği şefinin (CISO) rolü arasındaki giderek karmaşıklaşan ilişkiyi ele alıyor.
Uber’den Joe Sullivan ve SolarWinds yöneticilerinin ihlallerden sorumlu bulunmasının ardından, CISO’lar artık ihlallerin ne olduğunu doğru şekilde yorumlamak gibi ikili bir zorlukla karşı karşıya. SEC, siber olaylara yönelik yeni kurallarıyla şunu ifade ediyor:ve ayrıca kendi kişisel sorumlulukları.
Devamını oku: Karanlık Okuma Gizliliği: CISO ve SEC (transkript mevcut)
İlgili: Eski Uber CISO, Güvenlik Yöneticileri için ‘Kişisel Olay Müdahale Planını’ Savunuyor
2024 Yılının En Tehlikeli 5 Siber Tehdidi
Yazan: Ericka Chickowski, Katkıda Bulunan Yazar, Dark Reading
SANS Enstitüsü uzmanları, işletmelerin ve genel olarak halkın karşılaştığı en önemli tehdit vektörlerine ağırlık veriyor.
2024’e yalnızca beş ay kaldı ve bu yıl, siber güvenlik uygulayıcıları için yoğun bir yıl oldu. Peki yılın geri kalanında bizi neler bekliyor? SANS Teknoloji Enstitüsü’ne göre, SANS uzmanları tarafından işaretlenen ve işletmelerin endişelenmesi gereken beş önemli tehdit var.
1. Teknik Borcun Güvenlik Etkisi: Teknik borcun geride bıraktığı güvenlik çatlakları, acil ve yeni bir tehdit gibi görünmeyebilir, ancak SANS Teknoloji Enstitüsü araştırma dekanı Dr. Johannes Ullrich’e göre kurumsal yazılım yığını, art arda gelen sorunlar için bir dönüm noktasında.
2. Yapay Zeka Çağında Sentetik Kimlik: Ullrich, insanları taklit etmek için sahte videolar ve sahte seslerin kullanıldığını ve bunların son on yılda güç kazanan biyometrik kimlik doğrulama yöntemlerinin çoğunu boşa çıkaracağını söyledi. “Bugün oyunun kurallarını değiştiren şey bu taklitlerin kalitesi değil” dedi. “Oyunu değiştiren şey maliyettir. Bunu yapmak ucuz hale geldi.”
3. Seks şantajı: SANS öğretim üyesi ve Cellebrite’ın toplumsal ilişkilerden sorumlu kıdemli yöneticisi Heather Mahalik Barnhart’a göre suçlular, internet sakinlerini cinsel resim veya videolarla giderek daha fazla şantaj yapıyor ve kurban istediklerini yapmazsa onları serbest bırakacakları tehdidinde bulunuyor. Yapay zeka tarafından oluşturulan son derece ikna edici görsellerin çağında, bu resimlerin veya videoların zarar vermesi için gerçek olmasına bile gerek yok. Bu “yaygınlaşan” bir sorun, dedi.
4. GenAI Seçim Tehditleri: SANS eğitmeni ve AWS güvenlik mühendisi Terrence Williams, sahte medya manipülasyonu ve yapay zeka tarafından oluşturulan diğer üretken seçim tehditlerinin tüm büyük platformlarda her zaman mevcut olacağı konusunda uyardı. “Bize GenAI nimetini artı bir seçim sunduğu için 2024’e teşekkür edebilirsiniz” dedi. “Bu tür şeylerle ne kadar iyi başa çıktığımızı biliyorsun, bu yüzden şu anda neyle karşı karşıya olduğumuzu anlamamız gerekiyor.”
5. Tehdit Çarpanı Olarak Saldırgan Yapay Zeka: SANS üyesi ve uzun süredir saldırı güvenliği araştırmacısı olan Stephen Sims’e göre, GenAI daha karmaşık hale geldikçe, en teknik olmayan siber saldırganların bile artık kötü niyetli kampanyaları hızlı bir şekilde başlatıp yürütmek için parmaklarının ucunda daha esnek bir araç cephaneliği var.
“Şu anda yapabileceğimiz hız Güvenlik açıklarını keşfedin ve bunları silah haline getirin Son derece hızlı ve daha da hızlanıyor” dedi Sims.
Devamını oku: 2024 Yılının En Tehlikeli 5 Siber Tehdidi
İlgili: Suçlular Sentetik Kimlik Dolandırıcılığı İçin Neden Yapay Zekayı Seviyor?
Kuruluşunuzun Yapay Zeka Komitesinin Şampiyonu Olmak İçin 3 İpucu
Aim Security CEO’su ve Kurucu Ortağı Matan Getz’in yorumu
CISO’lar artık kurumsal yönetim liderliğinin bir parçası olarak kabul ediliyor ve yalnızca güvenliği değil aynı zamanda iş başarısını da artırma sorumluluğuna ve fırsatına sahipler.
Kuruluşlar, yapay zekanın kendi spesifik tekliflerinden nasıl yararlanabileceği konusunda bilgi sahibi oldukça ve yapay zekanın benimsenmesindeki riskleri tespit etmeye çalışırken, ileriyi düşünen birçok şirket, bu yeni hizmete iyi hazırlandıklarından emin olmak için organizasyonları içinde halihazırda özel yapay zeka paydaşları oluşturmuştur. bu devrim.
Baş bilgi güvenliği görevlileri (CISO’lar) bu komitenin kalbidir ve tavsiyelerinin uygulanmasından nihai olarak sorumlu olan kişilerdir. Bu nedenle önceliklerini, görevlerini ve potansiyel zorluklarını anlamak, engel olmak yerine işi kolaylaştıran olmak isteyen CISO’lar için çok önemlidir.
CISO’ların yapay zeka komitesinde en önemli varlık olmak ve başarısını sağlamak için rehber olarak kullanabileceği üç temel ilke vardır:
1. Bir ile başlayın kapsamlı bir değerlendirme: Bilmediğiniz şeyi koruyamazsınız.
2. Aşamalı bir benimseme yaklaşımı uygulayın: Aşamalı bir benimseme yaklaşımının uygulanması, güvenliğin benimsemeye eşlik etmesine ve benimsemenin gerçek zamanlı güvenlik sonuçlarını değerlendirmesine olanak tanır. Kademeli benimsemeyle CISO’lar paralel güvenlik kontrollerini benimseyebilir ve başarılarını ölçebilir.
3. EVET olun! adam – ancak korkuluklarla: Tehditlere karşı koruma sağlamak için CISO’lar, riskli veya kötü niyetli veya uyumluluk standartlarını ihlal eden istemleri tanımlamak ve ardından uyarmak için içerik tabanlı korumalar kurmalıdır. Yeni yapay zeka odaklı güvenlik çözümleri, müşterilerin kendi benzersiz güvenli istem parametrelerini ayarlamalarına ve tanımlamalarına da olanak tanıyabilir.
Devamını oku: Kuruluşunuzun Yapay Zeka Komitesinin Şampiyonu Olmak İçin 3 İpucu
İlgili: ABD’li Yapay Zeka Uzmanları SugarGh0st RAT Kampanyasında Hedef Alınıyor
Küresel: Singapur Siber Güvenlik Güncellemesi Bulut Sağlayıcılarını Dikkate Aldı
Yazan: Robert Lemos, Katkıda Bulunan Yazar, Dark Reading
Ülke, Siber Güvenlik Yasasını değiştirerek birincil siber güvenlik kurumuna kritik altyapıyı ve üçüncü tarafları düzenleme konusunda daha fazla yetki veriyor ve siber olayların rapor edilmesini zorunlu kılıyor.
Singapur’daki milletvekilleri, kritik altyapı yönetim sistemlerini çalıştırmanın bulut altyapısı üzerindeki etkisini ve kritik altyapı operatörleri tarafından üçüncü taraf sağlayıcıların kullanımının yanı sıra, kritik altyapı yönetim sistemlerini de hesaba katarak ülkenin siber güvenlik düzenlemelerini 7 Mayıs’ta güncelledi. Asya’da siber tehdit ortamı bu giderek daha tehlikeli hale geliyor.
Singapur İletişim ve Enformasyon Bakanlığı kıdemli devlet bakanı Janil Puthucheary, çok sayıda kritik bilgi altyapısı operatörünün operasyonlarının bazı yönlerini üçüncü taraflara ve bulut sağlayıcılara devrettiği göz önüne alındığında, bu hizmet sağlayıcılarını sorumlu tutmak için yeni kurallara ihtiyaç duyulduğunu söyledi. ülke parlamentosu önünde yaptığı konuşmada.
“2018 Yasası, fiziksel sistemler olan CII’yi düzenlemek için geliştirildi, ancak o zamandan bu yana yeni teknoloji ve iş modelleri ortaya çıktı” dedi. “Dolayısıyla, CII’leri daha iyi düzenlememize izin verecek şekilde Yasayı güncellememiz gerekiyor, böylece hangi teknoloji veya iş modeli üzerinde çalışırlarsa çalışsınlar siber tehditlere karşı güvenli ve dirençli olmaya devam etsinler.”
Devamını oku: Singapur Siber Güvenlik Güncellemesi Bulut Sağlayıcılarını Dikkate Aldı
İlgili: Singapur Siber Güvenlik Hazırlığında Çıtayı Yükseklere Taşıyor
Siber İşgücü Eksikliği Yok
Rex Booth, CISO, SailPoint’in yorumu
Piyasada çok değerli adaylar var. İşe alma yöneticileri sadece yanlış yerlere bakıyorlar.
İşe alma yöneticileri, bir yerlerde “mükemmel” bir adayın bulunması gerektiğine inandıkları halde, yeterli vasıflara sahip olmadığı düşünülen adayları işe almakta genellikle tereddüt ederler. Ama gerçek şu ki mükemmel bir aday [a bachelor’s degree in cybersecurity, Security+ (CISSP preferred) training, and $30,000 worth of SANS courses] muhtemelen üçüncü vardiya SOC pozisyonuyla ilgilenmiyor; bu da işe alım yöneticilerinin yeni çalışanları nerede aradıklarını ve hangi niteliklerin en önemli olduğunu yeniden değerlendirmeleri gerektiği anlamına geliyor.
Aday havuzlarını az sayıda keyfi niteliklere göre daraltarak kuruluşlar ve işe alım görevlileri, kimlik bilgileri edinme ve sınavlara girme konusunda iyi olan adayları kendileri seçiyor; bunların hiçbiri siber güvenlik alanında uzun vadeli başarı ile ilişkili değil. Bu küçük aday havuzuna öncelik vermek, aynı zamanda analitik potansiyele sahip, teknik vaatlerde bulunan ve profesyonel bağlılığa sahip, doğru dereceyi almamış veya doğru eğitim kursuna katılmamış çok sayıda adayı gözden kaçırmak anlamına da gelir.
Kuruluşlar bu adaylardan faydalanarak şunları bulacaklardır: “siber işgücü sıkıntısı“Bu kadar ilgi gören şey çözülmesi o kadar da zor bir sorun değil sonuçta.
Devamını oku: Siber İşgücü Eksikliği Yok
İlgili: Siber Güvenlik Daha Çeşitli Hale Geliyor… Cinsiyet Dışında
CISA’nın Tasarım Taahhüdü Güvencesi Dişsiz mi?
Yazan: Nate Nelson, Katkıda Bulunan Yazar, Dark Reading
CISA’nın anlaşması gönüllüdür ve açıkçası temeldir. İmzacılar bunun iyi bir şey olduğunu söylüyor.
Geçtiğimiz hafta 2024’teki RSA Konferansı’nda Microsoft, Amazon Web Service (AWS), IBM, Fortinet ve daha birçok marka adı, ABD’nin önde gelen siber otoritesi tarafından tanımlanan yedi hedefi karşılamaya yönelik adımlar atmaya karar verdi.
CISA’nın Tasarım Yoluyla Güvenlik taahhüdü aşağıdakilerden oluşur: güvenlik iyileştirme alanları yedi ana kategoriye ayrılmıştır: çok faktörlü kimlik doğrulama (MFA), varsayılan şifreler, tüm güvenlik açığı sınıflarının azaltılması, güvenlik yamaları, güvenlik açığı açıklama politikası, CVE’ler ve izinsiz giriş kanıtları.
Taahhüt, devrim niteliğinde hiçbir şey içermiyor ve herhangi bir dişe sahip değil (gönüllüdür ve yasal olarak bağlayıcı değildir). Ancak olaya dahil olanlar için bunların hepsi konu dışı.
İmzacılardan biri olan Huntress’in tehdit operasyonları kıdemli direktörü Chris Henderson, “Doğrudan yetkiye sahip olmasalar da, beklentinin ne olduğunu tanımlamaya başlayarak dolaylı bir yetkinin olduğunu düşünüyorum” diyor.
Devamını oku: CISA’nın Tasarım Taahhüdü Güvencesi Dişsiz mi?
İlgili: Salı Yaması: Microsoft Windows DWM Sıfır Gün Kitlesel Suistimale Hazır