Dark Reading’in özellikle güvenlik operasyonları okuyucuları ve güvenlik liderleri için hazırlanmış haftalık makale özeti olan CISO Corner’a hoş geldiniz. Her hafta haber operasyonumuz The Edge, DR Technology, DR Global ve Yorumlar bölümümüzden derlenen makaleleri sunacağız. Her şekil ve büyüklükteki kuruluştaki liderler için siber güvenlik stratejilerini operasyonel hale getirme işini desteklemek üzere size çeşitli bakış açıları sunmaya kararlıyız.
CISO Corner’ın bu sayısında:
-
Kindervag Diyor ki: Bulut Güvenliğinin Durumu 2024 Hakkında 5 Zor Gerçek
-
MITRE ATT&CKED: InfoSec’in En Güvenilir İsmi Ivanti Bugs’a Düştü
-
OWASP Yüksek Lisans İlk 10’undan CISO’lar için Dersler
-
Cyberattack Gold: SBOM’lar Savunmasız Yazılımların Kolay Sayımını Sunuyor
-
Küresel: Faturalandırma Lisansı Var mı? Siber Güvenlik Uzmanlarının Milletler Yetkisi Sertifikasyonu ve Lisansı
-
Johnson & Johnson Siber Güvenliği En Üst Düzeye Çıkarma Konusunda Spin-Off CISO’su
-
SolarWinds 2024: Siber İfşaatlar Buradan Nereye Gidiyor?
Bulut Güvenliğinin Durumu 2024 Hakkında 5 Zor Gerçek
Yazan: Ericka Chickowski, Katkıda Bulunan Yazar, Dark Reading
Dark Reading, sıfır güvenin vaftiz babası John Kindervag ile bulut güvenliğinden bahsediyor.
Çoğu kuruluş tam olarak çalışmıyor olgun bulut güvenliği uygulamalarıİhlallerin neredeyse yarısının buluttan kaynaklanmasına ve geçen yıl bulut ihlallerinden dolayı neredeyse 4,1 milyon dolar kaybına rağmen.
Sıfır güven güvenliğinin vaftiz babası, Forrester’da bir analist olarak sıfır güven güvenlik modelini kavramsallaştıran ve popüler hale getiren John Kindervag’a göre bu büyük bir sorun. Dark Reading’e, işleri tersine çevirmek için yüzleşilmesi gereken bazı sert gerçekler olduğunu söylüyor.
1. Yalnızca buluta giderek daha güvenli hale gelemezsiniz: Bulut, doğası gereği çoğu şirket içi ortamdan daha güvenli değildir: hiper ölçekli bulut sağlayıcıları altyapıyı korumada çok iyi olabilir, ancak müşterilerinin güvenlik durumu üzerindeki kontrol ve sorumlulukları çok sınırlıdır. Ve paylaşılan sorumluluk modeli gerçekten işe yaramıyor.
2. Hibrit bir dünyada yerel güvenlik kontrollerini yönetmek zordur: Müşterilere iş yükleri, kimlikleri ve görünürlükleri üzerinde daha fazla kontrol sunma konusunda kalite tutarsızdır, ancak çoklu bulutların tamamında yönetilebilen güvenlik kontrollerinin bulunması zordur.
3. Identity bulutunuzu kaydetmez: Bulut kimlik yönetimine bu kadar çok önem verilmesi ve sıfır güvende kimlik bileşenine orantısız dikkat gösterilmesi nedeniyle kuruluşların, bulutta sıfır güven için kimliğin dengeli bir kahvaltının yalnızca bir parçası olduğunu anlaması önemlidir.
4. Pek çok firma neyi korumaya çalıştığını bilmiyor: Her varlık, sistem veya süreç kendine özgü bir risk taşıyacaktır ancak kuruluşlar, bırakın neyin korunması gerektiğini, bulutta neyin olduğu veya buluta neyin bağlandığına dair net bir fikre sahip değildir.
5. Bulut tabanlı geliştirme teşvikleri artık geçerliliğini yitirdi: Pek çok kuruluş, geliştiricilerin güvenlik konusunda ilerlemelerini sağlayacak doğru teşvik yapılarına sahip değil ve aslında birçoğunun, güvensiz uygulamaları teşvik eden ters teşvikleri var. Kindervag, “DevOps uygulaması çalışanlarının BT’nin Ricky Bobby’leri olduğunu söylemek hoşuma gidiyor. Onlar sadece hızlı ilerlemek istiyorlar” diyor.
Devamını oku: Bulut Güvenliğinin Durumu 2024 Hakkında 5 Zor Gerçek
İlgili: Sıfır Güven Devraldı: Küresel çapta Uygulayan Kuruluşların %63’ü
MITRE ATT&CKED: InfoSec’in En Güvenilir İsmi Ivanti Bugs’a Düştü
Yazan: Nate Nelson, Katkıda Bulunan Yazar, Dark Reading
Bir ulus-devlet tehdit aktörü, MITRE’yi ihlal etmek için sekiz MITRE tekniği kullandığından, bu ironi çok az kişide kayboluyor; saldırganların aylardır akın ettiği Ivanti hatalarından yararlanmak da dahil.
Yabancı ulus devlet korsanları kullandı savunmasız Ivanti uç cihazları MITRE Corp.’un sınıflandırılmamış ağlarından birine üç aylık “derin” erişim elde etmek.
Yaygın olarak bilinen siber saldırı teknikleri ile ilgili her yerde bulunan ATT&CK sözlüğünün sorumlusu olan MITRE, daha önce 15 yıl boyunca büyük bir olay yaşamamıştı. Bu seri, diğer birçok kuruluş gibi, Ivanti ağ geçidi cihazlarının istismar edildiği Ocak ayında sona erdi.
İhlal, kuruluşun araştırma, geliştirme ve prototip oluşturmak için kullandığı, sınıflandırılmamış, işbirliğine dayalı bir ağ olan Ağ Bağlantılı Deney, Araştırma ve Sanallaştırma Ortamını (NERVE) etkiledi. SİNİR hasarının boyutu (amaçlanan) şu anda değerlendiriliyor.
Hedefleri ne olursa olsun, bilgisayar korsanlarının bunları gerçekleştirmek için yeterli zamanı vardı. Her ne kadar uzlaşma Ocak ayında gerçekleşmiş olsa da, MITRE bunu ancak Nisan ayında tespit edebildi ve arada çeyrek yıllık bir boşluk kaldı.
Devamını oku: MITRE ATT&CKED: InfoSec’in En Güvenilir İsmi Ivanti Bugs’a Düştü
İlgili: En İyi MITRE ATT&CK Teknikleri ve Bunlara Karşı Nasıl Savunma Yapılır?
OWASP Yüksek Lisans İlk 10’undan CISO’lar için Dersler
Venafi İnovasyon Direktörü Kevin Bocek’in yorumu
Doğru şekilde eğitildiklerinden ve kârı etkileyebilecek iş anlaşmalarını halletmeye hazır olduklarından emin olmak için LLM’leri düzenlemeye başlamanın zamanı geldi.
OWASP yakın zamanda büyük dil modeli (LLM) uygulamaları için ilk 10 listesini yayınladı; bu nedenle geliştiricilerin, tasarımcıların, mimarların ve yöneticilerin artık güvenlik endişeleri söz konusu olduğunda net bir şekilde odaklanacak 10 alanı var.
Hemen hemen hepsi En önemli 10 LLM tehdidi modellerde kullanılan kimlikler için kimlik doğrulama konusunda uzlaşmaya odaklanıyor. Farklı saldırı yöntemleri, yalnızca model girdilerinin kimliklerini değil, aynı zamanda modellerin kimliklerini, çıktılarını ve eylemlerini de etkileyerek geniş bir yelpazeyi yönetir. Bunun zincirleme bir etkisi vardır ve güvenlik açığını kaynağında durdurmak için kod imzalama ve oluşturma süreçlerinde kimlik doğrulama gerektirir.
İlk 10 riskin yarısından fazlası esasen hafifletilmiş ve yapay zeka için acil anahtarı gerektiren riskler olsa da, şirketlerin yeni LLM’leri dağıtırken seçeneklerini değerlendirmesi gerekecek. Girdilerin ve modellerin yanı sıra modellerin eylemlerinin de doğrulanması için doğru araçlar mevcutsa, şirketler yapay zeka acil durum anahtarı fikrinden yararlanmak ve daha fazla yıkımı önlemek için daha iyi donanıma sahip olacak.
Devamını oku: OWASP Yüksek Lisans İlk 10’undan CISO’lar için Dersler
İlgili: Bugcrowd LLM’ler için Güvenlik Açığı Derecelendirmelerini Açıkladı
Cyberattack Gold: SBOM’lar Savunmasız Yazılımların Kolay Sayımını Sunuyor
Yazan: Rob Lemos, Katkıda Bulunan Yazar, Dark Reading
Saldırganlar, belirli yazılım kusurlarına karşı potansiyel olarak savunmasız olan yazılımları aramak için büyük olasılıkla yazılım malzeme listelerini (SBOM’lar) kullanacaklardır.
Hükümet ve güvenliğe duyarlı şirketler, yazılım üreticilerinin tedarik zinciri riskini ele almak için kendilerine yazılım malzeme listeleri (SBOM’lar) sağlamalarını giderek daha fazla talep ediyor; ancak bu, yeni bir endişe kategorisi yaratıyor.
Özetle: Yazılım şirketinde ürün güvenliği araştırması ve analizi direktörü Larry Pesce, hedeflenen şirketin hangi yazılımı çalıştırdığını belirleyen bir saldırganın, tek bir paket göndermeden ilgili SBOM’u alabileceğini ve uygulamanın bileşenlerini zayıf noktalar açısından analiz edebileceğini söylüyor. tedarik zinciri güvenlik şirketi Finite State.
Kendisi, Mayıs ayında RSA Konferansında “Kötü SBOM’lar” konulu bir sunumda risk konusunda uyarıda bulunmayı planlayan, 20 yıllık eski bir penetrasyon test uzmanıdır. SBOM’ların saldırganlara izin verecek yeterli bilgiye sahip olduğunu gösterecek. SBOM’lardan oluşan bir veritabanında belirli CVE’leri arayın ve muhtemelen savunmasız olan bir uygulamayı bulun. Saldırganlar için daha da iyisi, SBOM’ların saldırganın uzlaşma sonrasında “karadan geçinmek” için kullanabileceği cihazdaki diğer bileşenleri ve yardımcı programları da listeleyeceğini söylüyor.
Devamını oku: Cyberattack Gold: SBOM’lar Savunmasız Yazılımların Kolay Sayımını Sunuyor
İlgili: Southern Company Elektrik Trafo Merkezi için SBOM İnşa Ediyor
Küresel: Faturalandırma Lisansı Var mı? Siber Güvenlik Uzmanlarının Milletler Yetkisi Sertifikasyonu ve Lisansı
Yazan: Robert Lemos, Katkıda Bulunan Yazar, Dark Reading
Malezya, Singapur ve Gana, siber güvenlik gerektiren yasaları çıkaran ilk ülkeler arasında yer alıyor Firmaların ve bazı durumlarda bireysel danışmanların iş yapmak için lisans almaları gerekiyor ancak endişeler devam ediyor.
Malezya en az iki ülkeye daha katıldı: Singapur ve Gana – siber güvenlik profesyonellerinin veya firmalarının ülkelerinde bazı siber güvenlik hizmetleri sağlamak üzere sertifikalandırılmasını ve lisanslanmasını gerektiren yasaları çıkarıyor.
Mevzuatın talimatları henüz belirlenmemiş olsa da, “bu muhtemelen başka bir kişinin bilgi ve iletişim teknolojisi cihazını korumaya yönelik hizmetler sağlayan hizmet sağlayıcılar için geçerli olacaktır.” [for example] Malezya merkezli hukuk firması Christopher & Lee Ong’a göre penetrasyon testi sağlayıcıları ve güvenlik operasyon merkezleri.
Asya-Pasifik komşusu Singapur, son iki yıldır siber güvenlik hizmet sağlayıcılarının (CSP’ler) lisanslanmasını talep ediyor ve Batı Afrika ülkesi Gana da siber güvenlik profesyonellerinin lisanslanması ve akreditasyonunu gerektiriyor. Daha geniş anlamda, Avrupa Birliği gibi hükümetler siber güvenlik sertifikalarını normalleştirirken, ABD’nin New York eyaleti gibi diğer kurumlar belirli endüstrilerdeki siber güvenlik yetenekleri için sertifika ve lisans talep ediyor.
Ancak bazı uzmanlar bu hamlelerin potansiyel olarak tehlikeli sonuçları olduğunu düşünüyor.
Devamını oku: Bill’e lisanslı mı? Siber Güvenlik Uzmanlarının Milletler Yetkisi Sertifikasyonu ve Lisansı
İlgili: Singapur Siber Güvenlik Hazırlığında Çıtayı Yükseklere Taşıyor
J&J Siber Güvenliği En Üst Düzeye Çıkarma Konusunda Spin-Off CISO’su
Yazan: Karen D. Schwartz, Katkıda Bulunan Yazar, Dark Reading
Johnson & Johnson’dan ayrılan bir tüketici sağlık şirketi olan Kenvue’nun CISO’su, güvenlik programını oluşturmak için araçları ve yeni fikirleri nasıl birleştirdi?
Johnson & Johnson’dan Mike Wagner, Fortune 100 şirketinin güvenlik yaklaşımını ve güvenlik yığınını şekillendirmeye yardımcı oldu; şu anda J&J’nin bir yıllık tüketici sağlık hizmetleri yan ürünü Kenvue’nun ilk CISO’su olup, görevi maksimum güvenlikle modern ve uygun maliyetli bir mimari oluşturmakla görevlendirilmiştir.
Bu makale, Wagner ve ekibinin üzerinde çalıştığı adımları özetlemektedir; bunlar arasında şunlar yer almaktadır:
Anahtar rolleri tanımlayın: Mimarlar ve mühendisler araçları uygulayacak; güvenli kimlik doğrulamayı etkinleştirmek için kimlik ve erişim yönetimi (IAM) uzmanları; risk yönetimi liderleri güvenliği iş öncelikleriyle uyumlu hale getirmek; olaylara müdahale için güvenlik operasyon personeli; ve her siber fonksiyon için özel personel.
Makine öğrenimini ve yapay zekayı entegre edin: Görevler arasında IAM’nin otomatikleştirilmesi; tedarikçi incelemesini kolaylaştırmak; davranış analizi; ve tehdit algılamanın iyileştirilmesi.
Hangi araçların ve süreçlerin tutulacağını ve hangilerinin değiştirileceğini seçin: J&J’nin siber güvenlik mimarisi, onlarca yıllık satın almalar sonucunda oluşturulan sistemlerin bir parçası olsa da; buradaki görevler arasında J&J’nin araçlarının envanterinin çıkarılması; bunları Kenvue’nun işletim modeline eşlemek; ve ihtiyaç duyulan yeni yeteneklerin belirlenmesi.
Wagner yapılacak daha çok şey olduğunu söylüyor. Daha sonra sıfır güvenin benimsenmesi ve teknik kontrollerin geliştirilmesi dahil olmak üzere modern güvenlik stratejilerine yönelmeyi planlıyor.
Devamını oku: J&J Siber Güvenliği En Üst Düzeye Çıkarma Konusunda Spin-Off CISO’su
İlgili: Visa’nın Dolandırıcılığa Karşı Yapay Zeka Araçlarına Bir Bakış
SolarWinds 2024: Siber İfşaatlar Buradan Nereye Gidiyor?
Appdome CEO’su ve Ortak Yaratıcısı Tom Tovar’ın yorumu
SEC’in SolarWinds’ten sonraki dört günlük kuralı kapsamında siber güvenlik olaylarını nasıl, ne zaman ve nerede ifşa etmemiz gerektiği konusunda güncel tavsiyeler alın ve öncelikle düzeltme yapılması amacıyla kuralı yenileme çağrısına katılın.
SolarWinds sonrası dünyada, siber güvenlik riskleri ve olayları için güvenli bir iyileştirme limanına geçmeliyiz. Spesifik olarak, herhangi bir şirket dört günlük zaman dilimi içinde eksiklikleri veya saldırıyı giderirse, (a) dolandırıcılık iddiasından kaçınabilmeli (yani hakkında konuşulacak bir şey yok) veya (b) standart 10Q ve 10K sürecini kullanabilmeli, olayı açıklamak için Yönetim Tartışması ve Analizi bölümü dahil.
30 Ekim’de SEC bir başvuruda bulundu. SolarWinds’e karşı dolandırıcılık şikayeti ve baş bilgi güvenliği yetkilisi, SolarWinds çalışanlarının ve yöneticilerinin zaman içinde SolarWinds ürünlerine yönelik artan riskleri, güvenlik açıklarını ve saldırıları bilmelerine rağmen “SolarWinds’in siber güvenlik risk açıklamalarının bunları hiçbir şekilde ifşa etmediğini” iddia etti.
Bu durumlarda sorumluluk sorunlarının önlenmesine yardımcı olmak için, iyileştirme güvenli limanı, şirketlere bir olayı değerlendirmek ve müdahale etmek için dört günlük bir zaman dilimi tanıyacaktır. Daha sonra, sorun giderilirse olayı uygun şekilde açıklamak için zaman ayırın. Sonuç, siber müdahaleye daha fazla vurgu yapılması ve bir şirketin halka açık hisselerine daha az etki yapılmasıdır. 8K’lar çözülmemiş siber güvenlik olayları için hâlâ kullanılabilir.
Devamını oku: SolarWinds 2024: Siber İfşaatlar Buradan Nereye Gidiyor?
İlgili: SolarWinds DevSecOps için Ne İfade Ediyor?