Dark Reading’in özellikle güvenlik operasyonları okuyucuları ve güvenlik liderleri için hazırlanmış haftalık makale özeti olan CISO Corner’a hoş geldiniz. Her hafta haber operasyonumuz The Edge, DR Technology, DR Global ve Yorum bölümümüzden derlenen makaleleri sunuyoruz. Her şekil ve büyüklükteki kuruluştaki liderler için siber güvenlik stratejilerini operasyonel hale getirme işini desteklemek üzere size çeşitli bakış açıları sunmaya kararlıyız.
CISO Corner’ın bu sayısında:
-
Beyzbolun İçinde: Red Sox Bulut Güvenlik Oyunu
-
Teknoloji ve Düzenlemeler Kuruluşları Deepfake Zararından Kurtaramaz
-
Siber Güvenlikte İş Arama Sertifikalara Gelebilir
-
Küresel: Müttefik Olarak Kenya ve ABD, Afrika’da Dijital Güvenliği Güçlendirmeyi Hedefliyor
-
Ticketmaster İhlali SaaS Veri Güvenliği Risklerini Sergiliyor
-
Güvenliğin Yeni Kör Noktasını Anlamak: Gölge Mühendisliği
Beyzbolun İçinde: Red Sox Bulut Güvenlik Oyunu
Yazan: Tara Seals, Genel Yayın Yönetmeni, Haberler, Dark Reading
Beyzbol takımının sıfır güven yoluyla yeni nesil güvenlik operasyonları oluşturma stratejisi ve takım verilerini, taraftar bilgilerini ve bu arada artık akıllı bir stadyum olan ikonik Fenway Park’ı korumayı amaçlayan girişimler.
cevaben Eski bir Saint Louis Cardinals yöneticisi tarafından Houston Astros’un 2013-2014 hacklenmesiMajor League Baseball, 30 takımın tamamının kullanabileceği temel bir siber güvenlik yeterliliği oluşturmak için yola çıktı ve Boston Red Sox bu teknolojiyi ilk benimseyenlerden oldu. Ekibine tam zamanlı bir siber güvenlik görevlisini işe alan ilk ekipti ve resmi MLB siber programına gerçekten kaydolan ilk üç ekipten biriydi.
Sox’un teknoloji operasyonları ve bilgi güvenliğinden sorumlu başkan yardımcısı Randy George, “Özellikle sahiplik grubumuz yapmak istediğimiz her şeyi çok destekledi” diyor. “Aslında güvenlik yatırımı söz konusu olduğunda hiçbir zaman hayır cevabını almadım.”
Ve bu yatırımlar son zamanlarda buluta geçiş ve Fenway’i IoT destekli akıllı bir stadyuma yükseltme etrafında dönen çok sayıda yatırım oldu. Sırada Ai var: “Fenway Park adında bir mekanımız var ve her yerde 30.000 kişi koşuyor. Mekana yönelik tehditleri belirlemek, stadyumda dolaşan çocukları takip etmek ve güvenliğin sağlanmasına ve iyileştirilmesine yardımcı olmak için yapay zekadan yararlanmak istiyoruz. Taraftar deneyimi. Çok fazla fırsat var ama bu yapay zeka araçları için bir politika çerçevemize ihtiyacımız var.”
Devamını oku: Beyzbolun İçinde: Red Sox Bulut Güvenlik Oyunu
İlgili: Paris Olimpiyatları Siber Güvenliği Saldırı Yüzeyi Boşlukları Nedeniyle Risk Altında
Teknoloji ve Düzenlemeler Kuruluşları Deepfake Zararından Kurtaramaz
Yazan: Robert Lemos, Katkıda Bulunan Yazar, Dark Reading
Parasal kayıplar, itibar kaybı, hisse fiyatlarındaki düşüşler; yapay zeka tabanlı saldırılara karşı koymak bir yana, bir adım önde olmaya çalışmak bile zordur.
Deep Instinct’in bir raporuna göre, şu anda deepfake’ler ilgili siber tehditler listesinin başında yer alıyor ve şirketlerin üçte biri deepfake’leri kritik veya büyük bir tehdit olarak görüyor. Ama çok çok daha kötüleşebilir.
Kısa vadede, Deepfake kampanyasının etkisi Moody’s Ratings’e göre, bir şirketin itibarını zedelemeyi amaçlayan bir girişim, firmanın genel kredibilitesini etkileyecek kadar büyük olabilir.
Uzun vadede uzmanlar, derin sahtekarlıkların mevcut dolandırıcılık stratejilerini geliştirmesini, finansal kurumların müşterini tanı (KYC) önlemlerine karşı saldırılar oluşturmak için üretken yapay zekayı kullanmasını, halka açık belirli firmalara karşı itibar saldırıları ile hisse senedi piyasalarını manipüle etmesini ve yöneticilere ve yönetim kuruluna şantaj yapmasını bekliyor. sahte ama yine de utanç verici içeriğe sahip üyeler.
Kısacası, bir Moody’s analistine göre “deepfake’lerin şirketlere önemli ve geniş tabanlı zarar verme potansiyeli var”.
Devamını oku: Teknoloji ve Düzenlemeler Kuruluşları Deepfake Zararından Kurtaramaz
İlgili: Deepfake Üreten Uygulamalar Patlayarak Milyonlarca Dolarlık Kurumsal Soygunlara Yol Açtı
Siber Güvenlikte İş Arama Sertifikalara Gelebilir
Edge Editörleri tarafından
Mevcut siber güvenlik çalışanları ABD’deki ihtiyacın yalnızca %85’ini karşılıyorsa neden bu kadar çok insan hala iş arıyor? Özel-kamu NIST ortaklığı CyberSeek’ten elde edilen veriler bazı bilgiler sunuyor.
Amerika Birleşik Devletleri’nde mevcut siber güvenlik uzmanları, işveren talebinin yalnızca %85’ini karşılayabiliyor; bu da neredeyse yarım milyon (469.930) pozisyonun açık kalmasına neden oluyor. Bu, teknoloji sertifikasyon kuruluşu CompTIA, işgücü piyasası analisti Lightcast ve siber güvenliğe odaklanan bir ABD federal programı olan NICE arasındaki ortak bir proje olan CyberSeek’e göre.
siber iş gücü açığı başka bir deyişle gerçektir. Tabii ki coğrafya önemlidir: Eğer Kaliforniya’da iş arıyor olsaydınız, iş talebinin yalnızca %87’sinin karşılandığı San Diego’yu kontrol etmeniz, oranın %120 ile diğer tarafa işaret ettiği Fresno’yu kontrol etmeniz daha iyi olurdu. iş talebi karşılandı.
CyberSeek’in etkileşimli haritası, deneyimli profesyonellerin işe alım yöneticileri tarafından neden gözden kaçırıldığına dair ilginç bir ipucu sağlıyor.
Haritaya erişin: Siber Güvenlikte İş Arama Sertifikalara Gelebilir
İlgili: Irksal Kapsayıcılıkla Siber Güvenlik Becerileri Açığının Çözülmesi
Proaktif Güvenlik Başucu Kitabının Mükemmelleştirilmesi
NetSPI Saha CISO’su Nabil Hannan’ın yorumu
Kuruluşların bilinen ve bilinmeyen tehditlere karşı kendilerini ve siber güvenlik duruşlarını hazırlamaları her zamankinden daha önemli.
İyi bir spor koçu size bir taktik kitabının bir takımın başarısının devamını sağlamada kritik bir araç olduğunu ve aynı şeyin siber güvenlik için de geçerli olduğunu söyleyecektir. Etkili bir güvenlik taktik kitabı olmadan kuruluşlar, potansiyel sonuçlara, sonuçlara ve iyileştirmelere hazırlık yapmayarak kendilerini güvenlik açıklarına maruz bırakır.
Herhangi bir taktik kitabı oluşturmanın ilk önemli adımı planlamadır. Koçların her yeni rakip için kişiselleştirilmiş taktik kitapları hazırlaması gerektiği gibi, güvenlik liderlerinin de çeşitli krizler ve durumlar için planlara sahip olması gerekir; böylece çalışanlardan müşterilere ve yüklenicilere kadar ilgili tüm taraflar bir ihlal durumunda kendilerinden ne beklendiğini bilir.
Spor dünyasında galibiyetler maç günündeki skora göre belirlenir. Siber güvenlikte bir takımın “kazanması” biraz daha belirsizdir. Başarı nasıl görünürse görünsün, takımlar stratejiyi değerlendirmek, zayıf halkaları tespit etmek ve başarının önündeki engelleri belirlemek için uygulamalar yapmalıdır. Masaüstü egzersizleri etkili bir strateji olmaya devam ediyor bunun için.
Tehdit ortamı, büyük ölçüde yapay zekanın hızla benimsenmesi nedeniyle gelişmeye ve daha karmaşık hale gelmeye devam ediyor. Herkes yapay zeka uzmanı olmasa da (olmamalı da) güvenlik liderlerinin, ekiplerinin yapay zeka yolculuğunda nerede olduğunu anlaması gerekiyor. Herhangi bir beceri açığını kapatmak ve yapay zeka tabanlı tehditlerin tespit edilmesini sağlamak için liderler kendilerine şu soruyu sormalıdır: “Teknik yetenekleri göz önüne alındığında şirket içi ekibimize en iyi değeri nasıl sunabiliriz?”
Devamını oku: Proaktif Güvenlik Başucu Kitabının Mükemmelleştirilmesi
İlgili: Ivanti Siber Olaylara Müdahalede Zayıf Notlar Aldı
Küresel: Müttefik Olarak Kenya ve ABD, Afrika’da Dijital Güvenliği Güçlendirmeyi Hedefliyor
Yazan: Robert Lemos, Katkıda Bulunan Yazar, Dark Reading
Artan saldırıların ortasında Kenya, ülkenin hızla büyüyen dijital ekonomisini korumak için teknoloji sektörünü genişletmeyi ve siber güvenliği iyileştirmeyi hedefliyor.
Kenya Devlet Başkanı William S. Ruto, ABD’yi ve ülkesinin ABD tarafından NATO dışı önemli bir müttefik olarak belirlenmesini ziyaret ederek, Avrupa, Kuzey Amerika ve Asya arasında mevcut bir anlaşma olan Siber Uzayda Sorumlu Devlet Davranışı Çerçevesi’ni taahhüt etti ülkeler – siber uzayda belirli normları takip etmek.
ABD ve Kenya liderleri aynı zamanda Doğu Afrika bölgesindeki ortaklar arasında tehdit bilgilerinin paylaşılması konusunda da anlaştılar ve Kenya hükümeti ile Google arasında bir e-devlet pilot projesinin yanı sıra bir siber operasyon platformu kurmaya yönelik ortak çaba da dahil olmak üzere özel sektör işbirliklerinin altını çizdiler. ABD ayrıca politika ve düzenleyici danışmanlık hizmetleri sağlamayı da taahhüt etti.
Devamını oku: Müttefik Olarak Kenya ve ABD, Afrika’da Dijital Güvenliği Artırmayı Hedefliyor
İlgili: Afrika Kimlik Avı Siber Dayanıklılığında Son Sıralarda
Ticketmaster İhlali SaaS Veri Güvenliği Risklerini Sergiliyor
Yazan: Jai Vijayan, Katkıda Bulunan Yazar, Dark Reading
MFA ve diğer mekanizmalar, bulut uygulama ortamlarındaki verilere yetkisiz erişime karşı koruma sağlamak açısından kritik öneme sahiptir, ancak işletmeler yine de bu konuda başarısız olmaktadır.
A Ticketmaster’da büyük veri ihlali ve geçen ay Santander Bank’ta yaşanan bir başka olay, analistlerin Snowflake olarak tanımladığı üçüncü taraf bulut veritabanının güvenliğinin sağlanamamasından kaynaklanıyor.
Yarım milyardan fazla insanı etkileyen olaylar, hassas verileri bulutta depolayan kuruluşların neden çok faktörlü kimlik doğrulama (MFA), IP kısıtlamaları ve bu verilere erişimi korumak için diğer mekanizmaları uygulamaları gerektiğinin en son hatırlatıcılarıdır.
Bu, beklenen bir sonuç gibi görünebilir, ancak BT konusunda olgun şirketlerin bile dijital dönüşüme doğru hızla ilerlerken bulut güvenliğini gözden kaçırmaya devam ettiği ve bulut güvenliği için ortak sorumluluk modelinin etkinliğinin sorgulandığı açıktır.
Devamını oku: Ticketmaster İhlali SaaS Veri Güvenliği Risklerini Sergiliyor
İlgili: Giderek Ağırlaşan Bulut Paylaşılan Sorumluluk Modelini Omuzlamak
Güvenliğin Yeni Kör Noktasını Anlamak: Gölge Mühendisliği
Nokod Security Kurucu Ortağı ve CEO’su Yair Finzi’nin yorumu
Dijital dönüşüm telaşında birçok kuruluş, vatandaş geliştirici uygulamalarıyla ilişkili güvenlik risklerine farkında bile olmadan maruz kalıyor.
Resmi kodlama veya yazılım geliştirme eğitimi olmayan kişilerin kolayca uygulama oluşturmasına olanak tanıyan düşük kodlu/kodsuz (LCNC) teknolojisi, işletmeler için yeni bir sorun yarattı: “gölge mühendislik.”
LCNC platformları, sezgisel, sürükle-bırak ve üretken yapay zeka (GenAI) arayüzleri sunarak çalışanların güvenlik ekibinin yetki alanı dışında bağımsız olarak uygulamalar oluşturmasına ve dağıtmasına olanak tanır; böylece kuruluşları farkında olmadan vatandaş geliştirici uygulamalarıyla ilişkili güvenlik risklerine maruz bırakır.
Bu uygulamalar aynı zamanda ihlale yol açabilecek yazılım açıklarını ve yanlış yapılandırmaları işaretlemek için tasarlanmış olağan kod testlerini de atlar. Örneğin, satış ekibinin kredi kartı ödemelerini işlemek için oluşturduğu az kodlu bir otomasyon, hassas verileri sızdırabilir ve PCI DSS gereksinimlerini ihlal edebilir. güvenlik operasyonları ekibine görünmez olmak.
Neyse ki şirketler, geleneksel uygulama güvenliği ilkelerini LCNC uygulamalarına uygulayarak gölge mühendislikle ilişkili riskleri giderebilir.
Gölge mühendisliği riskinin nasıl ele alınacağı hakkında daha fazlasını okuyun: Güvenliğin Yeni Kör Noktasını Anlamak: Gölge Mühendisliği
İlgili: Sahte Azure AD Misafirleri Power Apps Aracılığıyla Veri Çalabilir