Dark Reading'in özellikle güvenlik operasyonları okuyucuları ve güvenlik liderleri için hazırlanmış haftalık makale özeti olan CISO Corner'a hoş geldiniz. Her hafta haber operasyonumuz The Edge, DR Technology, DR Global ve Yorum bölümümüzden derlenen makaleleri sunuyoruz. Her şekil ve büyüklükteki kuruluştaki liderler için siber güvenlik stratejilerini operasyonel hale getirme işini desteklemek üzere size çeşitli bakış açıları sunmaya kararlıyız.
CISO Corner'ın bu sayısında:
-
Siber Yönetişime Sahip Şirketler Neredeyse 4 Kat Daha Fazla Değer Yaratıyor
-
Siber Profesyoneller Bile Dolandırılıyor: Gerçek Hayattaki Bir Vishing Saldırısının İçinde
-
Üçüncü Taraf Riskini Azaltmak İşbirliğine Dayalı, Kapsamlı Bir Yaklaşım Gerektirir
-
Küresel: Avustralya Hükümeti Büyük Saldırıların Ardından Siber Güvenliği İki Katına Çıkardı
-
CISO'nun Önemlilik ve Risk Belirleme Kılavuzu
-
Sıfır Gün Bonanza, Şirketlere Karşı Daha Fazla İstismara Yol Açıyor
-
Güvenlik İyileştirmesinin Toplantı Odası Gündemine Alınması
Siber Yönetişime Sahip Şirketler Neredeyse 4 Kat Daha Fazla Değer Yaratıyor
Yazan: David Strom, Katkıda Bulunan Yazar, Dark Reading
Tam kurul yerine bir siber uzman içeren özel komitelere sahip olanların güvenlik ve mali performansı iyileştirme olasılıkları daha yüksektir.
Daha iyi siber güvenlik yönetimi için yönergeleri takip etmeye çaba gösteren şirketler, bunu yapmayanlara kıyasla hissedar değerinin neredeyse dört katını yarattı.
Bu, Bitsight ve Diligent Institute tarafından ortaklaşa yürütülen ve siber güvenlik uzmanlığını 23 farklı risk faktörüne göre ölçen yeni bir anketin sonucudur. botnet enfeksiyonlarının varlığıkötü amaçlı yazılım barındıran sunucular, Web ve e-posta iletişimleri için güncel olmayan şifreleme sertifikaları ve halka açık sunuculardaki açık ağ bağlantı noktaları.
Rapor ayrıca, özel risk ve denetim uyumluluğuna odaklanan ayrı yönetim kurulu komitelerine sahip olmanın en iyi sonuçları ürettiğini de ortaya koydu. Omega315'in siber güvenlik danışmanı ve CEO'su Ladi Adefala, “Tam kurul yerine siber uzman üyeli uzman komiteler aracılığıyla siber denetimi uygulayan yönetim kurullarının, genel güvenlik duruşlarını ve finansal performanslarını iyileştirme olasılıkları daha yüksektir” diye kabul ediyor.
Devamını oku: Siber Yönetişime Sahip Şirketler Neredeyse 4 Kat Daha Fazla Değer Yaratıyor
İlgili: TikTok Yasaklamalarıyla Şimdi Operasyonel Yönetişim Zamanı
Siber Profesyoneller Bile Dolandırılıyor: Gerçek Hayattaki Bir Vishing Saldırısının İçinde
Yazan Elizabeth Montalbano, Katkıda Bulunan Yazar, Dark Reading
Başarılı saldırganlar, insan duygularının psikolojik manipülasyonuna odaklanır; bu nedenle, siber profesyonel veya teknoloji meraklısı biri bile, herkes kurban olabilir.
Her şey Salı günü saat 10.30 sıralarında bilinmeyen bir cep telefonu numarasından gelen telefon görüşmesiyle başladı. Evde bilgisayarımda çalışıyordum ve genellikle tanımadığım insanlardan gelen telefonlara cevap vermiyordum. Bazı nedenlerden dolayı yaptığım işi bırakıp o çağrıyı kabul etmeye karar verdim.
Bu, önümüzdeki dört saat içinde yapacağım bir dizi hatanın ilkiydi. bir kimlik avı veya sesli kimlik avı kampanyasının kurbanı. Bu zorlu sürecin sonunda, banka hesabımdan ve Bitcoin cinsinden dolandırıcılara yaklaşık 5.000 Euro tutarında fon aktarmıştım. Bankam transferlerin çoğunu iptal edebildi; ancak saldırganların Bitcoin cüzdanına gönderdiğim 1.000 Euro'yu kaybettim.
Uzmanlar, saldırganların kullandığı taktikleri bilme veya dolandırıcılığı tespit etme konusunda ne kadar uzmanlığa sahip olduğunuzun bir önemi olmadığını söylüyor. Saldırganların başarısının anahtarı teknolojiden daha eski bir şeydir; çünkü bu, bizi insan yapan şeyin, yani duygularımızın manipüle edilmesinde yatmaktadır.
Devamını oku: Telefona Cevap Vermeyin: Gerçek Hayattaki Bir Vishing Saldırısının İçinde
İlgili: Kuzey Koreli Hackerlar Yine Güvenlik Araştırmacılarını Hedef Alıyor
Üçüncü Taraf Riskini Azaltmak İşbirliğine Dayalı, Kapsamlı Bir Yaklaşım Gerektirir
S-RM Siber Danışmanlık, Siber Güvenlik Uygulaması Direktör Yardımcısı Matt Mettenheimer'ın yorumu
Sorun göz korkutucu görünebilir, ancak çoğu kuruluş üçüncü taraf riskleriyle başa çıkma konusunda düşündüklerinden daha fazla yetkiye ve esnekliğe sahiptir.
Üçüncü taraf riski kuruluşlar için benzersiz bir zorluk teşkil etmektedir. Görünüşte üçüncü bir taraf güvenilir görünebilir. Ancak üçüncü taraf satıcının iç işleyişine ilişkin tam bir şeffaflık olmadan, bir kuruluş kendisine emanet edilen verilerin güvenli olduğundan nasıl emin olabilir?
Çoğu zaman kuruluşlar, üçüncü taraf tedarikçileriyle uzun süredir devam eden ilişkileri nedeniyle bu acil soruyu hafife alıyor. Ancak dördüncü ve hatta beşinci taraf satıcıların ortaya çıkışı, kuruluşları dış verilerini korumaya teşvik etmelidir. Yapmak üçüncü taraf bir satıcıya ilişkin uygun güvenlik incelemesi Artık üçüncü tarafın özel müşteri verilerini daha fazla alt tarafa aktarıp aktarmadığının öğrenilmesi gerekiyor ki SaaS hizmetlerinin yaygınlığı sayesinde muhtemelen bunu yapıyorlar.
Neyse ki, kuruluşların üçüncü taraf riskini başarılı bir şekilde azaltmaları için bir başlangıç yol haritası sağlayan, kullanıma hazır beş basit adım var.
Devamını oku: Üçüncü Taraf Riskini Azaltmak İşbirliğine Dayalı, Kapsamlı Bir Yaklaşım Gerektirir
İlgili: Cl0p, MOVEit Saldırısını İddia Ediyor; İşte Çete Bunu Nasıl Yaptı?
Avustralya Hükümeti Büyük Saldırıların Ardından Siber Güvenliği İki Katına Çıkardı
Yazan John Leyden, Katkıda Bulunan Yazar, Dark Reading Global
Hükümet, işletmeler, hükümet ve kritik altyapı sağlayıcıları Down Under için daha modern ve kapsamlı siber güvenlik düzenlemeleri önermektedir.
Avustralya'nın siber olaylara müdahale yeteneklerindeki zayıflıklar Eylül 2022'de ortaya çıktı Telekomünikasyon sağlayıcısı Optus'a siber saldırıBunu Ekim ayında sağlık sigortası sağlayıcısı Medibank'a fidye yazılımı tabanlı bir saldırı izledi.
Sonuç olarak Avustralya hükümeti, ülkeyi 2030 yılına kadar siber güvenlik alanında dünya lideri olarak konumlandırmaya yönelik açıkladığı bir stratejiyle siber güvenlik yasalarını ve düzenlemelerini yenileme planları yapıyor.
Avustralyalı yasa koyucular, mevcut siber suç yasalarındaki boşlukları gidermenin yanı sıra, ülkenin Kritik Altyapı Güvenliği (SOCI) Yasası 2018'i tehdit önleme, bilgi paylaşımı ve siber olaylara müdahale konularına daha fazla vurgu yapacak şekilde değiştirmeyi umuyor.
Devamını oku: Avustralya Hükümeti Büyük Saldırıların Ardından Siber Güvenliği İki Katına Çıkardı
İlgili: Avustralya Limanları Siber Kesintiden Sonra Faaliyetlerine Devam Ediyor
CISO'nun Önemlilik ve Risk Belirleme Kılavuzu
Kovrr Veri Analitiği Başkanı Peter Dyson'ın yorumu
Birçok CISO için “önemlilik” belirsiz bir terim olmaya devam ediyor. Öyle bile olsa, önemlilik ve riski yönetim kurullarıyla tartışabilmeleri gerekiyor.
SEC artık halka açık şirketlerin Siber olayların “önemli” olup olmadığını değerlendirmek, bunları bildirme eşiği olarak. Ancak birçok CISO için önemlilik, bir kuruluşun benzersiz siber güvenlik ortamına dayalı olarak yoruma açık, belirsiz bir terim olmaya devam ediyor.
Önemlilik konusundaki kafa karışıklığının özü, neyin “maddi kayıp” teşkil ettiğinin belirlenmesidir. Bazıları önemliliğin önceki yılın gelirinin %0,01'ini etkilediğini, bunun da yaklaşık bir baz gelir puanına (Fortune 1000 şirketleri için bir saatlik gelire eşittir) eşit olduğunu düşünmektedir.
Kuruluşlar, endüstri kıyaslamalarına göre farklı eşikleri test ederek, maddi siber saldırılara karşı savunmasızlıkları konusunda daha net bir anlayış kazanabilirler.
Devamını oku: CISO'nun Önemlilik ve Risk Belirleme Kılavuzu
İlgili: Prudential, SEC'e Gönüllü İhlal Bildirimi Dosyaladı
Sıfır Gün Bonanza, Şirketlere Karşı Daha Fazla İstismara Yol Açıyor
Yazan Becky Bracken, Kıdemli Editör, Dark Reading
Google'a göre, gelişmiş rakipler giderek daha fazla kurumsal teknolojilere ve onların satıcılarına odaklanırken, son kullanıcı platformları da siber güvenlik yatırımlarıyla sıfırıncı gün saldırılarını bastırmada başarılı oluyor.
2023'te, 2022'ye kıyasla %50 daha fazla sıfır gün güvenlik açığından yararlanıldı. İşletmeler özellikle ağır darbe alıyor.
Mandiant ve Google Tehdit Analiz Grubu (TAG) araştırmasına göre, gelişmiş ulus devlet destekli düşmanlar, genişleyen kurumsal saldırı yüzeyinden yararlanıyor. Birden fazla satıcının yazılımlarından, üçüncü taraf bileşenlerden ve genişleyen kitaplıklardan oluşan ayak izleri, sıfır gün açıklarından yararlanma becerisine sahip olanlar için zengin bir avlanma alanı sağlar.
Siber suç grupları özellikle güvenlik yazılımlarına odaklanmıştır. Barracuda E-posta Güvenliği Ağ Geçidi; Cisco Uyarlanabilir Güvenlik Cihazı; Ivanti Uç Nokta Yöneticisi, Mobil ve Sentry; Araştırma, Trend Micro Apex One'ı da ekledi.
Devamını oku: Sıfır Gün Bonanza, Şirketlere Karşı Daha Fazla İstismara Yol Açıyor
İlgili: Saldırganlar Microsoft Güvenliğinden Yararlanarak Sıfır Gün Hatalarını Atlıyor
Güvenlik İyileştirmesinin Toplantı Odası Gündemine Alınması
Qualys EMEA Kuzey Genel Müdürü Matt Middleton-Leal'in yorumu
BT ekipleri, yönetim kurullarının riskleri ve bunların nasıl düzeltileceğini anlamalarına yardımcı olmanın yanı sıra risk yönetimine ilişkin uzun vadeli vizyonlarını açıklayarak incelemelere daha iyi dayanabilir.
Geçmişteki CEO'lar, güvenlik ekiplerinin belirli CVE'lere nasıl yaklaştıkları konusunda uykularını kaçırmamış olabilirler, ancak Apache Log4j gibi tehlikeli hatalara yönelik CVE'ler Pek çok kuruluşta yama yapılmadan güvenlik iyileştirmesi artık daha geniş çapta gündemde. Bu, daha fazla güvenlik liderinden, iş perspektifinden riski ne kadar iyi yönettikleri konusunda fikir vermelerinin istendiği anlamına geliyor.
Bu, özellikle bütçeler ve bütçelerin nasıl kullanıldığı konusunda zorlu sorulara yol açıyor.
Çoğu CISO, durdurulan sorunların sayısı, dağıtılan güncellemeler, düzeltilen kritik sorunlar gibi temel BT güvenliği ilkeleri etrafındaki bilgileri kullanma eğilimindedir; ancak diğer iş riskleri ve sorunlarıyla karşılaştırma yapılmadan, dikkati sürdürmek ve bir CISO'nun sonuç verdiğini göstermek zor olabilir. .
Bu sorunların üstesinden gelmek için riskle ilgili bir hikaye anlatmak amacıyla karşılaştırmaları ve bağlam verilerini kullanmalıyız. Dağıtılan yamaların sayısına ilişkin temel rakamların sağlanması, gelir getiren bir uygulamayı tehlikeye atan kritik bir sorunun düzeltilmesi için harcanan büyük miktardaki çabayı açıklamamaktadır. Ayrıca takımınızın diğerlerine karşı nasıl performans gösterdiğini de göstermez. Temel olarak, yönetim kuruluna iyiliğin neye benzediğini ve zaman içinde nasıl hizmet vermeye devam ettiğinizi göstermek istiyorsunuz.
Devamını oku: Güvenlik İyileştirmesinin Toplantı Odası Gündemine Alınması
İlgili: Toplantı Odasında Eksik Olanlar: CISO'lar