گوشه CISO: شیرجه عمیق به SecOps، بیمه، و نقش در حال تحول CISOs

بازنشر افلاطون

دنبال: 0

به CISO Corner، خلاصه مقالات هفتگی Dark Reading که به طور خاص برای خوانندگان عملیات امنیتی و رهبران امنیتی طراحی شده است، خوش آمدید. هر هفته، ما مقالاتی را ارائه خواهیم داد که از سراسر عملیات خبری خود، The Edge، DR Tech، DR Global، و بخش Commentary خود جمع آوری شده اند. ما متعهد هستیم که مجموعه‌ای از دیدگاه‌های متنوع را برای پشتیبانی از کار عملیاتی‌سازی استراتژی‌های امنیت سایبری برای رهبران سازمان‌هایی با هر شکل و اندازه‌ای به شما ارائه دهیم.

در این شماره:

CISO ها برای وضعیت C-Suite تلاش می کنند، حتی در حالی که انتظارات سر به فلک کشیده است
با حملات به Upswing، حق بیمه سایبری نیز در آستانه افزایش است
DR Global: از دست دادن علامت امنیت سایبری با Essential 8
بودجه امنیت سایبری شما نقطه ضعف اسب است
اولین قدم در ایمن سازی ابزارهای هوش مصنوعی/ML، مکان یابی آنهاست
3 اولویت برتر برای CISO در سال 2024
راهنمای بخش آب CISA، پاسخ به حادثه را در جلو و مرکز قرار می دهد

CISO ها برای وضعیت C-Suite تلاش می کنند، حتی در حالی که انتظارات سر به فلک کشیده است

توسط Jai Vijayan، نویسنده مشارکت کننده دارک خوان

یک نظرسنجی IANS نشان می‌دهد که CISO‌ها مسئولیت‌های قانونی و نظارتی بیشتری را در قبال نقض داده‌ها به دوش می‌کشند، اما تعداد کمی از آنها شناسایی یا پشتیبانی لازم را دریافت می‌کنند.

به طور فزاینده‌ای از CISOها خواسته می‌شود که مسئولیت‌هایی را که معمولاً به‌عنوان یک نقش C-suite در نظر گرفته می‌شود، بر عهده بگیرند، اما بدون اینکه در بسیاری از سازمان‌ها به آن‌ها توجه یا رفتار شود.

یک نظرسنجی IANS نشان داد که 75٪ از CISO ها به دنبال تغییر شغل هستند، زیرا انتظارات برای نقش CISO در سازمان های بخش دولتی و خصوصی به دلیل مقررات جدید و تقاضاهای فزاینده برای پاسخگویی در مورد نقض های امنیتی به طور چشمگیری تغییر کرده است.

اما در حالی که بیش از 63٪ از CISO ها دارای سمت معاون رئیس یا مدیر هستند، تنها 20٪ در سطح C-suite با وجود داشتن "رئیس" در عنوان خود هستند. در مورد سازمان هایی با درآمد بیش از 1 میلیارد دلار، این رقم حتی کمتر است، یعنی 15٪.

چرا اکثر CISO ها رضایت شغلی ندارند: CISO ها برای وضعیت C-Suite تلاش می کنند، حتی در حالی که انتظارات سر به فلک کشیده است

مرتبط: نقش CISO دستخوش یک تحول بزرگ می شود

با حملات به Upswing، حق بیمه سایبری نیز در آستانه افزایش است

توسط رابرت لموس، نویسنده مشارکت کننده Dark Reading

بیمه‌گران در اواخر سال 2021 حق بیمه را دو برابر کردند تا خسارت‌های ناشی از ادعاهای باج‌افزار را جبران کنند. با افزایش مجدد حملات، سازمان ها می توانند دور جدیدی از افزایش ها را پیش بینی کنند.

در حالی که هزینه های حق بیمه در سه ماهه سوم سال 6 در مقایسه با سه ماهه مشابه در سال 2023، 2022 درصد کاهش یافت، حتی با وجود اینکه ادعاهای مربوط به باج افزار و حریم خصوصی از سال قبل به شدت افزایش یافته بود.

با شروع همه‌گیری و رشد باج‌افزار، ادعاهای بیمه سایبری از سال 2020 به بعد افزایش یافت و منجر به افزایش چشمگیر قیمت‌گذاری بیمه شد. اما صنعت بیمه سایبری تنها در حال بزرگ‌تر شدن است و بر اساس رتبه‌بندی فیچ، ارزش حق بیمه‌های کتبی مستقیم به 5.1 میلیارد دلار در سال 2023 افزایش یافته است که رشد 62 درصدی نسبت به سال گذشته را نشان می‌دهد.

در آینده، بازیگران بیشتر، سیاست‌های جامع کمتر (و در نتیجه ریسک بیمه‌گر) و رقابت بیشتر وجود دارد که همگی منجر به کاهش قیمت‌ها برای پوشش می‌شوند. با این حال، برخی افزایش هزینه های حق بیمه را در 12 تا 18 ماه آینده پیش بینی می کنند.

دریابید که چه انتظاری دارید: با حملات به Upswing، حق بیمه سایبری نیز در آستانه افزایش است

مرتبط: جنگ یا هزینه کسب و کار؟ بیمه گران سایبری در حال هش کردن موارد استثنا هستند

DR Global: از دست دادن علامت امنیت سایبری با هشت ضروری

تفسیر آری زاکس، محقق فنی ارشد، سپر تطبیقی

Essential Eight Maturity Model استرالیا هنوز به عوامل کلیدی مورد نیاز برای محافظت از محیط های ابری و SaaS امروزی نمی پردازد.

Essential Eight، چارچوب اصلی مدیریت ریسک امنیت سایبری دولت استرالیا برای کسب‌وکارها، در سال 2010 تأسیس شد و در حالی که سالانه به‌روزرسانی می‌شود، نتوانسته است با سرعت تحول دیجیتال مدرن شود: برنامه‌های کاربردی SaaS. 70٪ از کل نرم افزارهای مورد استفاده توسط مشاغل را شامل می شود، اما عبارت "SaaS" در هیچ کجای سند ظاهر نمی شود.

به طور خاص، چهار دستورالعمل کلیدی امنیتی ابر محور را از دست داده است: مدیریت پیکربندی، امنیت هویت، مدیریت یکپارچه‌سازی برنامه‌های شخص ثالث و کنترل منابع. این مقاله به بررسی این حذفیات و آنچه که مشاغل مدرن باید در چارچوب های امنیت سایبری خود بگنجانند، می پردازد.

ادامه مطلب در اینجا: از دست دادن علامت امنیت سایبری با هشت ضروری

مرتبط: اکنون زمان ایمن سازی برنامه های Cloud-Native فرا رسیده است

بودجه امنیت سایبری شما نقطه ضعف اسب است

تفسیر توسط ایرا وینکلر، فیلد CISO و معاون رئیس جمهور، CYE

آیا محدودیت های بودجه تاریخی برنامه امنیت سایبری شما را محدود می کند؟ اجازه ندهید اره های قدیمی شما را عقب نگه دارند. زمان آن فرا رسیده است که بودجه خود را با توجه به نیازهای انقلابی آینده مرور کنید.

لاجرم یک بودجه امنیتی جاری بر اساس بودجه سال قبل است که بر اساس بودجه قبلی، که بر اساس بودجه قبلی و غیره است. بنابراین بودجه فعلی ممکن است اساساً بر اساس بودجه بیش از یک دهه پیش باشد - به همان روشی که قطارهای مسافربری مدرن ممکن است بدهکار باشد به اندازه اسبی که یک ارابه رومی می کشد.

در اینجا نحوه خارج شدن از این چرخه محدود آورده شده است: بودجه امنیت سایبری شما نقطه ضعف اسب است

مرتبط: شرکت وابسته گروه Chertoff جمع آوری Trustwave را تکمیل می کند

اولین قدم در ایمن سازی ابزارهای هوش مصنوعی/ML، مکان یابی آنهاست

توسط Fahmida Y. Rashid، مدیر ویرایشگر، ویژگی‌ها، Dark Reading

تیم های امنیتی باید هنگام فکر کردن به زنجیره تامین نرم افزار، این ابزارها را فاکتورگیری کنند. بالاخره آنها نمی توانند از چیزی که نمی دانند دارند محافظت کنند.

تعداد روزافزون برنامه‌های کاربردی که قابلیت‌ها و ابزارهای هوش مصنوعی (AI) را در بر می‌گیرند که کار با مدل‌های یادگیری ماشین (ML) را آسان‌تر می‌کنند، دردسرهای زنجیره تامین نرم‌افزار جدیدی را برای سازمان‌هایی ایجاد کرده است که تیم‌های امنیتی آنها اکنون باید خطرات ناشی از آن را ارزیابی و مدیریت کنند. این اجزای هوش مصنوعی

به علاوه، تیم‌های امنیتی معمولاً وقتی این ابزارها توسط کارمندان وارد سازمان می‌شوند، مطلع نمی‌شوند و عدم مشاهده به این معنی است که آنها قادر به مدیریت آنها یا محافظت از داده‌های مورد استفاده نیستند.

در اینجا نحوه یافتن AI/ML موجود در ابزارها و برنامه‌های کاربردی مورد استفاده - حتی در سایه‌ها - آمده است.

ادامه مطلب در اینجا: اولین قدم در ایمن سازی ابزارهای هوش مصنوعی/ML، مکان یابی آنهاست

مرتبط: هوش مصنوعی به مدافعان برتری در دفاع سازمانی می دهد

3 اولویت برتر برای CISO در سال 2024

توسط استفان لاتون، نویسنده مشارکت کننده دارک خوان

یک محیط نظارتی و اجرایی در حال تغییر به این معنی است که CISO هوشمند ممکن است نیاز به تغییر نحوه عملکرد خود در سال جاری داشته باشد.

از آنجایی که CISO ها با تیم های امنیتی و مدیریت شرکتی خود گرد هم می آیند تا اولویت های اصلی را برای سال 2024 تعیین کنند، مسئولیت شخصی و قانونی برای نقض داده ها که SEC بر عهده CISO ها گذاشته است می تواند چالش برانگیزترین در سال جدید باشد.

به نوبه خود، تغییرات در بیمه سایبری نیز بر مدیریت ریسک سایبری تأثیر می گذارد. وقتی صحبت از نقض حریم خصوصی در سال 2024 به میان می‌آید، انتظار می‌رود که بیمه‌کنندگان بیمه سایبری مقررات را در مورد نحوه اجرای امنیت بر روی داده‌های خصوصی و حساب‌های دارای امتیاز، از جمله حساب‌های خدماتی، که معمولاً دارای امتیاز بیش از حد هستند و اغلب رمزهای عبورشان در سال‌ها تغییر نکرده است، سخت‌تر کنند.

دریابید که چگونه افراد آینده نگر به خطر نقض (و تهدیدات زنجیره تامین در حال ظهور) نزدیک می شوند: 3 اولویت برتر برای CISO در سال 2024

مرتبط: آیا مدل vCISO برای سازمان شما مناسب است؟

راهنمای بخش آب CISA، پاسخ به حادثه را در جلو و مرکز قرار می دهد

توسط رابرت لموس، نویسنده مشارکت کننده Dark Reading

از آنجایی که مهاجمان سایبری به طور فزاینده ای تامین کنندگان آب و تاسیسات فاضلاب را هدف قرار می دهند، دولت فدرال ایالات متحده می خواهد به محدود کردن تأثیر حملات مخرب کمک کند.

شرکت‌های آب و فاضلاب هفته گذشته دستورالعمل‌های جدیدی را برای بهبود واکنش خود به حملات سایبری از آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) دریافت کردند، به دنبال تعداد بیشتری از حملات توسط گروه‌های ملی و مجرمان سایبری که زیرساخت‌های حیاتی را مورد هدف قرار می‌دهند.

این سند در حالی ارائه شده است که تلاش‌های امنیت سایبری برای بخش آب و فاضلاب (WWS) با مشکل مواجه شده است. محدودیت های منابع. راهنمای 27 صفحه‌ای CISA توصیه‌های دقیقی را برای حوزه آبرسانی در مورد چگونگی ایجاد یک کتاب بازی موثر واکنش به حوادث، با توجه به چالش‌های منحصربه‌فرد این بخش، ارائه می‌دهد.

در اینجا مواد اولیه اصلی آورده شده است: راهنمای بخش آب CISA، پاسخ به حادثه را در جلو و مرکز قرار می دهد

مرتبط: حرکت به سوی APT: مجرمان سایبری اکنون زیرساخت های حیاتی را نیز هدف قرار می دهند