Ласкаво просимо до CISO Corner, щотижневого дайджесту статей Dark Reading, спеціально розробленого для читачів і лідерів безпеки. Щотижня ми пропонуватимемо статті, зібрані з нашого відділу новин, The Edge, DR Tech, DR Global і нашого розділу коментарів. Ми прагнемо запропонувати вам різноманітний набір точок зору для підтримки роботи із введення в дію стратегій кібербезпеки для керівників організацій усіх форм і розмірів.
У цьому випуску:
-
CISO борються за статус C-Suite, навіть якщо очікування стрімко зростають
-
Оскільки атаки наростають, премії кіберстрахування також готові зрости
-
DR Global: брак кібербезпеки з Essential 8
-
Ваш бюджет на кібербезпеку – це кінська задня частина
-
Першим кроком у захисті інструментів AI/ML є їх визначення
-
Топ-3 пріоритетів для CISO у 2024 році
-
Посібник CISA для водного сектору ставить реагування на інциденти на перше місце
CISO борються за статус C-Suite, навіть якщо очікування стрімко зростають
Автор Джай Віджаян, автор-автор Dark Reading
Опитування IANS показує, що CISO несуть все більшу юридичну та нормативну відповідальність за порушення даних, але лише деякі з них отримують визнання чи підтримку, якої вони потребують.
Від CISO все частіше просять взяти на себе обов’язки, які зазвичай вважаються посадою керівника, але в багатьох організаціях вони не розглядаються як такі.
Опитування IANS показало, що 75% CISO шукають зміни роботи, оскільки очікування щодо ролі CISO різко змінилися в організаціях державного та приватного секторів через нові правила та зростаючі вимоги до відповідальності за порушення безпеки.
Але в той час як понад 63% CISO займають посаду віце-президента або директора, лише 20% займають посаду керівника, незважаючи на те, що в їхній посаді є слово «керівник». У випадку організацій з доходом понад 1 мільярд доларів ця цифра ще менша – 15%.
Чому більшість CISO не задоволені роботою: CISO борються за статус C-Suite, навіть якщо очікування стрімко зростають
За темою: Роль CISO зазнає значної еволюції
Оскільки атаки наростають, премії кіберстрахування також готові зрости
Автор: Роберт Лемос, автор-учасник Dark Reading
Наприкінці 2021 року страховики подвоїли премії, щоб компенсувати збитки від претензій щодо програм-вимагачів. Оскільки кількість атак знову зростає, організації можуть передбачити новий раунд зростання.
Незважаючи на те, що витрати на премії впали на 6% у третьому кварталі 2023 року порівняно з тим самим кварталом 2022 року, незважаючи на те, що претензії щодо програм-вимагачів і конфіденційності вже стрімко зросли порівняно з попереднім роком.
Починаючи з пандемії та розповсюдження програм-вимагачів, з 2020 року кількість страхових відшкодувань у сфері кіберстрахування різко зросла, що призвело до різкого підвищення цін на поліси. Але індустрія кіберстрахування лише зростає: за даними Fitch Ratings, у 5.1 році вартість прямих премій зросла до 2023 мільярда доларів США, що на 62% більше, ніж у минулому році.
У майбутньому буде більше гравців, менш комплексні поліси (і, отже, страховий ризик), і більша конкуренція — усе це призведе до пом’якшення цін на покриття. Незважаючи на це, деякі прогнозують зростання вартості премій у наступні 12-18 місяців.
Дізнайтеся, чого очікувати: Оскільки атаки наростають, премії кіберстрахування також готові зрости
За темою: Війна чи вартість ведення бізнесу? Кіберстрахувальники обговорюють винятки
DR Global: не вистачає знака кібербезпеки з Essential Eight
Коментар Арі Закса, старшого технічного дослідника, Adaptive Shield
Модель Essential Eight Maturity Model Австралії все ще не розглядає ключові фактори, необхідні для захисту сучасних хмарних середовищ і середовищ SaaS.
Essential Eight, головну структуру управління ризиками кібербезпеки уряду Австралії для бізнесу, було створено в 2010 році, і, незважаючи на щорічне оновлення, вона не змогла модернізуватися відповідно до темпів цифрової трансформації: програми SaaS складають 70% усього програмного забезпечення, що використовується підприємствами, але фраза «SaaS» ніде в документі не зустрічається.
Зокрема, у ньому відсутні чотири ключові директиви безпеки, орієнтовані на хмару: керування конфігурацією, безпека ідентифікаційної інформації, керування інтеграцією сторонніх додатків і контроль ресурсів. У цій статті розглядаються ці упущення та те, що сучасним компаніям потрібно включити у свої системи кібербезпеки.
Детальніше тут: Відсутня позначка кібербезпеки на Essential Eight
За темою: Настав час захистити хмарні програми
Ваш бюджет на кібербезпеку – це кінська задня частина
Коментар Айри Вінклер, польового CISO та віце-президента CYE
Чи обмежують історичні бюджетні обмеження вашу програму кібербезпеки? Не дозволяйте старим пилкам утримувати вас. Настав час переглянути свій бюджет, подумавши про революційні майбутні потреби.
Поточний бюджет безпеки неминуче базується на бюджеті попереднього року, який базується на попередньому бюджеті, який базується на попередньому бюджеті, і так далі. Отже, нинішній бюджет може базуватися на бюджеті більш ніж десятирічної давнини — так само, як і сучасні пасажирські поїзди. може мати борг до розміру коня, що тягне римську колісницю.
Ось як вийти з цього обмежувального циклу: Ваш бюджет на кібербезпеку – це кінська задня частина
За темою: Афілійована компанія Chertoff Group завершила придбання Trustwave
Першим кроком у захисті інструментів AI/ML є їх визначення
Автор Фахміда Ю. Рашид, керуючий редактор, Features, Dark Reading
Команди безпеки повинні почати враховувати ці інструменти, коли думають про ланцюг постачання програмного забезпечення. Адже вони не можуть захистити те, про що не підозрюють.
Зростаюча кількість додатків, що включають можливості та інструменти штучного інтелекту (AI), які полегшують роботу з моделями машинного навчання (ML), створюють нові головні болі в ланцюжку постачання програмного забезпечення для організацій, чиї команди безпеки тепер мають оцінювати та керувати ризиками, спричиненими ці компоненти ШІ.
Крім того, команди безпеки часто не інформуються, коли співробітники вводять ці інструменти в організацію, а відсутність видимості означає, що вони не можуть ними керувати або захищати дані, що використовуються.
Ось як знайти AI/ML, що ховається в інструментах і програмах, що використовуються — навіть у тіньових.
Детальніше тут: Першим кроком у захисті інструментів AI/ML є їх визначення
За темою: AI дає Defenders перевагу в захисті підприємства
Топ-3 пріоритетів для CISO у 2024 році
Автор Стівен Лоутон, автор-автор Dark Reading
Змінне нормативне та правозастосовне середовище означає, що цього року інтелектуальним CISO може знадобитися змінити спосіб роботи.
Оскільки CISO збираються зі своїми командами безпеки та корпоративним керівництвом, щоб визначити головні пріоритети на 2024 рік, особиста та юридична відповідальність за порушення даних, яку SEC поклала на CISO, може стати найскладнішим у новому році.
У свою чергу, зміни в кіберстрахуванні також впливають на управління кіберризиками. Що стосується порушень конфіденційності у 2024 році, очікується, що страхувальники кіберстрахування посилять правила щодо того, як організації запроваджують захист особистих даних і привілейованих облікових записів, у тому числі облікових записів сервісів, які, як правило, мають надмірні привілейовані права та часто не змінювали паролі роками.
Дізнайтеся, як далекоглядні візіонери підходять до ризику порушення (і нових загроз у ланцюжку поставок): Топ-3 пріоритетів для CISO у 2024 році
За темою: Чи підходить модель vCISO для вашої організації?
Посібник CISA для водного сектору ставить реагування на інциденти на перше місце
Автор: Роберт Лемос, автор-учасник Dark Reading
Оскільки кібератаки все частіше атакують постачальників води та водовідведення, федеральний уряд США хоче допомогти обмежити наслідки руйнівних атак.
Комунальні послуги з водопостачання та водовідведення минулого тижня отримали нові вказівки щодо покращення реагування на кібератаки від Агентства з кібербезпеки та безпеки інфраструктури США (CISA) після збільшення кількості атак державних угруповань і кіберзлочинців, націлених на критичну інфраструктуру, яка недостатньо обслуговується.
Документ з’явився в той момент, коли зусилля з кібербезпеки для сектору водопостачання та водовідведення (WWS) заважали обмеження ресурсів. 27-сторінковий посібник CISA пропонує детальні поради для водопровідної сфери щодо того, як створити ефективну методику реагування на інциденти, враховуючи унікальні виклики галузі.
Ось основні заходи: Посібник CISA для водного сектору ставить реагування на інциденти на перше місце
За темою: Переходьте, APTs: кіберзлочинці тепер також націлені на критичну інфраструктуру
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cybersecurity-operations/ciso-corner-deep-dive-secops-insurance-evolving-role
- : має
- :є
- : ні
- 1 млрд доларів
- 1
- 15%
- 2010
- 2020
- 2021
- 2022
- 2023
- 2024
- 7
- 8
- a
- Здатний
- МЕНЮ
- За
- підзвітність
- Рахунки
- через
- адаптивний
- адреса
- Перевага
- рада
- впливати
- філія
- після
- знову
- агентство
- назад
- AI
- AI / ML
- ВСІ
- вже
- Також
- an
- та
- та інфраструктури
- передбачити
- додаток
- з'являється
- застосування
- наближається
- додатка
- ЕСТЬ
- Арена
- стаття
- статті
- штучний
- штучний інтелект
- Штучний інтелект (AI)
- AS
- оцінити
- припустити
- At
- нападки
- австралійці
- назад
- заснований
- BE
- оскільки
- було
- буття
- більший
- Мільярд
- порушення
- порушення
- Перерва
- вибухнути
- Приведення
- приніс
- бюджет
- бізнес
- підприємства
- але
- by
- C-люкс
- CAN
- можливості
- випадок
- ланцюг
- проблеми
- складні
- зміна
- змінилися
- Зміни
- заміна
- Колісниця
- головний
- Коло
- СНД
- CISO
- претензій
- хмара
- приходить
- Коментар
- вчинено
- порівняний
- конкурс
- Завершує
- Компоненти
- всеосяжний
- конфігурація
- вважається
- обмеження
- внесок
- контроль
- Кут
- Корпоративний
- Коштувати
- витрати
- може
- охоплення
- створювати
- створений
- критичний
- Критична інфраструктура
- Поточний
- кібер-
- кібер-ризик
- кібератаки
- кіберзлочинці
- Кібербезпека
- Агентство з питань кібербезпеки та безпеки інфраструктури
- цикл
- темно
- Темне читання
- дані
- Порушення даних
- десятиліття
- глибокий
- глибоке занурення
- Захисники
- заглиблюється
- запити
- Незважаючи на
- докладно
- Digest
- цифровий
- цифрове перетворення
- прямий
- директиви
- занурення
- Різне
- документ
- байдуже
- справи
- Дон
- подвоєний
- dr
- драматично
- різко
- малювання
- легше
- край
- редактор
- Ефективний
- зусилля
- вісім
- з'являються
- співробітників
- примус
- підприємство
- Навколишнє середовище
- середовищах
- істотний
- встановлений
- Ефір (ETH)
- Навіть
- Кожен
- еволюціонує
- очікувати
- очікування
- очікуваний
- факторинг
- фактори
- не вдалося
- риси
- Федеральний
- Федеральний уряд
- кілька
- поле
- знайти
- fitch
- після
- для
- Вперед
- перспективне мислення
- знайдений
- чотири
- Рамки
- каркаси
- від
- перед
- Повний
- принципово
- майбутнє
- збирати
- отримання
- даний
- дає
- Глобальний
- Уряд
- великий
- Group
- Групи
- Зростання
- Зростання
- керівництво
- керівництво
- було
- хешування
- Мати
- має
- головні болі
- допомога
- тут
- історичний
- тримати
- Кінь
- Як
- How To
- Однак
- HTTPS
- ICON
- Особистість
- Impact
- здійснювати
- поліпшення
- in
- інцидент
- реагування на інциденти
- У тому числі
- включати
- включення
- Augmenter
- Збільшує
- все більше і більше
- промисловість
- повідомив
- Інфраструктура
- страхування
- Страховики
- інтеграція
- Інтелект
- в
- ІРА
- питання
- IT
- робота
- JPG
- ключ
- Знати
- відсутність
- останній
- Пізно
- Лідери
- провідний
- вивчення
- легальний
- менше
- дозволяти
- рівень
- відповідальність
- МЕЖА
- ll
- розміщення
- шукати
- втрати
- машина
- навчання за допомогою машини
- головний
- основний
- зробити
- управляти
- управління
- управління
- багато
- позначити
- зрілість
- Модель зрілості
- Може..
- засоби
- може бути
- mind
- відсутній
- ML
- модель
- Моделі
- сучасний
- модернізувати
- місяців
- більше
- найбільш
- Необхідність
- необхідний
- потреби
- Нові
- Новий рік
- новини
- наступний
- нормально
- зараз
- номер
- of
- пропонувати
- Пропозиції
- зсув
- часто
- Старий
- on
- ті,
- тільки
- операція
- операції
- or
- організація
- організації
- наші
- з
- над
- алюр
- пандемія
- Паролі
- персонал
- перспективи
- розміщений
- plato
- Інформація про дані Платона
- PlatoData
- гравці
- готовий
- Політика
- політика
- поставлений
- положення
- передбачати
- Premium
- президент
- попередній
- ціни
- ціни без прихованих комісій
- попередній
- недоторканність приватного життя
- приватний
- приватний сектор
- привілейовані
- програма
- захист
- громадськість
- Ставить
- Квартал
- вимагачів
- рейтинги
- RE
- читачі
- читання
- отримано
- визнання
- вважається
- правила
- регуляторні
- дослідник
- ресурс
- відповідь
- обов'язки
- відповідальність
- в результаті
- надходження
- революційний
- право
- Зростання
- підвищення
- Risk
- управління ризиками
- ризики
- РОБЕРТ
- Роль
- круглий
- s
- SaaS
- то ж
- задоволення
- сфера
- SEC
- розділ
- сектор
- безпечний
- забезпечення
- безпеку
- Порушення безпеки
- Операції з безпеки
- старший
- обслуговування
- комплект
- тінь
- форми
- зсув
- Шоу
- Розмір
- розміри
- менше
- розумний
- So
- Софтвер
- ланцюг постачання програмного забезпечення
- деякі
- конкретно
- старт
- Статус
- Крок
- Стівен
- Як і раніше
- стратегії
- боротьба
- такі
- постачальники
- поставка
- ланцюжка поставок
- підтримка
- хлинули
- Огляд
- T
- з урахуванням
- Takeaways
- Мета
- націлювання
- команди
- технології
- технічний
- як правило,
- ніж
- Що
- Команда
- їх
- Їх
- Там.
- отже
- Ці
- вони
- Мислення
- третій
- третя сторона
- це
- У цьому році
- загрози
- час
- назва
- до
- сьогодні
- інструменти
- топ
- поїзда
- Перетворення
- лікування
- ПЕРЕГЛЯД
- зазнає
- недоотриманий
- андеррайтери
- створеного
- оновлений
- us
- Федеральний США
- використовуваний
- комунальні послуги
- утиліта
- значення
- віце
- Віцепрезидент
- видимість
- провидці
- хоче
- було
- вода
- шлях..
- we
- week
- тижні
- Що
- коли
- який
- в той час як
- чий
- з
- без
- Work
- б
- письмовий
- рік
- щорічно
- років
- ви
- вашу
- зефірнет