Dark Reading’in özellikle güvenlik operasyonları okuyucuları ve güvenlik liderleri için hazırlanmış haftalık makale özeti olan CISO Corner’a hoş geldiniz. Her hafta haber operasyonumuz The Edge, DR Tech, DR Global ve Yorumlar bölümümüzden derlenen makaleleri sunacağız. Her şekil ve büyüklükteki kuruluştaki liderler için siber güvenlik stratejilerini operasyonel hale getirme işini desteklemek üzere size çeşitli bakış açıları sunmaya kararlıyız.
Bu konuda:
-
Beklentiler Yükselirken CISO’lar Üst Düzey Statüsü İçin Mücadele Ediyor
-
Yükselişteki Saldırılarla Siber Sigorta Primleri de Artmaya Hazır
-
DR Global: Essential 8 ile Siber Güvenlik İşaretini Kaçırdık
-
Siber Güvenlik Bütçeniz Bir Atın Arka Ucudur
-
AI/ML Araçlarını Korumanın İlk Adımı Bunları Bulmaktır
-
2024’te CISO’lar için En Önemli 3 Öncelik
-
CISA’nın Su Sektörü Rehberi Olaylara Müdahaleyi Öne ve Merkeze Koyuyor
Beklentiler Yükselirken CISO’lar Üst Düzey Statüsü İçin Mücadele Ediyor
Yazan: Jai Vijayan, Dark Reading’e Katkıda Bulunan Yazar
Bir IANS araştırması, CISO’ların veri ihlalleri konusunda giderek daha fazla yasal ve düzenleyici sorumluluk üstlendiğini, ancak çok azının ihtiyaç duydukları tanınma veya desteği alabildiğini gösteriyor.
CISO’lardan, normalde üst düzey yönetici rolü olarak değerlendirilebilecek sorumlulukları üstlenmeleri giderek daha fazla isteniyor, ancak çoğu kuruluşta bu şekilde kabul edilmiyor veya bu şekilde muamele edilmiyor.
Bir IANS anketi, yeni düzenlemeler ve güvenlik ihlallerine ilişkin artan sorumluluk talepleri nedeniyle kamu ve özel sektör kuruluşlarında CISO rolüne ilişkin beklentilerin önemli ölçüde değişmesi nedeniyle CISO’ların tam %75’inin iş değişikliği aradığını ortaya çıkardı.
Ancak CISO’ların %63’ünden fazlası başkan yardımcısı veya direktör düzeyinde bir pozisyona sahipken, unvanlarında “şef” olmasına rağmen yalnızca %20’si üst düzey yönetici düzeyindedir. Geliri 1 milyar doların üzerinde olan kuruluşlar söz konusu olduğunda bu rakam %15 ile daha da azdır.
Neden çoğu CISO iş tatmininden yoksundur: Beklentiler Yükselirken CISO’lar Üst Düzey Statüsü İçin Mücadele Ediyor
İlgili: CISO Rolü Büyük Bir Evrim Geçiriyor
Yükselişteki Saldırılarla Siber Sigorta Primleri de Artmaya Hazır
Yazan: Robert Lemos, Dark Reading’e Katkıda Bulunan Yazar
Sigortacılar fidye yazılımı iddialarından kaynaklanan kayıpları dengelemek için 2021’in sonlarında primleri ikiye katladı. Saldırıların yeniden artmasıyla birlikte kuruluşlar yeni bir artış turu öngörebilir.
Prim maliyetleri 2023’ün üçüncü çeyreğinde 2022’nin aynı çeyreğine kıyasla %6 düşerken, fidye yazılımı ve gizlilikle ilgili iddialar zaten bir önceki yıla göre hızla artmış durumda.
Pandemi ve fidye yazılımı büyümesinin tetiklediği siber sigorta talepleri 2020’den itibaren arttı ve poliçe fiyatlandırmasında dramatik bir artışa yol açtı. Ancak Fitch Ratings’e göre siber sigorta sektörü daha da büyüyor ve doğrudan yazılan primlerin değeri 2023’te bir önceki yıla göre %62 artışla 5,1 milyar dolara çıkıyor.
İleriye dönük olarak, daha fazla oyuncu, daha az kapsamlı poliçeler (ve dolayısıyla sigorta şirketi riski) ve daha fazla rekabet var; bunların hepsi teminat fiyatlarının yumuşamasına neden oluyor. Yine de bazıları önümüzdeki 12-18 ay içinde prim maliyetlerinde artış olacağını öngörüyor.
Ne bekleyeceğinizi öğrenin: Yükselişteki Saldırılarla Siber Sigorta Primleri de Artmaya Hazır
İlgili: Savaş mı, İş Yapmanın Maliyeti mi? Siber Sigortacılar İstisnaları Ortadan Kaldırıyor
DR Global: Temel Sekiz ile Siber Güvenlik İşaretini Kaçırdık
Adaptive Shield Kıdemli Teknik Araştırmacısı Arye Zacks’ın yorumu
Avustralya’nın Temel Sekiz Olgunluk Modeli, günümüzün bulut ve SaaS ortamlarını korumak için gereken temel faktörleri hâlâ ele almıyor.
Avustralya hükümetinin işletmelere yönelik ana siber güvenlik risk yönetimi çerçevesi olan Essential Eight, 2010 yılında kuruldu ve her yıl güncellenmesine rağmen dijital dönüşümün hızına ayak uydurmakta başarısız oldu: SaaS uygulamaları İşletmelerin kullandığı tüm yazılımların %70’ini oluştururancak “SaaS” ifadesi belgenin hiçbir yerinde görünmüyor.
Özellikle dört temel bulut merkezli güvenlik yönergesi eksik: yapılandırma yönetimi, kimlik güvenliği, üçüncü taraf uygulama entegrasyon yönetimi ve kaynak kontrolü. Bu makalede bu eksiklikler ve modern işletmelerin siber güvenlik çerçevelerine neleri dahil etmesi gerektiği ele alınmaktadır.
Daha fazlasını buradan okuyun: Temel Sekiz ile Siber Güvenlik İşaretini Kaçırmak
İlgili: Artık Bulutta Yerel Uygulamaların Güvenliğini Sağlamanın Zamanı Geldi
Siber Güvenlik Bütçeniz Bir Atın Arka Ucudur
CYE Saha CISO’su ve Başkan Yardımcısı Ira Winkler’in yorumu
Geçmiş bütçe kısıtlamaları siber güvenlik programınızı sınırlıyor mu? Eski testerelerin sizi engellemesine izin vermeyin. Gelecekteki devrim niteliğindeki ihtiyaçları göz önünde bulundurarak bütçenizi yeniden gözden geçirmenin zamanı geldi.
Kaçınılmaz olarak mevcut bir güvenlik bütçesi önceki yılın bütçesine dayalıdır, o da önceki bütçeye dayalıdır, o da önceki bütçeye dayalıdır ve bu şekilde devam eder. Bu nedenle mevcut bütçe, tıpkı modern yolcu trenlerinde olduğu gibi, temelde on yılı aşkın bir süre öncesine ait bir bütçeye dayalı olabilir. borcu olabilir Roma savaş arabasını çeken atın büyüklüğüne kadar.
İşte bu sınırlayıcı döngüden nasıl kurtulacağınız: Siber Güvenlik Bütçeniz Bir Atın Arka Ucudur
İlgili: Chertoff Group Bağlı Kuruluşu Trustwave’i Satın Alma İşlemini Tamamladı
AI/ML Araçlarını Korumanın İlk Adımı Bunları Bulmaktır
Yazan: Fahmida Y. Rashid, Genel Yayın Yönetmeni, Özellikler, Dark Reading
Güvenlik ekiplerinin, yazılım tedarik zincirini düşünürken bu araçları hesaba katmaya başlaması gerekir. Sonuçta sahip olduklarını bilmedikleri şeyi koruyamazlar.
Yapay zeka (AI) yeteneklerini ve makine öğrenimi (ML) modelleriyle çalışmayı kolaylaştıran araçları içeren artan sayıda uygulama, güvenlik ekiplerinin artık yazılımların oluşturduğu riskleri değerlendirmesi ve yönetmesi gereken kuruluşlar için yeni yazılım tedarik zinciri baş ağrıları yarattı. bu yapay zeka bileşenleri.
Ayrıca, bu araçlar çalışanlar tarafından kuruluşa getirildiğinde güvenlik ekipleri genellikle bilgilendirilmez ve görünürlüğün olmaması, onları yönetememeleri veya kullanılan verileri koruyamamaları anlamına gelir.
Kullanılan araç ve uygulamalarda (gölge olanlar dahil) gizlenen AI/ML’yi nasıl bulacağınız aşağıda açıklanmıştır.
Daha fazlasını buradan okuyun: AI/ML Araçlarını Korumanın İlk Adımı Bunları Bulmaktır
İlgili: Yapay Zeka, Savunuculara Kurumsal Savunmada Avantaj Sağlıyor
2024’te CISO’lar için En Önemli 3 Öncelik
Yazan: Stephen Lawton, Dark Reading’e Katkıda Bulunan Yazar
Değişen düzenleme ve uygulama ortamı, akıllı CISO’nun bu yıl çalışma şeklini değiştirmesi gerekebileceği anlamına geliyor.
CISO’lar, 2024’ün en önemli önceliklerini belirlemek için güvenlik ekipleri ve kurumsal yönetimle bir araya gelirken, SEC’in CISO’lara yüklediği veri ihlallerine ilişkin kişisel ve yasal sorumluluk, yeni yılın en zorlayıcı sorumluluğu olabilir.
Buna karşılık siber sigortadaki değişiklikler siber risk yönetimini de etkiliyor. 2024’te gizlilik ihlalleri söz konusu olduğunda, siber sigorta sigortacılarının, aşırı ayrıcalıklı olma eğiliminde olan ve şifreleri yıllardır değiştirilmeyen hizmet hesapları da dahil olmak üzere, kuruluşların özel veriler ve ayrıcalıklı hesaplar üzerinde güvenliği nasıl uyguladığına ilişkin düzenlemeleri sertleştirmesi bekleniyor.
İleriyi düşünen vizyonerlerin ihlal riskine (ve ortaya çıkan tedarik zinciri tehditlerine) nasıl yaklaştıklarını öğrenin: 2024’te CISO’lar için En Önemli 3 Öncelik
İlgili: vCISO Modeli Kuruluşunuza Uygun mu?
CISA’nın Su Sektörü Rehberi Olaylara Müdahaleyi Öne ve Merkeze Koyuyor
Yazan: Robert Lemos, Dark Reading’e Katkıda Bulunan Yazar
Siber saldırganlar su tedarikçilerini ve atık su tesislerini giderek daha fazla hedef alırken, ABD federal hükümeti yıkıcı saldırıların etkisinin sınırlandırılmasına yardımcı olmak istiyor.
Su ve atık su tesisleri, geçen hafta, ulus devlet gruplarının ve siber suçluların yeterince hizmet alamayan kritik altyapıyı hedef alan daha fazla sayıdaki saldırılarının ardından, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan (CISA) siber saldırılara karşı tepkilerini iyileştirmeye yönelik yeni bir kılavuz aldı.
Belge, su ve atık su sektörüne (WWS) yönelik siber güvenlik çabalarının sekteye uğradığı bir dönemde geldi. kaynak kısıtlamaları. CISA’nın 27 sayfalık kılavuzu, sektörün kendine özgü zorlukları göz önüne alındığında, su hizmetleri alanında etkili bir olay müdahale taktik kitabının nasıl oluşturulacağı konusunda ayrıntılı tavsiyeler sunmaktadır.
İşte ana çıkarımlar: CISA’nın Su Sektörü Rehberi Olaylara Müdahaleyi Öne ve Merkeze Koyuyor
İlgili: APT’ler Kenara Çekin: Siber Suçlular Artık Kritik Altyapıları da Hedefliyor