Dark Reading’in özellikle güvenlik operasyonları okuyucuları ve güvenlik liderleri için hazırlanmış haftalık makale özeti olan CISO Corner’a hoş geldiniz. Her hafta haber operasyonumuz The Edge, DR Technology, DR Global ve Yorumlar bölümümüzden derlenen makaleleri sunacağız. Her şekil ve büyüklükteki kuruluştaki liderler için siber güvenlik stratejilerini operasyonel hale getirme işini desteklemek üzere size çeşitli bakış açıları sunmaya kararlıyız.
CISO Corner’ın bu sayısında:
-
Apple’ın Yapay Zeka Teklifi Büyük Gizlilik Vaatleri Veriyor
-
Kimlik Doğrulama Risklerini Vurgulayan Çok sayıda Biyometri Hatası Ortaya Çıkıyor
-
DR Global: Hükümetler ve İşletmeler Hac Sezonunda Siber Güvenliği Sıkılaştırıyor
-
CIO ve CISO İşbirliği Neden Kurumsal Dayanıklılığın Anahtarıdır?
-
Rockwell’in ICS Direktifi Kritik Altyapı Riskinin Zirve Noktaları Olarak Geliyor
-
Güvenlik Kültürünün Gelişmesine Yardımcı Olmanın 4 Yolu
Kaçırmayın”Veri İhlalinin Anatomisi: Başınıza Geldiğinde Ne Yapmalısınız?20 Haziran’da yapılması planlanan ücretsiz bir Dark Reading sanal etkinliği! Konuşmacılar arasında Verizon’dan Alex Pinto’nun yanı sıra Snowflake, ilaç devi GSK, Salesforce ve daha birçok şirketin yöneticileri yer alıyor; bugün kaydolun!
Apple’ın Yapay Zeka Teklifi Büyük Gizlilik Vaatleri Veriyor
Yazan: Agam Shah, Katkıda Bulunan Yazar, Dark Reading
Analistler, Apple’ın ister cihazda ister bulutta olsun, her yapay zeka işleminde gizlilik garantisinin iddialı olduğunu ve cihazda ve bulutta güvenilir yapay zeka dağıtımlarını etkileyebileceğini söylüyor.
Apple’ın Apple Intelligence’ı duyurması ve yapay zekayı cihazları ve uygulamalarına entegre etme planları, her yapay zeka işleminde gizliliği garanti etme taahhüdünü de beraberinde getiriyor. Bu, çıtayı yüksek tutuyor sıfır güven altyapısı rakiplerin eşleşmeye çalışabileceği.
Apple’ın duvarlı bahçe modeli nedeniyle rakip sağlayıcılar yapay zeka altyapıları üzerinde neredeyse aynı düzeyde kontrole sahip değil. Apple’ın aksine, sorgular çeşitli donanım ve yazılım katmanlarından geçerken güvenliği kilitleyemezler. Örneğin, OpenAI ve Microsoft, güvenlik açığı keşfi ve yama işlemlerini gerçekleştiren Nvidia’nın GPU’ları aracılığıyla sorguları işler.
Güvenlik şirketi Binarly.io’nun CEO’su Alex Matrosov, “Eğer Apple standardı belirlerse, sonuç ‘gizliliğe önem vermiyorsam neden Android almalıyım’ olacaktır” diyor. “Bir sonraki adım Google’ın onu takip etmesi olacak” ve belki de benzer bir şeyi uygulamaya veya yapmaya çalışıyoruz.”
Devamını oku: Apple’ın Yapay Zeka Teklifi Büyük Gizlilik Vaatleri Veriyor
İlgili: OpenAI, Önceki Ekibi Dağıttıktan Sonra Başka Bir Güvenlik Komitesi Oluşturdu
Kimlik Doğrulama Risklerini Vurgulayan Çok sayıda Biyometri Hatası Ortaya Çıkıyor
Yazan: Nate Nelson, Katkıda Bulunan Yazar, Dark Reading
Parolalar gibi saklanan yüz taramaları da kaçınılmaz olarak parolalar gibi ele geçirilecektir. Ancak ikisi arasında, üreticileri başarısız olduğunda kuruluşların güvenebileceği çok önemli bir fark var.
Biyometrik güvenlik, kamu sektöründe yaygın olarak benimsenmesiyle bugün her zamankinden daha popüler. kanun yaptırımı, ulusal kimlik sistemleri vb. — ayrıca seyahat ve kişisel bilgisayar gibi ticari sektörler için. Japonya’da metro yolcuları “yüz yüze ödeme” yapabiliyor ve Singapur’un göçmenlik sistemi, yolcuların ülkeye girmesine izin vermek için yüz taramalarına ve parmak izlerine dayanıyor. Burger mekanlarının bile yüz taramasıyla denemeler yapması, burada bir şeylerin gelişmekte olduğunu gösteriyor.
Ancak araştırmacılar, dünya çapındaki kritik tesislerde kullanılan bir biyometrik terminalde, bilgisayar korsanlarının yetkisiz erişim elde etmesine, cihazı manipüle etmesine, kötü amaçlı yazılım yerleştirmesine ve biyometrik verileri çalmasına olanak tanıyan iki düzine güvenlik açığı buldu; bu da, bu sistemlerin uygulanmasından kaynaklanan riskleri vurguluyor.
Bu sistemlerin sıklıkla konuşlandırıldığı ortamların kritik doğası, kuruluşların bütünlüklerini sağlamak için daha da ileri gitmelerini gerektirir. Ve bu iş, yeni keşfedilen güvenlik açıklarının kapatılmasından çok daha fazlasını gerektiriyor.
Devamını oku: Kimlik Doğrulama Risklerini Vurgulayan Çok sayıda Biyometri Hatası Ortaya Çıkıyor
İlgili: Biyometrik Bypass: BrutePrint, Parmak İzi Güvenliğinin Kısa Sürede İşlenmesini Sağlıyor
Küresel: Hükümetler ve İşletmeler Hac Sezonunda Siber Güvenliği Sıkılaştırıyor
Yazan: Robert Lemos, Katkıda Bulunan Yazar, Dark Reading
Hac haftasında siber saldırılar bir miktar düşerken, Suudi Arabistan ve Müslüman nüfusun yoğun olduğu diğer ülkelerdeki kuruluşlar saldırıların arttığını görüyor.
İslami takvimin son ayı olan Zilhicce, 7 Haziran’da başladı; bu ay, milyonlarca Müslümanın Hac yolculuğu için geri sayımına işaret ediyordu ve aynı zamanda siber suçlular ve siber casusluk aktörlerinin, azalan dikkat ve azalan personel nedeniyle fırsatların arttığını gördüğü bir dönemdi. .
Birçoğu ise siber saldırılar Uzmanlara göre, seyahat hizmetlerinin tüketicisi olarak hacılara odaklanan bankalardan e-ticaret sitelerine kadar çeşitli işletmeler, veri hırsızlığı ve hizmet reddi saldırıları açısından daha büyük risk altında. Örneğin 3 Haziran’da siber tehdit aktörleri, siber güvenlik firması Kaspersky’ye göre “İran Hac ve Hac Örgütü”nden 168 milyon kullanıcının kişisel bilgilerini içerdiği iddia edilen bir yeraltı forumunda veri sızıntısı olduğunu duyurdu.
Saldırılar, siber saldırganların Hac sezonunu nasıl gördüklerinin iki yönünü vurguluyor: hacıların avantajlarından yararlanmak için bir fırsat ve aynı zamanda güvenlik ekipleri için kaynakların azaldığı, iş dünyasını ve devlet kurumlarını savunmasız hale getiren bir dönem olarak.
Devamını oku: Hükümetler ve İşletmeler Hac Sezonunda Siber Güvenliği Sıkılaştırıyor
İlgili: ‘DuneQuixote’ Gizli Siber Saldırı Yöntemlerinin Geliştiğini Gösteriyor. Savunmacılar Ayakta Kalabilecek mi?
Sırada CEO var
Joe Sullivan, Ukrayna Dostları CEO’su ve Joe Sullivan Security LLC CEO’su tarafından yapılan yorum
CEO’lar devletin yaptırımlarının hedefi olmaktan kaçınmak istiyorlarsa şirketlerinin siber güvenliğe yatırım yapmasını sağlamak konusunda kişisel ilgi göstermeleri gerekiyor.
Yakında bir gün, bir devlet kurumu, kuruluşlarının siber güvenliğe yeterince yatırım yapmasını sağlamadaki başarısızlıktan dolayı kurumsal bir CEO’yu kişisel olarak sorumlu tutmaya çalışacak. Şaşırtıcı olan bunun gerçekleşmesi değil, CEO için çalışan ve ona saygı duyan kaç kişinin bu gerçekleştiğinde mutlu olacağıdır.
Yaptırım yoluyla düzenlemeye doğru bir hareket yaşıyoruz. Özünde kurumsal Amerika’nın vatandaşlarını siber saldırılardan korumak için daha fazlasını yapmasını talep eden Ulusal Siber Güvenlik Stratejisinden başka bir yere bakmayın. Ayrıca Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) yazılım şirketi SolarWinds’e ve onun güvenlik sorumlusuna karşı açtığı dava da var. Dava, özellikle kaşları kaldırdı çünkü güvenlik lideri kişisel olarak sorumlu tutuldu.
Ancak çok az istisna dışında, CISO veya en üst düzey güvenlik lideri kesinlikle “sorumlu şirket yetkilisi” değildir. CEO Güvenlik liderleri, işlerini iyi yapmak için gereken bütçeyi nadiren elde ederler. Kurumsal bütçeyi kontrol eden CEO’lar ve yönetim kurulları, siber risklerini anlamak için nadiren zaman ayırır ve bunun yerine kaynakları başka yönlere tahsis eder.
Devamını oku: Sırada CEO var
İlgili: Beyaz Saray Ulusal Siber Güvenlik Stratejisinin Ayrıntılarını Doldurdu
CIO ve CISO İşbirliği Neden Kurumsal Dayanıklılığın Anahtarıdır?
Ivanti Bilişim Direktörü Robert Grazioli’nin yorumu
Bu alanlar arasındaki uyum hızla stratejik bir zorunluluk haline geliyor.
Gartner, dünyanın 2024 yılında risk yönetimi ve siber güvenliğe 215 milyar dolar harcayacağını tahmin ediyor. Bu, 2023’e göre %14’lük bir artış anlamına geliyor. Ancak birçok işçi zayıflamış hissediyor, her zamankinden daha fazla veri ve uç nokta var ve yeterli sayıda nitelikli yetenek bulunmuyor. Sonunda BT ile güvenlik arasındaki siloları yıkmanın zamanı geldi.
Bu, CIO ile bilgi güvenliği şefi (CISO) arasındaki uyumun güçlendirilmesiyle başlar.
Bireysel olarak CISO’lar ve CIO’lar, ellerinde pek çok şey olan ve tehlikede olan güçlü güçlerdir. Birlikte durdurulamaz olabilirler. Ancak tarihsel olarak organizasyonel yapılar CISO’ları ve CIO’ları farklı ve bazen de çelişkili hedeflere sahip ayrı alanlara yönlendirmiştir.
Hizalamayı nasıl geliştireceğiniz aşağıda açıklanmıştır: CIO ve CISO İşbirliği Neden Kurumsal Dayanıklılığın Anahtarıdır?
İlgili: CISO ve CIO Yakınsaması: Hazır Olursanız Değil, İşte Geliyor
Rockwell’in ICS Direktifi Kritik Altyapı Riskinin Zirve Noktaları Olarak Geliyor
Yazan: Tara Seals, Genel Yayın Yönetmeni, Haberler, Dark Reading
Kritik altyapı, fiziksel süreçlere yönelik giderek daha fazla yıkıcı tehditlerle karşı karşıya kalırken, binlerce cihaz zayıf kimlik doğrulamasıyla çevrimiçi durumda ve istismar edilebilir hatalarla dolu.
Uzmanlar, endüstriyel kontrol sistemleri (ICS) devi Rockwell Automation’ın müşterilere donanımlarının internet bağlantısını kesmeleri yönündeki son talimatının yalnızca kritik altyapıya yönelik artan siber riski değil, aynı zamanda güvenlik ekiplerinin sektörde karşılaştığı benzersiz zorlukları da gösterdiğini söylüyor.
CISA, artan tehditlerin, elektrik şebekelerini devre dışı bırakan hizmet reddi (DoS) çabaları da dahil olmak üzere çeşitli yıkıcı saldırılara yol açabileceği konusunda uyarıyor; kontrol etmek amacıyla operasyonel teknoloji (OT) ortamının derinliklerine inmek için ayrıcalık artışı ve yanal hareket; örneğin güç jeneratörleri için güvenlik eşiklerini değiştirmek üzere ayarların değiştirilmesi; su sektörü operasyonlarını durdurmak için programlanabilir mantık denetleyicilerinin (PLC’ler) uzaktan tehlikeye atılması; hatta yürütmek yıkıcı Stuxnet tarzı saldırılar bu, bir sitenin kalıcı olarak çalışma yeteneğini ortadan kaldırabilir.
Ancak binlerce cihaz çevrimiçi ortamda zayıf kimlik doğrulamayla açığa çıkıyor ve istismar edilebilir hatalarla dolu; ve site tasarımı ve varlık/altyapı yönetiminde güvenlik ekibinin katılımı konusunda yaygın bir eksiklik var. Sonuçta bu ideal bir durum değil.
Devamını oku: Rockwell’in ICS Direktifi Kritik Altyapı Riskinin Zirve Noktaları Olarak Geliyor
İlgili: Volt Typhoon Birden Fazla Elektrik Tesisini Etkiledi, Siber Etkinliği Genişletti
Güvenlik Kültürünün Gelişmesine Yardımcı Olmanın 4 Yolu
Ken Deitz, CSO/CISO, Secureworks’ün DR Teknolojisi yorumu
Proaktif bir siber güvenliğe yönelik kurumsal bir ortam yaratmak ve geliştirmek, insanlara, onların ihtiyaçlarına, zayıf yönlerine ve becerilerine öncelik vermek anlamına gelir.
İyi bir siber güvenlik kültürü, ekip arkadaşlarının iyi kararlar almasına güvenir ve onları güçlendirir. Bu güven de siber güvenlik ile işletme arasında daha verimli bir ilişkiyi körüklüyor. Kültür sürekli beslenmesi gereken canlı bir varlıktır. İhtiyaç duyduğu özveriyi gösterin, sonuç olarak işletmeniz daha güvenli olacaktır.
Etkili bir güvenlik kültürü oluşturmanın bazı temel unsurları şunlardır:
1. Doğru Zihniyeti Oluşturun: İnsanların yapabileceği ve yapması gereken olumlu eylemlere odaklanın.
2. Empati ile etkileşime geçin: Üretken ve kapsayıcı bir güvenlik kültürü, suçlamayı reddeden bir kültürdür. Bunun yerine, geleceğe yönelik siber stratejinizi zenginleştirmek için olaydan toplu olarak neler öğrenebileceğinize odaklanın.
3. İletişim kurun, iletişim kurun, iletişim kurun: Siber güvenlik söz konusu olduğunda çok fazla iletişim diye bir şey yoktur. İnsanların işlerinde ve yaşamlarında çok şey oluyor. İnsanlarla bulundukları yerde tanışın ve çok daha iyi sonuçlara sahip olacaksınız.
4. Ayaklarınızın üzerinde kalın: Yeni ve gelişen teknolojiler fırsatları ve zorlukları beraberinde getiriyor. Üretken yapay zeka (AI)Örneğin, ekip arkadaşlarına üretkenlik artışı sağlayabilir ancak aynı zamanda riskleri de bilmeleri gerekir.
Devamını oku: Güvenlik Kültürünün Gelişmesine Yardımcı Olmanın 4 Yolu
İlgili: Güvenlik Bilincini Güvenlik Kültürüne Nasıl Dönüştürebiliriz?