Bienvenido a CISO Corner, el resumen semanal de artículos de Dark Reading diseñados específicamente para lectores de operaciones de seguridad y líderes de seguridad. Cada semana, ofreceremos artículos recopilados de nuestra operación de noticias, The Edge, DR Technology, DR Global y nuestra sección de comentarios. Nos comprometemos a brindarle un conjunto diverso de perspectivas para respaldar el trabajo de poner en práctica estrategias de ciberseguridad para líderes de organizaciones de todas las formas y tamaños.

En esta edición:

Marco de ciberseguridad 2.0 del NIST: 4 pasos para comenzar

Por Robert Lemos, escritor colaborador de Dark Reading

El Instituto Nacional de Estándares y Tecnología (NIST) ha revisado el libro sobre la creación de un programa integral de ciberseguridad que tiene como objetivo ayudar a las organizaciones de todos los tamaños a ser más seguras. Aquí es donde empezar a poner en práctica los cambios.

La puesta en funcionamiento de la última versión del Marco de Ciberseguridad (CSF) del NIST, publicada esta semana, podría significar cambios significativos en los programas de ciberseguridad.

Por ejemplo, existe una nueva función de "Gobierno" para incorporar una mayor supervisión ejecutiva y de la junta directiva de la ciberseguridad, y amplía Mejores prácticas de seguridad más allá de aquellas para industrias críticas. En total, los equipos de ciberseguridad tendrán mucho trabajo por delante y tendrán que analizar detenidamente las evaluaciones existentes, las brechas identificadas y las actividades de remediación para determinar el impacto de los cambios en el marco.

Afortunadamente, nuestros consejos para la puesta en funcionamiento de la última versión del Marco de Ciberseguridad del NIST pueden ayudar a señalar el camino a seguir. Incluyen el uso de todos los recursos del NIST (el CSF no es solo un documento sino una colección de recursos que las empresas pueden utilizar para aplicar el marco a su entorno y requisitos específicos); sentarse con la alta dirección para discutir la función de “Gobierno”; envolver la seguridad de la cadena de suministro; y confirmar que los servicios de consultoría y los productos de gestión de la postura de ciberseguridad se reevalúen y actualicen para respaldar el último CSF.

Más información: Marco de ciberseguridad 2.0 del NIST: 4 pasos para comenzar

Relacionado: El gobierno de EE. UU. amplía su papel en la seguridad del software

Apple y Signal presentan el cifrado resistente a los cuánticos, pero se avecinan desafíos

Por Jai Vijayan, escritor colaborador de Dark Reading

El PQ3 de Apple para proteger iMessage y el PQXH de Signal muestran cómo las organizaciones se están preparando para un futuro en el que los protocolos de cifrado deben ser exponencialmente más difíciles de descifrar.

A medida que las computadoras cuánticas maduran y brindan a los adversarios una manera trivialmente fácil de abrir incluso los protocolos de cifrado actuales más seguros, las organizaciones deben actuar ahora para proteger las comunicaciones y los datos.

Con ese fin, el nuevo protocolo criptográfico post-cuántico (PQC) PQ3 de Apple para proteger las comunicaciones de iMessage, y un protocolo de cifrado similar que Signal presentó el año pasado llamado PQXDH, son resistentes a lo cuántico, lo que significa que pueden, al menos en teoría, resistir ataques cuánticos. computadoras tratando de romperlos.

Pero para las organizaciones, el cambio a cosas como PQC será largo, complicado y probablemente doloroso. Los mecanismos actuales que dependen en gran medida de infraestructuras de clave pública requerirán una reevaluación y adaptación para integrar algoritmos resistentes a los cuánticos. Y el migración al cifrado poscuántico introduce un nuevo conjunto de desafíos de gestión para los equipos de TI, tecnología y seguridad empresariales que son paralelos a migraciones anteriores, como de TLS1.2 a 1.3 y de ipv4 a v6, las cuales han llevado décadas.

Más información: Apple y Signal presentan el cifrado resistente a los cuánticos, pero se avecinan desafíos

Relacionado: Descifrar la criptografía débil antes que la computación cuántica

ISon las 10 pm ¿Sabes dónde están tus modelos de IA esta noche?

Por Ericka Chickowski, escritora colaboradora de Dark Reading

La falta de visibilidad y seguridad del modelo de IA pone el problema de seguridad de la cadena de suministro de software en esteroides.

Si pensaba que el problema de seguridad de la cadena de suministro de software ya era bastante difícil hoy en día, abróchese el cinturón. El crecimiento explosivo en el uso de la IA está a punto de hacer que esos problemas de la cadena de suministro sean exponencialmente más difíciles de resolver en los próximos años.

Los modelos de IA/aprendizaje automático proporcionan la base para la capacidad de un sistema de IA para reconocer patrones, hacer predicciones, tomar decisiones, desencadenar acciones o crear contenido. Pero la verdad es que la mayoría de las organizaciones ni siquiera saben cómo empezar a ganar visibilidad de todos los modelos de IA integrados en su software.

Para empezar, los modelos y la infraestructura que los rodea se construyen de manera diferente a otros componentes de software y las herramientas de software y seguridad tradicionales no están diseñadas para buscar o comprender cómo funcionan los modelos de IA o sus fallas.

“Un modelo, por diseño, es un fragmento de código autoejecutable. Tiene cierta capacidad de acción”, dice Daryan Dehghanpisheh, cofundador de Protect AI. “Si le dijera que tiene activos en toda su infraestructura que no puede ver, no puede identificar, no sabe lo que contienen, no sabe cuál es el código y se ejecutan solos. y recibir llamadas externas, eso suena sospechosamente a un virus de permiso, ¿no?

Más información: Son las 10 de la noche. ¿Sabes dónde están tus modelos de IA esta noche?

Relacionado: La plataforma de inteligencia artificial Hugging Face está plagada de 100 modelos de ejecución de códigos maliciosos

Las organizaciones enfrentan importantes sanciones de la SEC por no revelar infracciones

Por Robert Lemos, escritor colaborador

En lo que podría ser una pesadilla de aplicación de la ley, potencialmente millones de dólares en multas, daños a la reputación, demandas de los accionistas y otras sanciones esperan a las empresas que no cumplan con las nuevas reglas de divulgación de violaciones de datos de la SEC.

Las empresas y sus CISO podrían enfrentarse a multas y otras sanciones de la Comisión de Bolsa y Valores de EE. UU. (SEC), que van desde cientos de miles hasta millones de dólares, si no consiguen que sus procesos de divulgación de ciberseguridad y vulneración de datos cumplan con las nuevas normas que ahora han entrado en vigor.

Las normas de la SEC tienen fuerza: la comisión puede dictar una orden judicial permanente que ordene al acusado que cese la conducta en el centro del caso, ordenar la devolución de ganancias obtenidas ilícitamente o implementar tres niveles de sanciones crecientes que pueden resultar en multas astronómicas. .

Quizás lo más preocupante para Los CISO es la responsabilidad personal que enfrentan ahora para muchas áreas de operaciones comerciales sobre las cuales históricamente no han tenido responsabilidad. Sólo la mitad de los CISO (54%) confía en su capacidad para cumplir con el fallo de la SEC.

Todo eso está llevando a un amplio replanteamiento del papel del CISO y a costos adicionales para las empresas.

Más información: Las organizaciones enfrentan importantes sanciones de la SEC por no revelar infracciones

Relacionado: Lo que las empresas y los CISO deben saber sobre las crecientes amenazas legales

La regulación biométrica se intensifica y augura dolores de cabeza en materia de cumplimiento

Por David Strom, escritor colaborador de Dark Reading

Una creciente maraña de leyes de privacidad que regulan la biometría tiene como objetivo proteger a los consumidores en medio de crecientes violaciones a la nube y deepfakes creados por IA. Pero para las empresas que manejan datos biométricos, cumplir con las normas es más fácil de decir que de hacer.

Las preocupaciones sobre la privacidad biométrica están aumentando, gracias al aumento Amenazas deepfake basadas en inteligencia artificial (IA), el creciente uso biométrico por parte de las empresas, se anticipó una nueva legislación de privacidad a nivel estatal y una nueva orden ejecutiva emitida por el presidente Biden esta semana que incluye protecciones de la privacidad biométrica.

Eso significa que las empresas deben tener más visión de futuro y anticipar y comprender los riesgos para construir la infraestructura adecuada para rastrear y utilizar contenido biométrico. Y quienes hacen negocios a nivel nacional tendrán que auditar sus procedimientos de protección de datos para verificar el cumplimiento de un mosaico de regulaciones, incluida la comprensión de cómo obtienen el consentimiento de los consumidores o les permiten restringir el uso de dichos datos y asegurarse de que coincidan con las diferentes sutilezas de las regulaciones.

Más información: La regulación biométrica se intensifica y augura dolores de cabeza en materia de cumplimiento

Relacionado: Elija la mejor autenticación biométrica para su caso de uso

DR Global: Grupo de piratería iraní 'ilusorio' atrapa a empresas aeroespaciales y de defensa israelíes y de los Emiratos Árabes Unidos

Por Robert Lemos, escritor colaborador de Dark Reading

UNC1549, también conocido como Smoke Sandstorm y Tortoiseshell, parece ser el culpable de una campaña de ciberataque personalizada para cada organización objetivo.

El grupo de amenaza iraní UNC1549, también conocido como Smoke Sandstorm y Tortoiseshell, persigue a los sectores aeroespacial y empresas de defensa en Israel, los Emiratos Árabes Unidos y otros países del Gran Medio Oriente.

En particular, entre el phishing personalizado centrado en el empleo y el uso de infraestructura en la nube para comando y control, el ataque puede ser difícil de detectar, dice Jonathan Leathery, analista principal de Mandiant de Google Cloud.

"La parte más notable es lo ilusorio que puede ser descubrir y rastrear esta amenaza: claramente tienen acceso a recursos importantes y son selectivos en sus objetivos", dice. "Es probable que haya más actividad de este actor que aún no se ha descubierto, y hay incluso menos información sobre cómo opera una vez que ha comprometido un objetivo".

Más información: Un 'ilusorio' grupo de hackers iraní atrapa a empresas aeroespaciales y de defensa israelíes y de los Emiratos Árabes Unidos

Relacionado: China lanza nuevo plan de ciberdefensa para redes industriales

MITRE lanza 4 CWE nuevos para errores de seguridad de microprocesadores

Por Jai Vijayan, escritor colaborador de Dark Reading

El objetivo es brindar a los diseñadores de chips y profesionales de la seguridad en el espacio de los semiconductores una mejor comprensión de los principales defectos de los microprocesadores como Meltdown y Spectre.

Con un número cada vez mayor de exploits de canal lateral dirigidos a recursos de CPU, el programa Common Weakness Enumeration (CWE) liderado por MITRE agregó cuatro nuevas debilidades relacionadas con los microprocesadores a su lista de tipos comunes de vulnerabilidades de software y hardware.

Los CWE son el resultado de un esfuerzo de colaboración entre Intel, AMD, Arm, Riscure y Cycuity y brindan a los diseñadores de procesadores y profesionales de seguridad en el espacio de los semiconductores un lenguaje común para discutir las debilidades de las arquitecturas de microprocesadores modernas.

Los cuatro nuevos CWE son CWE-1420, CWE-1421, CWE-1422 y CWE-1423.

CWE-1420 se refiere a la exposición de información confidencial durante la ejecución transitoria o especulativa: la función de optimización de hardware asociada con Meltdown y Spectre - y es el "padre" de los otros tres CWE.

CWE-1421 tiene que ver con fugas de información confidencial en estructuras de microarquitectura compartida durante la ejecución transitoria; CWE-1422 aborda las fugas de datos relacionadas con el reenvío incorrecto de datos durante la ejecución transitoria. CWE-1423 analiza la exposición de datos vinculada a un estado interno específico dentro de un microprocesador.

Más información: MITRE lanza 4 CWE nuevos para errores de seguridad de microprocesadores

Relacionado: MITRE lanza el prototipo de seguridad de la cadena de suministro

Leyes de privacidad estatales convergentes y el desafío emergente de la IA

Comentario de Jason Eddinger, consultor senior de seguridad, privacidad de datos, GuidePoint Security

Es hora de que las empresas analicen qué están procesando, qué tipos de riesgo tienen y cómo planean mitigar ese riesgo.

Ocho estados de EE. UU. aprobaron leyes de privacidad de datos en 2023 y, en 2024, las leyes entrarán en vigor en cuatro, por lo que las empresas deben sentarse y analizar en profundidad los datos que están procesando, qué tipos de riesgos tienen y cómo gestionarlos. riesgo y sus planes para mitigar el riesgo que han identificado. La adopción de la IA lo hará más difícil.

A medida que las empresas trazan una estrategia para cumplir con todas estas nuevas regulaciones que existen, vale la pena señalar que, si bien estas leyes se alinean en muchos aspectos, también exhiben matices específicos de cada estado.

Las empresas deberían esperar ver muchos tendencias emergentes en privacidad de datos este año, incluyendo:

Más información: Leyes de privacidad estatales convergentes y el desafío emergente de la IA

Relacionado: La privacidad supera al ransomware como principal preocupación en materia de seguros

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/ics-ot-security/ciso-corner-operationalizing-nist-csf-ai-models-run-amok