网络安全快照:证券交易委员会想要更多网络安全从上市公司透明度

找出在美国证券交易委员会(SEC)的新网络安全信息披露规则。另外,中钢协分析了网络风险影响关键基础设施的组织。同时,检查指导的影子和技巧来提高安全意识程序。和更多!

深入六事介意7月28日当周的顶部。

1 -交会问题网络安全信息披露规则

本周,美国证券交易委员会(sec)新规则要求上市公司披露的材料信息网络安全事件,风险管理、战略和治理。

我们的目标是使网络安全信息披露更一致,可比性和有用的决策,这将有利于公司、投资者和市场,该机构说声明。

”是否一个公司失去了一个工厂在火灾或数以百万计的文件在网络安全事件——可能是材料给投资者," SEC主席加里•詹斯勒说。

一些规则的具体内容包括:

• 公司必须披露任何网络事件他们认为材料,并描述其性质,范围和时间,以及它对企业实际或潜在的影响。披露将由于公司确定一个事件后四个工作日内材料。

• 每年,企业将不得不细节如何评估,从网络威胁识别和管理重大风险,说明实际或潜在影响这些风险来自网络威胁或以前的网络事件对他们的业务。

• 公司还将描述他们董事会的监督网络风险,以及管理的“角色和专业知识在风险评估和管理材料从网络安全威胁。”

新规则生效后30天他们在联邦公报上公布。

“很长一段时间,最大和最强大的美国公司把网络当做可有可无的,不是必须。清晰的现在,企业领导人必须在他们的组织,提升网络安全”伦站得住脚的董事长兼首席执行官告诉美联社。他分享他的想法LinkedIn发布。

来获得更多的细节,看看这个常见问题解答站得住脚的首席法律顾问和法律顾问米歇尔VonderHaar站得住脚的副总裁和副首席法律顾问大卫•巴塞洛缪和报道边缘,黑暗的阅读,帮助网络安全,CRN和CNBC。

2 -中钢协分析关键基础设施风险和漏洞

你是负责保护关键基础设施吗?如果是这样的话,你会想看看事后检查的主要网络风险和漏洞影响关键基础设施运营商和设备在2022财政年度。

在本周公布的18页纸的分析,美国网络安全和基础设施安全机构(CISA)概述了从121年发现风险和脆弱性的评估(RVAs)在多个关键基础设施领域进行的。

主要突出的分析包括:

• 常用的方法,如钓鱼和使用默认凭据,是黑客的首选车辆发射成功的攻击

• 攻击者利用不断变化的各种工具和技术

• 相同的漏洞被发现在许多关键基础设施的组织

文档包含一个示例攻击路径,说明和战术攻击者会采取的步骤,基于RVAs中标识的弱点,它松散映射到11 14战术的僧帽ATT&CK框架网络演员可以使用访问网络或系统。

让所有的细节,请查看中国钢铁工业协会的声明,完整的文档和一组伴随信息图。

更多关于保护关键基础设施网络威胁的信息,看看这些站得住脚的博客:

• ”cve cve - 2023 - 3595 - 2023 - 3596:罗克韦尔自动化ControlLogix漏洞的披露”
• ”OT海上安全:暴风中或一帆风顺呢?”
• ”中钢协计划帮助关键基础设施组织抵御ransomware攻击者”
• ”7与广泛的云安全监管和合规框架的影响”
• ”理念:将不安全信息共享社区一起威胁”

3 -英国网络机构发光灯的影子

影子,这些应用程序、设备、云服务和其他资产的员工使用不通知——也没有获得授权和安全团队代表组织的一个主要和持续风险。本周,英国国家网络安全中心宣布,它已经更新了其指导的影子,和建议都值得一看。

“指导帮助系统所有者和技术人员更好地减轻未知的存在(因此不受托管的)在其组织内的IT资产,“读博客宣布指导更新。

这里有一些线索:

• 机会是你组织的影子,所以关注组织移植,如用户的请求有一个简单的过程,而一旦他们想使用的资产
• 认识到大多数情况下的阴影并不是出于恶意目的,而是通过员工想任务完成
• 实现技术解决方案,比如资产管理和网络访问控制
• 当你发现影子IT资产,试图了解用户需求促使员工采纳
• 不使用影子严厉训斥员工,而是专注于对安全教育他们,所以保持开放的沟通

所有的细节,阅读更新的指导。

关于影子IT安全的更多信息:

• ”政策的SaaS应用程序,影子证明很难管理”(今天ITPro)
• ”新的阴影——可见性你的SAAS应用的重要性”(CPO杂志)
• ”影子是增加,因此相关的安全风险”(社会网络)
• ”影子这战斗- 2023的风格”(《计算机世界》)

4 -无发布2023年的报告在安全意识

寻找最新的趋势和最佳实践来提高安全意识程序呢?查看“2023年无安全意识报告,”本周公布。现在的第八年,免费的报告是基于全球近2000安全意识的调查专家。

利用调查数据,报告提供了“发现和数据驱动的动作条目可以使用成熟的安全程序和增加你的网络安全团队的技能和信心,“读取无博客对今年的版本。

主要结论和建议包括:

• 使用“无安全意识成熟度模型,“让你的安全意识计划的年度评估
• 项目成熟度的顶部因素是全职员工的数量在安全意识程序,因为人们需要管理人类的风险
• 增加程序的编制,突出它生成的价值和成本节约,没有多少训练进行

(来源:SANS研究所“2023年无安全意识报告”,2023年7月)。

• 绝大多数受访者认为社会工程攻击他们的组织最大的人类网络风险

(来源:SANS研究所“2023年无安全意识报告”,2023年7月)。

得到更多的细节,下载报告。

5 - NCC组:Ransomware攻击上升

Ransomware攻击6月上升,同比上升了221%,增加的部分原因是CL0P Ransomware帮派的漏洞在进行软件开发的MOVEit转移产品。

所以说NCC集团的全球威胁情报团队在其“每月Theat脉冲”6月报告。CL0P攻击ransomware攻击6月的21%,其次是LockBit 3.0(14%)和新人8基地(9%)。

“相当大的激增ransomware活动今年到目前为止是一个明确的指标的发展自然景观的威胁,”马特•赫尔全球威胁情报主管NCC集团在报告中称。

“这是必要的组织应该保持警惕和适应他们的安全措施保持领先一步,”他补充道。

所有的细节,阅读完整的报告。

更多信息关于ransomware保护:

• ”FAQ MOVEit转移漏洞和CL0P Ransomware团伙”(成立)
• ”7步骤来防止和限制Ransomware的影响”(网络安全中心)
• ”Ransomware准备:为什么组织应该计划Ransomware等灾害袭击”(成立)
• ”技巧和战术:Ransomware”(NIST)
• ”减少恶意软件和ransomware攻击”(英国建设工作

视频

解剖学的威胁:MOVEIt(成立)

6 -白宫被AI供应商承诺负责任的人工智能

拜登政府担保的自愿承诺七大人工智能AI公司开发他们的安全产品,安全、透明地保护人们的权利和安全。

人为公司——亚马逊,谷歌,音调变化,元,微软和OpenAI——同意,除其他事项外,:

• 确保他们的人工智能产品安全在向公众发布之前,例如,提交他们不仅内部也独立,外部测试
• 构建系统的首要任务是是安全的,通过网络安全措施,包括投资和内部保障措施和通过促进第三方发现漏洞的威胁
• 赢得公众的信任,,例如,确保人们知道当内容被人工智能生成和优先研究社会风险

这一行动是除了美国政府通过立法和监管AI护栏的追求。

本周四的公司——谷歌,OpenAI,微软和人为形成的前沿模型论坛,行业组织,其目的是确保安全的和负责任的”前沿的人工智能模型,它定义为“大规模机器学习模型,超过功能目前存在于最先进的现有模型。”

来获得更多的细节,阅读白宫的声明和前沿模型论坛的公告。

关于负责任的人工智能开发和使用的更多信息:

• ”负责人工智能是什么?”(TechTarget)
• ”人工智能风险管理框架”(美国国家标准与技术研究院)
• ”为什么我们需要关心负责人工智能算法的年龄吗”(世界经济论坛)
• ”构建健壮的拉伊程序作为第三方AI工具层出不穷”(麻省理工学院斯隆管理评论)