עטלעכע וואַלנעראַביליטיז זענען מוחל, אָבער נעבעך לאַטע פאַרוואַלטונג איז נישט פאָן

עטלעכע וואַלנעראַביליטיז זענען מוחל, אָבער נעבעך פּאַטש פאַרוואַלטונג איז נישט

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

קסנומקס אפריל קסנומקס

אינהאַלט פון אינהאַלט:

1) דער פּראָבלעם מיט CVEs
2) וואָס טוט די NCSC ווילן צו טאָן?
3) א סטאַנדאַרדס-באזירט צוגאַנג

אין די אָנהייב פון די יאָר, די וק ס נאַשאַנאַל סייבער סעקוריטי צענטער (NCSC) גערופן אויף די ווייכווארג אינדוסטריע צו באַקומען זיין אַקט צוזאַמען. צו פילע "פונדאַטיאָנאַל וואַלנעראַביליטיז" סליפּינג אין קאָד, מאכן די דיגיטאַל וועלט אַ מער געפערלעך אָרט, עס אַרגיוד. דער פּלאַן איז צו צווינגען ווייכווארג ווענדאָרס צו פֿאַרבעסערן זייער פּראַסעסאַז און מכשירים צו יראַדאַקייט די אַזוי גערופענע "אַנפערגייוואַבאַל" וואַלנעראַביליטיז אַמאָל און פֿאַר אַלע.

כאָטש אַמביציעס אין פאַרנעם, עס וועט נעמען עטלעכע מאָל פֿאַר די אַגענטור ס פּלאַן צו טראָגן פרוכט - אויב עס טוט. אין דער דערווייל, אָרגאַנאַזיישאַנז דאַרפֿן צו באַקומען בעסער אין פּאַטטשינג. דאָס איז ווו ISO 27001 קענען העלפֿן דורך ימפּרוווינג אַסעט דורכזעיקייַט און ינשורינג ווייכווארג דערהייַנטיקונגען זענען פּרייאָראַטייזד לויט צו ריזיקירן.

דער פּראָבלעם מיט CVEs

ווייכווארג געגעסן די וועלט פילע יאָרן צוריק. און עס איז מער פון עס אַרום הייַנט ווי אלץ פריער - פליסנדיק קריטיש ינפראַסטראַקטשער, געבן אונדז צו אַרבעטן און סימלאַסלי יבערגעבן, און פאָרשלאָגן סאָף וועגן צו פאַרווייַלן זיך. מיט די אַדווענט פון אַי אגענטן, ווייכווארג וועט ימבעד זיך אלץ ווייַטער אין די קריטיש פּראַסעסאַז וואָס געשעפטן, זייער עמפּלוייז און זייער קאַסטאַמערז פאַרלאָזנ זיך צו מאַכן די וועלט אַרומגיין.

אָבער ווייַל עס איז (לאַרגעלי) דיזיינד דורך יומאַנז, די ווייכווארג איז פּראָנע צו טעות. און די וואַלנעראַביליטיז וואָס סטעם פון די קאָדירונג מיסטייקס זענען אַ שליסל מעקאַניזאַם פֿאַר סאַקאָנע אַקטערז צו ברעכן נעטוואָרקס און דערגרייכן זייער גאָולז. די אַרויסרופן פֿאַר נעץ דיפענדערז איז אַז אין די לעצטע אַכט יאָר, אַ רעקאָרד נומער פון וואַלנעראַביליטיז (CVEs) זענען ארויס. די ציפער פֿאַר 2024 איז געווען איבער קסנומקס. אַז ס אַ פּלאַץ פון זיכערהייט דערהייַנטיקונגען צו צולייגן.

ווי לאַנג ווי די באַנד און קאַמפּלעקסיטי פון ווייכווארג פאָרזעצן צו וואַקסן, און ריסערטשערז און סאַקאָנע אַקטערז זענען ינסענטיווייזד צו געפֿינען וואַלנעראַביליטיז, די נומער פון יערלעך CVEs וועט פאָרזעצן צו פאַרגרעסערן. אַז מיטל מער וואַלנעראַביליטיז פֿאַר סאַקאָנע אַקטערז צו גווורע.

לויט איין אָפּשאַצונג, 768 CVEs זענען עפנטלעך רעפּאָרטעד ווי עקספּלויטאַד אין די ווילד לעצטע יאָר. און כאָטש 24% פון די זענען נול טעג, רובֿ זענען נישט. אין פאַקט, בשעת AI מכשירים העלפֿן עטלעכע סאַקאָנע אַקטערז גווורע וואַלנעראַביליטיז פאַסטער ווי אלץ פריער, זאָגן אויך סאַגדזשעס אַז לעגאַט באַגז בלייבן אַ הויפּט פּראָבלעם. עס ריווילז אַז 40% פון וואַלנעראַביליטיז עקספּלויטאַד אין 2024 זענען פֿון 2020 אָדער פריער, און 10% זענען פֿון 2016 אָדער פריער.

וואָס טוט די NCSC ווילן צו טאָן?

אין דעם קאָנטעקסט, די פּלאַן פון די NCSC מאכט זינען. זייַן יערלעך איבערבליק 2024 די פאַקט אַז ווייכווארג ווענדאָרס זענען פשוט נישט ינסענטיווייזד צו פּראָדוצירן מער זיכער פּראָדוקטן, אַרגיוינג אַז די בילכערקייַט איז צו אָפט אויף נייַע פֿעיִקייטן און צייט צו מאַרק.

"פּראָדוקטן און סערוויסעס זענען געשאפן דורך געשעפט ענטערפּריסעס אַפּערייטינג אין דערוואַקסן מארקפלעצער וואָס - פאַרשטיייק - פּרייאָראַטייז וווּקס און נוץ אלא ווי די זיכערהייט און ריזיליאַנס פון זייער סאַלושאַנז. ינעוואַטאַבלי, עס זענען קליין און מיטל-סייזד ענטערפּריסעס (סמע), צדקה, בילדונג עסטאַבלישמאַנץ און די ברייט ציבור סעקטאָר וואָס זענען מערסט ימפּאַקטיד ווייַל, פֿאַר רובֿ אָרגאַניזאַציעס, קאָס באַטראַכטונג איז נישט די ערשטיק שאָפער.

"פשוט, אויב די מערהייַט פון קאַסטאַמערז פּרייאָראַטייז פּרייַז און פֿעיִקייטן איבער 'זיכערהייַט', ווענדאָרס וועלן קאַנסאַנטרייט אויף רידוסינג צייט צו מאַרק אויף די קאָסט פון דיזיינינג פּראָדוקטן וואָס פֿאַרבעסערן די זיכערהייט און ריזיליאַנס פון אונדזער דיגיטאַל וועלט."

אַנשטאָט, די NCSC האפענונגען צו בויען אַ וועלט ווו ווייכווארג איז "זיכער, פּריוואַט, ריזיליאַנט און צוטריטלעך פֿאַר אַלע". דאָס וועט דאַרפן מאַכן "מיטיגיישאַנז פון שפּיץ מדרגה" גרינגער פֿאַר ווענדאָרס און דעוועלאָפּערס צו ינסטרומענט דורך ימפּרוווד אַנטוויקלונג פראַמעוואָרקס און אַדאַפּטיישאַן פון זיכער פּראָגראַממינג קאַנסעפּס. דער ערשטער בינע איז העלפּינג ריסערטשערז צו אַססעסס אויב נייַ וואַלנעראַביליטיז זענען "מחילה" אָדער "אַנפערגיוואַבאַל" - און אין דעם טאן, בויען מאָמענטום פֿאַר ענדערונג. אָבער, ניט אַלעמען איז קאַנווינסט.

"די NCSC ס פּלאַן האט פּאָטענציעל, אָבער זיין הצלחה דעפּענדס אויף עטלעכע סיבות אַזאַ ווי ינדאַסטרי אַדאַפּשאַן און אַקסעפּטאַנס און ימפּלאַמענטיישאַן דורך ווייכווארג ווענדאָרס," וואָרענען דזשאַוווואַד מאַליק, פירן זיכערהייט וויסיקייַט אַדוואָקאַט אין KnowBe4. "עס אויך רילייז אויף קאַנסומער וויסיקייַט און פאָדערונג פֿאַר מער זיכער פּראָדוקטן און רעגולאַטאָרי שטיצן."

עס איז אויך אמת אַז אפילו אויב די NCSC ס פּלאַן געארבעט, עס וואָלט נאָך זיין אַ פּלאַץ פון "מוחלאַבאַל" וואַלנעראַביליטיז צו האַלטן CISOs וואך ביי נאַכט. אַזוי וואָס קענען זיין געטאן צו פאַרמינערן די פּראַל פון CVEs?

א סטאַנדאַרדס-באזירט צוגאַנג

מאַליק סאַגדזשעסץ אַז דער בעסטער פּראַקטיסיז זיכערהייט נאָרמאַל ISO 27001 איז אַ נוציק צוגאַנג.

"אָרגאַניזיישאַנז וואָס זענען אַליינד צו ISO27001 וועט האָבן מער געזונט דאַקיומענטיישאַן און קענען ייַנרייען וואַלנעראַביליטי פאַרוואַלטונג מיט קוילעלדיק זיכערהייט אַבדזשעקטיווז," ער דערציילט ISMS.online.

הונטרעסס עלטער פאַרוואַלטער פון זיכערהייט אַפּעריישאַנז, Dray Agha, טענהט אַז דער נאָרמאַל גיט אַ "קלאָר פריימווערק" פֿאַר ביידע וואַלנעראַביליטי און לאַטע פאַרוואַלטונג.

"עס העלפּס געשעפטן צו בלייבן פאָרויס פון טרעץ דורך ענפאָרסינג רעגולער זיכערהייט טשעקס, פּרייאָראַטייז הויך-ריזיקירן וואַלנעראַביליטיז און ינשורינג בייַצייַטיק דערהייַנטיקונגען," ער דערציילט ISMS.online. "אלא ווי רעאַגירן צו אנפאלן, קאָמפּאַניעס וואָס נוצן ISO 27001 קענען נעמען אַ פּראָואַקטיוו צוגאַנג, רידוסינג זייער ויסשטעלן איידער כאַקערז אפילו שלאָגן, לייקענען סייבער קרימאַנאַלז אַ פוטכאָולד אין דער אָרגאַניזאַציע ס נעץ דורך פּאַטטשינג און כאַרדאַנינג די סוויווע."

אָבער, Agha טענהט אַז פּאַטטשינג אַליין איז נישט גענוג.

"ביזנעס קענען גיין ווייַטער צו באַשיצן קעגן סייבער טרעץ דורך דיפּלייינג נעץ סעגמענטאַטיאָן און וועב אַפּלאַקיישאַן פיירוואַללס (WAFs). די מיטלען אַקט ווי עקסטרע לייַערס פון שוץ, שילדינג סיסטעמען פון אנפאלן אפילו אויב פּאַטשאַז זענען דילייד," ער האלט. "אַדאַפּטינג נול צוטרוי זיכערהייט מאָדעלס, געראטן דיטעקשאַן און ענטפער סיסטעמען, און זאַמדבאָקסינג קענען אויך באַגרענעצן די שעדיקן אויב אַ באַפאַלן ברעכן דורך."

Malik פון KnowBe4 שטימען, אַדינג אַז ווירטואַל פּאַטטשינג, ענדפּוינט דיטעקשאַן און ענטפער זענען גוט אָפּציעס פֿאַר לייערינג שוץ.

"אָרגאַניזיישאַנז קענען אויך דורכפירן דורכדרונג טעסטינג אויף ווייכווארג און דעוויסעס איידער דיפּלייינג אין פּראָדוקציע ינווייראַנמאַנץ, און פּיריאַדיקלי דערנאָך. סאַקאָנע סייכל קענען זיין געוויינט צו צושטעלן ינסייט אין ימערדזשינג טרעץ און וואַלנעראַביליטיז," ער זאגט.

"פילע פאַרשידענע מעטהאָדס און אַפּראָוטשיז עקסיסטירן. עס האט קיינמאָל געווען אַ דוחק פון אָפּציעס, אַזוי אָרגאַנאַזיישאַנז זאָל קוקן אין וואָס אַרבעט בעסטער פֿאַר זייער באַזונדער ריזיקירן פּראָפיל און ינפראַסטראַקטשער."

מחבר

פיל מונקאַסטער

Phil Muncaster איז געווען אַן IT זשורנאַליסט פֿאַר 20 יאָר. ער סטאַרטעד ווי אַ רעפּאָרטער אויף ענטערפּרייז IT טיטל IT וואָך אין 2005 און פּראַגרעסט צו די ראָלע פון נייַעס עדיטאָר איידער ער געלאזן צו נאָכגיין אַ פרילאַנס קאַריערע. זינט דעמאָלט, Phil האט געשריבן פֿאַר טיטלען אַרייַנגערעכנט די רעדזשיסטער, ווו ער געארבעט ווי אזיע קארעספאנדענט בשעת באזירט אין האָנג קאָנג פֿאַר איבער צוויי יאָר, MIT טעכנאָלאָגיע איבערבליק, SC מאַגאַזין, ינפאָסעקוריטי מאַגאַזין און אנדערע.

זען אַלע אַרטיקלען דורך Phil Muncaster