SHE-Blogpicks

Bericht: CISO an CIO? CEO? Oder …?

Posted by in Allgemein

Diese Seite teilen:

Traditionell berichten IT-Sicherheitsverantwortliche an die obersten IT-Entscheider. Ob das richtig ist in Digitalisierungszeiten, in denen IT immer direkter auf den Geschäftserfolg durchschlägt, bezweifelt Steve Kovsky (Bild) im Blog der Security-Firma Crowdstrike. Ohne sich auf eine Position festzulegen, beschreibt er mehrere Ansätze, darunter einen Vorschlag von Mike Davis, CISO der Houstoner Steuerberatungsfirma Alliantgroup. Analog zur zweigleisigen militärischen Befehlsstruktur könnte demnach der CISO in operativen Fragen an den CIO berichten, in administrativen Angelegenheiten aber an CDO, COO oder gar den CEO.

0

AWS: mehr Security mit Algorithmen-Hilfe

Posted by in Allgemein

Diese Seite teilen:

Automated Reasoning“ (automatisches Schlussfolgern oder Argumentieren) heißt ein Ansatz, mit dem Amazon Web Services für mehr Sicherheit seiner Cloud-Angebote sorgen will. Amazon-CTO Werner Vogels (Bild) hat das Verfahren kürzlich auf einer AWS-Veranstaltung vorgestellt und in einem ausführlichen Blog-Beitrag erläutert: Algorithmen suchen demnach nach mathematischen Beweisen für die Richtigkeit komplexer Systeme. Vogel zufolge lässt sich etwa die Netzwerksicherheit von Instanzen der Amazon Elastic Compute Cloud (Amazon EC2) optimieren. Hinweis des CTO: Auch mit dem neuen Verfahren sorge AWS nur für die Sicherheit der Cloud selbst, nicht aber für die Sicherheit der Anwendungen IN der Cloud.

0

Mehr Sicherheit im Chip-Design

Posted by in Allgemein

Diese Seite teilen:

Forscher an der Technischen Universität Kaiserslautern um Wolfgang Kunz (Bild, Mitte) haben in Kooperation mit der Universität Stanford einen Algorithmus entwickelt, der in der Lage sein soll, möglicherweise sicherheitskritische Fehler beim Chip-Design zu entdecken, bevor die Prozessoren in die Serienfertigung gehen. Wie Eurekalert berichtet, sollen mit der Methode namens „Unique Program Execution Checking“ (UPEC) sowohl High-end-Prozessoren als auch einfache Chips für Alltagsgeräte (Internet der Dinge) bereits bei der Entwicklung optimiert werden. – Bemühungen um sicherere Chip-Designs sind 2018 nach der Entdeckung von „Spectre“ und „Meltdown“ signifikant verstärkt worden.

0

Threat Modeling – unter anderem mit Pasta

Posted by in Allgemein

Diese Seite teilen:

Cyber-Risiken nehmen zu, wie man weiß. Threat Modeling dient dazu, externe und interne Risiken für IT-Systeme zu identifizieren und priorisieren. Im CERT-Blog des Software Engineering Institute SEI der Carnegie-Mellon-Universität beschreibt und bewertet Nataliya Shevchenko ausführlich zwölf Methoden des Threat Modeling, darunter Verfahren mit so interessanten Namen wie PASTA (Process for Attack Simulation and Threat Analysis). Für alle Threat-Modeling-Verfahren gilt, so die Software-Entwicklerin: Je früher im Entwicklungsprozess man damit beginnt, desto besser der Effekt.

0

Spieltheorie für mehr Cloud-Sicherheit

Posted by in Allgemein

Diese Seite teilen:

Angriffe auf Virtuelle Maschinen (VM) in der Cloud können dann erfolgreich sein, wenn sie auch auf den als Abstraktionsschicht und Monitor fungierenden Hypervisor durchschlagen. Dann nämlich sind alle anderen VM gefährdet. Ein Team vom U.S. Army Research Laboratory hat nun einen Weg gefunden, das Risiko von Cyber-Angriffen auf Cloud-Ressourcen zu minimieren. Wie Eurekalert meldet, wird mittels eines spieltheoretischen Ansatzes nach außen hin verschleiert, welche VM unter welchem Hypervisor laufen. Angreifer, die eine VM knacken, haben dadurch dann keinen Durchgriff auf andere Maschinen, erläutert Forschungsleiter Dr. Charles Kamhoua (Bild: U.S. Army, Doug Lafon).

0