-
[站外广告]业务列表介绍和一般分类
业务列表介绍和一般分类:类别:攻击入侵破解开发1:攻击业务订单:暂时取消所有此类业务订单[仅销售常规IDC流量]2:入侵业务清单:包括网站源代码,办公系统,黑色系统,教育系统等。[接受授权的业务] ...
-
调查:仅不到30%的公司采用加密
现在到了几乎每家公司都有数据泄露的时候了。尽管数据泄露猖獗,却仍仅有不到30%的企业加密数据,无论数据存在于现场环境还是在托管在云提供商处,甚或存储在他们的移动设备中。法国泰利斯集团从事航空航天与安全业务,其《2019数据威胁报告》于2019年1月29日发布,其中重要结论就是加密数据的企业寥寥...
-
应用安全的十二个最低参照基准
应用程序安全方法论和最佳实践已经有十多年的历史,其中“安全开发成熟度模型”(BSIMM)是被企业采用多年,用来跟踪安全开发成熟度进度的重要模型。上周,Synopsys发布了基于BSIMM11模型的报告,对基于金融服务、软件、云计算和医疗等9个垂直行业的130家公司的软件安全实践进行了分析,揭示了以下...
-
零信任安全网络企业正在走向生物认证
根据一项新的研究,越来越多的企业开始在设备上启用生物特征认证来验证访问请求。很多组织机构在为应用程序和其他IT资源建立和加强访问策略时,不再把网络边界作为信任指标。越来越多的企业开始实施一种身份验证解决方案——无论用户位置如何,每次尝试访问都要进行用户身份验证和设备安全检查。数据显示,企业越...
-
美国NIST《网络安全人人有责(草案)》进入公开意见征集阶段
为了解决“最薄弱的一环”(人),美国国家网络安全教育倡议(NICE下属劳动力管理小组,启动了基于业务职能为机构所有成员起草网络安全指南的项目。人的因素对企业安全而言非常重要。网络攻击常利用不安全人类行为来突破企业安全防线——因为公司企业必须信任其员工,至少必须信任其中一部分员工,赋予他们对关键...
-
大型企业尽量从一家安全供应商采购大部安全产品
最近,企业战略集团(ESG完成了其第二个年度企业级网络安全供应商研究项目。该项目背后的故事类似于:企业组织(比如拥有1000名以上员工的公司企业终端工具太多,正进行安全技术的整合与某些工具及供应商的清理。这就造成了安全市场上公司企业从更少的供应商手中购买更多产品的现象,其市场影响不可谓不大:...
-
网络风险=业务风险 “基于业务的CISO”时代正在到来!
数据泄露、勒索软件以及其他类型的网络攻击行为,已经为全球各地的企业造成了不可估量的损害,例如,无法挽回的声誉损失(如Equifax)、收并购价格的大幅缩水(如雅虎)亦或是全球范围内的业务中断(如NotPetya勒索软件受害者)等。不过好消息是,日益严峻的威胁场景也顺利地将网络安全问题从服务器机房...
-
物超所值:怎样衡量你的安全投资
评估企业安全工具效能的时候,怎么找出最合适的模型来计算“安全投资回报”(ROSI很是令人头疼。仅仅几年之前,安全事件的潜在损失还主要是公司声誉相关的经济损失,只有极少数案例有高额法律费用或服务长期中断相关的损失。但随着GDPR和其他国际性法律引入了新的罚款,以及过去几年里安全入侵事件在数量和复...
-
不断扩张的数字足迹正在改变个人安全和组织安全的本质
曾经,根本没有什么所谓的“数字足迹”,你的个人信息不会在虚拟电子环境中静静驻守,没有任何人都能窥探的风险。没有闪个不停的即时通讯未读消息,没有眼花缭乱的社交媒体,没有积压成灾的电子邮件,也没有良莠不齐的电商,没有网银,没有在线速配,信用卡交易要人工处理……但最近20年来,我们的生活越来越多地迁移...
-
调查:60% 的组织机构在2018年都经历过容器安全事故
进入2019年,很多组织机构都在考虑DevOps。这是一场全球性的运动。事实上,Puppet和Splunk在其2018年度DevOps报告中,收到了除南极洲以外来自各大洲组织机构的响应。这些组织在所属行业,规模和DevOps的成熟度级别上各不相同,但是他们都有兴趣学习如何进一步推动其DevOps发展...
-
一种创新型敏感数据安全技术:互动式应用安全测试(IAST)
未授权敏感数据访问亦称敏感数据泄露,是个连Instagram和亚马逊等以软件安全著称的大品牌都未能幸免的普遍性问题。敏感数据包括银行账户信息等金融数据、个人可识别信息(PII和受保护的医疗信息(比如与个人健康状态、医疗服务条款或费用等相关的信息。SpaceInvadermadeofc...
-
布鲁斯·施耐尔:区块链技术不值得信任
近日,密码领域大师布鲁斯·施耐尔,在《连线》针对发文评论区块链技术。2008年首篇提出比特币的白皮书中,中本聪写道:我们提出了一套不依赖任何信任体系的电子交易系统。他指的就是区块链——比特币背后的支撑技术。绕过信任的前景相当美好,但并不现实。诚然,比特币摒除了信用卡之类其他支付系统中固有的受...
-
公司最容易忽略的3个GDPR合规性问题,你踩雷没?
企业想要满足欧盟《通用数据保护法案》(GDPR)合规性的最佳方式,就是假设自身并不需要保留个人数据,而不是通过与之相反的方式。2018年5月,欧盟《通用数据保护法案》(GDPR)正式生效,对于GDPR合规性要求,一些尽职尽责地遵守该法规的企业也表现出了充分的自信心。但是,要知道,GDPR合规性规...
-
一篇文章了解供应链安全:为什么应该小心第三方供应商
企业安全的薄弱环节可能在于合作伙伴和供应商。以下讲述了如何了解和减轻这种风险。供应链攻击,也称价值链攻击或第三方攻击,发生在有攻击者通过可访问企业系统和数据的外部合作伙伴或者供应商的信息,潜入内部系统的时候。这一攻击方式,在过去几年里极大地改变了典型的企业攻击方式,因为能够接触到敏感数据的供应商...
-
网络风险管理:业务团队与安全团队之间的空白
业务经理想要得到实时网络风险管理指标,但网络安全团队只能交付技术数据和阶段性报告。这中间的空白需要得到填补。几年前,网络安全人员常常哀叹经理们根本不想要真正的安全,他们只想要“够好”的安全。这种说法反映出很多CEO都将网络安全等同于合规。他们似乎认为,只要CISO能够搞定PCI、HIPAA或SO...
-
CEO们需要了解的未来网络安全
最近CEO们收到了鼓励他们思考信息与网络安全风险的信息和报告。然而并非所有人都了解应该如何面对这些风险,以及其对组织机构的影响。在当今的全球商业环境中,CEO以及董事会的成员们需要全面的了解正在发生的事情,以及为什么需要正确理解和应对潜在风险。如果没有深入的理解,风险分析和由此制定的决策可能会存...
-
采购AI/ML安全工具前要先回答这11个问题
信息安全就够复杂的了,往安全软件产品组合中添加AI/ML更是可能会引入问题。但如果选对供应商,一切都不是问题。多数CISO都认为人工智能(AI和机器学习(ML将会在未来3到5年内改变信息安全态势。但这并不意味着他们没听烦了这俩词儿。很多CISO可能真考虑过干脆签张支票以便再也不用听到AI和M...
-
组织应该在网络安全方面投入多少钱?
每个组织都需要开发自己的持续性流程来评估需求并证明安全支出的合理性。以下是两名首席信息安全官(CISO对此给出的建议。一个组织究竟应该在网络安全方面花费多少?答案很简单:根据具体情况而定。影响组织具体花费的因素有很多,包括公司所从事的业务类型,其处理的个人或敏感数据或知识产权的类型,其面...
-
IBM发力混合云与企业安全
IBMCloudPakforSecurity主打开源RedHat威胁追捕和自动化技术,加速网络攻击响应。IBM瞄准跨多个私有及公共云和现场位置安全锁定公司应用及数据的挑战性概念。IBM以其CloudPakforSecurity平台应对此挑战,该平台运用开源威胁追捕和...
-
导致企业安全主管“翻车“的十个“软伤”
网络安全人才应当感到幸福,当其他领域IT人才34岁就被逼上狼牙山的时候,我们的职业生涯在这个年龄段才刚刚进入上升期。但是我们也要正视自己的不足,尤其是在网络安全上升到战略层面的今天,走在队伍最前面的,技术过硬的CISO们要注意避免一些“软伤“。自从2014年Target、Ho...
-
内部人员风险管理:归哪个“O”管?
俗话说,家和万事兴。与之相对的,家不睦则必自败。同理,如果缺乏明确的领导,内部人员风险管理项目或内部人威胁项目(ITP也将走向失败。而公司企业往往未能出于“团队合作”的心态,或遵从当前管理领域来指定主管。其结果,就是“三个和尚没水吃”,每个人都管就是一个人都不管。这并不意味着要设立全权...