信息安全最新文章 被過度炒作的 “零信任”概念正在失去信任 零信任技術自從誕生之日起就備受關注,被認為是網(wǎng)絡安全技術發(fā)展的顛覆性創(chuàng)新理念。但是研究人員發(fā)現(xiàn),市場上過度的概念炒作和大量濫竽充數(shù)的偽零信任產(chǎn)品,正在讓企業(yè)安全團隊對“零信任”的期望值不斷降低,并且感到厭倦。Forrester高級分析師Heath Mullins表示:零信任已成為當前網(wǎng)絡安全領域濫用和誤解最嚴重的術語,用戶普遍困惑于哪些安全工具可以真正兌現(xiàn)零信任的安全承諾。 發(fā)表于:11/3/2022 當企業(yè)沒有網(wǎng)絡安全文化時會發(fā)生什么? 提到“企業(yè)文化”大家并不陌生,我們經(jīng)常看到它嵌入到企業(yè)的組織框架中,例如愿景、使命和價值觀,也可以描述它對各種事物的態(tài)度,例如是否重視創(chuàng)新而不是傳統(tǒng)、關注的是人還是流程、是否擁抱變化等等。 發(fā)表于:11/3/2022 云科安信推出新一代實戰(zhàn)化攻擊面管理產(chǎn)品 隨著信息化技術的飛速發(fā)展以及我國各行業(yè)全面數(shù)字化轉型的加速,當前政企單位和組織的安全邊界日益模糊,生態(tài)的擴大導致組織的供應鏈日趨復雜,攻擊者攻擊的邊界也已遠超以往。因此,防御者必須以攻擊者思路和攻擊者視角來看到攻擊者能夠看到的風險點,動態(tài)的監(jiān)測自身的資產(chǎn)邊界和風險點,這正是攻擊面管理(ASM)產(chǎn)生的根源。 發(fā)表于:11/3/2022 API應用數(shù)量已近2億,如何應對API蔓延的安全風險與挑戰(zhàn)? 萬圣節(jié)并非僵尸、影子和幽靈出沒的唯一時刻。其實,這些令人厭惡的問題正以API的形式隱藏在企業(yè)的數(shù)字化基礎設施中,不斷擴展組織的網(wǎng)絡攻擊面。而產(chǎn)生這些可怕的僵尸API、影子API和幽靈API的主要原因就是API蔓延(API Sprawl),這已經(jīng)成為現(xiàn)代企業(yè)數(shù)字化轉型發(fā)展的重大挑戰(zhàn)。 發(fā)表于:11/3/2022 如何提高網(wǎng)絡安全審計的有效性? 在歐洲內(nèi)部審計協(xié)會 (ECIIA) 發(fā)布的2022 Risk in Focus 報告和國際內(nèi)部審計師協(xié)會 (IIA) 發(fā)布的OnRisk 2022 報告中,網(wǎng)絡安全第五次蟬聯(lián)組織的關鍵風險之首。此外,IIA的OnRisk 2022報告指出,內(nèi)部審計師在網(wǎng)絡安全風險鑒證方面的能力差距是最大的。因此,對組織來說,了解如何最好地評估自己的審計有效性以及如何改進至關重要。 發(fā)表于:11/3/2022 個人信息頻頻泄露,企業(yè)應如何有效開展隱私風險評估? 數(shù)字經(jīng)濟時代,網(wǎng)絡上承載著個人身份信息、電話號碼、銀行卡號、住址、企業(yè)機密等各種信息,任何隱私信息泄露事件極可能導致企業(yè)名譽受損、收入及客戶流失、受到合規(guī)處罰及審查,對企業(yè)安全和用戶權益造成雙重消極影響。保護用戶隱私信息和敏感數(shù)據(jù)安全,避免受到網(wǎng)絡犯罪分子的惡意攻擊已經(jīng)成現(xiàn)代企業(yè)數(shù)字化發(fā)展中不可推卸的責任。 發(fā)表于:11/3/2022 微軟或因云服務器配置錯誤暴露數(shù)萬用戶敏感信息 日前,微軟公司正式披露:由于一臺云服務器配置不當,導致某些客戶的敏感信息遭暴露。在獲悉該事件后,公司已經(jīng)第一時間加固了相關服務器安全。 發(fā)表于:11/3/2022 主動安全策略有效應用的8個關鍵條件 在數(shù)字化轉型快速發(fā)展的背景下,企業(yè)傳統(tǒng)的生產(chǎn)體系、業(yè)務環(huán)境逐漸由封閉轉向開放,其業(yè)務呈現(xiàn)出泛在分布、移動應用、云化部署、彈性擴展等趨勢。隨著企業(yè)數(shù)字化發(fā)展需求不斷升級、網(wǎng)絡接入方式更加多元,以“被動防御”為主要特征的傳統(tǒng)網(wǎng)絡安全防護模式面臨著巨大挑戰(zhàn),業(yè)界對主動安全防護策略應用的期望也不斷增長。 發(fā)表于:11/3/2022 防范權限提升攻擊的六種手段 目前,主流的操作系統(tǒng)和業(yè)務系統(tǒng)都依賴權限管理來限制不同用戶和設備對系統(tǒng)應用功能、業(yè)務數(shù)據(jù)和配置服務的訪問。因此,訪問權限是一項至關重要的安全特性,可以控制用戶訪問及使用系統(tǒng)或應用程序及關聯(lián)資源的程度。通過觀察很多安全事件發(fā)現(xiàn),較低的權限將使攻擊者訪問活動受到很多的限制,也無法進行獲取Hash、安裝軟件、修改防火墻規(guī)則和修改注冊表等各種操作,所以攻擊者往往會先進行權限提升攻擊,在獲取更高的訪問權限后,在開展更具破壞性的其他攻擊。 發(fā)表于:11/3/2022 七分真、三分假!身份欺詐威脅出現(xiàn)新變化 近年來,盡管企業(yè)組織在打擊身份欺詐方面取得了很大進展,但如今又出現(xiàn)了一個新的且不斷上升的威脅:合成身份欺詐(synthetic identity fraud)。通過在數(shù)字平臺上將真實和偽造的信息進行組合,網(wǎng)絡犯罪者能夠輕松地實施此類欺詐活動。多項最新的研究數(shù)據(jù)顯示,合成身份欺詐已經(jīng)成為目前造成組織財產(chǎn)損失的“新天坑”! 發(fā)表于:11/3/2022 DLP只是"青銅",數(shù)據(jù)自主保護才是未來的"王者" 數(shù)據(jù)泄露防護(DLP)技術是目前數(shù)據(jù)安全防護領域的事實標準之一,在遠程工作模式和云計算應用大量普及之前,DLP在組織數(shù)據(jù)泄露防護中發(fā)揮了巨大作用。但有研究人員認為,由于組織現(xiàn)在需要更多共享數(shù)據(jù),企業(yè)的數(shù)據(jù)分布開始從內(nèi)部環(huán)境轉向多種類型的云存儲平臺,這使得DLP的應用價值正在發(fā)生變化。 發(fā)表于:11/2/2022 如何保護智能車輛遠離網(wǎng)絡攻擊? 出色的網(wǎng)絡鏈接功能已成為很多車主買車時的主要評選標準,無線手機充電器、數(shù)據(jù)傳輸、實時掃描路牌和傳感器、遠程啟動車輛等人性化的功能大大提高了我們的駕駛舒適度。然而,任何事物都有正反兩面,這些便捷功能同樣也是雙刃劍,會使車輛面臨潛在的網(wǎng)絡安全風險。數(shù)據(jù)顯示,2010年至2021年間,影響聯(lián)網(wǎng)車輛的安全事故中,7.3%都與配套的移動應用程序有關。 發(fā)表于:11/2/2022 從9個真實事件看內(nèi)部威脅的攻擊類型與防護 內(nèi)部威脅早已不是什么新鮮概念,很多重大網(wǎng)絡安全事件都是由內(nèi)部因素所引發(fā)。但直到目前,企業(yè)對內(nèi)部威脅問題仍然沒有足夠的重視,并且缺乏有效的應對和防護措施。事實上,大多數(shù)安全團隊面對內(nèi)部威脅時仍然是事后補救。本文總結了近年來發(fā)生的9起全球知名企業(yè)內(nèi)部威脅安全事件。通過分析研究這些真實案例,并從中汲取經(jīng)驗教訓,有助于組織進一步提升自己對內(nèi)部威脅風險的主動防御能力。 發(fā)表于:11/2/2022 國務院:全面加強網(wǎng)絡安全和數(shù)據(jù)安全保護;工信部印發(fā)《網(wǎng)絡產(chǎn)品安全漏洞收集平臺備案管理辦法》 2022年10月28日,國務院關于數(shù)字經(jīng)濟發(fā)展情況的報告提請十三屆全國人大常委會第三十七次會議審議。報告中指出,要全面加強網(wǎng)絡安全和數(shù)據(jù)安全保護,筑牢數(shù)字安全屏障;積極參與數(shù)字經(jīng)濟國際合作,推動構建網(wǎng)絡空間命運共同體。 發(fā)表于:11/2/2022 常見網(wǎng)絡安全攻擊路徑盤點分析與建議 攻擊路徑是指網(wǎng)絡攻擊者潛入到企業(yè)內(nèi)部網(wǎng)絡應用系統(tǒng)所采取的路徑,換句話說,也就是攻擊者進行攻擊時所采取的相關措施。攻擊途徑通常代表著有明確目的性的威脅,因為它們會經(jīng)過詳細的準備和規(guī)劃。從心懷不滿的內(nèi)部人員到惡意黑客、間諜團伙,都可能會利用這些攻擊路徑,竊取公司技術、機密信息或敲詐錢財。 發(fā)表于:11/2/2022 ?…67686970717273747576…?
