作者:
1、制定明确的目标
创建网络安全文化的第一步是定义基本指标,并确保企业中每个与网络安全相关者都知道该计划。该计划应该详细说明当网络安全事件发生时必须采取的步骤。
2、从高层开始推动
组织成功打造安全文化的第一步是取得管理层的支持和配合。安全专业人员应了解公司整体业务战略,识别出与该战略相关的风险,并用业务部门能够理解的术语传达这些风险。
3、要以人为本
让员工在工作模式上做出改变是很困难的,因为他们更专注于自己的工作。另一方面,网络安全是一个不断变化的领域,给他们学习所需的资源,并实施一些激励措施。
4、让安全意识培训变得有趣有益
一般的安全培训课程会让员工觉得很无聊。如果企业想认真对待网络安全文化和意识培养,常常需要更好的方法。
5、持续的训练和优化
网络犯罪分子每天都在寻找新的漏洞,企业也应该如此。
普普点评——
对于现代企业组织而言,打造健康、先进的网络安全文化具有重大的现实意义和作用,不仅可以使网络应用环境更加安全和谐,还可以让所有员工都意识到维护网络安全环境的重要性,以及自己在保护企业和个人网络安全方面的责任与角色。
技术引领未来, IDC TechScape中国数据安全发展路线图首发
2022年8月26日——IDC 2022 CSO全球网络安全峰会(中国站)在上海隆重开幕,会上首次发布《IDC TechScape:中国数据安全发展路线图,2022》。报告认为,帮助用户构建全方位数据安全治理体系将成为大趋势,各项数据安全和密码技术将在治理体系中作为重点能力模块,赋能用户实现数据安全治理目标。
近年来,全球数据安全形势愈发严峻,层出不穷的网络攻击事件,严重影响着全球企业数字化转型的正常进行,也极大的刺激了数据安全市场的需求供给。根据IDC统计,2021年中国数据安全产品与服务的总市场规模(包含隐私计算与区块链技术中的数据安全部分)达到12.43亿美金,约合80.2亿人民币。为此,我国陆续颁布施行的《十四五规划纲要》《数据安全法》《个人信息保护法》等政策法规,均明确提出推动发展数据战略,统筹数据开发利用、隐私保护和公共安全,规范数据有序流通,保障数据安全。
普普点评——
数据安全市场将在国家政策和市场需求的共同驱动下快速发展,中国数据安全技术及市场发展趋势将主要呈现出数据安全合规变成刚需、数据安全领域技术的融合、数据安全产品与服务的融合、数据安全与网络安全的融合、密码能力集成趋势逐步增强、云上数据安全合作能力进一步加强、新兴科技赋能数据安全、关注业务数据安全进行网格化管理、聚焦场景应用等一系列特点。
从隐私到隐私计算
隐私保护原本是个人的行为,是为了提高个体的安全,其根本原因在于隐私数据所有权和使用权的分离。
例如,对于大多数人而言,姓名和性别是他们的公共属性,而且通常愿意揭示它们,不属于隐私。在某些情况下,个人的年龄,身高和体重可能是隐私数据。但是有时同样要公开,例如看病的时候,一个医生需要知道病人身体和精神上的细节,如果需要会诊,这些隐私数据还会开放给一组医生,医生们需要使用这些数据对病情进行诊断。
对隐私保护的直观方式是什么都不透露,但这几乎是不切实际的。随着时间的推移,隐私的概念已经发生了演变。有人建议隐私不能进入数据库,即从数据库中无法了解任何关于个人的信息,也有人强调,个人的隐私可以被视为“隐藏在人群中”,更一般的看法是,信息收集和传播应适合于确定的场景,并遵守有关信息传播的规范。
普普点评——
在IT领域,隐私是一个抽象的概念,不能代替具体事物或人的行为,只是它们所反映出来的信息。也就是说,隐私本质上是一种信息,一种属于私人不愿为他人知晓或干涉的信息。例如电子邮件、即时通信的内容等,这些工具本身并不是隐私,只是其中记载并反映出来的信息才是隐私。
一文详解Web渗透测试的重要性
渗透测试是针对计算机系统进行的一种模拟网络攻击,目的是为了寻找可能被利用的漏洞。这是一项自我评估测试,用于评估计算机系统和网络中可被利用的漏洞。
网络渗透测试是一种网络评估工具,被网络安全专业人员用来评估现有网络安全工具的完整性和有效性。这是一项对现有网络安全实施构成威胁的风险因素所进行的详细安全评估。通过对公司的数字资源和网络进行分析和扫描,网络渗透测试能够检测出任何存在的漏洞。一旦发现漏洞,就会对其进行检查,以确定黑客是否可以通过渗透测试利用这些漏洞。
Web渗透测试针对的是基于Web的客户端应用程序,它涵盖了当今企业组织使用的大多数应用程序。由于Web应用程序的广泛使用,Web渗透测试是任何网络安全解决方案的关键组成部分。这是因为这些基于网络的应用程序可以让黑客访问个人身份信息(PII)—知识产权、受保护的健康信息,以及不想被访问的保密网络和资源。这使得对基于网络的客户应用程序受到攻击的威胁变得非常严重。
普普点评——
通常情况下,网站会受到保护而免遭黑客攻击,但保存、保护机密文件和知识产权仍需要强大的安全保障。这种安全保障是为了抵御来自黑客的网络攻击或网暴。在这种情况下,Web渗透测试是安全专业人员用来防止此类网络入侵的最佳工具之一。
云计算配置错误导致的漏洞如何进行处理
根据Gartner公司副总裁分析师兼Neil MacDonald说:“几乎所有对云服务的成功攻击都源于客户配置错误、管理不善和漏洞。”虽然听起来这有些指责的意味,但这种说法是准确的。而由供应商疏忽造成的违规事件并不多。
云配置错误描述了可能破坏性能、安全性或一般可靠性的云服务的任何不当实施。恶意行为者可以利用这些漏洞利用配置错误的基础设施,并利用它来利用和发起网络攻击。
错误配置的原因和示例包括:
没有经验的用户。
错误的存储访问设置。
缺乏适当的凭据验证。
对工作负载的访问限制宽松。
禁用日志记录和监控。
云计算本质上是企业实现远程工作的基础。无论是访问软件即服务产品以进行编程还是会计,其优势都已得到充分证明。然而,随着企业和个人将更多云平台提供的服务集成到他们的软件堆栈中,他们的安全性和配置要求也会发生变化。有更多的移动部件需要跟踪。
普普点评——
通常情况下,网站会受到保护而免遭黑客攻击,但保存、保护机密文件和知识产权仍需要强大的安全保障。这种安全保障是为了抵御来自黑客的网络攻击或网暴。在这种情况下,Web渗透测试是安全专业人员用来防止此类网络入侵的最佳工具之一。
利用零信任原则保障 Kubernetes 环境访问安全
现代 IT 环境变得越来越动态。举例来说,Kubernetes 拓展了许多组织的可能性边界。开源技术在容器化应用程序自动部署、扩展性和管理方面有诸多好处。特别地,IT 团队可以利用其强大的功能、有效性和灵活性快速开发现代应用程序并大规模交付。
然而,为 Kubernetes 环境安全强化实践提供保障的流程面临着越来越大的挑战。随着分布在本地数据中心、多公有云提供商和边缘位置的 Kubernetes 开发和生产集群数量越来越多,这种相对较新的动态操作模型给访问控制带来了很大的复杂性。
由于大部分团队都有多个集群在多个位置运行——通常使用不同的发行版,有不同的管理界面——企业 IT 部门需要考虑到,开发、运营、承包商和合作伙伴团队需要不同级别的访问权限。
考虑到 Kubernetes 的分布式和可扩展特性,IT 部门必须尽一切可能确保访问安全性,避免正在发生的错误。下面我们将介绍如何应用 Kubernetes 零信任原则来保护整个环境,为容器提供零信任安全。
普普点评——
零信任是一个安全模型,它会自动假设所有在网络中或网络间进行操作的人、系统和服务都是不可信任的。零信任正成为预防恶意攻击的最佳技术。以身份验证、授权和加密技术为基础,零信任的目的是持续验证安全配置和态势,确保整个环境值得信任。
为什么数据安全不再是可选项而是必选项
安全漏洞的成本不仅仅是金钱。今天对数据安全进行投资可以防止长期的负面后果,这些负面后果会耗费企业的时间、金钱和声誉。
企业和个人活动正日益数字化。无论您是简单地使用连接的温度计测量体温,还是通过复杂的供应链发送产品,企业都会不断收集数据以改进服务和改进运营流程。
企业一直在寻找更多获取高质量数据的方法——无论是从自己的运营中、从互联网收集还是从第三方购买。反过来,飙升的需求激起了一些不太善意的实体的兴趣。
随着对数据需求的增长,网络攻击的频率、严重性和复杂性都在增长。导致数据泄露的几个因素包括使用第三方服务、网络运营风险、广泛的云迁移、增加的系统复杂性和合规性失败。
数据泄露可能会在财务上摧毁公司,同时对其声誉造成不可挽回的损害。根据 IBM 的一份报告,数据泄露的平均成本为每条记录 150 美元。每次事件平均丢失 25,575 条记录,网络攻击可能会给公司造成大约 392 万美元的损失。
普普点评——
即使对于不直接参与该行业的企业来说,内部和外部的数据收集也已成为日常活动。由于恶意行为者试图滥用安全问题,适当的管理实践仍在等待实施。
然而,与几乎任何其他威胁相比,此类问题有可能对个人和公司造成更大的损害。了解数据安全不再是企业事后才考虑的问题,这一点至关重要。