作者:
让网络安全培训变得有趣:提供方便有趣的培训。员工应该关心数字安全,了解如何预防以及如果遇到任何奇怪的事情该怎么办。通过让人力资源部门与 IT 部门合作,会看到改进的培训结果。在考虑正确的方法时,请查看整体公司文化和员工的需求。考虑使用微学习将主题放在他们的脑海中。
提供目标职位:使网络安全文化具有吸引力的一种方法是以认证的形式提供目标。修复技能差距的关键是通过获得网络安全认证帮助员工获得新的领军职业。通过帮助现有员工做到这一点,可以帮助减少技能差距并提升员工。公司还可以与学校合作,鼓励网络安全教育,甚至鼓励高中生获得认证。
使用人工智能工具:人工智能 (AI) 工具可以分析最新数据并更快地发现潜在攻击。此外,可以确定警报的优先级,以便了解哪些是不相关的,哪些是关键的。现在攻击者正在使用人工智能工具来设计和发起攻击,不使用这些工具的团体正在为他们提供一个良好的开端。
创造一种新文化并非易事,也不是一蹴而就的。这是一个长期的过程,源于主动和战略性的变化。建立网络安全意识文化,使用网络安全培训来创造一种文化,让每个人都认为网络安全是他们工作的一部分,并拥有保护公司数据、基础设施和应用程序的知识。让网络安全成为每一个人的工作。通过不断地构建,企业才可以走上网络安全文化的道路。
一是物联网终端设备更容易遭受攻击和信息泄露。物联网终端类型多样、数量众多、部署场景复杂,现有物联网大多从满足可用性出发,对其软硬件平台、通信协议等普遍缺乏完善的完整性保护、机密性保护和身份的验证机制。
二是物联网网络本身的安全性问题突出。物联网在万物互联网环境中存在无线传感器网络、蜂窝移动通信网、因特网、各类专网等各类异构网络的互联互通的应用场景,这些网络本身都存在着各类网络安全问题。
三是物联网的数据安全问题。当前物联网领域设备类型多,收集的各类数据类型多。多源数据的鉴别与发现、异构网络的数据融合与处理、核心设备参数配置与更新等问题处理难度大。
四是物联网上承载的各类应用安全问题。物联网面临各种各样的行业应用需求,需要对各类信息进行分类处理。同时,目前行业应用系统的建设并没有统一技术标准和安全措施,各种网络互联成为一个大的网络平台的融合问题以及相应的安全问题。
物联网高速发展,呈现出前所未有的发展活力,物联网正成为新一代信息技术革命的典型代表。而当前物联网安全的研究尚处于初步阶段,海量节点汇聚、规模化数据处理、多场景应用的安全研究需后续更多实践和分析,也需要高校院所、行业主管、政府部门、企业和行业应用者等共同推动,参与物联网安全的研究,共筑物联网发展的安全防线。
规则 1:不要忽视开发用的密钥与证书
由于供职于一家需要每天持续扫描数以百万计的公、私有代码库的公司,我们深知构建健全的密钥与证书政策的重要性。
规则 2:持续查看默认配置
云服务提供商通常会预先配置好一些通用的访问控制策略。这些策略虽然易于快速上手,但是正是由于其通用性,导致了它们不一定适用于您的真实应用服务,特别是在有新的云服务被引入时,它们往往需要在默认控制策略的基础上,进行定制化的配置。
规则 3:列出所有可被公开访问的存储
无论为对象和数据选择哪种存储方法,请检查并确保只公开那些需要被访问的组件和存储。
规则 4:定期审查访问控制
随着基于身份的安全系统,在整体安全措施中逐渐占据主导地位,它们形成了所谓的“零信任(zero-trust)”策略的基础。主动地实施“最小特权原则”,对云端的服务、系统、以及网络的访问进行安全加固。同时,我们也应当定期安排手动和自动化的检查方式,来审查管控的执行是否严格。
随着云服务在各个新兴行业的爆炸式增长,企业数据存储到了云端。对于安全专业人员而言,云应用安全的管理责任范围变得不再静止,不再清晰,且不断变化。在应对各项新的安全需求、应对新的威胁时,我们不再是单兵作战了。各个云服务提供商平台往往能够提供丰富的工具集,方便我们在安全需求和灵活性之间取得平衡。
(1)字符型:字符型验证码,是我们日常最经常见到的验证码。通常是一些字母、数字的组合,而且为了增加识别的难度,这些字符经常会被变形、被扭曲、被翻转。
(2)计算型:计算型验证码,通常是一些数学公式,需要进行复杂的运算,才能得出正确的结果。
(3)点击型:点击型验证码的最大特点是:使用者只需要通过鼠标进行点击,不需要输入任何东西。通过这种人类专属的行为动作,以及使用者在浏览器中的一些操作数据、浏览数据等,共同识别出真正的人类。
(4)滑动型:滑动型验证码通过收集使用者的动作,判断是否为人类。
(5)短信型:短信型验证码,是最常用的一种方式。各种APP一般会采用这种方式,简单直接,通过运营商来发送短信。
(6)扫码型:扫码型验证码,实际上就是首先确保在手机上已经成功登录,然后通过扫描二维码的方式在PC上继续登录。
(7)生物特征型:各种人脸识别、指纹识别、声纹识别甚至虹膜识别,都可以算作是生物特征型验证码。
视频、出行、购物等网站的使用者,就一定是人类吗?会不会是伪装成“人类”的计算机呢?当各种计算机系统无法识别人类和计算机时,计算机技术也能给人类带来麻烦,为了能够识别人类和计算机,“验证码”应运而生。“验证码”的诞生,通过识别人与“机器”,有力地减少非法使用计算机带来的危害,保障用户的网上安全。
大多数组织跟踪所有相关的可变因素、清点所有过去和现在资产的能力跟不上其发展需要—这常常被视为一项复杂又耗费资源的任务,几乎没多少短期效益。然而,考虑到受攻击的潜在成本,及有可能导致的灾难性后果,组织仍然需要重视这一问题,在此情况下,攻击面管理(简称“ASM”)等新兴技术有了用武之地。ASM是一种技术,通过挖掘互联网数据集和证书数据库,或模拟采用侦察技术的攻击者,来全面分析组织资产。这两种方法都包括扫描组织的域、子域、IP、端口和影子IT等,以查找面向互联网的资产,并对它们进行分析,以发现漏洞和安全缺口。高级ASM可针对每个发现的安全缺口,为组织提供实用的应对方法。ASM包括报告开源情报(OSINT)功能—开源情报可能用于社会工程攻击或网络钓鱼活动中,比如社交媒体上公开的个人信息,甚至视频、网络研讨会、公开演讲和会议内容等材料。ASM的最终目的是,确保没有暴露的资产未受监控,并消除任何盲点。
云计算的快速应用,直接导致组织的攻击面迅速扩大,并导致联网架构出现越来越多的盲点。攻击面扩大和监控系统零散造成的恶果是,得逞的网络攻击数量显著增加。主要问题是网络攻击者利用不受监控的盲点,伺机寻找有价值的信息。选择ASM有助于将与安全态势相关的数据集中到单一管理平台中,从而降低安全运营中心团队数据过载的风险。
首先,产品或服务必须具有供用户大规模使用的API。在安全编排、自动化和响应(SOAR)市场出现之前,并不是所有的产品都为用户提供了直接的API访问。预期的设想是:用户将与仪表板或控制台交互,应用程序将在内部处理所有API请求。但当用户开始从几十个产品中接收到数千个警报时,这种方法就不再是可行的网络防御了。现在,大多数产品都期望并支持用户某种程度的自动化,但是用户通过产品或服务提供的图形界面手动与应用程序交互的最初设计原则,导致了不同程度的自动化支持。许多产品现在都有两个不同的API可用,一个设计用于与典型用户交互,另一个设计用于支持组织管理功能和相关信息。在本文中,前者称为前端API,后者称为后端API。这种区别很重要,因为不同的API通常公开不同类型的信息和功能。因此,它们可能受到不同的许可限制,这些能力和访问选项上的差异可能会影响条件操作流程或复杂操作流程的自动化,这需要结合调用前端和后端API来实现。
实现自动化是解决现代网络攻击速度和规模的关键组成部分。如果没有通过安全工具精心安排的自动响应,通常不可能在一个能够实现网络防御的时间框架内对网络威胁情报做出响应。本文主要介绍了评估自动化潜力的相关背景、API的可用性、功能方面的考虑和信息方面的考虑。期望读者可以对评估产品和服务的自动化潜力有所了解,可以判断出产品和服务是否能够成功获得自动响应的显著好处。
一.零信任将成为主流的网络安全架构
数字时代下,云大物移等新兴技术的融合与发展使得传统边界安全防护理念逐渐失效,而零信任安全建立以身份为中心进行动态访问控制,必将成为数字时代下主流的网络安全架构。零信任是面向数字时代的新型安全防护理念,是一种以资源保护为核心的网络安全范式。
二.人工智能催生新型网络空间安全威胁
随着人工智能技术的发展,攻击者倾向于针对恶意代码攻击链的各个攻击环节进行赋能,增强攻击的精准性,提升攻击的效率与成功率,有效突破网络安全防护体系,对防御方造成重大损失。
三.量子技术为网络空间安全技术的发展注入新动力
应对量子威胁的方法主要集中在发展量子密码和后量子密码这两方面。量子密码为提升信息安全保障能力提供了新思路。量子计算对传统加密措施的影响源于其独特的量子特性,如果发挥其正面功能,将这些特性用于构造信息加密算法,量子计算所带来的威胁或许能轻松应对。
网络空间安全技术不断更新发展,呈现出创新活跃的态势。以零信任、人工智能、量子技术等为代表的新兴网络安全技术在网络安全领域的发展前景受到世人重点关注。数字时代下,基于边界构建的传统安全防护正被零信任所取代,人工智能赋能网络攻击催生出更多精准化、智能化、自主化的网络安全威胁,量子技术同样为解决安全问题提供了一种全新的思路。