记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

2018网络安全预算:到底花多少钱才能有效保护企业

去年又是重大数据泄露频发的一年,安全问题成为了每家公司管理层肯定会考虑的事项之一。安全相关的各种考虑中,最重要的或许就是到底要花多少钱才能在大范围网络攻击和数据泄露时代有效保护公司数据了。埃森哲咨询公司发布的《2017网络犯罪损失》https://www.accenture.com/t20170926T072837Z__w__/us-en/_acnmedia/PDF-61/Accenture-2017-CostCyberCrimeStudy.pdf显示,2017年网络安全支出比上一年度增长23%。大部分支出源于网络攻击频率及其所造成损失的增长,每起安全事件导致的平均损失高达100万美元。为避免网络安全事件造成的破坏和损失,公司企业需建立周全而明智的安全预算,该预算需考虑到自身主要安全漏洞,又有助于强化自身防御。
发布时间:2018-01-15 19:15 | 阅读:15011 | 评论:0 | 标签:术有专攻 人才短缺 合规 安全支出 安全策略 安全预算 恢复

2017企业安全评估及2018企业安全实践建议

对网络安全而言,过去的2017年就像是过山车似的一年,Computing网站在10月和11月进行的年度研究项目中发现,受访者对于“网络安全形势是否会很快好转”呈现出不同寻常的焦虑情绪。在《企业安全评估2017》这份报告中,Computing对今年预计会出现的形势提供了一些看法和建议,同时云安全领域的3名高级专家也谈了他们的做法。云备份专家Druva公司的EMEA(欧洲、中东、非洲)区资深副总裁Rick Powles表示,“在IT行业内,有一种非常明确和强烈的感觉——维持安全性正在变得越来越困难。”这也解释了我们的受访者为什么会呈现如此不同寻常的焦虑情绪。从勒索软件到物联网驱动的DDoS攻击,再到民族国家组织发起的攻击,可以说冲击的强度和复杂程度都是前所未有的。Rick Powles勒索软件如果说个别年份有定义的
发布时间:2018-01-10 19:50 | 阅读:23379 | 评论:0 | 标签:行业动态 GDPR 云安全 勒索软件 合规 开发安全 网络技能

2018年网络安全规划:培训、合规、增加预算

作为ESG和信息系统安全协会(ISSA)最近发表的一篇题为《网络安全专家的生活和时代》的研究报告的一部分,343名信息安全专业人士作为受访者被要求确定其组织在过去几年中采取的网络安全行动。这份清单可以为企业了解2018年的网络安全趋势和应对即将到来的网络安全威胁提供一个良好的参考依据。在报告中,一些回应率最高的条目如下:52%的组织采用了部分或全部NIST网络安全框架 (CSF)如果您没有注意到这一点,您会惊讶地发现,NIST CSF已经成为许多行业的标准风险管理工具,并且已经演变成为制定网络保险的基准指标。1.1版草案最近出版了,承诺给网络供应链带来更为清晰、通用的语言和可扩展性。最后,CSF很可能会与主管机构委员会(COSO)风险管理框架(第二部分)相辅相成,其中风险管理框架(第二部分)更侧重于业务和企业风
发布时间:2017-12-28 02:40 | 阅读:24057 | 评论:0 | 标签:行业动态 合规 网络安全培训 网络安全框架 网络安全规划 网络安全预算

能让CISO丢掉工作的5个“小问题”

大型数据泄露事件,可导致CISO甚至是CEO失去工作。但千里之堤毁于蚁穴,一些不甚明显的纰漏,也能带来严重后果。以下5种情况,CISO需要关注并小心。1. 重点工作只放在防护上正如最近的Equifax和雅虎数据泄露呈现的,数据泄露可为公司企业带来严重的信誉伤害。在这种情况下,如果能证明CISO疏于安装最新补丁,或没在数据中心、远程办公室及网络边界上安装恰当的防火墙,没能更新企业的数据环境以应对最新威胁,那么,CISO被炒基本是注定的。遭遇历史性安全事件,导致重大经济损失和大量负面宣传,这时候炒掉CISO很大程度上是出于公关考虑,公司必须向公众表明他们在采取行动。其他情况,就是CISO确实玩忽职守,准备不足了。他们没有坚实的响应及恢复计划,一个本可以限制不良影响的计划。CISO将重点只放在防护上的情况太常见了。数
发布时间:2017-11-29 19:05 | 阅读:28643 | 评论:0 | 标签:术有专攻 CISO 合规 安全策略 数据泄露

亚信安全受邀出席2017 检法信息化融创大会 综合网络安全体系保障检法信息安全

近期,2017 年检法信息化融合发展创新大会在京举行,亚信安全受邀出席了本次大会,阐述了亚信安全如何通过涵盖业务应用安全、网络综合安全、数据安全、基础安全在内的整体安全服务能力,为检法行业的“互联网+政务”提供网络安全保障。亚信安全政府与城市事业部咨询总监 张成旭网络环境复杂化考验“互联网+政务”安全防护能力为方便群众办事,减少审批难、办事难,国家近年来大力推动行政审批改革,在检察院、法院等体系内加快推进“互联网+政务服务。但与此同时,网络边界模糊化、网络应用多样化、网络接入多元化,使得政务应用系统、基础网络设备等面临着较大安全风险,网络安全事件多有发生,对检法行业的互联网+政务平台建设构成了不小的挑战。在当前的应用环境下,检法行业的互联网政务平台的接入节点朝扁平化、开放化方向发展,不仅网络环境更加复杂,而且智
发布时间:2017-11-29 19:05 | 阅读:22785 | 评论:0 | 标签:行业动态 亚信安全 合规 安全保障体系 检法

一直关注GPDR?别忘了网络与信息安全指令

听说过将在2018年进入欧盟成员国法律体系中的《网络与信息安全指令》(NIS)吗?或许你真没听过。过去2年间,全世界对IT安全立法的关注和胃口,都已经被《通用数据保护条例》(GDPR)给占满了,这位GDPR的小表弟身上分到的辉光少得可怜。但是,尽管不受关注,无论其适用对象知道还是不知道它的存在,该指令的要求都对其适用对象产生深远的影响。关于NIS指令,其与GDPR的差异,其要求与应用,你应该知道如下几条:1. 这是指令,不是规定伴随着GDPR引发的各种热议,很多人最近都将刷新他们的欧洲法律词汇表,注意到NIS是个指令,而非规定。与原汁原味吸收到成员国法律体系中的规定或条例不同,指令只是要求成员国政府按照指令中的精神,实现其自有法律。英国即将废止的98版《数据保护法案》,就是1995年《欧洲数据保护指令》的产物。
发布时间:2017-08-26 23:45 | 阅读:29887 | 评论:0 | 标签:术有专攻 合规 欧盟 网络与信息安全指令

欧盟给谷歌开出27.3亿美元罚单 GDPR合规重要性凸显

欧盟委员会(EC)给谷歌开出27.3亿美元罚单,因其作为搜索引擎却为另一谷歌产品(比较购物服务)提供非法优势,滥用了其市场主导地位。尽管是反垄断案例,却提升了1年内即将施行的《通用数据保护条例》(GDPR)规则下,类似大额罚款的可能性。GDPR可将制裁额度设置成公司企业年度全球营业额的4%。虽然在绝对金额上极少会达到今天对谷歌罚金的额度,但类似比例的罚金,却可能降临在更多公司企业身上——远比受反垄断法律法规制裁的公司企业数量多。之所以征收如此大额罚金,是因为EC认为:首先,谷歌在欧盟经济区里处于互联网搜索市场主导地位;其次,谷歌通过赋予其自有比较购物服务非法优势,滥用了其市场主导地位。谷歌可以,也几乎绝对会,就判决提出上诉。谷歌高级副总裁兼法律总顾问肯特·沃克称:“网上购物时,消费者希望能快速方便地找到想要的商
发布时间:2017-07-03 03:20 | 阅读:44673 | 评论:0 | 标签:行业动态 GDPR 合规 数据安全 欧盟 罚单 谷歌

赛门铁克发布新CISO调研报告 :云成为网络犯罪的下一个着手点

绝大数的中国CISO 认为,确保云应用符合合规要求是面临的最大工作压力之一 。近日,全球网络安全领导厂商赛门铁克公司发布一项针对企业数据安全现状的全新调研报告。该报告覆盖全球11个市场,共邀请1,100 名首席信息安全官参与调研。报告结果显示,云安全是中国首席信息安全官(CISO)最担忧的挑战。不仅如此,中国首席信息安全官更关注自身企业是否拥有快速应对网络攻击的能力。毫无疑问,云计算拥有诸多优势,吸引越来越多行业的关注,例如卓越的可扩展性、更短的上市时间、更低的成本费用,以及出色的工作效率。但这一领域同样吸引着网络罪犯的目光。这个全新的无边界基础架构在网络攻击者眼中成为一座潜在的金矿。针对云的攻击范围不断扩大赛门铁克的调查显示,云安全成为中国CISO所面临的棘手问题。绝大数的CISO(92%)都认为,确保云应用
发布时间:2017-06-28 04:55 | 阅读:37676 | 评论:0 | 标签:行业动态 CISO 云安全 合规 赛门铁克

怎样避免安全软件的闲置 CIO必须对资产负责

投资安全工具却只是束之高阁或利用率不足,并非不可避免,通过一些非常简单的前置措施,就能大幅减少甚至杜绝这种现象。闲置软件是没人愿意谈及的巨大安全问题,粗略定义为未被使用、利用率低或实现不正确的技术,很多CISO都选择避而不谈。2015年,Trustwave委托美国奥斯特曼研究公司做的一项调查研究,展露出该问题的严重性。该调查涉及172家大大小小的企业,这些企业中投资新安全控制措施的那些,往往不是未充分利用该新技术,就是干脆用都没用上。奥斯特曼发现,这一情况很普遍,受访者中至少30%都是这样。某些公司里,受访者称,近30%的新安全投资都根本未被使用或使用不足。一家公司称,其60%的安全软件都是摆着好看的。当时的Trustwave产品管理副总裁乔什·绍尔说:“我们预料到会有安全软件被束之高阁。我们的发现表明,很多公
发布时间:2017-06-19 17:55 | 阅读:38286 | 评论:0 | 标签:术有专攻 CIO 合规 安全工具 闲置

为什么“加密”已经成为董事会要考虑的问题

Thales e-Security的一项调研显示,企业关于如何加密的决策已经由IT部门上升到了领导层。 在过去的十二年间,企业的加密职责往往会落在IT部门肩上。然而根据2017年全球加密趋势报告,加密权的平衡发生了变化,越来越多的企业里开始由高层领导负责加密事项。 高层领导对加密的总体影响能力已从研究开始时的2005年的10%上升到了30%,而与此同时,IT团队对加密的影响大幅下降,从53%降到了29%。 有趣的是,不同地区的数据迥异。有四个国家声称自己的企业管理层最能影响他们的组织的加密策略,法国、英国、美国和墨西哥管理层影响分别为41%、37%、34%和30%。在剩下的七个国家的调查研究中,IT部门仍然包揽大部分的加密责任。 决策上移 考虑到越来越多的数据泄露事件在日复一日地影响知名企业、占据头条,企业高
发布时间:2017-04-29 04:35 | 阅读:39908 | 评论:0 | 标签:术有专攻 加密策略 合规 数据保护 董事会 加密

一张信息图揭示:25%的高管竟然不知道 数据合规责任在谁

数据管理与集成提供商 Liaison Technologies 的《2016合规状态》调查报告显示:25%的高管都不清楚自己公司里到底谁该为合规负责。受访的479名高管中,有近一半(47%)的人称不知道自己公司适用哪些合规标准。 Liaison首席信任官赫蒙·旺在一份声明中说:“作为合规领域领导者,我们认为有必要分享我们关于美国公司对自身合规责任的认知——并找出帮助提升公司合规状态的方法。我们的发现令人十分担忧。” 该报告中需要特别指出的几条发现如下: 仅3%的受访者称应用了“支付卡行业数据安全标准(PCI DSS)”,该数字小得惊人——因为这是一个所有存储、处理或传输持卡者数据的实体都需要遵从的标准; 51%的受访者觉得自己的数据在云端很安全,这与IDG最近一份调查揭露的隐忧相互印证。该调查显示,46%受
发布时间:2016-12-15 13:25 | 阅读:41804 | 评论:0 | 标签:行业动态 Liaison 合规

安全架构是化解CISO五大困扰的关键

在工作过程中,我经常能和来自全球各地的首席信息安全官(chief information security officers ,CISO)交流,他们所在的企业面对着不同的信息安全环境,关心的安全问题也不尽相同。但总体上来说,他们在信息安全防护上的困扰集中在以下四个问题:1. 云应用安全 如今,越来越多的企业都开始将企业应用迁移到云端,并更多的使用包括公共邮箱服务、公有云盘、公共社交软件在内的公有云应用来处理工作。这些云应用往往不在企业安全防护系统的覆盖范围之内,随时都可能因为网络攻击导致机密数据泄露。如何管理这些应用并降低风险已经成为CISO最为关注的问题之一。2. 高级可持续性威胁(APT攻击) 在所有的安全威胁之中,企业最担心的无疑是APT攻击。这不仅是因为APT攻击常常瞄准信用卡信息等敏感的商业信息和个人
发布时间:2016-07-05 03:10 | 阅读:33372 | 评论:0 | 标签:术有专攻 CISO 合规 安全架构

合规:加密最大的驱动力

最近发布的一份报告指出,遵守隐私和数据安全规定的需求,是加密技术最大的驱动力。 波耐蒙研究所(Ponemon Institute)对5千名业务和IT经理进行了调查,61%的受访者认为合规是加密技术的主要驱动力,50%认为保护企业知识产权是,49%的人则指向防护信息免遭特定已知威胁侵害,47%觉得保护客户个人信息是主要驱动力。相对而言,只有8%的受访者认为,避免曝光数据泄露事实是加密技术的主要驱动力。需要指出的是,本次调查中,受访者可以有一个以上的选项。该项调查今年已经是第11届了,研究人员从中发现了一些趋势: IT运营,尽管仍然是公司加密策略的最大影响力,其影响已经比以前有所减少。在将加密作为安全策略上,业务部门开始具有更大的影响力。2005年至今,IT运营的影响力从53%降到了32%,而业务部门的则从
发布时间:2016-03-16 17:00 | 阅读:23081 | 评论:0 | 标签:行业动态 加密 合规 数据安全

【CS论坛】合规不利于安全?

一直以来,许多企业和安全顾问比较认可的一个安全解决方案就是合规,符合标准规定至少在某种程度上就意味着安全。但有人认为,应该把两者看做并列关系,而不是因果关系。或说两者是互相影响的关系,安全可以有助于合规,合规可以是安全的副产品,但安全并不能自动成为合规的副产品。因为有时完全在合规的情况下,也可以是不安全的。合规是为了让企业达到一个既定的标准,表面上给了客户或股东一个满足整套安全标准的样子,其实是把每个人都拖到了一个最小的安全级别。不信就看看最近发生的 一些严重安全事件,无论是摩根大通还是塔吉特、家得宝,索尼影业,他们不都是宣称自己企业的安全机制是合规的吗?很明显,这些案例中,要么有些人在撒谎, 要么所谓的“合规”实际上是不合规的。合规的问题在哪里?对 于推动合规的咨询顾问和培训认证行业来说,如何平衡企业的业务需
发布时间:2015-03-09 00:15 | 阅读:37013 | 评论:0 | 标签:CISSP 安全合规 安全策略 牛管理 牛观点 牛课程 信息安全管理 合规

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云