记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

安全合规是持续性过程 而非对着清单画勾了事

面对不断发展变化的网络安全威胁,任何机构也不可能说自己随时可以100%符合所有标准。随着企业快速迁移到云端,数据存储规模指数级增长,现在更难以充满自信地说自己可以在合规清单上把所有的候选框都勾上了。衡量和证明自身系统合规性的责任落在企业自身,而很多企业在云时代难以做到这一点。 另外,大多数企业认为,通过年度审计或评估就意味着自己“没事了”,不需要再操心维持自身合规性——只要审计结果是绿灯放行。然而,据威瑞森调查,80%通过了PCI年度评估的企业,此后不久就偏离了合规要求。近期数据泄露的规模,让很多企业的安全措施无法延缓攻击者脚步的事实变得十分明显,持续合规和随时在线的风险管理是保护脆弱系统和网络面授未来攻击侵害的必需品。简单地设置安全控制和标准还不够。希望对不断进化的安全违反态势有所准备的公司,应该尽力维持合
发布时间:2016-12-01 17:45 | 阅读:84275 | 评论:0 | 标签:术有专攻 安全合规 持续性 自动化云安全框架

【CS论坛】合规不利于安全?

一直以来,许多企业和安全顾问比较认可的一个安全解决方案就是合规,符合标准规定至少在某种程度上就意味着安全。但有人认为,应该把两者看做并列关系,而不是因果关系。或说两者是互相影响的关系,安全可以有助于合规,合规可以是安全的副产品,但安全并不能自动成为合规的副产品。因为有时完全在合规的情况下,也可以是不安全的。合规是为了让企业达到一个既定的标准,表面上给了客户或股东一个满足整套安全标准的样子,其实是把每个人都拖到了一个最小的安全级别。不信就看看最近发生的 一些严重安全事件,无论是摩根大通还是塔吉特、家得宝,索尼影业,他们不都是宣称自己企业的安全机制是合规的吗?很明显,这些案例中,要么有些人在撒谎, 要么所谓的“合规”实际上是不合规的。合规的问题在哪里?对 于推动合规的咨询顾问和培训认证行业来说,如何平衡企业的业务需
发布时间:2015-03-09 00:15 | 阅读:92624 | 评论:0 | 标签:CISSP 安全合规 安全策略 牛管理 牛观点 牛课程 信息安全管理 合规

【CS论坛】网络空间威胁:理想与现实的差距

安全高管人员的观念与网络空间安全的现实差距,正在不断的扩大。这并非危言耸听。思科上周发布的《2015年度安全报告》显示,90%的接受调查者声称他们对未来的安全工作持乐观态度,与此相反的是54%的人报告他们的企业被入侵。实际上,现在的攻击者越来越狡猾,攻击手段也越来越高端精密。该调查报告的调查对象为9个国家的1700名信息安全官和安全管理人员。补丁灾难不到50%的人表示,企业使用诸如补丁更新、渗透测试、终端鉴定或漏洞扫描等标准安全工具,但威胁就在其中。拿补丁更新来说,浏览器的更新是经常性的,以防止最新的恶意或漏洞利用软件。但实际上只有10%的公司,其浏览器更新到了最新版。即使是在每次启动后自动更新的Chrome浏览器,官方也表示只有64%的用户使用着最新的版本。一个可能的原因是,好多用户并不关闭计算机,自然也没有
发布时间:2015-02-04 18:05 | 阅读:99620 | 评论:0 | 标签:CISSP 安全合规 牛管理 牛观点 牛课程 Chromecst 信息安全管理

【CS讲坛】风险管理中的新维度:eVRM

网络罪犯正在把目光转向第三方供应商,以获得后门访问数据。因此,作为安全从业人员则需要重新考虑风险管理的内容了。虽然基于对供应商的风险管理问卷调查是一个普遍的有效方法,但并不足以应对新出现的与第三方有关的风险威胁。管理规则的变化和演变中的威胁环境无不催生着一种新型的风险管理手段:泛企业供应商风险管理(eVRM: enterprise-wide Vendor Risk Management)塔吉特和家得宝的数据泄露事件已经证明,由第三方供应商引发的系统和业务漏洞能够给企业带来灾难性的后果。因此,仅是简单地第三方供应商实施传统的风险管理机制已经不够。我们还需要保护与第三方相关的风险控制。供应商风险管理从纸面上来说,供应商不过是一个数字。但即使是中型企业这个数字也会轻易超过100家,可能包括包括了技术、设备、支付等各种
发布时间:2015-01-31 02:45 | 阅读:68474 | 评论:0 | 标签:CISSP 安全合规 安全策略 牛管理 牛观点 牛课程

从监管、行业及人才三方面看信息系统审计

 编者按:信息技术在全社会各领域已经广泛深入,IT审计近年来随之逐渐升温,美英等西方强国很早就开展由独立资格的第三方进行的信息系统审计,并建立了完善的信息系 统审计制度。我国近年来也开始接受IT审计理论,一些对信息化依赖程度较高的行业如:金融、电信等已逐步引入了信息系统审计。那么,信息系统审计目前在我国的行业现状怎样?监管部门又对信息系统审计做过哪些重点工作?信息系统审计的人才建设状况又如何?带着这些问题,安全牛分别采访了国家审计署、国有大型银行的领导和信息安全负责人,以及信息安全管理专业人员培训的知名专家。国家审计署信息部门的领导表示,我国的IT审计目前经历了两个阶段,先是借助计算机等数字化工具辅助对企业业务进行审计的辅助审计阶段,后来随着信息系统的发展,逐步形成了专门针对信息系统的审计工作。从目前
发布时间:2014-10-20 11:51 | 阅读:93222 | 评论:0 | 标签:CISA 安全合规 安全培训 金融 IT审计

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云