记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

2018网络安全预算:到底花多少钱才能有效保护企业

去年又是重大数据泄露频发的一年,安全问题成为了每家公司管理层肯定会考虑的事项之一。安全相关的各种考虑中,最重要的或许就是到底要花多少钱才能在大范围网络攻击和数据泄露时代有效保护公司数据了。埃森哲咨询公司发布的《2017网络犯罪损失》https://www.accenture.com/t20170926T072837Z__w__/us-en/_acnmedia/PDF-61/Accenture-2017-CostCyberCrimeStudy.pdf显示,2017年网络安全支出比上一年度增长23%。大部分支出源于网络攻击频率及其所造成损失的增长,每起安全事件导致的平均损失高达100万美元。为避免网络安全事件造成的破坏和损失,公司企业需建立周全而明智的安全预算,该预算需考虑到自身主要安全漏洞,又有助于强化自身防御。
发布时间:2018-01-15 19:15 | 阅读:83235 | 评论:0 | 标签:术有专攻 人才短缺 合规 安全支出 安全策略 安全预算 恢复

采购网络安全产品或服务的最佳方式

采购网络安全技术的最佳方式是什么?这个问题似乎有点难以回答。虽然大多数网络安全人员都觉得自己预算不足、人手不足,面对不断涌现的网络威胁、成山成海的事件警报,往往有心无力、疲于应付,但有一个办法可以应对该严峻的局面——效率。如果能拿到更多预算,我们会做什么?我们怎样确保钱都花到刀刃上,获得最大收益?搞清如何有效采购信息安全产品,并不像初看上去那么简单。有四个基本方法可以遵循:1. 大品牌路线一站式服务听起来不错。无论是否业内最佳,从一家大型供应商处购置全部所需产品。反正一旦出事,要怪就怪那一家,对吧?2. 精品店路线调查研究“业内最佳”品牌,购入所有热门解决方案。这种方式与大品牌路线正相反,需要走访很多家小店。3. 全部定制路线雇佣小型提供商,将他们的研发导引到自己的需求上来,让他们为自己定制所需全部产品。这么做
发布时间:2018-01-04 22:10 | 阅读:102261 | 评论:0 | 标签:术有专攻 安全产品 安全服务 安全预算 采购

别当鸵鸟!网络安全实施工作中的6大障碍

安全行业从业10年以上,就会特别注意确保关键基础设施安全可靠。毕竟,如果关键基础设施崩溃,后果不堪设想。2011年起,针对关键基础设施的大规模攻击威胁,便已频现报端,且不仅覆盖面广,绝对数量也在持续增长。就在最近,恶意软件/勒索软件成了坊间热议话题。坏人真的很有可能控制我们的电网,毁坏我们的污水处理厂,锁定我们的系统要求赎金。面对这些威胁,如果一家公司没有安全防护,那可真是难以置信了。然而,从安全部署的角度出发,事实真相是:大家普遍认为安全只需占公司整体预算的一点点。控制系统安全预算虽然从数字上看起来似乎是挺大一笔钱,但想想英国石油公司、壳牌公司、艾克森石油公司这样的大企业,这可都是千亿美元级的企业航母。安全预算的极小比例不禁让人深思。在安全实现上,到底有哪些阻碍呢?1. 鸵鸟算法当你对某一件事情没有一个很好的
发布时间:2017-08-10 18:00 | 阅读:130801 | 评论:0 | 标签:术有专攻 安全实施 安全预算 障碍

2017网络犯罪大趋势:安全事件略少但损失严重

与去年同期相比,尽管今年的安全事件数量降低了,然而引发损失的恶性事件数量却有所增多,受到安全事件影响的公司比例也随之提高。在过去的一年里,企业安全团队可谓忙得焦头烂额。Petya、NotPetya攻击昭示了攻击规模的急剧增大。近期某些政府开发的攻击软件的泄露则让黑客们如虎添翼。IT行业则通过发布安全补丁和更新勉强跟上对手的步伐,但由于物联网等新技术的应用,IT行业不得不应对层出不穷的新漏洞。一项新调查显示,严峻的局势促使很多企业反思该如何应对网络犯罪的威胁。该调查不仅揭示了美国企业面临的威胁的性质和范围,也反映了这些企业的应对方式。《2017美国网络犯罪调查》是美国特勤局和卡内基梅隆大学软件工程研究所的CERT(计算机紧急应对小组)合作发布的一项年度报告。而今年的调查由Forcepoint赞助。该调查共有510
发布时间:2017-08-07 22:15 | 阅读:98870 | 评论:0 | 标签:行业动态 安全事件 安全预算 经济损失 网犯罪

选择应用安全解决方案 首先要回答这9个问题

应用安全购买决策的时候有许多因素需要考虑,企业在提升自身安全风险管理准备度上承担的压力比以往任何时候都大。事实上,超过80%的安全攻击都针对的是软件应用,应用漏洞成为了头号网络攻击目标。 想要在整个产品生命周期保持安全,公司需要一套全面的应用安全工具包,并要回答一系列关键问题,以帮助正确选择解决安全风险所需的工具。 开源安全厂商 Black Duck Software 给出了为什么询问这些关键问题可以帮助你确定正确应用工具组合的原因。 1. 你开发的是什么类型的应用(例如:Web、移动、装机、IoT等等)? 移动和 IoT App 通常需要专业工具(例如智能手机渗透测试工具),而标准动态分析安全测试(DAST)工具则可用于测试大多数装机和基于Web的应用。 2. 你的应用连接的是什么类型的网络(例如:互联网、
发布时间:2017-05-07 20:30 | 阅读:80759 | 评论:0 | 标签:术有专攻 安全预算 应用安全

一个网络安全新闻记者的自我修养

近期俄罗斯黑客活动的新闻满天飞舞,尤其是对“Grizzly Steppe”的不实报道,甚至是娱乐化,给网络安全这一严肃问题造成了严重伤害。 如果想从当前糟糕的网络安全状态恢复正常,需要详实的报道来完整揭露事件,让政府、公司、企业和个人对网络疏忽和运营不良负起责任。只要在报道重大网络安全攻击或事件时问问下面几个关键问题,则可起到很好的帮助作用。 1. 公司什么时候开始注意到事件? 公司发现事件和曝光事件之间的延迟是一个重要问题,该问题已多次浮出水面。2016雅虎数据泄露就是一大例子。谁知道什么,什么时候知道的,是很严肃的问题。 2. 事件暗中潜行了多久? 我们知道,事件在被检测出来前一般都已活跃了数月之久,有些甚至长达数年。这是不可接受的。激励公司投资网络攻击预防和检测的一个方法,就是提高他们的责任标准。 3.
发布时间:2017-01-20 17:40 | 阅读:114645 | 评论:0 | 标签:术有专攻 安全托管 安全预算 意识培训 报道 网络安全

怎样充分利用安全预算

安全预算会间接影响到信息安全经理保护公司及其资产的效果,反过来说,这也将决定他们在公司能待多久的问题。但信息安全预算大部分来自IT部门,安全经理常常抱怨其不够用,这已是老生常谈的问题。 然而,事情未必就是矛盾重重难以解决,聪明的信息安全经理知道在今天这种经济状况下,自己必须更谨慎地利用资源。对信息安全经理而言,这意味着更有效地使用资金,充分利用现有解决方案,以保护好他们真正担心的重要资产。提升员工技能,推出性价比高的安全意识项目也包含在其中。 1. 警惕大黑洞 据说,IT安全预算占总体IT预算的5%至15%——取决于你信任谁,以及你怎样定义安全。 本月早些时候发布的一份报告中,Gartner将这一数字定在了5%左右,并睿智地点出:与业内同行做比较是无意义的,因为你可能将钱花在了错误的地方,然后依然极度不安全。
发布时间:2017-01-11 01:30 | 阅读:84575 | 评论:0 | 标签:术有专攻 安全预算 数据泄露

好钢用在刀刃上 你的安全预算花对地方了吗?

Gartner的最新报告显示安全预算的数目可能会误导企业 Gartner咨询公司的分析师指出,各机构将平均5.6%的IT预算用于信息安全和风险管理。 信息安全上的花销往往占到IT预算的1%到13%不等。Gartner公司警告说,只注重安全支出的规模可能会误导企业,即使和同行对比也意义不大。 企业想知道他们的信息安全支出是否和同一行业、同一地区或同规模的企业相当,来确定在安全及相关项目方面是否做到了该做的事情。 但是,仅仅粗糙地参照行业平均标准,是难以有效得知企业的安全水平的。企业很可能看似花了和同行一样的钱,但却因为资金花错了地方而毫无安全可言。因此,企业应当在保有适当投入的同时,拥有和不同于其他企业的风险防御偏好。 按照Gartner的观点,至少在短期或更长的时间内,大多数的企业将继续滥用平均信息安全支出的
发布时间:2016-12-23 20:30 | 阅读:96905 | 评论:0 | 标签:牛闻牛评 Gartner 安全预算

机构或企业中谁是网络安全最有力的推动者?

这取决于公司规模,在驱动安全发展上最具影响力的人可能是高管,也可能是董事会成员,但非高管级管理人员,有时甚至是直接负责IT/安全的人,也会成为强劲的推动力。 无论是谁,每家公司都需要那么一个人,让安全不仅仅是预算清单上一个条目,还是公司整体文化中的一个部分。然而,更多的情况是,公司因两种原因之一而将安全摆上重要位置。重视安全的公司,要么有着相信安全非常重要的进取型领导团队,要么就是经历过重大事件的公司。” 这也正是为什么很多情况下人员没有事件有影响力的原因。虽然大多数管理人员都希望潮流能改变一下,但现状更能说明问题。当然,肯定有公司关注灾难或监管推手的缺失问题,但这通常是因为有别的公司这么要求。 因此,安全团队求改善往往需要很长时间的情况也就更常见了。最大的问题之一,是部署双因子身份验证。不仅仅是在防火墙上,
发布时间:2016-12-05 21:15 | 阅读:120738 | 评论:0 | 标签:术有专攻 CISO 安全预算 网络安全 董事会

这些年收入过10亿美金的网络安全金主认为自己牢不可破

一份新近的研究表明,过度自信的安全高管可能给机构带来更大的风险。 埃森哲公司发布的一份报告称,2000家企业的的安全从业人员中的四分之三对自己击败任何胆敢入侵系统的恶棍有信心。受调查公司的年收入总额超过10亿美金。 这份报告的名字是《建立信心:面对网络安全难题》。文中称,超过半数的安全高管认为可能需要数月才能检测复杂入侵,而三分之一的安全高管认为根本就没有人发现过这些成功的入侵。 英语区在检测成功入侵方面表现尤其糟糕。30%的美国机构和26%的英国机构需要至少一年才能检测到成功的攻击。这可能是由于针对英语国家的攻击数量非常多。不过,这并没有挫败英国人检测安全入侵的的信心。英国仅次于德国,认为自己能够检测到系统中出现的问题。 来自15个国家最大型企业的高管表示,他们已经“完全将网络安全嵌入到自己的文化中”。然而
发布时间:2016-11-10 18:10 | 阅读:73495 | 评论:0 | 标签:行业动态 入侵检测 埃森哲 安全预算

十招做好网络安全分析

找出配置安全分析的最佳方式,为你的公司产出有意义且具可行性的洞见。作为IT最新流行词,“分析”正逐渐渗入IT系统各组件。从用例中收集到关于数据、网络和用户行为的分析,我们对此信息有着无穷的利用可能。但是,说到钻研这些数据以得出安全决策,这种可能包含陷阱的巨量信息,真的那么有用吗?为避免掉进分析陷阱,安全专业人士提供了找出最佳安全分析配置方式,以产出有意义且具可行性洞见的建议。1. 塑造环境,增加“真警报”检测率Armor首席安全官杰夫·希林说:“我是‘少数据分析’的支持者。我这么说的意思是,你应该塑造你的环境,只去查看那些最有可能是真警报的事件。在已知威胁触及你的安全栈之前就将之挡在门外。要做到这一点,你可以利用IP信誉管理,或者DNS监测/封锁。这将挡住对你公司80%的非针对性攻击。”2. 调整安全事件管理(
发布时间:2016-06-24 21:50 | 阅读:98786 | 评论:0 | 标签:术有专攻 威胁检测 安全分析 安全预算

Gartner:2016年物联网安全投入将达到3.48亿美元

物联网安全市场虽然不大,但随着企业和个人对智能和联网设备的应用增长迅速。2015年物联网安全投入为2.815亿美元,2016年将增长23.7%,即3.48亿美元。Gartner预测今年全球将有64亿台联网设备得到使用,比2015年增长30%,2018年联网设备将达到114亿台,物联网安全投入将达到5.47亿美元。全球大量的资金投入将花在汽车、商用航空、农业和建筑领域的联网设备上,到2020年有25%的网络攻击是与物联网相关的,而物联网安全投入将占整个IT投入的10%。分析人员认为,物联网业务的应用场景将需要一个能够与监控、检测和访问控制等其他安全需求同步保持增长的交付机制。“基于云的安全设备的未来,部分地与物联网相关联。事实上,没有基于云的安全设备,为机构提供一个可接受的成本效益运营,物联网的规模和能量无法得到
发布时间:2016-04-27 21:20 | 阅读:62143 | 评论:0 | 标签:行业动态 Gartner 安全预算 物联网安全

短讯|英国国防部4000万英镑建网络安全中心

英国国防部(MoD)在一个全新的网络安全中心(CSOC)项目上花费超过4千万英镑。该项目用于支撑其网络及IT系统防护。这个网络安全中心将在英威尔特郡的科思罕建立,这里同时也是MoD耗资6.9亿英镑建立的通信中心和其它一些附属设施的大本营。去年11月,英国政府推出其“战略性防御及安全性回顾(SDSR)”计划,并称将在5年内投资逾19亿英镑用于保护英国免受网络攻击并提升其在网络空间的能力。新的MoD中心将是这个政府计划的一个重要组成部分。英国防部长Michael Fallon表示,英国在网络安全方面处于“世界领先”位置,但在网络安全威胁与日俱增的今天,新的安全运营中心将帮助确保英国的武装力量得以继续安全地运作。“我们在国防上预算的增长意味着较于我们的对手,在网络空间领域我们可以继续保持一个相对领先的位置;同时,也有
发布时间:2016-04-05 13:15 | 阅读:82900 | 评论:0 | 标签:牛闻牛评 安全预算 网络安全中心 英国

学会与网络威胁共存

网络威胁就像感冒或者其他什么感染性病毒,谁也无法避免。但这是生活的一部分,它们就在那里,伺机给你来上一下,让你的生活变得有那么点点艰难。同时,你又不能以牺牲业务发展的方式全情投入到防范潜在风险上。你必须在不干扰现有业务,不妨碍未来发展的前提下保护好自己。这意味着,你得采取成熟的风险管理方法,明智地分配预算,让自己的IT团队有余力支持新工作方式的同时还能为公司提供最大限度的防护。了解攻击链在打算与风险共存之前,你得先了解面对的风险到底是什么样子的,描绘出风险演变成攻击的可能路线图。老牌安防公司洛克希德向军方寻求答案,借鉴了军方“杀伤链”的概念,也就是最初用于描述运动攻击结构的概念。由Websense、石软(Stonesoft)与雷神(Raytheon)新组成的安全公司Forcepoint描述的“杀伤链”(Kill
发布时间:2016-04-01 01:20 | 阅读:85461 | 评论:0 | 标签:术有专攻 安全预算 攻击链

美国国税局被入侵 过去4年来安全团队裁员11%

美国国税局(IRS)于上周披露了一起安全事件,10万名纳税人的账户数据被泄露。在过去的一段时间,IRS内部的安全人员规模稳步下降,而同期的安全支出却上升了。这看上去似乎是矛盾的,不过一位观察员认为,这可能意味着国税局的安全需求正转向通过外包解决。根据美国财政部检察长的国税局年度信息科技预算报告,在2011年,国税局的网络安全部门有410人,但到了2014年,该数字下降了1 1%,降为363人。尽管员工减少了,国税局的网络安全支出却变多了。在2012年,国税局拨款1亿2千万用于网络安全,该数字在去年增长到1亿4千万,大约提升了9.7%。SANS Institute的研究部门主管表示,考虑到人员减少的同时增加了支出,这应该是使用外包服务的迹象。“每个组织都在滑向一个不可避免的终点:外包过多,以至于内部人士所做的事情
发布时间:2015-06-02 21:15 | 阅读:88146 | 评论:0 | 标签:动态 安全报告 IRS 安全团队 安全预算

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云