记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

过半安全领导者仍依赖电子表格

Panaseer最近发布的金融行业安全决策者调查显示:金融服务公司中的高级安全领导者正面临缺乏可靠数据的挑战,导致无法制定有效的安全决策并降低网络事件的风险。来自对大型金融服务公司中的400多位安全主管进行的全球调查的结果表明,人们对安全度量和度量标准存在担忧,这些评估标准包括数据置信度、手动流程、资源浪费和请求超载。流程、人员和技术问题调查结果表明,充分了解组织的网络状况所需的过程、人员和技术存在无数问题,同样,那些阻止安全控制故障演变成安全事件所需的预防措施也是问题重重。绝大多数(96.77%)的受访者声称他们使用指标来衡量其网络状况,安全指标的主要用途是风险管理(41.69%),证明安全措施的有效性(28.04%),支持安全投资业务案例(19.11%)和董事会/执行人员报告(10.17%)。超过三分之一(
发布时间:2020-05-21 16:13 | 阅读:9635 | 评论:0 | 标签:牛闻牛评 首页动态 安全指标 金融行业 风险管理

CISO常犯的五个风险管理错误

新冠疫情导致全球经济衰退,企业裁员、预算紧缩接踵而至,但网络攻击和数字风险也创下历史新高。新冠疫情期间,勒索软件、重大数据泄露和隐私事件频发,微盟删库、万豪二次泄露、Zoom安全风波、小米隐私、越南APT组织入华…过去不到一周时间,我们就被下面这些事件刷屏:B站500万粉丝UP主NAS数据被勒索软件锁死、成人网站CAM泄露108亿条数据(7TB)、特斯拉二手车数据泄露、苹果iPhone曝出严重漏洞、全球最大域名注册商Godaddy数据泄露、欧洲多家医疗机构和台湾两大炼油厂被勒索软件袭击、中信银行“笑果门”…甚至疫情期间的“受益股”,例如主流游戏平台Valve(游戏源代码泄露)、Switch(16万用户数据泄露)也纷纷中招。随着疫情期间安全形势的不断升级,全球越来越多的企业领导者都将网络安全视为头等大事,将其视为
发布时间:2020-05-08 17:29 | 阅读:11991 | 评论:0 | 标签:牛闻牛评 首页动态 CISO 风险管理

Gartner未来五年产业预测:安全评级服务将成为采购标准

在过去的一年里,Gartner在安全与风险管理领域的关键发现:随着数字化转型的持续升温,错综复杂的生态系统是数字业务不可缺的部分,而与其相关的安全风险将倍受关注;回顾过往一年,全球领先的企业由于遭受恶意的网络攻击造成的损失达到3亿美元;越来越多的安全技术转向了云计算,不管是订阅模式还是按需付费模式,企业将会有更多种方式来评估安全技术,缩短复杂的RFP流程;网络安全资格审查在市场整合并购环节中非常重要,但需要对行业、资产价值、监管环境以及交易金额等方面进行综合评判。Gartner认为网络攻击不可避免的看法已经广泛的被企业组织认同,且影响着企业组织如何应对风险。安全与风险管理的领导者需建立完善的信息安全管理计划,以规范的安全准则,促进业务产出为基础。基于上述的研究发现,Gartner在安全与风险管理领域做出了几点预
发布时间:2018-01-10 02:50 | 阅读:212388 | 评论:0 | 标签:行业动态 Gartner 安全评级服务 风险管理

第三方风险管理的三个“秘密”

我们应该认识到第三方是数据泄露的主要途径之一。德勤在2017年的一份研究报告指出有20.6%的受访者经历了因第三方导致客户敏感数据的泄露。Ponemon Institute在去年5月的调查报告显示75%的IT和安全人员认为,从第三方泄露的风险正在持续增长,并且是非常严重的。另一方面,Soha System的第三方咨询团队完成了一次调研,针对219个负责企业IT和安全管理人员、董事、高管做了一次调查,受访者代表22个行业类别,35%的组织中有超过10,000名雇员,全部是匿名回复的。调查发现,尽管企业数字化生态中的合作伙伴越来越多,网络安全威胁也越来越高,但只有不到2%的调查对象表示高度关注第三方接入与合作带来的安全问题。下面我们来具体看一看,有哪些第三方风险的问题常被企业误读。1. 对第三方风险的管理不是IT优
发布时间:2017-10-30 03:45 | 阅读:118170 | 评论:0 | 标签:术有专攻 安全值 安全评估 第三方 风险管理

董事会应当如何加强与CISO的关系?

“安全和风险管理必须成为企业决策的一部分,首席信息安全官(CISO)是倡导这些问题的最佳人选。”———Fast Company报道 过去几年中,有关CISO与董事会之间关系的话题讨论,越来越广泛的进入到大众的视野。在美国企业董事联合会(National Association of Corporate Directors,NACD)出版的2017年网络风险监督手册里,罗列了有关“CISO与董事会”关系的见解,并且为董事会管理层人员提供了最新的网络风险监管建议。 对于新增的元素,在几个至关重要的领域提供了一些很有价值的建议,这些建议可以翻阅手册的附录进行阅读,包括: 附录B:并购阶段信息安全建议 附录E:董事会层面的网络安全指标 附录I:增强与CISO的关系 本文中,我们将重点聚焦在CISO与董事会关系的话题上
发布时间:2017-06-04 15:55 | 阅读:119241 | 评论:0 | 标签:观点 CISO 网络安全 风险管理

三大趋势决定必须改善第三方网络风险管理

为了在危险重重的全球市场中生存壮大,企业越来越依赖可以提高市场投放效率的外包服务、云服务。 但是这种高效也带来了网络风险。由于企业对自身防御的重视,网络罪犯已经意识到从第三方入手是最有效的攻击捷径。 一旦黑客们得偿所愿,企业的数据、知识产权和商业秘密都将处于风险之中。怎样才能既享受外包服务的高效便捷,同时又保护好企业的数据和商业秘密呢? 目前市面上的绝大多数的第三方网络风险管理服务都缺乏规模、速度和效率。这些项目往往基于共享电子表格问卷或人工进程这类陈旧的方式。 但据普华永道发布的2016年全球信息安全报告,第三方承包商是最主要的企业外部安全事故诱因。 为什么企业仍然采用GRC工具、外部顾问、电子表格、内部资源拼凑起来的工作进程呢? CyberGRX相信安全和风险专业人士需要适当的工具来对抗第三方网络威胁。G
发布时间:2017-05-19 04:05 | 阅读:108207 | 评论:0 | 标签:术有专攻 第三方 网络安全风险 网络犯罪 风险管理

结合情报,携手建立新一代企业安全运营平台

阅读: 0随着企业信息化的不断发展,公司信息化资产数量日趋增多,导致网络安全日志从之前的Gb级一下跃升至PB级,给企业安全管理和安全运维带来巨大的困难。国家对网络安全越加重视,并逐年加大投入,同时对企业安全建设水平也提出了更高的要求,给安全从业人员带来巨大压力。文章目录一、当前的安全形势二、传统企业安管平台之殇三、如何实现平台转型四、绿盟企业安全平台的实践和探索五、结束语一、当前的安全形势随着企业信息化的不断发展,公司信息化资产数量日趋增多、系统的关联性和复杂度不断增强,然而当前信息安全形势日益严峻,信息安全防护工作面临前所未有的困难和挑战。为了更好监控和保障信息系统运行,及时识别和防范安全风险,同时满足国家和行业监管要求,保证信息安全管理工作的依法合规,企业亟需建立一个全数据、集中管理的企业安全平台,做到事前

用威胁情报给2017年做安全趋势预测

过去一年的大量网络威胁数据中,蕴藏着一些明显的趋势,我们可以用来提供未来12个月的网络安全指南和策略。 1. 企业的“出镜率”会增长 网络风险也将随之加大 每个产品和服务都依赖某种形式的技术基础设施。有了这种依赖,公司或企业在数字世界的出境率,便会通过社交媒体、支付交易、客户交互、市场营销、合作伙伴关系、供应商等等扩大。 供应链,占据了公司数字足迹扩张的一大部分。合作伙伴和供应商,支持着客户、HR、在职员工和会计核算;我们与他们共享敏感信息或提供给他们对敏感数据的访问权——由此也“延伸”了公司在数字世界的身影。随着数字世界曝光率的增长,公司沦为诈骗、勒索、数据泄露、资产侵害和拒绝服务攻击受害者的暴露面也就扩大了。 公司或企业要跳出由内而外的IT安全观,转而理解整个风险轮廓,以便做出重大改善,得到更好的安全。
发布时间:2017-01-09 16:20 | 阅读:116073 | 评论:0 | 标签:牛闻牛评 IoT 勒索软件 威胁情报 网络风险 风险管理

SaaS浪潮已成海啸 这里是管理其风险的8种方法

每个员工都在找寻下一个SaaS应用来让自己的工作更轻松。一张信用卡+一份开支报告,公司里任何人都能在几分钟之内注册一个新的应用。问题在于:员工注册SaaS应用时并不具备相应的知识或者企业内部IT管理员的允许。 Gartner和思科的调查发现,IT员工只知晓公司内在用app的7%。这意味着,任何一家公司里,存在成百上千个不安全的SaaS应用,每一个都是可供黑客用以捞取公司数据的潜在切入点。 随着企业应用市场的扩张,非托管SaaS应用的数量也在持续上涨,让公司企业更难以控制安全及合规风险。考虑到这一点,OneLogin高级主管艾尔·萨金特为我们提供了管理SaaS海啸引入风险的几种方法。 1. 资金导向 IT部门应该与财务部门合作,专门创建一个“SaaS订阅”费用类别,而不是浇灭员工购买应用提升工作效率的热情。这
发布时间:2016-12-27 13:15 | 阅读:123493 | 评论:0 | 标签:术有专攻 SaaS应用 风险管理

TangScan:不仅是漏扫,更是一款按“结果”付费的风险管理平台

安全牛在去年12月中旬,曾发表过一篇关于TangScan发布会的文章,对唐朝安全巡航这个产品做了简单的介绍。这次,借公开新的“付费模式”的契机,小编联系到唐朝的产品总监 章华鹏,以及乌云的市场负责人 邬迪,对“唐朝”这个产品做了更深入的访谈和了解。唐朝安全巡航(TangScan)是一款SaaS持续风险管理平台。作为乌云社区的第三方合作伙伴,同时作为乌云的独立子品牌,唐朝一直致力于通过将白帽子发现的安全问题以平台安全策略(插件)的形式转化为安全检测能力,为企业提供“发现(确诊)问题”的能力。安全从业者是医生,企业自己哪生了病,他们不清楚,但我们要给他们‘确诊’,并给出明确且正确的建议。TangScan的定位就在于“确诊”。通过对乌云漏洞平台18万漏洞的积累、白帽社区白帽子贡献的“一手”安全策略以及由乌云核心白帽组
发布时间:2016-03-23 17:40 | 阅读:144502 | 评论:0 | 标签:技术产品 乌云 唐朝安全巡航 风险管理

对云计算的三个误解

云服务的客户可能相互攻击吗?云用户可以控制自己的数据吗?云供应商会透露你的信息内容吗?WorldPay公司开发运营负责人米洛斯拉夫·丹诺夫(Miroslav Danov)在近日召开的2015年计算企业安全和风险管理大会(Computing’s Enterprise Security and Risk Management)上回答了上述全部三个问题。1. 同云用户可以相互攻击丹诺夫以对安全的整体理解开始了演讲:不管你遵守什么样的规矩,风险都是相等的。丹诺夫说:“不管你是在国家的私有数据中心还是任何其它数据中心都一样:它们的位置并不重要”,之后他称,应用层攻击可能来自任何地方。“针对目标应用服务器的威胁中,HTTP、TCP、SSL/TSL占绝大多数,所有这些都依赖于应用层攻击。”当谈到“同云”客户相互攻击的问题,丹
发布时间:2015-12-01 23:30 | 阅读:92458 | 评论:0 | 标签:牛观点 牛闻牛评 云计算 风险管理

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词