记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Gartner未来五年产业预测:安全评级服务将成为采购标准

在过去的一年里,Gartner在安全与风险管理领域的关键发现:随着数字化转型的持续升温,错综复杂的生态系统是数字业务不可缺的部分,而与其相关的安全风险将倍受关注;回顾过往一年,全球领先的企业由于遭受恶意的网络攻击造成的损失达到3亿美元;越来越多的安全技术转向了云计算,不管是订阅模式还是按需付费模式,企业将会有更多种方式来评估安全技术,缩短复杂的RFP流程;网络安全资格审查在市场整合并购环节中非常重要,但需要对行业、资产价值、监管环境以及交易金额等方面进行综合评判。Gartner认为网络攻击不可避免的看法已经广泛的被企业组织认同,且影响着企业组织如何应对风险。安全与风险管理的领导者需建立完善的信息安全管理计划,以规范的安全准则,促进业务产出为基础。基于上述的研究发现,Gartner在安全与风险管理领域做出了几点预
发布时间:2018-01-10 02:50 | 阅读:163767 | 评论:0 | 标签:行业动态 Gartner 安全评级服务 风险管理

第三方风险管理的三个“秘密”

我们应该认识到第三方是数据泄露的主要途径之一。德勤在2017年的一份研究报告指出有20.6%的受访者经历了因第三方导致客户敏感数据的泄露。Ponemon Institute在去年5月的调查报告显示75%的IT和安全人员认为,从第三方泄露的风险正在持续增长,并且是非常严重的。另一方面,Soha System的第三方咨询团队完成了一次调研,针对219个负责企业IT和安全管理人员、董事、高管做了一次调查,受访者代表22个行业类别,35%的组织中有超过10,000名雇员,全部是匿名回复的。调查发现,尽管企业数字化生态中的合作伙伴越来越多,网络安全威胁也越来越高,但只有不到2%的调查对象表示高度关注第三方接入与合作带来的安全问题。下面我们来具体看一看,有哪些第三方风险的问题常被企业误读。1. 对第三方风险的管理不是IT优
发布时间:2017-10-30 03:45 | 阅读:90843 | 评论:0 | 标签:术有专攻 安全值 安全评估 第三方 风险管理

董事会应当如何加强与CISO的关系?

“安全和风险管理必须成为企业决策的一部分,首席信息安全官(CISO)是倡导这些问题的最佳人选。”———Fast Company报道 过去几年中,有关CISO与董事会之间关系的话题讨论,越来越广泛的进入到大众的视野。在美国企业董事联合会(National Association of Corporate Directors,NACD)出版的2017年网络风险监督手册里,罗列了有关“CISO与董事会”关系的见解,并且为董事会管理层人员提供了最新的网络风险监管建议。 对于新增的元素,在几个至关重要的领域提供了一些很有价值的建议,这些建议可以翻阅手册的附录进行阅读,包括: 附录B:并购阶段信息安全建议 附录E:董事会层面的网络安全指标 附录I:增强与CISO的关系 本文中,我们将重点聚焦在CISO与董事会关系的话题上
发布时间:2017-06-04 15:55 | 阅读:98942 | 评论:0 | 标签:观点 CISO 网络安全 风险管理

三大趋势决定必须改善第三方网络风险管理

为了在危险重重的全球市场中生存壮大,企业越来越依赖可以提高市场投放效率的外包服务、云服务。 但是这种高效也带来了网络风险。由于企业对自身防御的重视,网络罪犯已经意识到从第三方入手是最有效的攻击捷径。 一旦黑客们得偿所愿,企业的数据、知识产权和商业秘密都将处于风险之中。怎样才能既享受外包服务的高效便捷,同时又保护好企业的数据和商业秘密呢? 目前市面上的绝大多数的第三方网络风险管理服务都缺乏规模、速度和效率。这些项目往往基于共享电子表格问卷或人工进程这类陈旧的方式。 但据普华永道发布的2016年全球信息安全报告,第三方承包商是最主要的企业外部安全事故诱因。 为什么企业仍然采用GRC工具、外部顾问、电子表格、内部资源拼凑起来的工作进程呢? CyberGRX相信安全和风险专业人士需要适当的工具来对抗第三方网络威胁。G
发布时间:2017-05-19 04:05 | 阅读:85238 | 评论:0 | 标签:术有专攻 第三方 网络安全风险 网络犯罪 风险管理

结合情报,携手建立新一代企业安全运营平台

阅读: 0随着企业信息化的不断发展,公司信息化资产数量日趋增多,导致网络安全日志从之前的Gb级一下跃升至PB级,给企业安全管理和安全运维带来巨大的困难。国家对网络安全越加重视,并逐年加大投入,同时对企业安全建设水平也提出了更高的要求,给安全从业人员带来巨大压力。文章目录一、当前的安全形势二、传统企业安管平台之殇三、如何实现平台转型四、绿盟企业安全平台的实践和探索五、结束语一、当前的安全形势随着企业信息化的不断发展,公司信息化资产数量日趋增多、系统的关联性和复杂度不断增强,然而当前信息安全形势日益严峻,信息安全防护工作面临前所未有的困难和挑战。为了更好监控和保障信息系统运行,及时识别和防范安全风险,同时满足国家和行业监管要求,保证信息安全管理工作的依法合规,企业亟需建立一个全数据、集中管理的企业安全平台,做到事前

用威胁情报给2017年做安全趋势预测

过去一年的大量网络威胁数据中,蕴藏着一些明显的趋势,我们可以用来提供未来12个月的网络安全指南和策略。 1. 企业的“出镜率”会增长 网络风险也将随之加大 每个产品和服务都依赖某种形式的技术基础设施。有了这种依赖,公司或企业在数字世界的出境率,便会通过社交媒体、支付交易、客户交互、市场营销、合作伙伴关系、供应商等等扩大。 供应链,占据了公司数字足迹扩张的一大部分。合作伙伴和供应商,支持着客户、HR、在职员工和会计核算;我们与他们共享敏感信息或提供给他们对敏感数据的访问权——由此也“延伸”了公司在数字世界的身影。随着数字世界曝光率的增长,公司沦为诈骗、勒索、数据泄露、资产侵害和拒绝服务攻击受害者的暴露面也就扩大了。 公司或企业要跳出由内而外的IT安全观,转而理解整个风险轮廓,以便做出重大改善,得到更好的安全。
发布时间:2017-01-09 16:20 | 阅读:95123 | 评论:0 | 标签:牛闻牛评 IoT 勒索软件 威胁情报 网络风险 风险管理

SaaS浪潮已成海啸 这里是管理其风险的8种方法

每个员工都在找寻下一个SaaS应用来让自己的工作更轻松。一张信用卡+一份开支报告,公司里任何人都能在几分钟之内注册一个新的应用。问题在于:员工注册SaaS应用时并不具备相应的知识或者企业内部IT管理员的允许。 Gartner和思科的调查发现,IT员工只知晓公司内在用app的7%。这意味着,任何一家公司里,存在成百上千个不安全的SaaS应用,每一个都是可供黑客用以捞取公司数据的潜在切入点。 随着企业应用市场的扩张,非托管SaaS应用的数量也在持续上涨,让公司企业更难以控制安全及合规风险。考虑到这一点,OneLogin高级主管艾尔·萨金特为我们提供了管理SaaS海啸引入风险的几种方法。 1. 资金导向 IT部门应该与财务部门合作,专门创建一个“SaaS订阅”费用类别,而不是浇灭员工购买应用提升工作效率的热情。这
发布时间:2016-12-27 13:15 | 阅读:98800 | 评论:0 | 标签:术有专攻 SaaS应用 风险管理

TangScan:不仅是漏扫,更是一款按“结果”付费的风险管理平台

安全牛在去年12月中旬,曾发表过一篇关于TangScan发布会的文章,对唐朝安全巡航这个产品做了简单的介绍。这次,借公开新的“付费模式”的契机,小编联系到唐朝的产品总监 章华鹏,以及乌云的市场负责人 邬迪,对“唐朝”这个产品做了更深入的访谈和了解。唐朝安全巡航(TangScan)是一款SaaS持续风险管理平台。作为乌云社区的第三方合作伙伴,同时作为乌云的独立子品牌,唐朝一直致力于通过将白帽子发现的安全问题以平台安全策略(插件)的形式转化为安全检测能力,为企业提供“发现(确诊)问题”的能力。安全从业者是医生,企业自己哪生了病,他们不清楚,但我们要给他们‘确诊’,并给出明确且正确的建议。TangScan的定位就在于“确诊”。通过对乌云漏洞平台18万漏洞的积累、白帽社区白帽子贡献的“一手”安全策略以及由乌云核心白帽组
发布时间:2016-03-23 17:40 | 阅读:122700 | 评论:0 | 标签:技术产品 乌云 唐朝安全巡航 风险管理

对云计算的三个误解

云服务的客户可能相互攻击吗?云用户可以控制自己的数据吗?云供应商会透露你的信息内容吗?WorldPay公司开发运营负责人米洛斯拉夫·丹诺夫(Miroslav Danov)在近日召开的2015年计算企业安全和风险管理大会(Computing’s Enterprise Security and Risk Management)上回答了上述全部三个问题。1. 同云用户可以相互攻击丹诺夫以对安全的整体理解开始了演讲:不管你遵守什么样的规矩,风险都是相等的。丹诺夫说:“不管你是在国家的私有数据中心还是任何其它数据中心都一样:它们的位置并不重要”,之后他称,应用层攻击可能来自任何地方。“针对目标应用服务器的威胁中,HTTP、TCP、SSL/TSL占绝大多数,所有这些都依赖于应用层攻击。”当谈到“同云”客户相互攻击的问题,丹
发布时间:2015-12-01 23:30 | 阅读:69653 | 评论:0 | 标签:牛观点 牛闻牛评 云计算 风险管理

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云