CISO_黑客技术

记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

CISO常犯的五个风险管理错误

新冠疫情导致全球经济衰退，企业裁员、预算紧缩接踵而至，但网络攻击和数字风险也创下历史新高。新冠疫情期间，勒索软件、重大数据泄露和隐私事件频发，微盟删库、万豪二次泄露、Zoom安全风波、小米隐私、越南APT组织入华…过去不到一周时间，我们就被下面这些事件刷屏：B站500万粉丝UP主NAS数据被勒索软件锁死、成人网站CAM泄露108亿条数据（7TB）、特斯拉二手车数据泄露、苹果iPhone曝出严重漏洞、全球最大域名注册商Godaddy数据泄露、欧洲多家医疗机构和台湾两大炼油厂被勒索软件袭击、中信银行“笑果门”…甚至疫情期间的“受益股”，例如主流游戏平台Valve（游戏源代码泄露）、Switch（16万用户数据泄露）也纷纷中招。随着疫情期间安全形势的不断升级，全球越来越多的企业领导者都将网络安全视为头等大事，将其视为

发布时间:2020-05-08 17:29 | 阅读:4898 | 评论:0 | 标签:牛闻牛评首页动态 CISO 风险管理

高效CISO需要关注的七个安全指标

当企业安全预算的增长面临“不可持续”风险，CISO应该开始重视哪些安全指标？CISO最具挑战性的工作之一就是选择正确的指标来量化企业网络安全体系的能力和价值，这是企业网络安全策略和效率的基础。如果说KPI是一种病，那么，没有什么比选择错误的KPI指标更加可怕的事情了，尤其是企业安全预算开始吃紧的黑天鹅时期。网络安全预算“无厘头”增长已经不可持续零信任需要钱、威胁情报需要钱、漏洞管理需要钱、下一代防火墙需要钱、下一代SOC/SOAR/SIEM需要钱、数据防泄漏需要钱、勒索软件需要钱、等保合规需要钱、安全意识培训需要钱……这些还都是肉眼可见的、优先级很高的“烧钱项”。但是不少安全主管，甚至是知名跨国公司或上市公司的安全主管，兜里的预算，都无法完整覆盖多个安全重点投资领域。近日埃森哲的一份CISO报告给出了逐年递增的

发布时间:2020-03-23 14:51 | 阅读:12825 | 评论:0 | 标签:术有专攻首页动态 CISO 安全指标

网络安全二十年关键词统计，CISO的第二次角色转变

当我们谈论安全，我们在谈论什么？下一个十年，CISO的新角色和定位是什么？安全转型研究基金会（Security Transformation Research Foundation）近日发布的网络安全内容关键词分析突显了网络安全语境在过去20年中的发展轨迹和重大趋势。该基金会对安全咨询公司EY于2002-2018年期间进行的17个年度“ 全球信息安全调查报告” 进行了语义分析，得出了以下一些数据观点：2010年是网络安全两个时代的分水岭关键词变化和词频变化统计结果显示，2010年是一个分水岭，网络安全相关内容呈现“技术化和负面化”趋势：从合规到威胁防御，云安全关注度进入第二个增长周期截至2009年的“第一个十年”，网络安全关键词主要围绕风险和合规性，但是在接下来的十年中，这些考虑显然已经消退，被对威胁和事件的关

发布时间:2020-03-12 18:06 | 阅读:31017 | 评论:0 | 标签:牛闻牛评首页动态 CISO 云安全数字化转型网络安全

由于压力和倦怠，CISO的平均任期仅为26个月

绝大多数受访的CISO高管（88％）表示压力很大，其中三分之一由于压力引发了身体健康问题，一半导致精神健康问题。整个行业的首席信息安全官（CISO或CSO）都称压力很大。许多人表示，压力问题已经引发了精神和身体健康问题、人际关系问题、甚至导致药物和酒精的滥用，而在某些情况下最终导致职业倦怠，平均在26个月的任期之后选择新工作。这些来自Nominet报告中的数字显示了一个日益普遍的问题（压力和倦怠），但这个问题在整个信息安全行业中却一直被忽略，只是随着CISO角色在内部的重要性日益凸显，这个问题才开始被企业重视。调查结果现在，许多公司都在采用CISO角色。黑客、勒索软件、网络钓鱼和在线欺诈的持续威胁使得在任何公司中建立网络安全部门都是不可避免的决定。但是，大多数公司还没有准备好将CISO纳入其公司文化

发布时间:2020-03-01 09:59 | 阅读:17680 | 评论:0 | 标签:观点 CISO 信息安全

网络安全可以从巴菲特身上学到什么？

安全最佳实践与金融最佳实践之间存在相通之处。事实上，安全主管们可以从股神巴菲特保护自身金融投资的方法上学到很多。历史经验告诉我们，人类从来不会汲取历史教训。——巴菲特2017年，公司企业在数据防护技术上的投资总额高达864亿美元，是5年前的2倍。同时，似乎每隔一周就会爆出一起重大安全事件。于是，安全主管们纷纷自问：我的安全投资真的有用吗？面对越来越危险的威胁态势，大多数安全团队在传统安全技术和管理两方面都加倍投入。但这一策略并没有什么效果。因为随着IT基础设施的发展，网络攻击也在不断演进，10年前效果很好的安全工具在今天这个分散而动态的世界里不再有效。给CISO的建议：定期评估自身投资的效果像巴菲特评估他投资组合一样评估自己安全技术组合的投资回报率(ROI)。无论是按季度还是按年度，你得制定一个框架来定期评估自

发布时间:2018-01-12 05:50 | 阅读:163098 | 评论:0 | 标签:牛闻牛评 CISO 安全回报安全投资巴菲特

2018：首席安全官的新年规划

大多数人都会有几个新年计划，减肥、锻炼、多陪陪家人等等，从企业战略集团(ESG)的调查研究和网络安全从业者的反馈来看，安全主管必须更贴近公司业务，提升员工生产力，现代化安全技术基础设施。以下5点是企业CISO们的新年规划：1. 让网络安全成为企业文化的一部分ESG/ISSA(信息系统安全协会)研究表明，24%的企业，其业务经理依然不能正确认识/支持网络安全。2018年，CISO必须扭转对网络安全的这种无知和漠然。那么，该怎样扭转呢？齐心协力争取CEO的支持。与所有业务经理建立经常性联系。以业务经理能理解并据此行动的方式，更好地量化风险。在软件开发人员开始写代码之前，参与到业务过程计划中来。敦促人力资源部进行更多实践训练。经常到一线向员工了解情况。2018年，CISO们必须尽力施为。能推动转变的人，就能对公司风险

发布时间:2018-01-04 22:10 | 阅读:131484 | 评论:0 | 标签:牛闻牛评 CISO 网络安全投入自动化高级威胁防护

能让CISO丢掉工作的5个“小问题”

大型数据泄露事件，可导致CISO甚至是CEO失去工作。但千里之堤毁于蚁穴，一些不甚明显的纰漏，也能带来严重后果。以下5种情况，CISO需要关注并小心。1. 重点工作只放在防护上正如最近的Equifax和雅虎数据泄露呈现的，数据泄露可为公司企业带来严重的信誉伤害。在这种情况下，如果能证明CISO疏于安装最新补丁，或没在数据中心、远程办公室及网络边界上安装恰当的防火墙，没能更新企业的数据环境以应对最新威胁，那么，CISO被炒基本是注定的。遭遇历史性安全事件，导致重大经济损失和大量负面宣传，这时候炒掉CISO很大程度上是出于公关考虑，公司必须向公众表明他们在采取行动。其他情况，就是CISO确实玩忽职守，准备不足了。他们没有坚实的响应及恢复计划，一个本可以限制不良影响的计划。CISO将重点只放在防护上的情况太常见了。数

发布时间:2017-11-29 19:05 | 阅读:121280 | 评论:0 | 标签:术有专攻 CISO 合规安全策略数据泄露

CISO应该进入董事会

不要等到发生安全事件的时候，再去邀请CISO加入董事会。最近在伦敦举行的IPSec大会上，F-Secure首席研究官米科·西博能称，公司企业应将首席信息安全官(CISO)与CIO一起，列入董事席位中。西博能提到了信用参考机构Equifax泄露1.45亿美国人记录的黑客事件，他指出，随着软件应用的盛行，CISO如今在几乎每家大型企业的管理和监督中都占据了关键地位。F-Secure首席研究官米科·西博能在董事会的讨论内容中，网络安全工作非常被动，公司董事会根本不考虑这个问题。他们不是计算机专家，也不是网络安全专家，对网络安全提不起兴趣。但每当大事件发生，网络安全就变成了董事会级的问题。他们邀请CISO或CIO参与会议进行讲解，虽然事后很快抛诸脑后。这不是正确的做法。每家大公司的董事级会议里，网络安全都应该成为一个常

发布时间:2017-10-22 09:30 | 阅读:123505 | 评论:0 | 标签:牛闻牛评 CISO 董事会

把这三个问题回答好才能算一个合格的CISO

IoT带来的风险，检测潜在恶意数据传输的困难，以及对用户和设备活动可见性的整体缺乏，这些问题，很大程度上是今天复杂庞大的网络基础设施所造成的结果。臃肿的网络基础设施，令监视用户和设备行为中微小恶意转变的工作，变得十分复杂。今天的网络延伸到了云端，有可能接入到工业控制系统中，还可能托管着大量的设备，而且往往遍布全球。高级网络攻击和内部人威胁注定隐身在繁杂噪音中。再加上IoT设备、虚拟机和智慧城市，简直不可能保持领先不断发展的威胁态势一步。因此，CISO及其安全团队面临一个根本性问题。他们有太多盲点，且缺乏区分威胁和合法活动的能力。为理解该问题的严重程度，安全团队应该回答好以下3个问题：1. 能为网络上的每个设备负责吗？根据经验，即便老练的安全团队，也总是低估了网络中设备的数量，有时候甚至达到30%之多。而很多公司

发布时间:2017-09-05 03:50 | 阅读:129093 | 评论:0 | 标签:术有专攻 CISO IoT 内部威胁数据渗漏行为监管

一位首席分析师对 Black Hat 2017 的吐槽

黑帽2017是场大秀，展现了健康的网络安全行业风貌。但炒作、误解和专有议程还是太多。作为全程参与了本次黑帽安全大会的分析师，有几条想法想跟大家分享一下：1. 这是第20届黑帽大会，人气爆棚是肯定的。听说参加人数比去年还多，而我知道2016的参会人数就已经破纪录了。不想显得粗俗，但会议间隙真的不得不花10分钟排队才轮得到上个厕所。2. Facebook首席安全官阿列克斯·斯塔莫斯的主题演讲很成功。他的主要观点是：广大网络安全社区（例如网络安全专业人士和网络安全技术产业），必须拓展其在多个领域的角色职能。首先，他谈到要对用户有更多的同理心。其次，要专注在伤害而非技术复杂性上。这是个很棒的想法，因为大多数人关心的是安全会怎样影响到他们，而不是场景背后的细节。他还鼓励安全社区变得更加丰富多彩，为网络安全增加不同的视角。

发布时间:2017-08-03 16:20 | 阅读:115570 | 评论:0 | 标签:牛闻牛评 CISO 威胁情报安全初创企业软件定义网络黑帽大会

赛门铁克发布新CISO调研报告：云成为网络犯罪的下一个着手点

绝大数的中国CISO 认为，确保云应用符合合规要求是面临的最大工作压力之一。近日，全球网络安全领导厂商赛门铁克公司发布一项针对企业数据安全现状的全新调研报告。该报告覆盖全球11个市场，共邀请1,100 名首席信息安全官参与调研。报告结果显示，云安全是中国首席信息安全官(CISO)最担忧的挑战。不仅如此，中国首席信息安全官更关注自身企业是否拥有快速应对网络攻击的能力。毫无疑问，云计算拥有诸多优势，吸引越来越多行业的关注，例如卓越的可扩展性、更短的上市时间、更低的成本费用，以及出色的工作效率。但这一领域同样吸引着网络罪犯的目光。这个全新的无边界基础架构在网络攻击者眼中成为一座潜在的金矿。针对云的攻击范围不断扩大赛门铁克的调查显示，云安全成为中国CISO所面临的棘手问题。绝大数的CISO(92%)都认为，确保云应用

发布时间:2017-06-28 04:55 | 阅读:142481 | 评论:0 | 标签:行业动态 CISO 云安全合规赛门铁克

董事会应当如何加强与CISO的关系？

“安全和风险管理必须成为企业决策的一部分，首席信息安全官（CISO）是倡导这些问题的最佳人选。”———Fast Company报道过去几年中，有关CISO与董事会之间关系的话题讨论，越来越广泛的进入到大众的视野。在美国企业董事联合会（National Association of Corporate Directors，NACD）出版的2017年网络风险监督手册里，罗列了有关“CISO与董事会”关系的见解，并且为董事会管理层人员提供了最新的网络风险监管建议。对于新增的元素，在几个至关重要的领域提供了一些很有价值的建议，这些建议可以翻阅手册的附录进行阅读，包括：附录B：并购阶段信息安全建议附录E：董事会层面的网络安全指标附录I：增强与CISO的关系本文中，我们将重点聚焦在CISO与董事会关系的话题上

发布时间:2017-06-04 15:55 | 阅读:116314 | 评论:0 | 标签:观点 CISO 网络安全风险管理

CISO如何回答CEO提出的高难度问题？

CEO完全信任首席安全官(CSO)，将保护公司安全，不让公司登上媒体头条出丑的重责大任交托到CISO身上。但随着互联网攻击数量的急速上升，该信任已逐渐被稀释，至少，是越来越受到质疑了。 CEO讨厌被打个措手不及，所以他们总会问些尖锐的问题，来确保自己知晓采取了哪些安全预警措施。下面就是假想中的CEO或董事会成员与CISO的问答。卢卡斯·穆迪，Palo Alto Networks 副总裁兼CISO，多蒂·辛德林格，Diligent监管技术推动者，给出了有关这些互动的见解。 CEO：为什么我们受到的网络钓鱼攻击越来越多了？针对这些网络钓鱼攻击我们都在做些什么？ CISO：为对抗该威胁，预防是我们最佳的防御策略。预防始于技术，应囊括进识别公司凭证被非法复用的方法技术。为支持预防，我们还通过全面的网络钓鱼模拟和教育

发布时间:2017-05-24 02:30 | 阅读:144727 | 评论:0 | 标签:术有专攻 CEO CISO 安全措施

一名心理学与哲学专业毕业生的首席信息安全官之路

首席信息安全官(CISO)通常具备技术性信息安全或IT风险背景。但条条道路通罗马，想成为CISO也未必一定要是谢耳朵那样的纯技术宅，兴趣、恒心、冲劲、终身学习等等素养也可助推非技术出身的人才成为优秀的CISO。不信可以看看心理学与哲学专业出身的杰夫·福尔兹是如何实现华丽转身的。杰夫·福尔兹一开始并没有想要从事信息安全职业。他通过抓住一系列机会不断充实自己的技术集，终是走到了现下富达国民金融公司CISO的职位上。他的心理学与哲学学位也比人们想象中对其CISO工作的助力要大。 1994年从肯特州立大学毕业后，福尔兹发现自己对技术特别感兴趣，便去了一家图像艺术公司，入职IT部门，从事技术支持工作，技术、网络和电信系统的管理与报告撰写都属于他的职责范围。 “那是家一站式服务公司，我必须身兼数职，快速学会适应各种挑战

发布时间:2017-04-22 03:25 | 阅读:131665 | 评论:0 | 标签:术有专攻 CISO

一名优秀的安全主管需要“见人说人话，见鬼说鬼话”

想要沟通，就需要用听众听得懂的语言说话。关于CISO角色，如何清晰地向上沟通(对高管和董事会)，向下交流(公司安全部门人员)，平级互通(其他主要利益相关者)，是其长期职业生涯中的一个重要工作。经常旅游的人就知道，总会有那么一些场景需要用当地语言交流。如果学过多国语言，那在很多国家都可以在较高层次上跟上对话。若丝毫不通当地语言，即便对话题知之甚深，在交流中也只能干瞪眼。作为安全主管，从上述旅游经验中就可学到重要一课：要用交流对象的语言来说话。风险、报告、度量，是信息安全领域3大主要话题，对不同受众具有完全不同的意义。我们可以从不同受众围绕各个话题所用的语言，来阐述这一点。一、风险 1. 董事会和高管对高管和董事会而言，风险主要意味着业务中断和资金损失。要用这种语言说话，你就得展示出自己所做工作是对缓解

发布时间:2017-03-13 18:10 | 阅读:146834 | 评论:0 | 标签:术有专攻 CISO 安全主管安全风险

F-Secure：终端安全才是新性感

现代公司必须尽快在其终端上挡住多种威胁 ——F-Secure首席执行官萨姆·康提能 F-Secure CEO 萨姆·康提能 2017年终将上升的数据泄露和网络攻击，注定要给安全人员带来更多的不眠之夜。面对公司的IT基础设施现状，CSO们在网络与终端这两个安全领域的空白填补上大多十分困惑。萨姆·康提能，F-Secure总裁兼CEO，近期接受媒体采访，回答了关于威胁态势、竞争厂商，以及网络安全的未来等问题：问题1. 作为F-Secure的首席执行官，什么是您在这个职位上最关注的事？答：F-Secure不是初创公司，但与赛门铁克这样的行业巨头相比，我们还很弱小。我们不能装作是你什么都能从中拿到的网络安全超市。因此，我们特别专注于在我们经营的领域提供“一流”的解决方案。在B2B领域，终端已经从传统反病毒(AV)

发布时间:2017-03-01 20:35 | 阅读:131373 | 评论:0 | 标签:牛闻牛评 CISO F-Secure 安全厂商终端安全