记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华网络安全可以从巴菲特身上学到什么?
安全最佳实践与金融最佳实践之间存在相通之处。事实上,安全主管们可以从股神巴菲特保护自身金融投资的方法上学到很多。历史经验告诉我们,人类从来不会汲取历史教训。——巴菲特2017年,公司企业在数据防护技术上的投资总额高达864亿美元,是5年前的2倍。同时,似乎每隔一周就会爆出一起重大安全事件。于是,安全主管们纷纷自问:我的安全投资真的有用吗?面对越来越危险的威胁态势,大多数安全团队在传统安全技术和管理两方面都加倍投入。但这一策略并没有什么效果。因为随着IT基础设施的发展,网络攻击也在不断演进,10年前效果很好的安全工具在今天这个分散而动态的世界里不再有效。给CISO的建议:定期评估自身投资的效果像巴菲特评估他投资组合一样评估自己安全技术组合的投资回报率(ROI)。无论是按季度还是按年度,你得制定一个框架来定期评估自
2018:首席安全官的新年规划
大多数人都会有几个新年计划,减肥、锻炼、多陪陪家人等等,从企业战略集团(ESG)的调查研究和网络安全从业者的反馈来看,安全主管必须更贴近公司业务,提升员工生产力,现代化安全技术基础设施。以下5点是企业CISO们的新年规划:1. 让网络安全成为企业文化的一部分ESG/ISSA(信息系统安全协会)研究表明,24%的企业,其业务经理依然不能正确认识/支持网络安全。2018年,CISO必须扭转对网络安全的这种无知和漠然。那么,该怎样扭转呢?齐心协力争取CEO的支持。与所有业务经理建立经常性联系。以业务经理能理解并据此行动的方式,更好地量化风险。在软件开发人员开始写代码之前,参与到业务过程计划中来。敦促人力资源部进行更多实践训练。经常到一线向员工了解情况。2018年,CISO们必须尽力施为。能推动转变的人,就能对公司风险
能让CISO丢掉工作的5个“小问题”
大型数据泄露事件,可导致CISO甚至是CEO失去工作。但千里之堤毁于蚁穴,一些不甚明显的纰漏,也能带来严重后果。以下5种情况,CISO需要关注并小心。1. 重点工作只放在防护上正如最近的Equifax和雅虎数据泄露呈现的,数据泄露可为公司企业带来严重的信誉伤害。在这种情况下,如果能证明CISO疏于安装最新补丁,或没在数据中心、远程办公室及网络边界上安装恰当的防火墙,没能更新企业的数据环境以应对最新威胁,那么,CISO被炒基本是注定的。遭遇历史性安全事件,导致重大经济损失和大量负面宣传,这时候炒掉CISO很大程度上是出于公关考虑,公司必须向公众表明他们在采取行动。其他情况,就是CISO确实玩忽职守,准备不足了。他们没有坚实的响应及恢复计划,一个本可以限制不良影响的计划。CISO将重点只放在防护上的情况太常见了。数
CISO应该进入董事会
不要等到发生安全事件的时候,再去邀请CISO加入董事会。最近在伦敦举行的IPSec大会上,F-Secure首席研究官米科·西博能称,公司企业应将首席信息安全官(CISO)与CIO一起,列入董事席位中。西博能提到了信用参考机构Equifax泄露1.45亿美国人记录的黑客事件,他指出,随着软件应用的盛行,CISO如今在几乎每家大型企业的管理和监督中都占据了关键地位。F-Secure首席研究官米科·西博能在董事会的讨论内容中,网络安全工作非常被动,公司董事会根本不考虑这个问题。他们不是计算机专家,也不是网络安全专家,对网络安全提不起兴趣。但每当大事件发生,网络安全就变成了董事会级的问题。他们邀请CISO或CIO参与会议进行讲解,虽然事后很快抛诸脑后。这不是正确的做法。每家大公司的董事级会议里,网络安全都应该成为一个常
把这三个问题回答好才能算一个合格的CISO
IoT带来的风险,检测潜在恶意数据传输的困难,以及对用户和设备活动可见性的整体缺乏,这些问题,很大程度上是今天复杂庞大的网络基础设施所造成的结果。臃肿的网络基础设施,令监视用户和设备行为中微小恶意转变的工作,变得十分复杂。今天的网络延伸到了云端,有可能接入到工业控制系统中,还可能托管着大量的设备,而且往往遍布全球。高级网络攻击和内部人威胁注定隐身在繁杂噪音中。再加上IoT设备、虚拟机和智慧城市,简直不可能保持领先不断发展的威胁态势一步。因此,CISO及其安全团队面临一个根本性问题。他们有太多盲点,且缺乏区分威胁和合法活动的能力。为理解该问题的严重程度,安全团队应该回答好以下3个问题:1. 能为网络上的每个设备负责吗?根据经验,即便老练的安全团队,也总是低估了网络中设备的数量,有时候甚至达到30%之多。而很多公司
一位首席分析师对 Black Hat 2017 的吐槽
黑帽2017是场大秀,展现了健康的网络安全行业风貌。但炒作、误解和专有议程还是太多。作为全程参与了本次黑帽安全大会的分析师,有几条想法想跟大家分享一下:1. 这是第20届黑帽大会,人气爆棚是肯定的。听说参加人数比去年还多,而我知道2016的参会人数就已经破纪录了。不想显得粗俗,但会议间隙真的不得不花10分钟排队才轮得到上个厕所。2. Facebook首席安全官阿列克斯·斯塔莫斯的主题演讲很成功。他的主要观点是:广大网络安全社区(例如网络安全专业人士和网络安全技术产业),必须拓展其在多个领域的角色职能。首先,他谈到要对用户有更多的同理心。其次,要专注在伤害而非技术复杂性上。这是个很棒的想法,因为大多数人关心的是安全会怎样影响到他们,而不是场景背后的细节。他还鼓励安全社区变得更加丰富多彩,为网络安全增加不同的视角。
赛门铁克发布新CISO调研报告 :云成为网络犯罪的下一个着手点
绝大数的中国CISO 认为,确保云应用符合合规要求是面临的最大工作压力之一 。近日,全球网络安全领导厂商赛门铁克公司发布一项针对企业数据安全现状的全新调研报告。该报告覆盖全球11个市场,共邀请1,100 名首席信息安全官参与调研。报告结果显示,云安全是中国首席信息安全官(CISO)最担忧的挑战。不仅如此,中国首席信息安全官更关注自身企业是否拥有快速应对网络攻击的能力。毫无疑问,云计算拥有诸多优势,吸引越来越多行业的关注,例如卓越的可扩展性、更短的上市时间、更低的成本费用,以及出色的工作效率。但这一领域同样吸引着网络罪犯的目光。这个全新的无边界基础架构在网络攻击者眼中成为一座潜在的金矿。针对云的攻击范围不断扩大赛门铁克的调查显示,云安全成为中国CISO所面临的棘手问题。绝大数的CISO(92%)都认为,确保云应用
董事会应当如何加强与CISO的关系?
“安全和风险管理必须成为企业决策的一部分,首席信息安全官(CISO)是倡导这些问题的最佳人选。”———Fast Company报道
过去几年中,有关CISO与董事会之间关系的话题讨论,越来越广泛的进入到大众的视野。在美国企业董事联合会(National Association of Corporate Directors,NACD)出版的2017年网络风险监督手册里,罗列了有关“CISO与董事会”关系的见解,并且为董事会管理层人员提供了最新的网络风险监管建议。
对于新增的元素,在几个至关重要的领域提供了一些很有价值的建议,这些建议可以翻阅手册的附录进行阅读,包括:
附录B:并购阶段信息安全建议
附录E:董事会层面的网络安全指标
附录I:增强与CISO的关系
本文中,我们将重点聚焦在CISO与董事会关系的话题上
CISO如何回答CEO提出的高难度问题?
CEO完全信任首席安全官(CSO),将保护公司安全,不让公司登上媒体头条出丑的重责大任交托到CISO身上。但随着互联网攻击数量的急速上升,该信任已逐渐被稀释,至少,是越来越受到质疑了。
CEO讨厌被打个措手不及,所以他们总会问些尖锐的问题,来确保自己知晓采取了哪些安全预警措施。
下面就是假想中的CEO或董事会成员与CISO的问答。卢卡斯·穆迪,Palo Alto Networks 副总裁兼CISO,多蒂·辛德林格,Diligent监管技术推动者,给出了有关这些互动的见解。
CEO:为什么我们受到的网络钓鱼攻击越来越多了?针对这些网络钓鱼攻击我们都在做些什么?
CISO:为对抗该威胁,预防是我们最佳的防御策略。预防始于技术,应囊括进识别公司凭证被非法复用的方法技术。为支持预防,我们还通过全面的网络钓鱼模拟和教育
一名心理学与哲学专业毕业生的首席信息安全官之路
首席信息安全官(CISO)通常具备技术性信息安全或IT风险背景。但条条道路通罗马,想成为CISO也未必一定要是谢耳朵那样的纯技术宅,兴趣、恒心、冲劲、终身学习等等素养也可助推非技术出身的人才成为优秀的CISO。不信可以看看心理学与哲学专业出身的杰夫·福尔兹是如何实现华丽转身的。
杰夫·福尔兹一开始并没有想要从事信息安全职业。他通过抓住一系列机会不断充实自己的技术集,终是走到了现下富达国民金融公司CISO的职位上。他的心理学与哲学学位也比人们想象中对其CISO工作的助力要大。
1994年从肯特州立大学毕业后,福尔兹发现自己对技术特别感兴趣,便去了一家图像艺术公司,入职IT部门,从事技术支持工作,技术、网络和电信系统的管理与报告撰写都属于他的职责范围。
“那是家一站式服务公司,我必须身兼数职,快速学会适应各种挑战
一名优秀的安全主管需要“见人说人话,见鬼说鬼话”
想要沟通,就需要用听众听得懂的语言说话。
关于CISO角色,如何清晰地向上沟通(对高管和董事会),向下交流(公司安全部门人员),平级互通(其他主要利益相关者),是其长期职业生涯中的一个重要工作。
经常旅游的人就知道,总会有那么一些场景需要用当地语言交流。如果学过多国语言,那在很多国家都可以在较高层次上跟上对话。若丝毫不通当地语言,即便对话题知之甚深,在交流中也只能干瞪眼。
作为安全主管,从上述旅游经验中就可学到重要一课:要用交流对象的语言来说话。风险、报告、度量,是信息安全领域3大主要话题,对不同受众具有完全不同的意义。我们可以从不同受众围绕各个话题所用的语言,来阐述这一点。
一、风险
1. 董事会和高管
对高管和董事会而言,风险主要意味着业务中断和资金损失。要用这种语言说话,你就得展示出自己所做工作是对缓解
F-Secure:终端安全才是新性感
现代公司必须尽快在其终端上挡住多种威胁
——F-Secure首席执行官萨姆·康提能
F-Secure CEO 萨姆·康提能
2017年终将上升的数据泄露和网络攻击,注定要给安全人员带来更多的不眠之夜。面对公司的IT基础设施现状,CSO们在网络与终端这两个安全领域的空白填补上大多十分困惑。萨姆·康提能,F-Secure总裁兼CEO,近期接受媒体采访,回答了关于威胁态势、竞争厂商,以及网络安全的未来等问题:
问题1. 作为F-Secure的首席执行官,什么是您在这个职位上最关注的事?
答:F-Secure不是初创公司,但与赛门铁克这样的行业巨头相比,我们还很弱小。我们不能装作是你什么都能从中拿到的网络安全超市。因此,我们特别专注于在我们经营的领域提供“一流”的解决方案。
在B2B领域,终端已经从传统反病毒(AV)
【RSA 2017专题】成为高水平CISO的5大秘密,将在RSA揭晓
高水平的CISO具备什么样的能力?他们的能力如何评估?IANS Research开发的CISO影响力(CISO Impact)模型,也许可以揭示成功的CISO背后的秘密。
CISO影响力模型简介
CISO影响力模型,是IANS在2014年开发的一个研究框架,用以调查研究高效的信息安全团队。IANS基于CISO影响力模型的上万个数据点,在2015年推出了CISO影响力模型2.0。
这个模型聚焦CISO的两大基本能力:技术能力和组织参与度。其中,技术能力包含8个领域,分别是配置与数据保护、软件与供应商安全、访问控制、安全意识及培训、分析与检测、防御、事件响应、恢复;组织参与度包含7个因素,分别是掌握资产相关事实、让业务主管承担风险责任、将信息安全融入关键流程、将信息安全作为业务运行、建设一支高技术高业务能力团队、
十大特征定义2017年的信息安全行业什么样
安全专家认为,小型IT公司将会外包部分安全业务。
很多报告跟风追捧网络安全技术岗位没有足够适格员工的论调。佛瑞斯特研究公司建议,找寻外部专家和利用自动化来填充1/4的网络安全岗位。然而,企业面对的这一复杂度曲线尚未达到其顶点。安全部门穷于利用手头有限的资源来解决容量和能力问题,安全资源已被太多技术、太多警报和太多待做事项压得毫无喘息之力。总的安全开销将包括安全外包、托管安全服务、安全顾问和调查员,以及安全自动化技术。
明年,厂商和专家们眼中的信息安全职业是什么样的呢?看下去就知道了。
1. 事件响应团队处在崩溃边缘
安全专业技能紧缺现象不会有任何好转;安全需求在上升,而人才库一直跟不上。我们将看到更多的CISO将安全责任转移到企业外部,但总有个限度。像是配置新用户这种基本功能,外包也无妨,但安
机构或企业中谁是网络安全最有力的推动者?
这取决于公司规模,在驱动安全发展上最具影响力的人可能是高管,也可能是董事会成员,但非高管级管理人员,有时甚至是直接负责IT/安全的人,也会成为强劲的推动力。
无论是谁,每家公司都需要那么一个人,让安全不仅仅是预算清单上一个条目,还是公司整体文化中的一个部分。然而,更多的情况是,公司因两种原因之一而将安全摆上重要位置。重视安全的公司,要么有着相信安全非常重要的进取型领导团队,要么就是经历过重大事件的公司。”
这也正是为什么很多情况下人员没有事件有影响力的原因。虽然大多数管理人员都希望潮流能改变一下,但现状更能说明问题。当然,肯定有公司关注灾难或监管推手的缺失问题,但这通常是因为有别的公司这么要求。
因此,安全团队求改善往往需要很长时间的情况也就更常见了。最大的问题之一,是部署双因子身份验证。不仅仅是在防火墙上,
CIO与CISO的角色演变
CISO(首席信息安全官)一般是向CIO(首席信息官)述职,但是随着安全变得越来越重要,这种情况正在悄然改变。那么,这将如何改变两者之间的关系?两者如何更好地合作?
多年以来,安全人员一直是由CIO直接管理的。而今,随着众多企业越发重视安全,CISO的地位变得更加重要。因为这种变化,两者的工作关系发生了转变。CIO负责领导、洞察及实现IT项目,以推动业务发展;而CISO则负责提供见解与指导意见,以确保策略安全。
CenturyLink副总裁兼首席安全官David Mahon表示:
“在CIO与CISO的关系当中,后者的角色变得愈发重要。现在,安全是确保公司策略成功执行的基本要求。”
为何会发生角色演变
安全的演变是造成这一现象的原因之一。企业的网络越来越复杂,尤其是随着自带设备(BYOD)计划的发展,公司网
公告
关注公众号hackdig,学习最新黑客技术