来自 应用 2021-06-10 22:13 的文章

服务器防御_网站防御比攻击成本高_怎么防

服务器防御_网站防御比攻击成本高_怎么防

ImmuniWeb>安全博客在APT防御上花费数百万?别忘了第三方风险管理1.3k 160 21 9 9 More 7 15 5星期一,2015年11月9日,星期一,CSO阅读时间:4分钟。作为一个大公司,你有风险雇用第三方顾问-你谴责他们被黑客攻击而不是你。先进持续的威胁已经成为一种非常流行的方式如今,公司在APT防御上花费了数百万美元。虽然APT防御对于许多大公司来说很重要,但它不应忽视其他安全实践和策略:从正确和安全地实施SSL到第三方风险管理(TPRM)。普华永道2016年全球信息安全状况调查显示,2015年信息安全预算增长了24%。许多组织正在整合战略计划,以提高安全性和降低风险,依赖于基于云的网络安全解决方案、网络安全保险和大数据分析等新技术。普华永道(PwC)的数据显示,2013年,74%的公司甚至没有掌握处理员工和客户个人数据的所有第三方的完整清单,相比之下,如今52%的公司拥有第三方网络安全的安全基线和标准。第三方通常由IT供应商、供应商、顾问或律师代表。同时,无线路由器ddos防御,据彭博社报道,自2011年以来,100家最大的律师事务所中有80家遭到黑客攻击。我要强调的是,80/100是官方报告的检测到的攻击数量。毫无疑问,ddos防御在哪,未被发现或未报告的APT和入侵的总数将是一个更可怕的数字。显然,网络罪犯并不关心律师事务所(我省略了脚本小子和勒索软件攻击),而是对他们的VIP客户感兴趣。如果所有的文件都能在律师的邮箱里找到,ddos攻击防御公司,为什么黑客们要花上数百万美元在昂贵的0天甚至数周的时间里准备针对银行或石油公司的复杂APT?在瑞士和中欧,我们经常帮助那些受到威胁的律师事务所,这些律师事务所在网络安全遭到破坏之前没有分配一分钱,以为没有人会费心去攻击他们。在全球互联技术(云数据存储和外包)的世界中,您的数据与访问您数据的最不安全的受信任方一样安全。最近的一个例子是,在处理其信用申请的供应商益百利(Experian)发生数据泄露后,T-Mobile客户的1500万记录被盗。如今,黑客攻击是一个成熟的[犯罪]行业,并采用了许多适用于任何其他业务的规则。其中一个主要规则是通过减少开支和/或增加产出来实现利润最大化。因此,DDos防御方案包括,黑客总是希望尽可能减少与每一次新的入侵有关的时间和费用。访问敏感数据的最简单的方法之一是危害有权访问数据的最不安全的一方。因此,聘请第三方顾问存在风险——你谴责他们被黑客攻击,而不是你。好消息是,业界已经开始实施旨在识别和降低第三方风险的技术措施和法规。美国国家期货协会(NFA)刚刚宣布,商品期货交易委员会(CFTC)批准了其有关信息系统安全计划(ISSP)的计划,该计划将于2016年3月1日生效。在一长串信息安全行业最佳实践中,NFA还要求ISSP解决关键第三方服务提供商带来的风险。苏黎世最大的保险公司之一最近宣布,他们开始评估外部IT供应商和合作伙伴的第三方风险。许多组织发布关于第三方风险监控和预防的指南和最佳实践。坏消息是,在实践中仍然很难估计和防范第三方风险。最大的问题可能是不断地验证你的第三方供应商是否像他们宣称的那样安全。现在安全的东西明天可能会变得脆弱。此外,要控制好每一个第三方是不可能的,你必须相信他们提供给你的文件或提问者。如今,安全标杆公司正在崛起,然而,在实践中也存在许多他们永远无法控制的"黑暗地带"。我最近拜访了一家保险经纪公司。该公司可以访问一个大型第三方数据库,其中包含来自世界各地的大量敏感数据。为了访问数据库,他们需要使用2FA令牌和他们的[复杂]密码进行身份验证[他们需要每四周更改一次]。他们在实践中做什么?他们在桌上放令牌,并在监视器上贴上带有密码的便笺。他们的办公楼坐落在一个漂亮的空中飞车上,几乎所有熟悉社会工程学的人都可以轻松地绕过接待处,进入任何一个大型的开放式办公室。谁能控制这一切?新的法规有时甚至带来弊大于利。小型咨询公司通常很难在薪水高的大型跨国公司获得合同。由于必须遵守严格的网络安全法规,高防cdn哪家最好,他们把钱花在效率低下或不适当的安全解决方案上。更糟糕的是,他们认为在安全方面投入资金后,他们没有任何风险,失去了谨慎性,很容易受到基本社会工程或网络钓鱼攻击的攻击。我看到一家小型金融公司非常自豪他们的硬件防火墙,说现在他们点击任何电子邮件的任何链接,因为他们有完全的保护,以防任何威胁,根据防火墙经销商。另一个例子是各种IPS/id,目的是在第三方远程访问您的数据时监视异常或可疑行为。有时,您无法正确地分离用户访问权限,因为出于业务原因,任何用户都可能需要访问数据库中的记录。在这种情况下,您可以设置其他限制,例如请求的数量和频率,或者请求模式和类型。几周前,我们对一家安装了这样一个系统的金融机构进行了渗透测试。然而,没有什么能阻挡我们。事实上,由于大量误报给客户和基于电话的支持带来了很大的不便,因此此功能处于仅日志模式,不会阻止任何内容。更糟的是,日志太大了,以至于没人有时间分析它们。普华永道俄罗斯公司高级经理弗拉基米尔·奈马克(Vladimir Naimark)、CISS、CISS、CEH、ECSA分享了他的经验:"我们确实观察到,第三方在不同公司的机密数据处理中的参与不断增加。在没有安全专家参与和适当的风险评估的情况下,即使CISO也不完全清楚哪些外部服务提供商直接由业务部门进行机密数据处理。我们曾遇到过这样的情况:金融机构要求供应商为其外部托管的数据建立适当的保护级别,而不了解其实际含义以及如何控制这些数据。最终的结果是缺乏任何合理的保护。如今,外包数据处理往往意味着不转移网络风险,而是将其转化为不同的但不是较低的风险。"因此,仅仅每年识别、优先处理第三方风险是不够的。您需要建立一个全球性的、良好的TPRM系统,以全面的方式持续监控和重新评估第三方风险,确保您在纸上得到的信息真实反映了现实。函数getSelectionHtml(){var html="";if(typeof窗口.getSelection!="未定义"){var sel=窗口.getSelection();如果(选择范围计数){var容器=文档.createElement("div");对于(var i=0,len=选择范围计数;i