来自 网络 2021-08-13 23:39 的文章

高防cdn_宝可梦剑盾游戏下载_限时优惠

高防cdn_宝可梦剑盾游戏下载_限时优惠

FacebookTwitterLinkedIn分享既然2016年的Gartner安全与隐私研讨会尘埃落定,我们可以通过一个清晰的视角回顾过去,并确定不同会议表面上泛起的主题。尽管有相当数量的安全领导人出席了会议,但许多人没有出席。我希望那些未能参加今年高德纳会议的人能够从今年的会议中了解到一些关键的趋势。对于那些从未参加过Gartner的人来说,ddos防御测试,有一些背景是可以肯定的……在安全圈内,"Gartner"已经成为北美三大安全会议之一,仅次于每年的美国黑帽会议和RSA大会,稳居第三位。在Gartner之前,我发现了一份由Tech Beacon撰写的安全会议的精彩概述:令人惊讶的是,TechBeacon很好地引用了2014年的一篇博客文章,描述了我第一次参加Gartner研讨会的经历。2014年,我突然意识到,Gartner与其他主要的安全会议(即RSA和BlackHat)有多么不同。正如你所想象的那样,Gartner过去和现在都是公司化程度更高的公司,免费dd和cc防御,比Black Hat和RSA加起来还要多,而且总体人口结构也不同。这次会议的重点也大大减少了对零日和威胁情报的关注,我可以说,这是一种解脱。Gartner与其他会议不同的是,它几乎完全专注于企业,而不太强调企业的"攻击面"。业界不乏流行语,但RSA和现在的黑帽子公司在这一领域的表现也不尽人意。即使我们不愿意承认这一点,高德纳分析师也会影响我们对行业的看法,并非常善于描述新出现的安全问题。在这方面,2016年的研讨会没有让人失望。Denim Group是Gartner分析师关系部的客户,因此我经常与诸如Neil McDonald、Lawrence Pingree和Ayal Tirosh等行业领先分析师交谈。对我来说,这是一个一年一次的机会,可以亲自与技术领域的分析师分享见解,在我的案例中,这正好是应用程序安全。与许多会议一样,Gartner面临的挑战是,挑选您计划参加的会议仍然是一个复杂的过程。我没能参加每一次会议,但我有一个完整的议程,并亲自报道我能做的,通过Twitter捕捉其他会议的亮点(以下是gartnersec的标签)。正如我所怀疑的那样,很多人不能亲自出席,所以我在回家后做了大量的笔记并回顾了研讨会的Twitter流。Gartner的重要声明是,由于安全团队无法管理数字风险,60%的数字业务将遭受严重的服务故障。在不同的会议上,许多想法都源于这样一个观点:一个人必须为不可避免的事情做好准备。以下是我在高德纳工作的四天里,我得到的一些重要收获。将物联网炒作与现实分开:正如预期的那样,物联网是今年Gartner会议期间的一个一贯主题。在题为"物联网风险和安全管理的实际步骤"的会议上,Gartner分析师厄尔·帕金斯在会议开始时,将物联网与许多企业环境中已经部署的操作技术进行了对比。"和其他类型的传感器,包括SCADA,或其他类型的控制系统"。理论上,如果你能理解OT的工作原理,你就可以更好地理解物联网,并为物联网做好准备。有鉴于此,关于OT的安全性的三件事,以及扩展的IoT,对我来说是新的或者特别有趣的。首先,操作技术和物联网的安全模型与企业安全模型完全不同。OT&IoT由工程师为恢复力和正常运行时间而构建和管理,主要关注安全性和可用性,但实际上并不是为了接受补丁之类的定期安全更新而构建的。第二,操作技术的平台、协议和供应商都是不同的,而且对安全运营商来说都是全新的——请注意,对于大多数职业安全专业人员来说,学习曲线是存在的。在你的公司里找一两个懂工业控制的工程师,并从他们身上学到一切。最后,物联网会有你从未想过的隐私问题。了解连接到企业的物联网设备的特性和功能,以便了解隐私影响。了解更多你的公司制造物联网设备并销售它们。J另外,如果您对这个主题更感兴趣,厄尔将在7月5日举办一个名为"物联网风险和安全管理的实际步骤"的网络研讨会。?srcId=1-4554397745应用程序安全性主要还是即兴发挥。作为一个应用程序安全人员,我对Gartner在今年的研讨会上的更新非常感兴趣。总的来说,主要思想是一种延续。Gartner分析师Ramon Krikken在"2016年应用程序安全状态"中向与会者介绍了客户的要求,以及他在供应商社区观察到的趋势。Ramon会议的主题是客户机仍然没有"解决"应用程序的安全问题。我们仍然在问一些基本的问题,包括内部的安全问题,以及如何减少这些问题Ramon还提到,他一直收到这样一个问题:"如何让appsec减轻开发负担?"从这两个基本问题可以看出,供应商和最终客户机在解决应用程序安全性方面正在不断改进,但决不是为CI/CD/Agile世界做好准备,在这个世界上,速度将大大提高。在拉蒙的谈话中,我最突出的四点意见包括:"TrainTestFix"应用程序安全模型不能扩展到DevOps。同意,这让很多应用程序安全老手很担心,包括我自己。我们是否会像Etsy和Netflix那样,放弃我们所知道的一切,等到易受攻击的应用程序投入生产并在事后将其销毁?好问题…开发人员应该构建安全代码,而不是安全代码。设计系统,使安全检查在业务逻辑之外,并由安全专家构建。我喜欢这个概念,但我不确定这是目前最大的问题,因为许多公司仍然没有100%的应用程序测试覆盖率。未来的状态应用程序安全将标准化、外部化和自动化。Gartner认为,诸如运行时应用程序安全性(RASP)和交互式应用程序安全性测试(IAST)等有前途的技术将使组织能够通过更自动化的方式解决应用程序安全问题。我们同意,防御ddos代码,但是应用程序开发语言和框架的快速发展使得任何银弹技术都难以实现。适应性区块链将重新定义企业的数字安全和信任架构。区块链不再仅仅是比特币!Gartner在给定的上下文和其他因素的基础上对身份验证和授权进行了分级。区块链将被纳入新的信任模型中,linux集群ddos防御,以帮助组织通过不同的信任级别与第三方进行互动。DevOps和安全另一个最喜欢的词是Gartner最喜欢的。Gartner高级分析师尼尔·麦克唐纳(Neil McDonald)就他所创造的"DevSecOps",即DevOps和security的混合体发表了演讲。他还发布了"Gartner信息安全十大技术"http://www.gartner.com/smarterwithgartner/gartners-top-10-technologies-for-information-security研讨会期间。尼尔提出了一个警告,安全领导人不应该因为成为发展进步道路上的绊脚石而输掉观念之战。他预计,到2020年,如何防御ddos和cc防御,90%以上的企业DevOps计划将纳入安全控制,而2015年这一比例不到10%。这似乎是一个无需考虑的问题,但我想更广泛地说,到2020年,有多大比例的公司会跳槽到DevOps,更不用说纳入安全控制的公司占多大比例了。有趣的是,Neil发布了一份针对134名IT和安全领导的Gartner调查报告,其中41%的IT运营人员认为安全政策和团队正在放慢速度。令人惊讶的是,大约37%的安全同行对安全策略和他们自己的团队有同样的看法!Gartner没有在这次调查中挑选首席信息官,这让我松了一口气——我只是不想知道,100%的首席信息官都觉得安全政策和团队在拖慢他们的脚步。除了这些数字之外,研讨会还突出了其他几点重要收获:DevOps错误造成了最常见的漏洞。Neil McDonald称,与DevOps相关的最常见的安全漏洞来自错误配置和管理不善。这是有道理的-你现在用一种以前无法想象的方式来衡量你的错误!我认为这说明了某些DevOps函数的复杂性,以及在您升级DevOps游戏之前需要DevOps专业知识。使用应用程序安全工具,以实现快速周转和高保真结果。这是我在概念上同意的地方,但实际上我最怀疑的是。企业客户仍然在努力解决覆盖问题——自动化测试覆盖率和覆盖整个应用程序组合。尽管RASP和Last都有承诺,但我仍然不确定这里是否有客户和分析师都渴望的"轻松按钮"。如果基础设施正在成为代码,那么安全编码原则适用于驱动配置的模板、脚本、配方和蓝图。Neil McDonald的最后一个关键点是,应用程序安全性必须通过安全tem的扩散进行扩展