来自 防护 2021-06-11 22:05 的文章

云防护_美国高防云_超稳定

云防护_美国高防云_超稳定

2017年即将结束,美国律师协会(American Bar Association)发布了第二版《美国律师协会网络安全手册:律师、律师事务所和商业专业人士的资源》,揭开了网络安全意识的下一篇章。新版本是在第一版问世近五年后出版的子弹。跟着2012年,美国律师协会网络安全法律专责小组(ABA Cybersecurity Legal Task Force)的成立是该手册的第一版,这是一个勇敢的举动,旨在启发律师和律师事务所认识到网络风险,以及随着竞争环境从实物记录转向容易被窃取的电子文件,对保护客户机密性的专业义务的解释也在不断变化。当时,FBI建议律师事务所加强网络防御,因为犯罪分子认为律师事务所是"美国网络安全的软肋"。当时,我正与律师事务所合作,揭露与他们控制的信息类型相关的风险。当然,五年前,多ip自动ddos防御系统,大多数公众的报道都围绕着大银行,这是根据威利·萨顿(Willie Sutton)关于抢劫银行的名言"因为钱就在那里"。当时,一些金融监管机构正把"索伦的眼睛"转向他们认为最脆弱的行业。因此,我们看到了5年来美国证券交易委员会(SEC)和其他金融监管机构的网络扫荡、建议和要求,五年内发生了很多事情。我从早期在LegalTech的经历中成长起来,在那里,cdn高防ip,作为三家安全供应商之一,我迷失在文档管理和性感电子发现供应商的海洋中。法律界受到攻击,成为众多公众攻击的受害者,并从中吸取了教训。《美国律师协会网络安全手册》第二版反映了一种更为成熟的网络安全和客户义务的方法。吉尔·D·罗兹再次扮演编辑的角色,罗伯特·S·罗兹也加入了她的行列。利特,那个该手册分为四个主要部分:1)网络安全背景信息;2)法律和道德义务概述;3)不同法律实践的具体考虑;4)事件响应和网络保险。这本书是律师的必读之书,也是律师事务所的高级安全人员,或者负责风险和合规监督的官员的必读之书。事实上,它深入研究了全国企业董事协会(NACD)的网络风险监管董事手册,该手册规定了董事会和执行官的信托责任。事实上,这不仅仅是为了保护你的声誉或你客户的信息。如今,风险要高得多,与网络犯罪相关的损害影响深远,对受影响者造成物质损害的风险很高公事公办ABA网络安全手册包含了网络安全风险的显著深度和探索,从大量的轶事,发现,以及违约后的结果,以确定律师事务所面临的风险。对诸如社会工程、勒索软件和商业电子邮件泄露(BEC)等威胁的探索表明,复杂的和非技术性的攻击继续困扰着律师事务所(就像大多数行业一样)。来自eSentire安全运营中心(SOC)的数据显示两个重要的趋势。The第一个趋势是,怎么防御网站cc,五年来,律师事务所改善了网络安全卫生和做法,减少了成功攻击的总体数量,甚至消除了许多背景辐射型威胁。事实上,2017年,与金融、医疗、能源和其他人。很不幸律师事务所发现了超过30%的恶意代码攻击,这与其他网络安全实践很强的行业(如金融机构)一致。那么,这是什么意思?作为一个行业,大多数老练的罪犯放弃了,转而寻找更容易被抓到的猎物,但这就给我们留下了一些有才华的罪犯,他们继续在寻找有价值的机密信息。那个该手册还探讨了如何应对这些威胁,sdkddos节点防御,并考虑了与现在遍布律师事务所的关键技术相关的风险。这本书提供了更深入的监管要求和国际立法,并探讨了法律顾问应该何时以及如何与客户就网络安全展开对话(希望大多数人都是主动的,而不是被动的,一旦发生违反行为)。通常情况下,客户会根据其业务性质、对声誉或智力损害的敏感度,或监管机构在其内部的存在,发起谈话市场。那些听过我谈论这个话题的人都知道客户是新的监管者。对于那些还没有这样做的人,我敢肯定你会对"网络安全尽职调查"这个词不寒而栗。这些信息构成了律师、管理员和客户必须考虑固有风险的基础,消除一些风险,减轻其他风险,并接受无法消除的风险。至少,这些信息有助于在整个律师事务所中建立一个层次的协议,不管是个人的角色在第二版的几章中探讨的第二个关键趋势揭示了在不同类型的实践中控制的不同的、但可能具有破坏性的信息的特殊敏感性。这是一个重要的信息:无论你的实践如何,你仍然有无与伦比的机会访问关键的、可能改变业务的客户信息。律师事务所掌握着大量的机密信息,这些信息可以用来进行交易,逃避起诉,或者可能推翻政府(至少是一些特定的政治家)。去年华尔街律师事务所Cravath,Swaine&Moore LLP和Weil,Gotshal&Manges LLP的攻击证明了信息被盗的方式,比如FDA的文件和新闻稿,可以用来预先处理交易。天堂文件代表了巴拿马文件的下一个演变。甚至税法信息也可以被(自称)道德黑客货币化或武器化。即使是在热带天堂里的一家不受关注的律师事务所,也可能藏有可能破坏政府稳定或破坏精英政治家和社会名流的职业生涯的信息。能够接触到推动我们经济发展的燃料是一种特权,但这也是一种责任。没有人的做法是一样的。在进行风险评估时,应考虑到贵公司的具体性质,该评估将作为规划网络安全的指南针程序。共当然,实践的类型是一个有助于构建一个健全的网络安全实践的要素,但公司的规模往往决定了预算基调。一家小律师事务所负担不起大律师事务所采用的安全技术和做法。认为大律师事务所所遵循的标准与小律师事务所所能管理的标准不尽相同,这也不无道理。在建立合理护理标准方面,并不是一刀切。为此,第二版为大律师事务所和"小人物"提供了指导方针。勒索软件不因公司规模而受到影响。它只是锁定文件并要求付款。通常情况下,小公司没有备用机制,成为此类敲诈的受害者;而大公司则使用多级备份服务来抵御此类攻击。这本书包含了一个资源适当大小的方法和一个12点清单,小公司可以用来建立一个简化的网络安全程序。用于大公司,这些建议更为严格,并符合要求,而不是"很乐意拥有"或"尽你所能"。这些建议与行业最佳实践保持一致,并反映了其他安全框架的核心租户,如针对医疗保健公司的NIST和HIPAA。与网络安全计划中更具抱负的目标相比,本手册的这一部分缺乏实践指南和制定"必须具备的条件"。和NIST一样,免费ddos防御工具,这样的项目应该从分析其当前状态开始,以确定需要弥合的差距,以达到预期目标陈述。这个是相关组织,如ILTA,可以做更多的工作来公布这些发现,并帮助建立一个主观的护理标准。正如"这是大多数类似规模的公司正在做的。"这些建议还包括一些指导方针,如"公司应记录和监控网络访问,部署数据丢失预防工具,以监控数据的去向,并标记或阻止不寻常的文件传输。"这些指导原则是高级别的,在某种程度上已经过时。这并不是说公司不应该使用日志记录或数据丢失预防系统,但它忽略了这些系统的成本和复杂性。它还不包括其他系统,如端点保护和实时检测和响应服务,这些系统正在被越来越多地采用。尽管如此,这第二版在其彻底性和建议方面向前迈出了许多好的一步。更多细节,我将参考前面提到的NIST和HIPAA框架,它们提供了细节。那个《美国律师协会网络安全手册》第二版是一本必读的书,应该放在任何律师和公司网络安全领导人的办公桌上。这本书很好地概括了如何改进公司和律师的网络安全实践。话虽如此,我希望看到的一个未来改进是美国律师协会提出如何改进的建议。也就是说,一个专门为律师事务所量身定做的框架,根据公司规模提供特定的关键、重要和"很好拥有"的服务。这里的重点不是为了控制而规定。它更多的是建立一个集体的行业标准(恕我双关语),建立一个所有公司都能渴望并更好地保护其声誉和客户。这个这篇文章最初刊登在法律杂志通讯上。