来自 CC防护 2021-07-13 04:18 的文章

服务器防护_防御CC服务器_零误杀

服务器防护_防御CC服务器_零误杀

为了纪念全国网络安全意识月,我们与我们的一些安全专家坐下来,谈谈他们在提高行业意识和实施网络培训方面的经验。阅读访谈,了解他们对你自己的安全意识计划的想法和灵感。受访者包括:Erik Bartholomy(EBA),LogRhy安全架构师Eric Brown(EBR),LogRthyment高级安全分析师Christa Burger(CB),LogRhym高级安全分析师Zack Rowland(ZR),LogRhym战略整合工程师Q: 十月是全国网络安全意识月。美国国土安全部于2004年成立,本月鼓励个人、企业和其他组织考虑"我们的共同责任",尽其所能保护数据免受网络威胁。你认为这项任务在过去15年里发生了什么变化?应该考虑哪些新的考虑因素?EBA:网络安全任务实际上是双向的。组织和员工都有责任感。员工不仅要避免点击可疑邮件,还必须向安全团队报告这些电子邮件,cc防御服务,以便解决问题。理解这次任务的"原因"很重要。人们曾经参加过网络安全培训,或者仅仅因为被告知这样做是为了保护公司的数据和资产而采用一些学到的做法。现在,人们明白,他们不应该仅仅采取强有力的网络安全措施来造福公司或遵守治理规则。这种行为也有助于保护办公室外的数据。这种理解是改变行为的驱动因素。ZR:用户意识在新考虑的列表中占很高的位置。例如,在LogRhym,我们的员工在处理电子邮件时保持高度警惕。因此,他们将可疑邮件标记为可能的网络钓鱼或垃圾邮件。从长远来看,这种谨慎是有益的。标记电子邮件的员工并不都来自IT部门;整个组织的个人都在采用这种做法。用户意识和网络安全正在我们的文化中根深蒂固。CB:这不仅仅是对工作有益的事情。过去人们对没有网络安全意识可能发生的事情缺乏认识。但是现在,越来越多的人知道在违反规则的过程中会发生什么,但仍然倾向于认为这不会发生在他们身上。事实上,公司并不是唯一一家容易受到网络攻击的公司;它们同样容易在家里影响你——尤其是勒索软件。这是一种不同于刚开始的意识。正如人们所知,这有可能发生。这同样会影响到你在家里。Q: 作为一名经验丰富的安全团队成员,您认为在安全意识和教育用户如何保持在线安全和避免成为威胁的受害者方面,最大的挑战是什么?CB:一个主要的挑战是在安全问题上自满的程度。有些人听腻了,但这些人不明白保护数据的风险有多大。无论是与你的公司有关,还是与你的个人生活有关,都有那么多的数据。所有这些数据的潜在妥协确实增加了风险。人们甚至可以通过手机随机连接的不安全无线网络来获取银行信息,尽管他们知道的更多。EBR:这真的是自满。今天,人们不仅仅在电脑上工作,他们还使用手机。公司正试图通过移动应用程序让用户体验更轻松、更好、更快。人们相对地意识到电脑会感染病毒,但他们对移动设备却没有同样的逻辑和谨慎。他们需要改变心态。使用手机银行应用程序是很常见的,但大多数人并不认为他们的手机会被黑客入侵,而这些数据可能会面临风险。EBA:另一个挑战是泄露数据有多容易。例如,现代科技公司试图让他们的产品更容易消费,但他们往往不考虑这会如何影响企业的安全性。只需单击一下,您就可以让服务提供商访问您的所有数据,并且他们可以将其用于其他目的,即使您不希望您的数据以这种方式使用。埃巴:另一部分是你要求人们做额外的工作。归根结底,人们意识到完成网络安全培训的好处,但这仍然是一项额外的工作,并没有计入他们的工作职责。Q: 我们知道,安全领域存在相当多的技能短缺。你认为针对大学年龄段及以下学生的教育和培训计划将如何有助于解决未来网络安全意识方面的差距?你有没有想过还能做些什么?埃巴:你如何找到能填补空缺的人才?这是个棘手的问题。问题是,你需要的人谁是好奇,并发现这个领域有趣。很难找到对安全性和合规性感兴趣的年轻人。因为乍一看这是一个枯燥的话题,但它是如此重要。ZR:我认识的大多数安全专业的人都没有计算机科学学位。事实上,我有艺术学位。EBA:代码就是艺术。很多网络安全都是创造性的工作。那些能很好地遵循方向但没有创造力的人会沉沦于这个行业。威胁的形势总是在变化,而工具总是试图赶上。你必须有足够的创造力来超越黑客。CB:我们这一代人没有机会立即接受网络安全教育。我们从小就学会了。今天学习它的学生已经在技术方面讲了一种完全不同的语言。跟上形势的变化是第二天性。他们生来就有它。如果你能利用这种能力和才能,开设一门真正吸引人的网络课程,使之高度适用,那么你就有了一支能够真正改变网络意识运作方式的员工队伍。Q: 在你的职业生涯中,你所看到的最大和最常见的网络安全意识差距是什么?(例如,网络钓鱼、安全冲浪等)ZR:网络钓鱼。即使是有经验的用户也可能成为受害者。CB:那密码创建呢?这不一定是密码的复杂性,而是长度。EBA:你不仅需要冗长的密码,还必须为你使用的每个网站设置一个唯一的密码。你能真正做到这一点的唯一方法是通过密码管理器。但要小心。甚至密码管理器也可能被攻破。CB:使用"密码短语"是一个很好的经验法则。但您需要记住这些密码短语,并希望行业标准也能遵循。我们在LogRhythm上实现了一个密码短语策略。但是,例如,您的银行可能有不同的创建密码的标准,DDOS防御技术发展现状,或者可能不支持您的密码短语的长度。因此,即使您尝试实施更安全的密码实践,业界也可能会阻碍您的努力。EBA:双因素身份验证(2FA)是绝对必须的。事实上,NIST建议同时使用长密码和2FA。ZR:使用一个永远不会改变的密码时要小心,比如你的指纹或视网膜。一旦这些信息被泄露,它就会永远存在。EBR:虽然2FA加强了你的安全性,减轻了弱密码或易受攻击的帐户,但要小心。黑客仍然可以进入。Q: 你认为网络安全意识项目有什么价值?有没有什么轶事可以让你分享,说明把资源和时间花在教育项目上的价值?EBA:大多数人都希望有一颗解决安全问题的灵丹妙药,并且愿意为最复杂的解决方案付出很大的代价。然而,有一件事可以说是最有好处的是一个强大的安全意识计划。你会得到最大的回报。CB:如果你有一个真正有效的网络安全计划,你正在改变人们的思维和反应方式。一个有效的项目将利用这一点;它不会只是在一个或两个培训的复选框。Q: 根据您在组织中教育用户的经验,您认为哪些策略或程序在实际应用中效果良好?CB:将其应用于日常生活,而不是仅将安全应用于公司环境。人们能更好地理解和理解它。EBR:网络钓鱼电子邮件是一大威胁。logrythreshold有一个强大的意识程序,有助于打击他们。我们发出模拟网络钓鱼场景,并试图教导我们的员工思考:"我在等这封邮件吗?"假设你从贝宝那里得到了一些东西,你需要停下来考虑一下你是否真的有一个贝宝账户。如果你收到联邦快递寄来的包裹信息,试着记住你是下了订单还是在等着送货。如果你对这些问题的回答都是否定的,那么这些电子邮件就是一个重大的危险信号。网络钓鱼测试有助于让用户保持意识,并在收到真实邮件时进行报告。EBA:在办公室周围张贴安全意识海报确实加强了我们的安全意识计划。Q: 在你看来,免费ddos防御系统,做一个好的"网络公民"意味着什么?作为一个好的网络公民,你所做的每件事都是显而易见的。你需要总是先考虑安全问题。当你开车的时候,宝塔怎么防御ddos,你首先考虑的是安全问题,vb防御ddos,同样的心态也适用于你思考数据的方式。请记住,安全不仅仅是保护数据,它还保护声誉和利润。它也可以帮助你在家里和工作之外。EBR:一个好的网络公民更聪明一点,而不是偏执狂。注意你的行为。在网上银行、社交媒体和其他方面,你把大量的信息放在那里。你需要意识到所有这些信息都有可能被泄露,当你把个人数据上传到不同的应用程序时要记住这一点。CB:这都是关于意识的。公司经常需要你的数据,因为它可以更好地帮助他们标记