来自 DDOS 2021-09-07 16:03 的文章

服务器防ddos_数盾科技朱云_无缝切换

服务器防ddos_数盾科技朱云_无缝切换

Perry Carpenter是KnowBe4的首席布道者和战略官,KnowBe4是网络钓鱼模拟和建立网络安全意识的最受欢迎的平台之一。佩里之前是高德纳公司(Gartner)安全与风险管理的研究总监,也是网络安全"人的一面"方面的专家。我们和佩里谈到了良好的密码卫生,培养自己养成良好的安全习惯,以及通过模拟攻击持续培训员工的好处。您对2017年企业网络安全状况的总体看法是什么?在网络安全方面,今年最令人鼓舞的是看到了全球范围内发生的一些团队合作。所以,我认为,威胁总是会增加——我们总是会看到新的攻击载体,我们会看到新的金融犯罪,我们会看到越来越多的数据泄露,ddos可以软件防御吗,比如Equifax泄密案。我想我们会继续看到这一点,但让我感到鼓舞的是,在WannaCry和NotPetya,或者GoogleDocs网络钓鱼事件之后,我们看到了一个非常强大的国际社会,人们聚集在一起,分享解决这些问题的实时研究和进展。这对今年来说似乎很新鲜,而在过去的几年里,我们看到人们把一些信息放在一起而不分享,因为他们可能想通过构建补丁,ddos防御收费,或者将补丁卖给一家主要的安全供应商,并让该供应商有一种解决问题的专用方法来赚钱。但今年我们看到了很多安全研究人员之间的开源智能共享。太棒了。你认为员工是企业网络安全中最薄弱的环节吗?我相信,用户一般可以是最薄弱的环节。用户的问题是,我们都是人类,我们都是脆弱的,基于我们大脑的连线方式。攻击者会想方设法操纵我们,让我们执行我们认为不容易执行的操作,比如单击链接或下载附件,或者违反策略。有些事情发生在一个人的判断能力较强的情况下。所以我们可以成为薄弱环节,这是因为我们的行为模式和神经因素。不过,这背后的好消息是,就像我们所学的任何东西一样,良好的模式可以成为习惯。这对我们来说是个好消息。佩里·卡彭特因此,虽然用户可能是薄弱环节,但我们必须认识到,他们是许多组织的最后一道防线。但是如果我们在训练用户的过程中适当地使用一些行为调节和其他心理因素,那么我们就可以引导他们进入正确的行为,这样他们就可以真正成为我们分层防御模型中非常强大的一部分。在防火墙没有阻止某些事情,或者安全的电子邮件网关没有阻止某些事情,或者端点检测和响应供应商没有保护某些东西之后,最后一道防线就是人。我们也希望人类天生的一些模式匹配能力能够得到加强,一些肌肉记忆,dns高防cdn怎么样,以及人们可以养成的心理习惯,随着时间的推移,可以成为非常强大的习惯。你有没有教过或遵循过的员工协议来提高他们对潜在威胁的反应?我们有,特别是在社会工程的背景下。我们是自动化社会工程测试的坚定信徒,也是市场的创新者。其工作方式是,你可以在系统中配置网络钓鱼电子邮件、语音邮件钓鱼,甚至是跨电子邮件、短信和发票的多管齐下的网络钓鱼,所有这些都是为了试图驱使某人采取不安全的行动。通过向最终用户展示这些模拟情况,希望没有任何警告,让他们有机会看到这些情况,并向他们提供如何检测危险信号的培训-当你经常让人们接触到这些情况时,你告诉他们最佳实践,并允许他们在最初几次安全失败时,他们能够建立我们希望最终用户拥有的更安全的反应。对我来说,关键是要经常做这种测试。我看到很多公司失败的地方是,他们每年或每三个月做一次社会工程模拟测试,而这并不能训练人。这只会告诉你问题有多严重。如果你真的想训练人,那就跟生活中的其他事情一样。这就像是身体健康,或者是你想要养成的习惯。你必须以一个非常谨慎的常规模式,并且在频繁的间隔中参与。如果你每季度进行一次测试,那么你需要每季度进行一次基线测试。如果你每两周或每个月训练一次,那么你实际上开始发展一些肌肉记忆。如果我们这样做,那么我们将看到行为的改善,我们将看到我们所说的人的"钓鱼倾向百分比"下降。最终,攻击面减少了,因为习惯就是你想要的。唯一的办法就是进行持续的测试,这样他们就可以不断地训练肌肉,而不是让它萎缩。如何克服网络安全疲劳?即使是简单的安全措施,例如使用强密码,也会让员工感到沮丧。你如何向他们传达网络安全的重要性?美国斯坦福大学(stanforduniversity)有一位行为研究者,BJ Fogg,我很喜欢他在人们做出健康选择时对行为问题的表述方式,而安全感也差不多。他说人类有三个基本的特征。第一,我们很懒。第二,我们是社交的。第三,我们是习惯性生物。在您的例子中,当涉及到创建一个好的密码时,您正好碰到了他提到的三件事。第一,我们懒惰:我们想选择简单的密码。第二,我们是社交型的:我们会和周围的人有同样的习惯,所以如果我们在一群人中,我们都在抱怨,那么以群体的心态去做是最容易的事情。第三,我们是习惯的产物:这肯定会影响密码心理。我们将选择一个密码,然后每当需要创建一个新密码时,我们会在它的末尾加上一个数字。我们将把它从"monkey1"改为"monkey2",然后改为"monkey3",依此类推。因此,对于密码,我们可以看到所有这三个原则,而实现更改的方法不一定只是不断地说安全是重要的。我们需要强化政策背后的"为什么"。我们必须做的关键是促进我们想要的改变。所以这意味着用友好的方式把他们推向正确的方向,他们不想反抗。你可以告诉他们,创建一个新的密码是很容易的,甚至看看新的NIST密码建议,他们说的是转移到容易记住的密码短语,而不是这些没有人能掌握的庞大复杂密码。员工应该从网络安全培训中获得哪些重要收获?我把它归结为最重要的一点,那就是:三思而后行。原因是因为如果我们只是按照我们的默认反射,那可能是错误的。有人可能是基于情感或紧迫感在耍我们,而我们可能只是做出反应。但是,如果我们能够放慢脚步,进行逻辑思考,那么我们可能会从安全角度得到组织想要的结果。第二,创建并记住好的密码,并保持良好的密码卫生。这背后的原因是,这是我们现在可以解决的问题之一。尽管密码管理市场的名声不好,nginx防御ddos模块,但它比我们在精神上使用的系统要好。所以像LastPass、Dashlane或KeePass这样的产品可以帮助人们拥有这个保险库,存储他们必须记住的50-60个密码。三是要像关心个人数据一样关心客户的数据。对于一家希望在新的网络生态系统中保持安全的公司,您会从安全的技术和人的方面给出什么建议?我想说安全是相对的。我们生活在一个必须面对这样一个事实的时代:每个人都会受到损害,每个系统都会受到损害,所以当涉及到安全问题时,关键是要确定当我们听到妥协时我们如何处理,以及在妥协后我们设置了哪些缓和因素,以使同样的事情不再发生。对于那些想在人类行为方面工作的组织来说,我最好的建议是不要害怕模拟攻击。只有这样,才能知道当真正的事情发生时,你的员工会如何表现,这也是唯一能让他们做出正确行为的方式。说到安全,我们必须摘下眼罩,了解我们所处的情况,并采取相应的行动。为了清楚起见,这次采访的部分内容稍作了编辑。

,cdn节点防御DDoS