信息安全最新文章 SolarWinds首席信息安全官對2020年突發安全事件的反思 據路透社和《華盛頓郵報》報道,SolarWinds旗下的Orion網絡監控軟件更新服務器遭黑客入侵并植入惡意代碼,導致美國財政部、商務部等多個政府機構用戶受到長期入侵和監視,甚至可能與之后曝出的FireEye網絡武器庫被盜事件有關。這是一次典型的基于供應鏈漏洞的網絡攻擊。 發表于:11/11/2022 安全配置管理(SCM)的價值與應用 安全配置管理(SCM)已經成為現代企業組織開展網絡安全建設的重要基礎工作,是各種安全能力有效運營的基礎,缺少它一切只是空中樓閣。SANS 研究所和互聯網安全中心建議,當企業全面梳理IT資產后,最重要的安全控制就是進行可靠的安全配置。CIS關鍵安全控制第4項(Critical Security Control 4)也表明,“企業應建立和維護硬件(包括便攜式和移動設備的最終用戶設備、網絡設備、非計算/物聯網設備及服務器)和軟件(操作系統及應用程序)的安全配置。” 發表于:11/11/2022 應對混合辦公,多場景下的企業身份安全管理一體化建設 身份管理作為IT基礎設施之一,一直與企業數字化業務發展深度耦合。隨著十四五規劃中“數字中國”建設進入實質性階段,我國企業對于新一代身份管理產品和技術的應用需求變得更加迫切。 發表于:11/11/2022 NIST發布新算法應對量子攻擊,可支持下一代加密標準 美國國家標準與技術研究所(NIST)正式發布四種新的加密算法,用于保護聯邦政府計算機和應用系統應對新型量子計算的網絡攻擊。據了解,這四種新加密算法包括一種用于通用加密用途的算法:CRYSTALS-Kyber,以及另外三種用于數字簽名和身份驗證的算法:CRYSTALS-Dilithium、Falcon和Sphincs+,它們將在2024年之前支持NIST未來的加密標準。 發表于:11/11/2022 國家網信辦公布《數據出境安全評估辦法》 第一條 為了規范數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動,根據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規,制定本辦法。 發表于:11/11/2022 新一代隱私保護技術簡析與應用 隨著數據和AI技能在許多組織普及開來,各種信息數據需要更廣泛地共享,實現其價值的最大化利用。但這些數據中包含了很多個人隱私信息,需要在數據使用過程中得到有效的保護。智能產品和服務正面臨功能與隱私之間的取舍,這種取舍表現為“我們能從事數據科學的利用,也可以有效保護數據隱私,但兩者無法兼得”。 發表于:11/11/2022 2022年世界互聯網大會網絡法治論壇舉辦,正式發布《反電信網絡詐騙倡議》 日前,2022年世界互聯網大會烏鎮峰會網絡法治論壇在浙江烏鎮舉行。中國國家互聯網信息辦公室副主任盛榮華,浙江省副省長高興夫,中國法學會黨組成員、學術委員會主任張文顯出席論壇并致辭,北京師范大學校長馬駿視頻致辭。 發表于:11/11/2022 比人工智能更危險?細數量子計算可能引發的安全風險 近年來,圍繞人工智能的風險爭議一直廣泛存在。特斯拉公司CEO埃隆·馬斯克曾經公開警告,計算機系統最早可能在2029年時就會擁有人類智能,如果政府不對其進行監管和干預,該技術可能成為人類“最大的生存威脅”。事實上,無論人工智能技術是否能夠真正獲得類似人類自主思維能力,其應用的負作用已經顯現:它已被廣泛利用于非法監視公共空間、監控社交媒體、進行深度偽造和制造致命性武器,這些都已經對人們的生活構成影響和危害。 發表于:11/11/2022 從建立完整資產清單到設備加固 減少物聯網攻擊風險的6種方法 近幾年物聯網應用規模的急速擴張,令攻擊者將其視作為一個絕佳的目標,由于物聯網設備的安全屬性此前并未受到足夠的重視,因此當前所運轉的大量設備中所潛藏的除了基本的安全問題之外,還有許多高風險的漏洞,而它們正越來越頻繁地被攻擊者利用,甚至也成為了國家背景黑客組織的攻擊目標。 發表于:11/11/2022 “診病”后如何“開方” 或成為攻擊面管理廠商的發展瓶頸所在 11月2日,云科安信在北京舉辦以“智御未來 不止所見”為主題的白澤攻擊面管理產品升級發布會,正式發布了旗下的“OSINT-ASM白澤”攻擊面管理產品。(擴展閱讀:為企業注入實戰攻防能力 云科安信正式發布OSINT-ASM白澤攻擊面管理產品) 發表于:11/11/2022 做好安全運營并沒有你想的那么難 一直以來,企業組織網絡安全能力在需求和建設兩端都存在較大差距,如今互聯網風險與日俱增,隨著數字化轉型的不斷深入,這種差距也變得更加明顯。在此背景下,如何構建可落地的現代安全運營體系,是很多企業都在探究的重要課題。 發表于:11/10/2022 我們需要零信任網絡訪問2.0嗎? 現有的零信任網絡訪問(ZTNA)1.0框架已經得到較廣泛應用,不過有分析認為,這種技術框架并不完善,存在導致組織攻擊面得不到完整保護、應用程序管理散亂以及更復雜的技術堆棧等缺陷。為了幫助現有ZTNA用戶彌補技術應用中的不足,ZTNA 2.0架構應用而生。研究人員介紹,這種新架構的核心目標是實現對所有威脅途徑的所有流量都要能夠進行持續性信任驗證和安全檢查。 發表于:11/10/2022 從真實事件看軟件供應鏈攻擊的常見手法與防護 軟件供應鏈攻擊正成為一種越來越常見的非法獲取商業信息的犯罪方法。據研究機構Gartner預測,到2025年有45%的企業將會遭受供應鏈攻擊。 發表于:11/10/2022 洞察新形勢,建設業務安全防護新體系 業務的安全穩定發展無疑是所有企業的重要發展目標,但影響企業業務安全的因素眾多,尤其在信息化時代,數字化轉型幾乎已經成為所有企業的必選項,這讓企業的業務流程變得更加復雜,同時也面臨著更多的風險。要保證業務不會被不法分子通過設備漏洞攻擊、流程缺陷等問題所威脅和破壞,企業組織必須積極建立起與業務數字化轉型步伐相匹配的新一代業務安全防護體系,實現企業業務發展的長治久安。 發表于:11/10/2022 從CISO到CIRO,未來安全領導者的核心價值是什么? 一直以來,首席信息安全官(CISO)的職責更多體現在組織的安全技術建設和風險事件處置方面。然而,時代在改變,組織對未來安全領導人的要求也正在發生變化,CISO的角色定位需要更加廣泛和復雜。 發表于:11/10/2022 ?…49505152535455565758…?
