信息安全最新文章 Security+601安全认证备考经验分享 Security+是国际IT十大热门认证之一,偏技术实践,不需要工作及学习年限的门槛就可以报考,我觉得是考CISSP之前的一种入门尝试,这个证书在行业内认可度也是比较高的,特别是外企,适合想要从事或者已经从事信息安全领域的人才。我目前算是零基础,由于自己未来职业规划需要,所以想考这个证去学习相关知识,也作为未来找工作的简历中一个可以写的点。 发表于:2022/11/3 永信至诚正式在科创板上市,总市值超29亿元 2022年10月19日,北京永信至诚科技股份有限公司(以下简称“永信至诚”)在上海证券交易所科创板上市,公司证券代码为688244,发行价格49.19元/股,发行市盈率为63倍。截至中午收盘,永信至诚股价为61.96元/股,涨幅25.96%,总市值超29亿元。 发表于:2022/11/3 被过度炒作的 “零信任”概念正在失去信任 零信任技术自从诞生之日起就备受关注,被认为是网络安全技术发展的颠覆性创新理念。但是研究人员发现,市场上过度的概念炒作和大量滥竽充数的伪零信任产品,正在让企业安全团队对“零信任”的期望值不断降低,并且感到厌倦。Forrester高级分析师Heath Mullins表示:零信任已成为当前网络安全领域滥用和误解最严重的术语,用户普遍困惑于哪些安全工具可以真正兑现零信任的安全承诺。 发表于:2022/11/3 当企业没有网络安全文化时会发生什么? 提到“企业文化”大家并不陌生,我们经常看到它嵌入到企业的组织框架中,例如愿景、使命和价值观,也可以描述它对各种事物的态度,例如是否重视创新而不是传统、关注的是人还是流程、是否拥抱变化等等。 发表于:2022/11/3 云科安信推出新一代实战化攻击面管理产品 随着信息化技术的飞速发展以及我国各行业全面数字化转型的加速,当前政企单位和组织的安全边界日益模糊,生态的扩大导致组织的供应链日趋复杂,攻击者攻击的边界也已远超以往。因此,防御者必须以攻击者思路和攻击者视角来看到攻击者能够看到的风险点,动态的监测自身的资产边界和风险点,这正是攻击面管理(ASM)产生的根源。 发表于:2022/11/3 API应用数量已近2亿,如何应对API蔓延的安全风险与挑战? 万圣节并非僵尸、影子和幽灵出没的唯一时刻。其实,这些令人厌恶的问题正以API的形式隐藏在企业的数字化基础设施中,不断扩展组织的网络攻击面。而产生这些可怕的僵尸API、影子API和幽灵API的主要原因就是API蔓延(API Sprawl),这已经成为现代企业数字化转型发展的重大挑战。 发表于:2022/11/3 如何提高网络安全审计的有效性? 在欧洲内部审计协会 (ECIIA) 发布的2022 Risk in Focus 报告和国际内部审计师协会 (IIA) 发布的OnRisk 2022 报告中,网络安全第五次蝉联组织的关键风险之首。此外,IIA的OnRisk 2022报告指出,内部审计师在网络安全风险鉴证方面的能力差距是最大的。因此,对组织来说,了解如何最好地评估自己的审计有效性以及如何改进至关重要。 发表于:2022/11/3 个人信息频频泄露,企业应如何有效开展隐私风险评估? 数字经济时代,网络上承载着个人身份信息、电话号码、银行卡号、住址、企业机密等各种信息,任何隐私信息泄露事件极可能导致企业名誉受损、收入及客户流失、受到合规处罚及审查,对企业安全和用户权益造成双重消极影响。保护用户隐私信息和敏感数据安全,避免受到网络犯罪分子的恶意攻击已经成现代企业数字化发展中不可推卸的责任。 发表于:2022/11/3 微软或因云服务器配置错误暴露数万用户敏感信息 日前,微软公司正式披露:由于一台云服务器配置不当,导致某些客户的敏感信息遭暴露。在获悉该事件后,公司已经第一时间加固了相关服务器安全。 发表于:2022/11/3 主动安全策略有效应用的8个关键条件 在数字化转型快速发展的背景下,企业传统的生产体系、业务环境逐渐由封闭转向开放,其业务呈现出泛在分布、移动应用、云化部署、弹性扩展等趋势。随着企业数字化发展需求不断升级、网络接入方式更加多元,以“被动防御”为主要特征的传统网络安全防护模式面临着巨大挑战,业界对主动安全防护策略应用的期望也不断增长。 发表于:2022/11/3 防范权限提升攻击的六种手段 目前,主流的操作系统和业务系统都依赖权限管理来限制不同用户和设备对系统应用功能、业务数据和配置服务的访问。因此,访问权限是一项至关重要的安全特性,可以控制用户访问及使用系统或应用程序及关联资源的程度。通过观察很多安全事件发现,较低的权限将使攻击者访问活动受到很多的限制,也无法进行获取Hash、安装软件、修改防火墙规则和修改注册表等各种操作,所以攻击者往往会先进行权限提升攻击,在获取更高的访问权限后,在开展更具破坏性的其他攻击。 发表于:2022/11/3 七分真、三分假!身份欺诈威胁出现新变化 近年来,尽管企业组织在打击身份欺诈方面取得了很大进展,但如今又出现了一个新的且不断上升的威胁:合成身份欺诈(synthetic identity fraud)。通过在数字平台上将真实和伪造的信息进行组合,网络犯罪者能够轻松地实施此类欺诈活动。多项最新的研究数据显示,合成身份欺诈已经成为目前造成组织财产损失的“新天坑”! 发表于:2022/11/3 DLP只是"青铜",数据自主保护才是未来的"王者" 数据泄露防护(DLP)技术是目前数据安全防护领域的事实标准之一,在远程工作模式和云计算应用大量普及之前,DLP在组织数据泄露防护中发挥了巨大作用。但有研究人员认为,由于组织现在需要更多共享数据,企业的数据分布开始从内部环境转向多种类型的云存储平台,这使得DLP的应用价值正在发生变化。 发表于:2022/11/2 如何保护智能车辆远离网络攻击? 出色的网络链接功能已成为很多车主买车时的主要评选标准,无线手机充电器、数据传输、实时扫描路牌和传感器、远程启动车辆等人性化的功能大大提高了我们的驾驶舒适度。然而,任何事物都有正反两面,这些便捷功能同样也是双刃剑,会使车辆面临潜在的网络安全风险。数据显示,2010年至2021年间,影响联网车辆的安全事故中,7.3%都与配套的移动应用程序有关。 发表于:2022/11/2 从9个真实事件看内部威胁的攻击类型与防护 内部威胁早已不是什么新鲜概念,很多重大网络安全事件都是由内部因素所引发。但直到目前,企业对内部威胁问题仍然没有足够的重视,并且缺乏有效的应对和防护措施。事实上,大多数安全团队面对内部威胁时仍然是事后补救。本文总结了近年来发生的9起全球知名企业内部威胁安全事件。通过分析研究这些真实案例,并从中汲取经验教训,有助于组织进一步提升自己对内部威胁风险的主动防御能力。 发表于:2022/11/2 <…76777879808182838485…>
