虹科分享 | 网络安全评级 | 突破能够让您变得更加强大

news2024/11/15 20:08:56

        有两种CISO:入侵前和入侵后。入侵前的CISOs过于关注工具,并考虑投资于预防技术。在这样做的时候,他们几乎没有考虑一旦发生了不好的事情,恢复和及时恢复服务的问题。不好的事情会发生;这不是是否的问题,而是何时的问题(以及多久一次,所以“入侵节奏”似乎比入侵可能性更适合KPI)。

安全漏洞如何加强CISO的能力

        “不是如果,而是何时”的口头禅,现在比以往任何时候都更需要在我们的风险管理思想中根深蒂固。另一方面,入侵后的CISO明白(通常被公平地认为是“来之不易的经验”),人员和流程要重要得多。在事故应对情况下,“全员出动”更多的是一种责任,而不是一种好处。有人可能试图帮助驱逐入侵者,但实际上是在销毁证据或破坏监护链,以防案件进一步提起刑事诉讼。

        这种对入侵前和入侵后CISO的简单二分法揭示了每个行业和各种形状和规模的公司在安全计划的视角、优先顺序和准备方面的重要差异。突破会让您的企业变得更强大。

        Mike Wilkes很幸运地在2021年拉斯维加斯的Black Hat和相应的Black Hat CISO峰会上发表了演讲。会议题为“执行(dis)命令:会议室中的认知和系统性风险”,而且出席人数和反响都很好,因为很多与会者后来要求复印一份会议记录。

        虽然这段录音目前还没有提供,但去年12月,ActualTech Media发布了一段录音。这个演示包含了这篇文章的思想种子,因为它围绕着识别影响安全项目治理的认知风险。它还包括一节关于作为复杂系统的突现属性的系统性风险的性质。

        系统风险需要更多的关注,特别是当我们开始看到更多的“安全混乱工程”进入CISO社区关于风险管理的讨论时。

        黑帽是自COVID - 19封锁以来第一个“外出任务”。在那里,CISO鲍勃·洛德(Bob Lord)做了一场题为“如何在简历中加入漏洞并活下来讲述故事”的演讲,这非常有见地,极大地促进了我们对韧性本质的思考,以及我们应该如何接受失败而不是害怕失败。

为什么首席信息官应该接受网络入侵

        Bob Lord对入侵事件略知一二,因为他不仅是DNC的第一位安全官员,而且还成为雅虎的CISO!2015年11月,他在雅虎的工作!涉及披露2013年和2014年发生的一些历史上最大的入侵事件。

        其中他的演讲的是他创建的事件响应时间表,其中包括通常没有记录或正式承认的事件响应生命周期的一部分:监管机构、网络保险公司、董事会和几乎每一位纸上谈兵的批评者对CISO以及他们在事件或入侵事件发生前所做的工作进行反思的时刻。

        有第一个“攻击”,即当恶意攻击者以某种方式破坏或危害您的基础设施时。但还有第二次“攻击”,CISO往往无法幸免。在一个被排除在大多数D&O(董事和高级管理人员)责任保险范围之外的职业中工作是非常令人沮丧的,在这种职业中,主要的操作模式是将CISO引入迎面而来的是底部,而不管他们的安全计划的力度有多大。允许这种模式继续下去是危险的。

        每次的泄密事件是一次极其宝贵的经历。一个“久经沙场”的CISO应该更值得珍视和重视。但相反,人们发现了充分的证据表明,违反CISO规定的继任者是获得加薪的人(无论是否应得)。

        几年前在纽约的一次信息安全会议上,一名CISO讲述了一个故事,某人(而不是他们)在一家大公司工作,年薪80万美元,但实际上在安全程序本身上花费了宝贵的几美元,然后发生了勒索软件事件。

        “砰!”就像军队里说的那样。“左侧的砰”是导致事故或破坏的事件,而“右边的砰”是事件和里程碑之后发生的时间线的一部分。

        结果是CISO被解雇了,新的CISO得到了120万美元的报酬。安全计划预算与该行业的行业基准“协调”,约占IT总支出的5%。与支付赎金、增加安全预算并将CISO的补偿提高到此类组织的市场费率相比,使用合理的安全计划预算来保护组织会更便宜。

在网络安全方面采取“反脆弱”方法

一个学习武术的朋友提到了纳西姆·尼古拉斯·塔勒布的《反脆弱》一书。这本书的主题之一是,脆弱的系统和脆弱的事物在受到压力和压力时很容易崩溃。例如,骨骼可以通过施加压力和外力来改善和硬化。他们天生就能承受压力和冲击。

因此,反脆弱性也许是我们想要更好地理解的属性,以建立可靠和健壮的系统。系统实际上可以从波动性和随机攻击中受益。当然,反脆弱系统是用反脆弱组件构建的。稳健和抗脆弱系统是指那些在教育和心理学意义上表现出弹性的系统,而不是与延展性强度和拉伸性能相关的机械工程意义上的系统。

当云基础设施受到攻击时,我们不只是想将其恢复到以前的形状,只是恢复先前存在的功能和特性。相反,我们希望看到基础设施因奥运会而得到改善和转变,并变得更好。从这个意义上讲,网络弹性意味着适应。它说明了系统的模块化特性,允许我们以新的方式组合其元素,而无需太多额外的工作和费用。一个设计良好的云基础设施应该展示成功地帮助它优雅地失败的设计原则,而不是在出现故障时“一眨眼就消失了”。这只是“杀不死你的只会让你更强大”这句格言的一个方面。

这里有一些设计原则,感觉它们应该在现代信息安全程序中找到:

  • 容错,健壮,适应性强

  • 可扩展,弹性,自愈

  • 分段/孤立的环境

  • 改进和降低复杂性

  • 优雅地降级而不是完全失败

  • 原子、简单、模块化的组件

  • 紧密集成和松散耦合

  • 深度保障安全

  • 坚持最小特权原则

  • 值得信赖的设计,而不仅仅是认证或认证

CISO如何从网络入侵中走出来

        总之,请允许我鼓励你和你的同行们从失败中寻找力量。当你经历了一次安全事件或漏洞时,你的勇气已经受到了考验。不要羞于讲述这个故事,用它来带来你应得的尊重。别人不会把这赐予你;你得把它赐予自己。有了这次入侵,你实际上已经通过跨越“入侵后”社区提升了你的形象。

        就拿约翰·西蒙尼为例,他目前是戴尔技术公司的首席安全官。他手下有60个首席信息官。2019年,在会上,他谈到了在戴尔拥有和运营的众多组织(包括RSA)中寻找信息安全人才所面临的挑战。他还提到,2014年11月索尼遭到朝鲜黑客攻击时,他在索尼担任全球首席信息技术官(值得注意的是,他只担任了两个月)。因此,破裂后还有生活,你应该弄清楚如何最好地把它写进简历,并围绕为什么这件事让你变得更强大,写出一篇真实的叙述。

SecurityScorecard可以帮助您从网络安全事件中前进

        如果您有兴趣了解您和您的企业如何更好地准备和响应网络攻击,SecurityScorecard的事件响应解决方案使CISO能够在发生攻击时立即采取行动补救事件并降低风险。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/399562.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

手把手教你如何做数据报表

数据报表是一种数据可视化形式,它将复杂的数据信息通过图形、表格等形式进行展示和解释,让人们更加直观地理解和分析数据。数据报表已成为现代企业决策的必备工具之一。对企业来说,数据报表有很多用处。首先,数据报表可以帮助企业…

基于BiLSTM+CRF医学病例命名实体识别项目

研究背景 为通过项目实战增加对命名实体识别的认识,本文找到中科院软件所刘焕勇老师在github上的开源项目,中文电子病例命名实体识别项目MedicalNamedEntityRecognition。对其进行详细解读。 原项目地址:https://github.com/liuhuanyong/Med…

一小时轻松掌握Git,看这一篇就足够

文章目录序言:版本控制分类一、Git环境配置下载卸载安装二、常用linux命令三、基本配置四、Git基本操作0.原理图1.项目创建及克隆方式一:本地仓库搭建方式二:克隆远程仓库2.文件操作3.配置ssh公钥4.分支5.push代码参考序言:版本控…

ORB_SLAM2+kinect稠密建图

下载代码:https://github.com/gaoxiang12/ORBSLAM2_with_pointcloud_map 运行代码: 解压代码后,删掉作者自己编译的build文件夹(下面三个都删除): ~/ORB_SLAM2_modified/build, ~/ORB_SLAM2_modified/T…

【上传项目代码到Git详细步骤】

1.下载安装Git到电脑上(这里我之前已经安装好了,就不细说了)2.进入控制台安装好后右键点击桌面空白部分会多出两个菜单选项,点击第二个Git Bash Here(点击第一个你会爆炸)会弹出一个git控制台,如…

华为OD机试用Python实现 -【分解质因数】 2023Q1A

华为OD机试题 本篇题目:分解质因数题目示例 1输入输出示例 2输入输出Code代码编写思路最近更新的博客 华为od 2023 | 什么是华为od,od 薪资待遇,od机试题清单华为OD机试真题大全,用 Python 解华为机试题 | 机试宝典【华为OD机试】全流程解析+经验分享,题型分享,防作弊指南

从0-1搭建交付型项目管理体系流程(上)【宝芝林2】

很多项目经理在这个阶段,由于经验不足及整个项目管理体系涉及的环节和内容比较庞杂,往往无法有效思考,无从下手。笔者有幸在最近几年的工作实践中,实际搭建并迭代了2-3次项目管理体系流程框架,期间也经历过很多迷茫&am…

C++基础了解-21-C++ 继承

C 继承 一、C 继承 面向对象程序设计中最重要的一个概念是继承。继承允许我们依据另一个类来定义一个类,这使得创建和维护一个应用程序变得更容易。这样做,也达到了重用代码功能和提高执行效率的效果。 当创建一个类时,不需要重新编写新的…

mes系统如何管理企业生产

随着市场竞争的日趋激烈,很多企业都开始意识到生产管理的重要性。mes系统如何管理企业生产?下面,我们通过一个实例来说明。 案例简介: 一、客户需求快速增长 随着市场竞争的加剧,越来越多的客户提出了个性化需求。同…

人体存在传感器成品方案,精准感知静止存在,实时智能化感控技术

随着现今智能时代的发展,酒店也越来越趋于智能化,也在不断地推行智慧酒店,这也给人们入住酒店提供了良好的体验。 人体存在感知是智能酒店中极其重要的一项应用技术,只有智能设备通过精准地感知人体存在,才能更好地做…

2023-3-9-一篇简短的文章把C++左右值关系讲的透透彻彻

目录前言C左值和右值二、右值引用二、右值引用前言 对于C的左值和右值相信很多人都没有一个很透彻的了解,之前我也是不懂的时候查阅了好多文章,但是讲完我还是一头雾水,直到我遇到一篇宝藏文章,讲的左值右值的关系以及Move函数的用法是相当的清楚,文章链接在这,话不多说讲解一…

C++ ,JNI, Java 数据传递全解(一)

在讲正题之前,先说一下C,JNI和Java 对应的数据类型对比吧,废话不多说,直接上图上面为C,Java,JNI 三者只见对应的数据类型好了,现在我们有了上面的数据类型比对,下面就讲讲从C如何将数…

MySQL的下载及安装详细教程

提示:本文仅为MySQL初学者的安装MySQL过程提供参考,创作不易,请多点赞支持! MySQL的下载及安装前言一、MySQL的下载及安装1.MySQL的下载2.MySQL的安装3.配置环境变量4.连接MySQL4.1 方式一4.2 方式二前言 本文内容主要是帮助初学…

OpenWrt 制作软件包05

文章目录 OpenWrt 制作软件包05软件包目录结构分析软件包顶层Makefile分析OpenWrt一些常用的变量一些默认的变量Package宏定义Build宏定义构建自己的软件系统软件包工程目录文件内容分析编译安装卸载OpenWrt 制作软件包05 软件包目录结构分析 如下图所示 :

4N65-ASEMI高压MOS管4N65

编辑-Z 4N65在TO-220封装里的静态漏极源导通电阻(RDS(ON))为2.5Ω,是一款N沟道高压MOS管。4N65的最大脉冲正向电流ISM为16A,零栅极电压漏极电流(IDSS)为10uA,其工作时耐温度范围为-55~150摄氏度。4N65功耗&#xff08…

[工控自动化]信捷PLC与威纶通HMI以太网通讯的连接设置

在工业自动化领域,PLC和触摸屏是经常使用的元器件,其中PLC是处理逻辑与数据的核心,而触摸屏HMI则是显示与操作的必备。 工控领域虽然是外国品牌的天下,但近些年来,国产PLC和HMI品牌也在成长,例如汇川、信捷、威纶通等。 本文以实际使用经验,介绍一下信捷PLC与威纶通HMI的…

java实用小技巧:判断list是否有重复项

在项目中经常会遇到这样的场景,就是一个list,根据某种规则,我要去判断里面是不是有重复的项。 难度不高,但有点烦,所以专门开一篇文章来记录一下,争取弄一个相对简洁的写法。 先看一个简单的例子&#xf…

DSF深度搜索时到底是如何回溯的(小tip)

这一段让我迷了两次,为什么回溯的时候,恢复了最后一位,往上递归一层之后,把最后一位填在它前一位,但是原本的前一位没有恢复,最后一位要怎么办?其实这还是递归没明白 也就是这一步是如何实现的 …

Kafka 压缩算法

压缩 (compression) : 用时间换空间的思想 用较小的 CPU 开销获得磁盘少占用或网络 I/O 少传输 Kafka 消息分两层: 消息日志组成 : n 个消息集合消息集合 (message set) 组成 : n 条日志项 (record item)日志项封装了消息 (message)Kafka 在消息集合层上进行写入…

python趣味编程-奥赛罗游戏

在上一期我们用Python实现了一个高速公路汽车游戏的游戏,这一期我们继续使用Python实现一个简单的奥赛罗游戏,让我们开始今天的旅程吧~ 在Python中使用Turtle实现的奥赛罗游戏 在Python中使用Turtle的简单奥赛罗游戏 是一个以 Python 为程序设计语言的项…