摘要:
第三方风险管理 (Third Party Risk Management, TPRM) 是分析和最小化与外包给第三方供应商或服务提供商的相关风险的过程。比如包括财务、环境、声誉和安全风险。而存在这些风险的原因是供应商拥有权限访问企业的知识产权、敏感数据和个人身份信息 (PII)等。由于第三方关系对业 阅读全文
摘要:
Black Hat 大会被公认为世界信息安全行业最权威大会,也是在全球范围内最具有技术性的信息安全大会。Black Hat USA 聚焦网络安全事件,并且持续向外界输出前沿安全技术研究成果以及行业发展趋势分析,吸引着全球各地的安全从业者。 软件供应链安全备受关注 软件供应链安全成为 Black Ha 阅读全文
摘要:
攻击面管理(Attack Surface Management)是包含、传输或处理敏感数据的外部数字资产的持续发现、清点、分类、优先级排序和安全监控。2018年,Gartner 倡导企业安全负责人开始监控并严格管理攻击面,并将攻击面管理纳入网络安全风险管理计划的一部分,这也是企业向主动安全转变的开始 阅读全文
摘要:
在之前的文章中,我们一起解读了2021年数据成本报告。根据 IBM 和 Ponemon Institute 2021年的报告,全球平均数据泄露成本约为424万美元。为了降低数据泄露造成的成本,企业可以通过多种方式积极主动地保护数据安全。而安全编码(Secure Coding)本身不需要任何成本,这是 阅读全文
摘要:
Apache Log4j 和 Log4Shell 两大事件的发生,将软件物料清单(Software Bill of Materials, SBOM)推向安全防护前沿,成为企业保护其软件供应链的方式之一。今年5月,美国总统拜登发布行政命令,要求 IT 供应商必须提供 SBOM 才能够与美国政府进行合作 阅读全文
摘要:
什么是特权访问管理(PAM)? 特权访问管理(Privileged Access Management)是一个包含网络安全策略和访问管理工具的解决方案,用于控制和监管和保护具有特权访问权限的用户。在之前的文章中我们了解过身份和访问管理(IAM),而 PAM 则是 IAM 的子集,包含管理特权账户的安 阅读全文
摘要:
本文作者 Chris Hughes,Aquia的联合创始人及CISO,拥有近20年的网络安全经验。 SolarWinds 和 Log4j 等影响广泛的软件供应链攻击事件引起了业界对软件供应链安全的关注。许多企业开始让安全团队选型安全工具,以确保第三方软件的安全性。软件的使用无处不在,根据世界经济论坛 阅读全文
摘要:
作者简介 冯才效,SEAL 安全工程师,拥有6年云计算领域经验,先后参与 Rancher, Harvester 等开源项目。现致力于编写开发者友好型的软件供应链安全检修工具。 开源软件运动兴起于上个世纪,近几年在国内愈发活跃,各类开源项目如雨后春笋般涌现。与此同时,大部分企业开始拥抱开源。开源软件的 阅读全文
摘要:
美国网络安全和基础设施安全局(CISA)和澳大利亚网络安全中心(ACSC)进行了一项关于恶意软件的联合网络安全咨询调查,在报告中详细介绍了2021年最常见的11种恶意软件,包括远程访问木马、银行木马、信息窃取程序和勒索软件。 恶意软件开发人员受益于利润丰厚的网络运营和负面后果风险低,因此在几年内持续 阅读全文
摘要:
根据美国国家漏洞数据库(NVD)数据显示,安全漏洞的数量在过去22年内处于持续增加的状态。 图片来源:NVD 随着安全漏洞数量的持续递增,以及近几年内大型安全漏洞事故的发生,让越来越多的企业意识到漏洞管理计划的重要性。企业也开始加倍加强漏洞管理,确保其免受恶意攻击。为了寻找下一个重大漏洞,恶意攻击者 阅读全文
