安全是一个持续的过程

再过一周，更多的安全事件。除其他外， 19家日本银行和大学 遇到了问题 美国大型银行富国银行（Wells Fargo）遭到拒绝服务攻击 和 Facebook否认 许多出版物都将其视为违反了影响美国和法国用户的行为。

根据最新 赛门铁克互联网安全威胁报告，与过去相比，受到高级针对性攻击的组织受到了更多的打击。有趣的是，所有目标攻击中有50％是针对员工人数少于2500人的企业的。赛门铁克还计算出，由安全事件造成的平均财务损失在英国为175万英镑，在美国为550万美元。此外，此类攻击会对客户的信心和品牌价值产生无法量化的负面影响。

虽然企业可能会感到自己正在被围困，但了解那里的威胁类型确实可以带来好处。它使准备和部署涵盖每个潜在漏洞点的必要“全面计划”变得更加容易。由于安全与风险管理有关，因此与尽可能降低风险有关（消除所有漏洞几乎是不可能的），因此将其视为一个过程而不是一次性事件很重要。

毫无疑问，企业会从众多可用于帮助安全过程的软件中进行选择。通常，我们认为过度依赖自动化工具实际上会发现漏洞。例如， WASC Web应用程序安全性统计项目，显示如果使用自动扫描（黑匣子方法），则可检测到Web应用程序中约49％的紧急和严重错误。当专家进行综合分析时（白盒方法），该数字上升到96％。这是Future Processing专注于高质量安全审核而不是仅依赖自动化工具的原因之一。

企业经常错过的另一个有趣的领域是开发阶段的安全性。的 美国国家标准技术研究院（NIST） 声称在设计和实施阶段完成的修复可能比发布后进行的修复便宜30倍。因此，密切关注安全开发生命周期可帮助减少总开发成本，同时大大减少了开发后错误修复，事件响应和客户服务所花费的时间。

我们仅简单地涉及了两个要在安全计划中解决的领域。当然，还有更多。重要的是要认识到，没有任何一种预防措施可以保证所有攻击的安全性，而应单独考虑每种预防措施。切记：安全是一个过程，新闻中的安全漏洞应提醒人们不断更新消息。

这是来自：Dawid Czagan和 雅西克·索维斯基 , FP安全咨询