安全是一个持续的过程

日期: 2012年9月27日
阅读时间: 3 min

再过一周,更多的安全事件。

再过一周,更多的安全事件。除其他外, 19家日本银行和大学 遇到了问题 美国大型银行富国银行(Wells Fargo)遭到拒绝服务攻击 Facebook否认 许多出版物都将其视为违反了影响美国和法国用户的行为。

根据最新 赛门铁克互联网安全威胁报告,与过去相比,受到高级针对性攻击的组织受到了更多的打击。有趣的是,所有目标攻击中有50%是针对员工人数少于2500人的企业的。赛门铁克还计算出,由安全事件造成的平均财务损失在英国为175万英镑,在美国为550万美元。此外,此类攻击会对客户的信心和品牌价值产生无法量化的负面影响。

虽然企业可能会感到自己正在被围困,但了解那里的威胁类型确实可以带来好处。它使准备和部署涵盖每个潜在漏洞点的必要“全面计划”变得更加容易。由于安全与风险管理有关,因此与尽可能降低风险有关(消除所有漏洞几乎是不可能的),因此将其视为一个过程而不是一次性事件很重要。

毫无疑问,企业会从众多可用于帮助安全过程的软件中进行选择。通常,我们认为过度依赖自动化工具实际上会发现漏洞。例如, WASC Web应用程序安全性统计项目,显示如果使用自动扫描(黑匣子方法),则可检测到Web应用程序中约49%的紧急和严重错误。当专家进行综合分析时(白盒方法),该数字上升到96%。这是Future Processing专注于高质量安全审核而不是仅依赖自动化工具的原因之一。

企业经常错过的另一个有趣的领域是开发阶段的安全性。的 美国国家标准技术研究院(NIST) 声称在设计和实施阶段完成的修复可能比发布后进行的修复便宜30倍。因此,密切关注安全开发生命周期可帮助减少总开发成本,同时大大减少了开发后错误修复,事件响应和客户服务所花费的时间。

我们仅简单地涉及了两个要在安全计划中解决的领域。当然,还有更多。重要的是要认识到,没有任何一种预防措施可以保证所有攻击的安全性,而应单独考虑每种预防措施。切记:安全是一个过程,新闻中的安全漏洞应提醒人们不断更新消息。

这是来自:Dawid Czagan和 雅西克·索维斯基 , FP安全咨询

喜欢博客文章吗?

请给我们反馈。

饼干

该网站在您的计算机上存储cookie。这些Cookies用于改善我们的网站并通过本网站或通过其他媒体为您提供更多个性化服务。要了解有关我们使用的cookie的更多信息,请参阅我们的 隐私政策 .