网络攻击每 39 秒发生一次。政府终于有能力进行反击了吗?
这篇文章的一个版本出现在 VMBlog。它已在此处更新和发布。
看来,无论过去了多少网络安全宣传月,有多少精英安全专业人员跳伞,或者黑洞损失了多少钱,大数据泄露问题都会逐年恶化。它们非常常见,以至于现在几乎没有成为主流新闻,除非它们是灾难性的。在 2020 年, 超过360亿条记录被泄露 在恶意的网络攻击中,我们拭目以待,看看2021年将收获多少。
威胁行为者一直在寻找机会,虽然并非每一次攻击都是灾难,但它们平均会发生, 每 39 秒。我们甚至还没有接近赢得这场战斗,与数据捍卫者相比,坏人拥有巨大的优势。
但是,拜登政府似乎正在发生变化 将网络安全作为他任期内的早期优先事项,相当于额外提供100亿美元的资金。毫无疑问,这是朝着正确方向迈出的一步,但这真的会减少频率和复杂程度不断升级的网络犯罪吗?
网络威胁需要一个(全球)村庄来解决
有效防御日益强大的网络攻击不可能仅仅是少数国家的职权范围,不幸的是,长期以来一直缺乏协调一致的战略。但是,随着民族国家威胁的上升,许多政府都袖手旁观。
这个 影响美国政府的 SolarWinds 攻击 对可能发生的事情发出了明确的警告,也表明了如果任何关键基础设施遭到破坏,可能会遭受破坏。最近,联邦调查局发出警告, 佛罗里达州供水系统遭到袭击,威胁行为者能够远程污染供水。它们在造成严重伤害之前就被拦住了,但是更高级的攻击者本可以造成大规模的破坏,从而危及生命。
世界各地的政府正在缓慢但肯定地增加对网络防御的投资。英国制造 创纪录的投资 在网络安全领域,并成立了一个新的工作组。澳大利亚 加强了其网络安全战略 (尤其是在基础设施方面),以色列和丹麦等地也被考虑在内 他们的网络计划堪称一流。日本是 排名第五 在网络防御方面;时任网络安全大臣樱田义隆在2018年发表声明表示他会,此后他投了值得欢迎的信任票 从来没有用过电脑。一个 新加坡政府最近的公告 承诺投资5000万美元用于未来通信基础设施的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来科技的过程中,强有力、协调的全球网络安全应对措施至关重要,每个政府机构都应将其列为重点。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,在过去几年中,它们都增加了对政府主导的网络安全和专业知识的投资,那么安全似乎终于成为了当务之急,“好人” 正在获得赢得战斗所需的东西。
这当然有帮助,但这只是大局的一部分。这笔资金可以购买超级专家团队(就像发生的那样) 拜登的现金注入)、全面的漏洞赏金计划以及发生灾难性漏洞时的一流事件响应和缓解措施,正是这种网络防御方法确保了无论向工作组和威胁响应投入多少资金,我们都将取得最低限度的进展。
每个政府都需要将目光投向被动的安全措施之外,还需要将一些认真的努力(和资金)投入到更具预防性的战略上。如果重点仍然放在应对成功的网络攻击上,而不是从一开始就努力防范网络攻击,那么任何金钱都无法降低不断增长的风险。真正的主动安全方法将为基础设施加固分配预算,并推出有效的安全培训和技能提升,目的是从一开始就尽可能减少攻击面。
网络安全技能差距可能永远无法缩小,但潜力被浪费了
世界各地对训练有素的专业安全人员的需求巨大,我们不太可能看到这些人过剩 网络大师。但是,这更是政府和组织开始发挥创造力、精明地利用可支配资源的原因。
真正的网络防御预防性方法始于参与软件开发和基础设施过程的每个人,都要尽可能提高各自角色的安全意识。开发人员尤其需要合适的安全提升技能和适合工作的工具,这样安全编码才能成为其流程的固有组成部分。这大大有助于确保常见漏洞在出现之前得到解决。仅此一项就是一项强有力的举措,更不用说更便宜了,它可以进一步减轻软件开发生命周期中的压力和返工。
我们需要强化以人为本的网络安全最佳实践方法,这将比严重依赖自动化、工具和对已经嵌入和发现的问题的反应更好的结果——如果我们看一下当今发生的漏洞数量,这种策略显然行不通。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
这篇文章的一个版本出现在 VMBlog。它已在此处更新和发布。
看来,无论过去了多少网络安全宣传月,有多少精英安全专业人员跳伞,或者黑洞损失了多少钱,大数据泄露问题都会逐年恶化。它们非常常见,以至于现在几乎没有成为主流新闻,除非它们是灾难性的。在 2020 年, 超过360亿条记录被泄露 在恶意的网络攻击中,我们拭目以待,看看2021年将收获多少。
威胁行为者一直在寻找机会,虽然并非每一次攻击都是灾难,但它们平均会发生, 每 39 秒。我们甚至还没有接近赢得这场战斗,与数据捍卫者相比,坏人拥有巨大的优势。
但是,拜登政府似乎正在发生变化 将网络安全作为他任期内的早期优先事项,相当于额外提供100亿美元的资金。毫无疑问,这是朝着正确方向迈出的一步,但这真的会减少频率和复杂程度不断升级的网络犯罪吗?
网络威胁需要一个(全球)村庄来解决
有效防御日益强大的网络攻击不可能仅仅是少数国家的职权范围,不幸的是,长期以来一直缺乏协调一致的战略。但是,随着民族国家威胁的上升,许多政府都袖手旁观。
这个 影响美国政府的 SolarWinds 攻击 对可能发生的事情发出了明确的警告,也表明了如果任何关键基础设施遭到破坏,可能会遭受破坏。最近,联邦调查局发出警告, 佛罗里达州供水系统遭到袭击,威胁行为者能够远程污染供水。它们在造成严重伤害之前就被拦住了,但是更高级的攻击者本可以造成大规模的破坏,从而危及生命。
世界各地的政府正在缓慢但肯定地增加对网络防御的投资。英国制造 创纪录的投资 在网络安全领域,并成立了一个新的工作组。澳大利亚 加强了其网络安全战略 (尤其是在基础设施方面),以色列和丹麦等地也被考虑在内 他们的网络计划堪称一流。日本是 排名第五 在网络防御方面;时任网络安全大臣樱田义隆在2018年发表声明表示他会,此后他投了值得欢迎的信任票 从来没有用过电脑。一个 新加坡政府最近的公告 承诺投资5000万美元用于未来通信基础设施的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来科技的过程中,强有力、协调的全球网络安全应对措施至关重要,每个政府机构都应将其列为重点。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,在过去几年中,它们都增加了对政府主导的网络安全和专业知识的投资,那么安全似乎终于成为了当务之急,“好人” 正在获得赢得战斗所需的东西。
这当然有帮助,但这只是大局的一部分。这笔资金可以购买超级专家团队(就像发生的那样) 拜登的现金注入)、全面的漏洞赏金计划以及发生灾难性漏洞时的一流事件响应和缓解措施,正是这种网络防御方法确保了无论向工作组和威胁响应投入多少资金,我们都将取得最低限度的进展。
每个政府都需要将目光投向被动的安全措施之外,还需要将一些认真的努力(和资金)投入到更具预防性的战略上。如果重点仍然放在应对成功的网络攻击上,而不是从一开始就努力防范网络攻击,那么任何金钱都无法降低不断增长的风险。真正的主动安全方法将为基础设施加固分配预算,并推出有效的安全培训和技能提升,目的是从一开始就尽可能减少攻击面。
网络安全技能差距可能永远无法缩小,但潜力被浪费了
世界各地对训练有素的专业安全人员的需求巨大,我们不太可能看到这些人过剩 网络大师。但是,这更是政府和组织开始发挥创造力、精明地利用可支配资源的原因。
真正的网络防御预防性方法始于参与软件开发和基础设施过程的每个人,都要尽可能提高各自角色的安全意识。开发人员尤其需要合适的安全提升技能和适合工作的工具,这样安全编码才能成为其流程的固有组成部分。这大大有助于确保常见漏洞在出现之前得到解决。仅此一项就是一项强有力的举措,更不用说更便宜了,它可以进一步减轻软件开发生命周期中的压力和返工。
我们需要强化以人为本的网络安全最佳实践方法,这将比严重依赖自动化、工具和对已经嵌入和发现的问题的反应更好的结果——如果我们看一下当今发生的漏洞数量,这种策略显然行不通。
这篇文章的一个版本出现在 VMBlog。它已在此处更新和发布。
看来,无论过去了多少网络安全宣传月,有多少精英安全专业人员跳伞,或者黑洞损失了多少钱,大数据泄露问题都会逐年恶化。它们非常常见,以至于现在几乎没有成为主流新闻,除非它们是灾难性的。在 2020 年, 超过360亿条记录被泄露 在恶意的网络攻击中,我们拭目以待,看看2021年将收获多少。
威胁行为者一直在寻找机会,虽然并非每一次攻击都是灾难,但它们平均会发生, 每 39 秒。我们甚至还没有接近赢得这场战斗,与数据捍卫者相比,坏人拥有巨大的优势。
但是,拜登政府似乎正在发生变化 将网络安全作为他任期内的早期优先事项,相当于额外提供100亿美元的资金。毫无疑问,这是朝着正确方向迈出的一步,但这真的会减少频率和复杂程度不断升级的网络犯罪吗?
网络威胁需要一个(全球)村庄来解决
有效防御日益强大的网络攻击不可能仅仅是少数国家的职权范围,不幸的是,长期以来一直缺乏协调一致的战略。但是,随着民族国家威胁的上升,许多政府都袖手旁观。
这个 影响美国政府的 SolarWinds 攻击 对可能发生的事情发出了明确的警告,也表明了如果任何关键基础设施遭到破坏,可能会遭受破坏。最近,联邦调查局发出警告, 佛罗里达州供水系统遭到袭击,威胁行为者能够远程污染供水。它们在造成严重伤害之前就被拦住了,但是更高级的攻击者本可以造成大规模的破坏,从而危及生命。
世界各地的政府正在缓慢但肯定地增加对网络防御的投资。英国制造 创纪录的投资 在网络安全领域,并成立了一个新的工作组。澳大利亚 加强了其网络安全战略 (尤其是在基础设施方面),以色列和丹麦等地也被考虑在内 他们的网络计划堪称一流。日本是 排名第五 在网络防御方面;时任网络安全大臣樱田义隆在2018年发表声明表示他会,此后他投了值得欢迎的信任票 从来没有用过电脑。一个 新加坡政府最近的公告 承诺投资5000万美元用于未来通信基础设施的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来科技的过程中,强有力、协调的全球网络安全应对措施至关重要,每个政府机构都应将其列为重点。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,在过去几年中,它们都增加了对政府主导的网络安全和专业知识的投资,那么安全似乎终于成为了当务之急,“好人” 正在获得赢得战斗所需的东西。
这当然有帮助,但这只是大局的一部分。这笔资金可以购买超级专家团队(就像发生的那样) 拜登的现金注入)、全面的漏洞赏金计划以及发生灾难性漏洞时的一流事件响应和缓解措施,正是这种网络防御方法确保了无论向工作组和威胁响应投入多少资金,我们都将取得最低限度的进展。
每个政府都需要将目光投向被动的安全措施之外,还需要将一些认真的努力(和资金)投入到更具预防性的战略上。如果重点仍然放在应对成功的网络攻击上,而不是从一开始就努力防范网络攻击,那么任何金钱都无法降低不断增长的风险。真正的主动安全方法将为基础设施加固分配预算,并推出有效的安全培训和技能提升,目的是从一开始就尽可能减少攻击面。
网络安全技能差距可能永远无法缩小,但潜力被浪费了
世界各地对训练有素的专业安全人员的需求巨大,我们不太可能看到这些人过剩 网络大师。但是,这更是政府和组织开始发挥创造力、精明地利用可支配资源的原因。
真正的网络防御预防性方法始于参与软件开发和基础设施过程的每个人,都要尽可能提高各自角色的安全意识。开发人员尤其需要合适的安全提升技能和适合工作的工具,这样安全编码才能成为其流程的固有组成部分。这大大有助于确保常见漏洞在出现之前得到解决。仅此一项就是一项强有力的举措,更不用说更便宜了,它可以进一步减轻软件开发生命周期中的压力和返工。
我们需要强化以人为本的网络安全最佳实践方法,这将比严重依赖自动化、工具和对已经嵌入和发现的问题的反应更好的结果——如果我们看一下当今发生的漏洞数量,这种策略显然行不通。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
这篇文章的一个版本出现在 VMBlog。它已在此处更新和发布。
看来,无论过去了多少网络安全宣传月,有多少精英安全专业人员跳伞,或者黑洞损失了多少钱,大数据泄露问题都会逐年恶化。它们非常常见,以至于现在几乎没有成为主流新闻,除非它们是灾难性的。在 2020 年, 超过360亿条记录被泄露 在恶意的网络攻击中,我们拭目以待,看看2021年将收获多少。
威胁行为者一直在寻找机会,虽然并非每一次攻击都是灾难,但它们平均会发生, 每 39 秒。我们甚至还没有接近赢得这场战斗,与数据捍卫者相比,坏人拥有巨大的优势。
但是,拜登政府似乎正在发生变化 将网络安全作为他任期内的早期优先事项,相当于额外提供100亿美元的资金。毫无疑问,这是朝着正确方向迈出的一步,但这真的会减少频率和复杂程度不断升级的网络犯罪吗?
网络威胁需要一个(全球)村庄来解决
有效防御日益强大的网络攻击不可能仅仅是少数国家的职权范围,不幸的是,长期以来一直缺乏协调一致的战略。但是,随着民族国家威胁的上升,许多政府都袖手旁观。
这个 影响美国政府的 SolarWinds 攻击 对可能发生的事情发出了明确的警告,也表明了如果任何关键基础设施遭到破坏,可能会遭受破坏。最近,联邦调查局发出警告, 佛罗里达州供水系统遭到袭击,威胁行为者能够远程污染供水。它们在造成严重伤害之前就被拦住了,但是更高级的攻击者本可以造成大规模的破坏,从而危及生命。
世界各地的政府正在缓慢但肯定地增加对网络防御的投资。英国制造 创纪录的投资 在网络安全领域,并成立了一个新的工作组。澳大利亚 加强了其网络安全战略 (尤其是在基础设施方面),以色列和丹麦等地也被考虑在内 他们的网络计划堪称一流。日本是 排名第五 在网络防御方面;时任网络安全大臣樱田义隆在2018年发表声明表示他会,此后他投了值得欢迎的信任票 从来没有用过电脑。一个 新加坡政府最近的公告 承诺投资5000万美元用于未来通信基础设施的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来科技的过程中,强有力、协调的全球网络安全应对措施至关重要,每个政府机构都应将其列为重点。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,在过去几年中,它们都增加了对政府主导的网络安全和专业知识的投资,那么安全似乎终于成为了当务之急,“好人” 正在获得赢得战斗所需的东西。
这当然有帮助,但这只是大局的一部分。这笔资金可以购买超级专家团队(就像发生的那样) 拜登的现金注入)、全面的漏洞赏金计划以及发生灾难性漏洞时的一流事件响应和缓解措施,正是这种网络防御方法确保了无论向工作组和威胁响应投入多少资金,我们都将取得最低限度的进展。
每个政府都需要将目光投向被动的安全措施之外,还需要将一些认真的努力(和资金)投入到更具预防性的战略上。如果重点仍然放在应对成功的网络攻击上,而不是从一开始就努力防范网络攻击,那么任何金钱都无法降低不断增长的风险。真正的主动安全方法将为基础设施加固分配预算,并推出有效的安全培训和技能提升,目的是从一开始就尽可能减少攻击面。
网络安全技能差距可能永远无法缩小,但潜力被浪费了
世界各地对训练有素的专业安全人员的需求巨大,我们不太可能看到这些人过剩 网络大师。但是,这更是政府和组织开始发挥创造力、精明地利用可支配资源的原因。
真正的网络防御预防性方法始于参与软件开发和基础设施过程的每个人,都要尽可能提高各自角色的安全意识。开发人员尤其需要合适的安全提升技能和适合工作的工具,这样安全编码才能成为其流程的固有组成部分。这大大有助于确保常见漏洞在出现之前得到解决。仅此一项就是一项强有力的举措,更不用说更便宜了,它可以进一步减轻软件开发生命周期中的压力和返工。
我们需要强化以人为本的网络安全最佳实践方法,这将比严重依赖自动化、工具和对已经嵌入和发现的问题的反应更好的结果——如果我们看一下当今发生的漏洞数量,这种策略显然行不通。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
