普普安全資訊一周概覽(0514-0520)

作者:

時(shí)間:
2022-05-20
遠(yuǎn)程工作中的網(wǎng)絡(luò)安全提示

在新冠疫情發(fā)生之后,世界各地正在經(jīng)歷一段艱難的時(shí)期。隨著新冠疫情對(duì)全球經(jīng)濟(jì)、政治、社會(huì)方面帶來(lái)的不利影響,企業(yè)開(kāi)展業(yè)務(wù)最主要的辦法是開(kāi)展遠(yuǎn)程工作。如果企業(yè)要繼續(xù)運(yùn)營(yíng)并減少損失,遠(yuǎn)程工作就是一個(gè)主要的解決方案。遠(yuǎn)程工作在許多方面與在企業(yè)的辦公室工作完全不同,人們主要關(guān)注的一個(gè)方面是網(wǎng)絡(luò)安全,尤其是在這個(gè)數(shù)字化的時(shí)代,很多企業(yè)投入了大量精力和資源來(lái)保護(hù)其網(wǎng)絡(luò)、IP和設(shè)備,以保護(hù)敏感數(shù)據(jù)。不幸的是,使用家庭網(wǎng)絡(luò)和設(shè)備訪問(wèn)企業(yè)的工作平臺(tái)和數(shù)據(jù)通常沒(méi)有同等程度的安全保護(hù)。這使得允許遠(yuǎn)程工作的企業(yè)容易受到網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄露的影響。以下將提供7個(gè)基本的網(wǎng)絡(luò)安全提示和技巧,以幫助人們開(kāi)展遠(yuǎn)程工作時(shí)確保信息安全。1、安裝可靠且不斷更新的防病毒軟件;2、在公共網(wǎng)絡(luò)中使用VPN;3、加密Wi-Fi路由器;4、更新操作系統(tǒng)和程序;5、完成工作后鎖定設(shè)備;6、利用可靠和安全的云計(jì)算網(wǎng)絡(luò);7、保持謹(jǐn)慎和警惕。

普普安全資訊一周概覽(0514-0520)
普普點(diǎn)評(píng)

如今,幾乎每個(gè)工作場(chǎng)所都有一系列旨在保護(hù)其網(wǎng)絡(luò)和設(shè)備免受惡意軟件侵害的措施。其中包括禁止在工作設(shè)備上安裝應(yīng)用程序、限制訪問(wèn)和強(qiáng)大的安全解決方案的規(guī)則。即使有了上述提示,沒(méi)有什么比保持謹(jǐn)慎和警惕更重要了。一封令人相信的垃圾郵件足以讓整個(gè)網(wǎng)絡(luò)癱瘓。因此,需要花時(shí)間仔細(xì)核實(shí)發(fā)件人,并在打開(kāi)電子郵件之前使用適當(dāng)?shù)某绦驋呙桦娮余]件。


普普安全資訊一周概覽(0514-0520)

普普安全資訊一周概覽(0514-0520)
區(qū)塊鏈如何減輕DDoS攻擊

根據(jù)研究,僅在2021年上半年就有540萬(wàn)例已知的分布式拒絕服務(wù)(DDoS)攻擊,比2020年上半年的同一統(tǒng)計(jì)數(shù)字增長(zhǎng)了11%。DDoS攻擊的目的是減慢網(wǎng)站的運(yùn)行速度,并最終阻礙網(wǎng)站的正常運(yùn)行。這種攻擊是通過(guò)向它們發(fā)送大量請(qǐng)求來(lái)發(fā)起的,直到其崩潰。DDoS攻擊除了極其常見(jiàn)之外,還會(huì)給企業(yè)造成超過(guò)160萬(wàn)美元的累計(jì)損失。為了防止此類(lèi)損失,多個(gè)行業(yè)的企業(yè)將區(qū)塊鏈和網(wǎng)絡(luò)安全結(jié)合起來(lái),以確保保護(hù)其數(shù)據(jù)和IT基礎(chǔ)設(shè)施。同時(shí),在DDoS攻擊的情況下,區(qū)塊鏈提供了一個(gè)可行的解決方案,以防止或至少減輕此類(lèi)攻擊的影響。

1、通過(guò)去中心化實(shí)現(xiàn)IT基礎(chǔ)設(shè)施安全。在基于區(qū)塊鏈的網(wǎng)絡(luò)中,沒(méi)有數(shù)據(jù)庫(kù)或IT基礎(chǔ)設(shè)施的其他組件,位于某個(gè)特定位置或處于單個(gè)管理員的控制之下。這種去中心化特性,使基于區(qū)塊鏈的網(wǎng)絡(luò)安全工具能夠分配數(shù)據(jù)和帶寬,以減輕DDoS攻擊的影響。

2、通過(guò)加密網(wǎng)絡(luò)實(shí)現(xiàn)物聯(lián)網(wǎng)安全?;趨^(qū)塊鏈的工具可以促進(jìn)創(chuàng)建安全、無(wú)需信任的物聯(lián)網(wǎng)網(wǎng)絡(luò)。在這樣的網(wǎng)絡(luò)中,基于區(qū)塊鏈的去中心化和去信任化,消除了可能對(duì)多個(gè)連接設(shè)備造成損害的威脅。

普普安全資訊一周概覽(0514-0520)
普普點(diǎn)評(píng)

DDoS攻擊的危險(xiǎn)來(lái)自于黑客如何部署它們,以用過(guò)多的流量淹沒(méi)集中式的IT系統(tǒng),從而使在任何給定時(shí)間只能處理一定數(shù)量請(qǐng)求的網(wǎng)站和服務(wù)器不堪重負(fù)。區(qū)塊鏈和網(wǎng)絡(luò)安全能夠很好地結(jié)合在一起的原因是,前者的一些核心特性對(duì)于后者的無(wú)縫應(yīng)用非常理想。隨著區(qū)塊鏈的不斷發(fā)展,與未來(lái)完全開(kāi)發(fā)的基于區(qū)塊鏈的工具相結(jié)合,未來(lái)的網(wǎng)絡(luò)安全將更加強(qiáng)大。

普普安全資訊一周概覽(0514-0520)

普普安全資訊一周概覽(0514-0520)
降低物聯(lián)網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的關(guān)鍵步驟

從智能家居到災(zāi)難管理操作,物聯(lián)網(wǎng)無(wú)處不在,因目前可以通過(guò)多種方式被黑客攻擊,過(guò)去曾發(fā)生過(guò)連接到互聯(lián)網(wǎng)的設(shè)備,因各種原因被黑客攻擊的例子。在如此廣泛的應(yīng)用規(guī)模下,物聯(lián)網(wǎng)安全應(yīng)該是首要關(guān)注的問(wèn)題。提高物聯(lián)網(wǎng)設(shè)備的安全性是必須的,否則,可能會(huì)導(dǎo)致巨大的財(cái)務(wù)和聲譽(yù)損失。企業(yè)可以通過(guò)多種方式專(zhuān)注于提高物聯(lián)網(wǎng)設(shè)備的安全級(jí)別。數(shù)據(jù)加密、防火墻和內(nèi)部監(jiān)控,只是可以用來(lái)提高物聯(lián)網(wǎng)設(shè)備安全級(jí)別的一些措施。

(1) 使用云基礎(chǔ)設(shè)施。云支持物聯(lián)網(wǎng)安全,因?yàn)槠渚S護(hù)了這些設(shè)備記錄的信息的機(jī)密性、可用性和完整性??梢詫?duì)正在交換的信息進(jìn)行加密,以提高這些設(shè)備的安全性。

(2) 設(shè)計(jì)安全基礎(chǔ)設(shè)施。設(shè)計(jì)一個(gè)專(zhuān)注于提高物聯(lián)網(wǎng)設(shè)備安全級(jí)別的更好的基礎(chǔ)設(shè)施至關(guān)重要。及時(shí)對(duì)設(shè)備在特定情況下的運(yùn)行情況進(jìn)行內(nèi)部檢查,這對(duì)于更改設(shè)備的系統(tǒng)非常重要。

(3) 考慮物聯(lián)網(wǎng)的API。使用API安全性,企業(yè)可以確保只有經(jīng)過(guò)授權(quán)的設(shè)備才能相互通信。任何未經(jīng)授權(quán)的對(duì)系統(tǒng)的訪問(wèn)和操作,都可以通知企業(yè)和用戶(hù)。

普普安全資訊一周概覽(0514-0520)
普普點(diǎn)評(píng)

物聯(lián)網(wǎng)是一項(xiàng)熱門(mén)技術(shù),其應(yīng)用范圍從協(xié)助人類(lèi)完成日常家務(wù)到軍事專(zhuān)業(yè)知識(shí)。憑借如此強(qiáng)大的力量和能力,物聯(lián)網(wǎng)安全也成為單向或其他使用物聯(lián)網(wǎng)的人們以及組織關(guān)注的問(wèn)題。可以說(shuō),我們所有人都在不同的設(shè)備上使用物聯(lián)網(wǎng)。在過(guò)去的十年里,我們對(duì)物聯(lián)網(wǎng)的依賴(lài)在增長(zhǎng),且沒(méi)有跡象表明其依賴(lài)在減少,或物聯(lián)網(wǎng)安全在增加。

普普安全資訊一周概覽(0514-0520)

普普安全資訊一周概覽(0514-0520)
2022 年云計(jì)算網(wǎng)絡(luò)安全威脅和趨勢(shì)

云計(jì)算為企業(yè)提供了靈活性和熟練度,不僅可以收集大量數(shù)據(jù),還可以將其用于實(shí)時(shí)洞察。遷移到云的不利之處在于會(huì)出現(xiàn)新的網(wǎng)絡(luò)安全挑戰(zhàn)。

Gartner 將網(wǎng)絡(luò)安全網(wǎng)格確定為 2022 年頂級(jí)戰(zhàn)略技術(shù)趨勢(shì)列表中的一項(xiàng)關(guān)鍵安全功能。網(wǎng)絡(luò)安全網(wǎng)格通過(guò)允許企業(yè)重新配置其網(wǎng)絡(luò)安全協(xié)議以實(shí)時(shí)滿(mǎn)足需求來(lái)模仿向靈活、可組合架構(gòu)的轉(zhuǎn)變。它幫助企業(yè)集成分布式安全服務(wù)。網(wǎng)格將允許 IT 專(zhuān)業(yè)人員和管理人員驗(yàn)證身份、提供上下文并確保整個(gè)系統(tǒng)遵守策略。專(zhuān)家將網(wǎng)絡(luò)安全網(wǎng)格確定為允許企業(yè)將云服務(wù)集成到其整體零信任架構(gòu)中的過(guò)程。端點(diǎn)檢測(cè)和響應(yīng)以及多因素身份驗(yàn)證也適合這里的安全流程。云原生平臺(tái)和工具在整體安全策略中也占有一席之地。這些產(chǎn)品和工具使安全更容易,因?yàn)樗鼈兂浞掷昧嗽铺峁┑墓δ?,然后以云產(chǎn)品需要的方式保護(hù)這些資產(chǎn)。最重要的是,它可以幫助企業(yè)在需要的地方保持可見(jiàn)性。還需要減少云攻擊面??焖夙憫?yīng)時(shí)間還將減少黑客能夠造成的損害。無(wú)論哪種方式,云攻擊都將變得更加普遍,企業(yè)應(yīng)該做好準(zhǔn)備。

普普安全資訊一周概覽(0514-0520)
普普點(diǎn)評(píng)

應(yīng)用程序編程接口允許用戶(hù)無(wú)論身在何處都可以訪問(wèn)基于云的產(chǎn)品,但它們可能成為惡意行為者的入口。即使通過(guò)身份驗(yàn)證,由于缺乏可見(jiàn)性或網(wǎng)絡(luò)釣魚(yú),一些黑客也可以利用這些漏洞。因此,網(wǎng)絡(luò)安全必須變得與架構(gòu)本身一樣靈活,以幫助公司快速調(diào)整并更快地響應(yīng)。

普普安全資訊一周概覽(0514-0520)

普普安全資訊一周概覽(0514-0520)
ERP軟件是否存在安全風(fēng)險(xiǎn)?

ERP系統(tǒng)需要防止網(wǎng)絡(luò)攻擊,但其中許多系統(tǒng)都存在使組織面臨風(fēng)險(xiǎn)的常見(jiàn)漏洞。有一些策略可以幫助最大限度地降低風(fēng)險(xiǎn)并防止攻擊。

(1) 系統(tǒng)復(fù)雜性。ERP工具將來(lái)自工作環(huán)境中多個(gè)部門(mén)的各種流程連接在一起。因此,對(duì)所有用戶(hù)進(jìn)行適當(dāng)?shù)呐嘤?xùn)應(yīng)該是實(shí)施ERP系統(tǒng)時(shí)的標(biāo)準(zhǔn)做法。

(2) 訪問(wèn)權(quán)限。如果訪問(wèn)權(quán)限配置不正確,將外部數(shù)據(jù)源和第三方工具與ERP系統(tǒng)合并可能會(huì)產(chǎn)生安全風(fēng)險(xiǎn)。

(3) 延遲更新。應(yīng)自動(dòng)實(shí)施ERP系統(tǒng)更新,以盡量減少與過(guò)時(shí)軟件相關(guān)的風(fēng)險(xiǎn)。

(4) 合規(guī)問(wèn)題。組織不能固有地信任ERP工具中包含的安全措施來(lái)保證其網(wǎng)絡(luò)和數(shù)據(jù)的安全。

(5) 云ERP系統(tǒng)接入。基于云的ERP工具是面向互聯(lián)網(wǎng)的,它們對(duì)Web可訪問(wèn)數(shù)據(jù)構(gòu)成更大的安全風(fēng)險(xiǎn)。

(6) 系統(tǒng)授權(quán)。有權(quán)訪問(wèn)ERP數(shù)據(jù)集和系統(tǒng)權(quán)限的用戶(hù)越多,越有可能被黑客入侵。

(7) 單因素身份驗(yàn)證。用戶(hù)密碼需要復(fù)雜并定期更新,以確保免受黑客攻擊。

普普安全資訊一周概覽(0514-0520)
普普點(diǎn)評(píng)

隨著COVID-19大流行開(kāi)始后遠(yuǎn)程工作結(jié)構(gòu)的增加,越來(lái)越多的組織實(shí)施了ERP系統(tǒng)來(lái)連接他們的團(tuán)隊(duì)和工作流程。但是,這會(huì)帶來(lái)ERP安全風(fēng)險(xiǎn),因?yàn)樵撓到y(tǒng)集成了所有業(yè)務(wù)資產(chǎn)。因此,網(wǎng)絡(luò)犯罪分子只需侵入這個(gè)系統(tǒng)即可訪問(wèn)整個(gè)組織的所有數(shù)據(jù)和資源。ERP軟件中的漏洞可能導(dǎo)致每個(gè)可訪問(wèn)部門(mén)對(duì)每個(gè)數(shù)據(jù)源的資產(chǎn)進(jìn)行攻擊,從而導(dǎo)致廣泛的數(shù)據(jù)泄露、盜竊和丟失。

普普安全資訊一周概覽(0514-0520)

普普安全資訊一周概覽(0514-0520)
《個(gè)人信息保護(hù)法》對(duì)金融行業(yè)的監(jiān)管要求分析與應(yīng)對(duì)建議

個(gè)人信息保護(hù)的專(zhuān)門(mén)法律,與《民法典》、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《電子商務(wù)法》、《消費(fèi)者權(quán)益保護(hù)法》等法律共同組成一張公民個(gè)人信息保護(hù)網(wǎng)。該法律的施行,明確了金融數(shù)字化發(fā)展應(yīng)當(dāng)遵循的基本準(zhǔn)則和行為規(guī)范。個(gè)人金融信息在金融業(yè)務(wù)的收集、傳輸、存儲(chǔ)、使用、刪除和銷(xiāo)毀的數(shù)據(jù)生命周期過(guò)程中面臨著諸多挑戰(zhàn),個(gè)人敏感數(shù)據(jù)泄露事件時(shí)有發(fā)生,保護(hù)個(gè)人敏感數(shù)據(jù)是《個(gè)人信息保護(hù)法》重點(diǎn)保護(hù)的領(lǐng)域之一。金融行業(yè)在落實(shí)個(gè)人信息保護(hù)法時(shí),應(yīng)結(jié)合金融行業(yè)特點(diǎn)和自身情況,采取有效的機(jī)制和措施落實(shí)相關(guān)要求,并建立持續(xù)的改進(jìn)機(jī)制。

(1)加強(qiáng)個(gè)人信息保護(hù)法和個(gè)人金融信息法規(guī)的學(xué)習(xí),全面落實(shí)合規(guī)要求。

(2)制定個(gè)人金融信息保護(hù)組織架構(gòu),落實(shí)個(gè)人金融信息保護(hù)職責(zé)。

(3)健全個(gè)人金融信息保護(hù)管理制度,夯實(shí)個(gè)人金融信息保護(hù)基礎(chǔ);

(4)實(shí)施個(gè)人金融信息數(shù)據(jù)分類(lèi)分級(jí),落實(shí)差異化安全保護(hù)機(jī)制;

(5)個(gè)人金融信息全生命周期保護(hù),筑起全方位安全保護(hù)屏障;

(6)開(kāi)展個(gè)人金融信息保護(hù)審計(jì),持續(xù)完善個(gè)人金融信息保護(hù)體系。

普普安全資訊一周概覽(0514-0520)
普普點(diǎn)評(píng)

金融機(jī)構(gòu)在業(yè)務(wù)運(yùn)營(yíng)和日常管理中要加強(qiáng)數(shù)據(jù)安全合規(guī)建設(shè),注重個(gè)人金融信息收集和處理的記錄存儲(chǔ),以滿(mǎn)足舉證責(zé)任的要求。由于金融機(jī)構(gòu)對(duì)個(gè)人金融信息的搜集、使用和處理是其開(kāi)展業(yè)務(wù)的基礎(chǔ),未來(lái)個(gè)人金融信息保護(hù)機(jī)制與信息系統(tǒng)全生命周期的全面融合將是金融機(jī)構(gòu)重點(diǎn)關(guān)注的方向,為此,金融機(jī)構(gòu)應(yīng)通過(guò)不斷提升個(gè)人金融信息的管理和技術(shù)管控能力。?

普普安全資訊一周概覽(0514-0520)

普普安全資訊一周概覽(0514-0520)
使用特權(quán)訪問(wèn)管理的六個(gè)好處

特權(quán)訪問(wèn)管理 (PAM) 是一種戰(zhàn)略方法,讓誰(shuí)有權(quán)訪問(wèn)網(wǎng)絡(luò)(包括基礎(chǔ)設(shè)施和應(yīng)用程序),然后有目的地管理該訪問(wèn)。大多數(shù)情況下,這涉及為用戶(hù)使用單點(diǎn)登錄,為管理員使用單點(diǎn)管理。實(shí)施 PAM 的企業(yè)將獲得諸多好處,包括:

1.提高可見(jiàn)性:借助 PAM,可以實(shí)時(shí)了解誰(shuí)訪問(wèn)了每個(gè)網(wǎng)絡(luò)、服務(wù)器、應(yīng)用程序和設(shè)備;

2.提高合規(guī)性:許多行業(yè),如醫(yī)療保健和金融,必須保持對(duì)最低特權(quán)訪問(wèn)的合規(guī)性,以遵守法規(guī);

3. 提高生產(chǎn)力:大多數(shù) PAM 工具使用自動(dòng)化來(lái)執(zhí)行以往手動(dòng)任務(wù),例如密碼創(chuàng)建和密碼保管;

4. 跨環(huán)境集成:通過(guò)特權(quán)訪問(wèn)管理,可以輕松地在整個(gè)團(tuán)隊(duì)中集成流程和工具;

5. 減少惡意軟件攻擊:更安全地控制訪問(wèn)并限制對(duì)業(yè)務(wù)的訪問(wèn)意味著攻擊不會(huì)傳播那么多;

6. 減少終止員工的攻擊:PAM 提供了一個(gè)內(nèi)置流程,用于在員工離開(kāi)公司時(shí)關(guān)閉訪問(wèn)權(quán)限。

普普安全資訊一周概覽(0514-0520)
普普點(diǎn)評(píng)

密碼是管理訪問(wèn)的重要組成部分,但還有其他方面需要考慮。使用特權(quán)訪問(wèn)管理 (PAM) 提供的全部范圍會(huì)有所幫助。很容易將注意力集中在網(wǎng)絡(luò)安全的閃光方面。但是,如果沒(méi)有正確管理憑證和訪問(wèn)權(quán)限,企業(yè)就會(huì)面臨受到攻擊的風(fēng)險(xiǎn)。根據(jù)Verizon 數(shù)據(jù)泄露調(diào)查報(bào)告,絕大多數(shù)網(wǎng)絡(luò)安全問(wèn)題 (80%) 與通常被盜或薄弱的憑據(jù)有關(guān)。