网络攻击每 39 秒发生一次。政府终于有能力进行反击了吗?
这篇文章的一个版本出现在 VMBlog。它已在此处更新和发布。
看来,无论过去了多少网络安全宣传月,有多少精英安全专业人员跳伞,或者黑洞损失了多少钱,大数据泄露问题都会逐年恶化。它们非常常见,以至于现在几乎没有成为主流新闻,除非它们是灾难性的。在 2020 年, 超过360亿条记录被泄露 在恶意的网络攻击中,我们拭目以待,看看2021年将收获多少。
威胁行为者一直在寻找机会,虽然并非每一次攻击都是灾难,但它们平均会发生, 每 39 秒。我们甚至还没有接近赢得这场战斗,与数据捍卫者相比,坏人拥有巨大的优势。
但是,拜登政府似乎正在发生变化 将网络安全作为他任期内的早期优先事项,相当于额外提供100亿美元的资金。毫无疑问,这是朝着正确方向迈出的一步,但这真的会减少频率和复杂程度不断升级的网络犯罪吗?
网络威胁需要一个(全球)村庄来解决
有效防御日益强大的网络攻击不可能仅仅是少数国家的职权范围,不幸的是,长期以来一直缺乏协调一致的战略。但是,随着民族国家威胁的上升,许多政府都袖手旁观。
这个 影响美国政府的 SolarWinds 攻击 对可能发生的事情发出了明确的警告,也表明了如果任何关键基础设施遭到破坏,可能会遭受破坏。最近,联邦调查局发出警告, 佛罗里达州供水系统遭到袭击,威胁行为者能够远程污染供水。它们在造成严重伤害之前就被拦住了,但是更高级的攻击者本可以造成大规模的破坏,从而危及生命。
世界各地的政府正在缓慢但肯定地增加对网络防御的投资。英国制造 创纪录的投资 在网络安全领域,并成立了一个新的工作组。澳大利亚 加强了其网络安全战略 (尤其是在基础设施方面),以色列和丹麦等地也被考虑在内 他们的网络计划堪称一流。日本是 排名第五 在网络防御方面;时任网络安全大臣樱田义隆在2018年发表声明表示他会,此后他投了值得欢迎的信任票 从来没有用过电脑。一个 新加坡政府最近的公告 承诺投资5000万美元用于未来通信基础设施的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来科技的过程中,强有力、协调的全球网络安全应对措施至关重要,每个政府机构都应将其列为重点。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,在过去几年中,它们都增加了对政府主导的网络安全和专业知识的投资,那么安全似乎终于成为了当务之急,“好人” 正在获得赢得战斗所需的东西。
这当然有帮助,但这只是大局的一部分。这笔资金可以购买超级专家团队(就像发生的那样) 拜登的现金注入)、全面的漏洞赏金计划以及发生灾难性漏洞时的一流事件响应和缓解措施,正是这种网络防御方法确保了无论向工作组和威胁响应投入多少资金,我们都将取得最低限度的进展。
每个政府都需要将目光投向被动的安全措施之外,还需要将一些认真的努力(和资金)投入到更具预防性的战略上。如果重点仍然放在应对成功的网络攻击上,而不是从一开始就努力防范网络攻击,那么任何金钱都无法降低不断增长的风险。真正的主动安全方法将为基础设施加固分配预算,并推出有效的安全培训和技能提升,目的是从一开始就尽可能减少攻击面。
网络安全技能差距可能永远无法缩小,但潜力被浪费了
世界各地对训练有素的专业安全人员的需求巨大,我们不太可能看到这些人过剩 网络大师。但是,这更是政府和组织开始发挥创造力、精明地利用可支配资源的原因。
真正的网络防御预防性方法始于参与软件开发和基础设施过程的每个人,都要尽可能提高各自角色的安全意识。开发人员尤其需要合适的安全提升技能和适合工作的工具,这样安全编码才能成为其流程的固有组成部分。这大大有助于确保常见漏洞在出现之前得到解决。仅此一项就是一项强有力的举措,更不用说更便宜了,它可以进一步减轻软件开发生命周期中的压力和返工。
我们需要强化以人为本的网络安全最佳实践方法,这将比严重依赖自动化、工具和对已经嵌入和发现的问题的反应更好的结果——如果我们看一下当今发生的漏洞数量,这种策略显然行不通。
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
这篇文章的一个版本出现在 VMBlog。它已在此处更新和发布。
看来,无论过去了多少网络安全宣传月,有多少精英安全专业人员跳伞,或者黑洞损失了多少钱,大数据泄露问题都会逐年恶化。它们非常常见,以至于现在几乎没有成为主流新闻,除非它们是灾难性的。在 2020 年, 超过360亿条记录被泄露 在恶意的网络攻击中,我们拭目以待,看看2021年将收获多少。
威胁行为者一直在寻找机会,虽然并非每一次攻击都是灾难,但它们平均会发生, 每 39 秒。我们甚至还没有接近赢得这场战斗,与数据捍卫者相比,坏人拥有巨大的优势。
但是,拜登政府似乎正在发生变化 将网络安全作为他任期内的早期优先事项,相当于额外提供100亿美元的资金。毫无疑问,这是朝着正确方向迈出的一步,但这真的会减少频率和复杂程度不断升级的网络犯罪吗?
网络威胁需要一个(全球)村庄来解决
有效防御日益强大的网络攻击不可能仅仅是少数国家的职权范围,不幸的是,长期以来一直缺乏协调一致的战略。但是,随着民族国家威胁的上升,许多政府都袖手旁观。
这个 影响美国政府的 SolarWinds 攻击 对可能发生的事情发出了明确的警告,也表明了如果任何关键基础设施遭到破坏,可能会遭受破坏。最近,联邦调查局发出警告, 佛罗里达州供水系统遭到袭击,威胁行为者能够远程污染供水。它们在造成严重伤害之前就被拦住了,但是更高级的攻击者本可以造成大规模的破坏,从而危及生命。
世界各地的政府正在缓慢但肯定地增加对网络防御的投资。英国制造 创纪录的投资 在网络安全领域,并成立了一个新的工作组。澳大利亚 加强了其网络安全战略 (尤其是在基础设施方面),以色列和丹麦等地也被考虑在内 他们的网络计划堪称一流。日本是 排名第五 在网络防御方面;时任网络安全大臣樱田义隆在2018年发表声明表示他会,此后他投了值得欢迎的信任票 从来没有用过电脑。一个 新加坡政府最近的公告 承诺投资5000万美元用于未来通信基础设施的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来科技的过程中,强有力、协调的全球网络安全应对措施至关重要,每个政府机构都应将其列为重点。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,在过去几年中,它们都增加了对政府主导的网络安全和专业知识的投资,那么安全似乎终于成为了当务之急,“好人” 正在获得赢得战斗所需的东西。
这当然有帮助,但这只是大局的一部分。这笔资金可以购买超级专家团队(就像发生的那样) 拜登的现金注入)、全面的漏洞赏金计划以及发生灾难性漏洞时的一流事件响应和缓解措施,正是这种网络防御方法确保了无论向工作组和威胁响应投入多少资金,我们都将取得最低限度的进展。
每个政府都需要将目光投向被动的安全措施之外,还需要将一些认真的努力(和资金)投入到更具预防性的战略上。如果重点仍然放在应对成功的网络攻击上,而不是从一开始就努力防范网络攻击,那么任何金钱都无法降低不断增长的风险。真正的主动安全方法将为基础设施加固分配预算,并推出有效的安全培训和技能提升,目的是从一开始就尽可能减少攻击面。
网络安全技能差距可能永远无法缩小,但潜力被浪费了
世界各地对训练有素的专业安全人员的需求巨大,我们不太可能看到这些人过剩 网络大师。但是,这更是政府和组织开始发挥创造力、精明地利用可支配资源的原因。
真正的网络防御预防性方法始于参与软件开发和基础设施过程的每个人,都要尽可能提高各自角色的安全意识。开发人员尤其需要合适的安全提升技能和适合工作的工具,这样安全编码才能成为其流程的固有组成部分。这大大有助于确保常见漏洞在出现之前得到解决。仅此一项就是一项强有力的举措,更不用说更便宜了,它可以进一步减轻软件开发生命周期中的压力和返工。
我们需要强化以人为本的网络安全最佳实践方法,这将比严重依赖自动化、工具和对已经嵌入和发现的问题的反应更好的结果——如果我们看一下当今发生的漏洞数量,这种策略显然行不通。
这篇文章的一个版本出现在 VMBlog。它已在此处更新和发布。
看来,无论过去了多少网络安全宣传月,有多少精英安全专业人员跳伞,或者黑洞损失了多少钱,大数据泄露问题都会逐年恶化。它们非常常见,以至于现在几乎没有成为主流新闻,除非它们是灾难性的。在 2020 年, 超过360亿条记录被泄露 在恶意的网络攻击中,我们拭目以待,看看2021年将收获多少。
威胁行为者一直在寻找机会,虽然并非每一次攻击都是灾难,但它们平均会发生, 每 39 秒。我们甚至还没有接近赢得这场战斗,与数据捍卫者相比,坏人拥有巨大的优势。
但是,拜登政府似乎正在发生变化 将网络安全作为他任期内的早期优先事项,相当于额外提供100亿美元的资金。毫无疑问,这是朝着正确方向迈出的一步,但这真的会减少频率和复杂程度不断升级的网络犯罪吗?
网络威胁需要一个(全球)村庄来解决
有效防御日益强大的网络攻击不可能仅仅是少数国家的职权范围,不幸的是,长期以来一直缺乏协调一致的战略。但是,随着民族国家威胁的上升,许多政府都袖手旁观。
这个 影响美国政府的 SolarWinds 攻击 对可能发生的事情发出了明确的警告,也表明了如果任何关键基础设施遭到破坏,可能会遭受破坏。最近,联邦调查局发出警告, 佛罗里达州供水系统遭到袭击,威胁行为者能够远程污染供水。它们在造成严重伤害之前就被拦住了,但是更高级的攻击者本可以造成大规模的破坏,从而危及生命。
世界各地的政府正在缓慢但肯定地增加对网络防御的投资。英国制造 创纪录的投资 在网络安全领域,并成立了一个新的工作组。澳大利亚 加强了其网络安全战略 (尤其是在基础设施方面),以色列和丹麦等地也被考虑在内 他们的网络计划堪称一流。日本是 排名第五 在网络防御方面;时任网络安全大臣樱田义隆在2018年发表声明表示他会,此后他投了值得欢迎的信任票 从来没有用过电脑。一个 新加坡政府最近的公告 承诺投资5000万美元用于未来通信基础设施的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来科技的过程中,强有力、协调的全球网络安全应对措施至关重要,每个政府机构都应将其列为重点。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,在过去几年中,它们都增加了对政府主导的网络安全和专业知识的投资,那么安全似乎终于成为了当务之急,“好人” 正在获得赢得战斗所需的东西。
这当然有帮助,但这只是大局的一部分。这笔资金可以购买超级专家团队(就像发生的那样) 拜登的现金注入)、全面的漏洞赏金计划以及发生灾难性漏洞时的一流事件响应和缓解措施,正是这种网络防御方法确保了无论向工作组和威胁响应投入多少资金,我们都将取得最低限度的进展。
每个政府都需要将目光投向被动的安全措施之外,还需要将一些认真的努力(和资金)投入到更具预防性的战略上。如果重点仍然放在应对成功的网络攻击上,而不是从一开始就努力防范网络攻击,那么任何金钱都无法降低不断增长的风险。真正的主动安全方法将为基础设施加固分配预算,并推出有效的安全培训和技能提升,目的是从一开始就尽可能减少攻击面。
网络安全技能差距可能永远无法缩小,但潜力被浪费了
世界各地对训练有素的专业安全人员的需求巨大,我们不太可能看到这些人过剩 网络大师。但是,这更是政府和组织开始发挥创造力、精明地利用可支配资源的原因。
真正的网络防御预防性方法始于参与软件开发和基础设施过程的每个人,都要尽可能提高各自角色的安全意识。开发人员尤其需要合适的安全提升技能和适合工作的工具,这样安全编码才能成为其流程的固有组成部分。这大大有助于确保常见漏洞在出现之前得到解决。仅此一项就是一项强有力的举措,更不用说更便宜了,它可以进一步减轻软件开发生命周期中的压力和返工。
我们需要强化以人为本的网络安全最佳实践方法,这将比严重依赖自动化、工具和对已经嵌入和发现的问题的反应更好的结果——如果我们看一下当今发生的漏洞数量,这种策略显然行不通。
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
这篇文章的一个版本出现在 VMBlog。它已在此处更新和发布。
看来,无论过去了多少网络安全宣传月,有多少精英安全专业人员跳伞,或者黑洞损失了多少钱,大数据泄露问题都会逐年恶化。它们非常常见,以至于现在几乎没有成为主流新闻,除非它们是灾难性的。在 2020 年, 超过360亿条记录被泄露 在恶意的网络攻击中,我们拭目以待,看看2021年将收获多少。
威胁行为者一直在寻找机会,虽然并非每一次攻击都是灾难,但它们平均会发生, 每 39 秒。我们甚至还没有接近赢得这场战斗,与数据捍卫者相比,坏人拥有巨大的优势。
但是,拜登政府似乎正在发生变化 将网络安全作为他任期内的早期优先事项,相当于额外提供100亿美元的资金。毫无疑问,这是朝着正确方向迈出的一步,但这真的会减少频率和复杂程度不断升级的网络犯罪吗?
网络威胁需要一个(全球)村庄来解决
有效防御日益强大的网络攻击不可能仅仅是少数国家的职权范围,不幸的是,长期以来一直缺乏协调一致的战略。但是,随着民族国家威胁的上升,许多政府都袖手旁观。
这个 影响美国政府的 SolarWinds 攻击 对可能发生的事情发出了明确的警告,也表明了如果任何关键基础设施遭到破坏,可能会遭受破坏。最近,联邦调查局发出警告, 佛罗里达州供水系统遭到袭击,威胁行为者能够远程污染供水。它们在造成严重伤害之前就被拦住了,但是更高级的攻击者本可以造成大规模的破坏,从而危及生命。
世界各地的政府正在缓慢但肯定地增加对网络防御的投资。英国制造 创纪录的投资 在网络安全领域,并成立了一个新的工作组。澳大利亚 加强了其网络安全战略 (尤其是在基础设施方面),以色列和丹麦等地也被考虑在内 他们的网络计划堪称一流。日本是 排名第五 在网络防御方面;时任网络安全大臣樱田义隆在2018年发表声明表示他会,此后他投了值得欢迎的信任票 从来没有用过电脑。一个 新加坡政府最近的公告 承诺投资5000万美元用于未来通信基础设施的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来科技的过程中,强有力、协调的全球网络安全应对措施至关重要,每个政府机构都应将其列为重点。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,在过去几年中,它们都增加了对政府主导的网络安全和专业知识的投资,那么安全似乎终于成为了当务之急,“好人” 正在获得赢得战斗所需的东西。
这当然有帮助,但这只是大局的一部分。这笔资金可以购买超级专家团队(就像发生的那样) 拜登的现金注入)、全面的漏洞赏金计划以及发生灾难性漏洞时的一流事件响应和缓解措施,正是这种网络防御方法确保了无论向工作组和威胁响应投入多少资金,我们都将取得最低限度的进展。
每个政府都需要将目光投向被动的安全措施之外,还需要将一些认真的努力(和资金)投入到更具预防性的战略上。如果重点仍然放在应对成功的网络攻击上,而不是从一开始就努力防范网络攻击,那么任何金钱都无法降低不断增长的风险。真正的主动安全方法将为基础设施加固分配预算,并推出有效的安全培训和技能提升,目的是从一开始就尽可能减少攻击面。
网络安全技能差距可能永远无法缩小,但潜力被浪费了
世界各地对训练有素的专业安全人员的需求巨大,我们不太可能看到这些人过剩 网络大师。但是,这更是政府和组织开始发挥创造力、精明地利用可支配资源的原因。
真正的网络防御预防性方法始于参与软件开发和基础设施过程的每个人,都要尽可能提高各自角色的安全意识。开发人员尤其需要合适的安全提升技能和适合工作的工具,这样安全编码才能成为其流程的固有组成部分。这大大有助于确保常见漏洞在出现之前得到解决。仅此一项就是一项强有力的举措,更不用说更便宜了,它可以进一步减轻软件开发生命周期中的压力和返工。
我们需要强化以人为本的网络安全最佳实践方法,这将比严重依赖自动化、工具和对已经嵌入和发现的问题的反应更好的结果——如果我们看一下当今发生的漏洞数量,这种策略显然行不通。
목록
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약다운로드
%20(1).avif)
.avif)
