每39秒就有一次网络攻击。政府最终是否有能力进行反击?
这篇文章的一个版本出现在 淘宝网.它已被更新并在此转发。
似乎不管有多少个网络安全宣传月,有多少精英安全专家被空降到这里,或者有多少钱被丢进黑洞,大数据泄露的问题都在逐年恶化。它们是如此频繁,以至于这些天几乎没有主流新闻,除非它们是灾难性的。2020年,超过360亿条记录在恶意的网络攻击中被曝光,我们在等待着看2021年将有多少记录被收获。
威胁者不断地扫描机会,虽然不是每一次攻击都是灾难,但它们平均每39秒就发生一次。我们甚至还没有赢得这场战斗,坏人对我们数据的保卫者有巨大的优势。
然而,随着拜登政府将网络安全作为其任期内的一个早期优先事项,增加了100亿美元的资金,变化似乎正在酝酿。毫无疑问,这是朝正确方向迈出的一步,但这是否真的能对频率和复杂程度不断升级的网络犯罪产生影响?
网络威胁将需要一个(全球)村庄来解决
对日益强大的网络攻击的有效防御不可能只是少数国家的职权范围,不幸的是,长期以来一直缺乏一个有凝聚力的全面战略。然而,随着民族国家威胁的增加,许多政府正坐立不安,注意到了这一点。
影响美国政府的SolarWinds攻击是一个明确的警告,表明如果任何关键基础设施被攻破,可能造成的破坏。最近,联邦调查局发出警告,佛罗里达州的一个供水系统受到攻击,威胁者能够远程污染供水。他们在实现严重破坏之前就被阻止了,但一个更先进的攻击者可能会造成大规模的破坏,将生命置于危险之中。
世界各国政府正在缓慢但稳步地加大对网络防御的投资。英国在网络安全领域进行了创纪录的投资,并成立了一个新的特别工作组。澳大利亚加强了其网络安全战略(尤其是针对基础设施),以色列和丹麦等国的网络项目被认为是一流的。日本在网络防御方面排名第五;这是继 2018 年时任网络安全大臣樱田义孝称自己从未使用过电脑之后,日本投出的又一张值得欢迎的信任票。新加坡政府最近宣布,将投资 5000 万美元用于未来通信基础设施中的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来的科技领域时,强有力的、协调的全球网络安全应对措施是至关重要的,每个政府机构都应该把它作为一个关键的焦点来阐明。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,它们在过去几年中都增加了对政府主导的网络安全和专业知识的投资,似乎安全终于成为一个优先事项,而 "好人 "正在获得他们需要的东西以赢得这场战斗。
这当然有帮助,但这只是大局的一部分。这些资金可以买到超级专家团队(正如拜登的现金注入所发生的那样),全面的漏洞赏金计划,以及在发生灾难性漏洞时的顶级事件响应和缓解,正是这种网络防御方法确保我们仍然会取得最小的进展,无论有多少钱被扔到工作队和威胁响应。
每个政府都需要超越被动的安全措施,并将一些认真的努力(和资金)投入到更多的预防策略中。如果重点仍然是对成功的网络攻击作出反应,而不是努力从一开始就防止它们,那么无论多少钱都会降低日益增长的风险。一个真正的、积极主动的安全方法将看到预算被分配到基础设施的加固上,并推出有效的安全培训和技能培训,目的是从一开始就尽可能地减少攻击面。
网络安全技能差距可能永远不会缩小,但有浪费的潜力
世界各地对训练有素的专业安全人员的需求量很大,我们不太可能看到这些网络大师过剩的情况。然而,这就更需要政府和组织开始变得有创意,并更精明地利用他们所掌握的资源。
真正的网络防御方法始于参与软件开发和基础设施过程的每一个人都尽可能地对自己的角色有安全意识。开发人员尤其需要正确的安全培训和适合工作的工具,这样安全编码才能成为他们工作过程中的内在因素。这在很大程度上确保了常见的漏洞可以在它们出现之前得到解决。这本身就是一个强大的--更不用说更便宜的--步骤,可以在软件开发生命周期中进一步减少压力和返工。
我们需要加强以人为主导的网络安全最佳实践方法,它将获得更好的结果,而不是严重依赖自动化、工具和对已经嵌入和发现的问题的反应--如果我们看一下今天发生的违规事件的数量,这种策略显然是行不通的。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
这篇文章的一个版本出现在 淘宝网.它已被更新并在此转发。
似乎不管有多少个网络安全宣传月,有多少精英安全专家被空降到这里,或者有多少钱被丢进黑洞,大数据泄露的问题都在逐年恶化。它们是如此频繁,以至于这些天几乎没有主流新闻,除非它们是灾难性的。2020年,超过360亿条记录在恶意的网络攻击中被曝光,我们在等待着看2021年将有多少记录被收获。
威胁者不断地扫描机会,虽然不是每一次攻击都是灾难,但它们平均每39秒就发生一次。我们甚至还没有赢得这场战斗,坏人对我们数据的保卫者有巨大的优势。
然而,随着拜登政府将网络安全作为其任期内的一个早期优先事项,增加了100亿美元的资金,变化似乎正在酝酿。毫无疑问,这是朝正确方向迈出的一步,但这是否真的能对频率和复杂程度不断升级的网络犯罪产生影响?
网络威胁将需要一个(全球)村庄来解决
对日益强大的网络攻击的有效防御不可能只是少数国家的职权范围,不幸的是,长期以来一直缺乏一个有凝聚力的全面战略。然而,随着民族国家威胁的增加,许多政府正坐立不安,注意到了这一点。
影响美国政府的SolarWinds攻击是一个明确的警告,表明如果任何关键基础设施被攻破,可能造成的破坏。最近,联邦调查局发出警告,佛罗里达州的一个供水系统受到攻击,威胁者能够远程污染供水。他们在实现严重破坏之前就被阻止了,但一个更先进的攻击者可能会造成大规模的破坏,将生命置于危险之中。
世界各国政府正在缓慢但稳步地加大对网络防御的投资。英国在网络安全领域进行了创纪录的投资,并成立了一个新的特别工作组。澳大利亚加强了其网络安全战略(尤其是针对基础设施),以色列和丹麦等国的网络项目被认为是一流的。日本在网络防御方面排名第五;这是继 2018 年时任网络安全大臣樱田义孝称自己从未使用过电脑之后,日本投出的又一张值得欢迎的信任票。新加坡政府最近宣布,将投资 5000 万美元用于未来通信基础设施中的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来的科技领域时,强有力的、协调的全球网络安全应对措施是至关重要的,每个政府机构都应该把它作为一个关键的焦点来阐明。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,它们在过去几年中都增加了对政府主导的网络安全和专业知识的投资,似乎安全终于成为一个优先事项,而 "好人 "正在获得他们需要的东西以赢得这场战斗。
这当然有帮助,但这只是大局的一部分。这些资金可以买到超级专家团队(正如拜登的现金注入所发生的那样),全面的漏洞赏金计划,以及在发生灾难性漏洞时的顶级事件响应和缓解,正是这种网络防御方法确保我们仍然会取得最小的进展,无论有多少钱被扔到工作队和威胁响应。
每个政府都需要超越被动的安全措施,并将一些认真的努力(和资金)投入到更多的预防策略中。如果重点仍然是对成功的网络攻击作出反应,而不是努力从一开始就防止它们,那么无论多少钱都会降低日益增长的风险。一个真正的、积极主动的安全方法将看到预算被分配到基础设施的加固上,并推出有效的安全培训和技能培训,目的是从一开始就尽可能地减少攻击面。
网络安全技能差距可能永远不会缩小,但有浪费的潜力
世界各地对训练有素的专业安全人员的需求量很大,我们不太可能看到这些网络大师过剩的情况。然而,这就更需要政府和组织开始变得有创意,并更精明地利用他们所掌握的资源。
真正的网络防御方法始于参与软件开发和基础设施过程的每一个人都尽可能地对自己的角色有安全意识。开发人员尤其需要正确的安全培训和适合工作的工具,这样安全编码才能成为他们工作过程中的内在因素。这在很大程度上确保了常见的漏洞可以在它们出现之前得到解决。这本身就是一个强大的--更不用说更便宜的--步骤,可以在软件开发生命周期中进一步减少压力和返工。
我们需要加强以人为主导的网络安全最佳实践方法,它将获得更好的结果,而不是严重依赖自动化、工具和对已经嵌入和发现的问题的反应--如果我们看一下今天发生的违规事件的数量,这种策略显然是行不通的。
这篇文章的一个版本出现在 淘宝网.它已被更新并在此转发。
似乎不管有多少个网络安全宣传月,有多少精英安全专家被空降到这里,或者有多少钱被丢进黑洞,大数据泄露的问题都在逐年恶化。它们是如此频繁,以至于这些天几乎没有主流新闻,除非它们是灾难性的。2020年,超过360亿条记录在恶意的网络攻击中被曝光,我们在等待着看2021年将有多少记录被收获。
威胁者不断地扫描机会,虽然不是每一次攻击都是灾难,但它们平均每39秒就发生一次。我们甚至还没有赢得这场战斗,坏人对我们数据的保卫者有巨大的优势。
然而,随着拜登政府将网络安全作为其任期内的一个早期优先事项,增加了100亿美元的资金,变化似乎正在酝酿。毫无疑问,这是朝正确方向迈出的一步,但这是否真的能对频率和复杂程度不断升级的网络犯罪产生影响?
网络威胁将需要一个(全球)村庄来解决
对日益强大的网络攻击的有效防御不可能只是少数国家的职权范围,不幸的是,长期以来一直缺乏一个有凝聚力的全面战略。然而,随着民族国家威胁的增加,许多政府正坐立不安,注意到了这一点。
影响美国政府的SolarWinds攻击是一个明确的警告,表明如果任何关键基础设施被攻破,可能造成的破坏。最近,联邦调查局发出警告,佛罗里达州的一个供水系统受到攻击,威胁者能够远程污染供水。他们在实现严重破坏之前就被阻止了,但一个更先进的攻击者可能会造成大规模的破坏,将生命置于危险之中。
世界各国政府正在缓慢但稳步地加大对网络防御的投资。英国在网络安全领域进行了创纪录的投资,并成立了一个新的特别工作组。澳大利亚加强了其网络安全战略(尤其是针对基础设施),以色列和丹麦等国的网络项目被认为是一流的。日本在网络防御方面排名第五;这是继 2018 年时任网络安全大臣樱田义孝称自己从未使用过电脑之后,日本投出的又一张值得欢迎的信任票。新加坡政府最近宣布,将投资 5000 万美元用于未来通信基础设施中的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来的科技领域时,强有力的、协调的全球网络安全应对措施是至关重要的,每个政府机构都应该把它作为一个关键的焦点来阐明。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,它们在过去几年中都增加了对政府主导的网络安全和专业知识的投资,似乎安全终于成为一个优先事项,而 "好人 "正在获得他们需要的东西以赢得这场战斗。
这当然有帮助,但这只是大局的一部分。这些资金可以买到超级专家团队(正如拜登的现金注入所发生的那样),全面的漏洞赏金计划,以及在发生灾难性漏洞时的顶级事件响应和缓解,正是这种网络防御方法确保我们仍然会取得最小的进展,无论有多少钱被扔到工作队和威胁响应。
每个政府都需要超越被动的安全措施,并将一些认真的努力(和资金)投入到更多的预防策略中。如果重点仍然是对成功的网络攻击作出反应,而不是努力从一开始就防止它们,那么无论多少钱都会降低日益增长的风险。一个真正的、积极主动的安全方法将看到预算被分配到基础设施的加固上,并推出有效的安全培训和技能培训,目的是从一开始就尽可能地减少攻击面。
网络安全技能差距可能永远不会缩小,但有浪费的潜力
世界各地对训练有素的专业安全人员的需求量很大,我们不太可能看到这些网络大师过剩的情况。然而,这就更需要政府和组织开始变得有创意,并更精明地利用他们所掌握的资源。
真正的网络防御方法始于参与软件开发和基础设施过程的每一个人都尽可能地对自己的角色有安全意识。开发人员尤其需要正确的安全培训和适合工作的工具,这样安全编码才能成为他们工作过程中的内在因素。这在很大程度上确保了常见的漏洞可以在它们出现之前得到解决。这本身就是一个强大的--更不用说更便宜的--步骤,可以在软件开发生命周期中进一步减少压力和返工。
我们需要加强以人为主导的网络安全最佳实践方法,它将获得更好的结果,而不是严重依赖自动化、工具和对已经嵌入和发现的问题的反应--如果我们看一下今天发生的违规事件的数量,这种策略显然是行不通的。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
这篇文章的一个版本出现在 淘宝网.它已被更新并在此转发。
似乎不管有多少个网络安全宣传月,有多少精英安全专家被空降到这里,或者有多少钱被丢进黑洞,大数据泄露的问题都在逐年恶化。它们是如此频繁,以至于这些天几乎没有主流新闻,除非它们是灾难性的。2020年,超过360亿条记录在恶意的网络攻击中被曝光,我们在等待着看2021年将有多少记录被收获。
威胁者不断地扫描机会,虽然不是每一次攻击都是灾难,但它们平均每39秒就发生一次。我们甚至还没有赢得这场战斗,坏人对我们数据的保卫者有巨大的优势。
然而,随着拜登政府将网络安全作为其任期内的一个早期优先事项,增加了100亿美元的资金,变化似乎正在酝酿。毫无疑问,这是朝正确方向迈出的一步,但这是否真的能对频率和复杂程度不断升级的网络犯罪产生影响?
网络威胁将需要一个(全球)村庄来解决
对日益强大的网络攻击的有效防御不可能只是少数国家的职权范围,不幸的是,长期以来一直缺乏一个有凝聚力的全面战略。然而,随着民族国家威胁的增加,许多政府正坐立不安,注意到了这一点。
影响美国政府的SolarWinds攻击是一个明确的警告,表明如果任何关键基础设施被攻破,可能造成的破坏。最近,联邦调查局发出警告,佛罗里达州的一个供水系统受到攻击,威胁者能够远程污染供水。他们在实现严重破坏之前就被阻止了,但一个更先进的攻击者可能会造成大规模的破坏,将生命置于危险之中。
世界各国政府正在缓慢但稳步地加大对网络防御的投资。英国在网络安全领域进行了创纪录的投资,并成立了一个新的特别工作组。澳大利亚加强了其网络安全战略(尤其是针对基础设施),以色列和丹麦等国的网络项目被认为是一流的。日本在网络防御方面排名第五;这是继 2018 年时任网络安全大臣樱田义孝称自己从未使用过电脑之后,日本投出的又一张值得欢迎的信任票。新加坡政府最近宣布,将投资 5000 万美元用于未来通信基础设施中的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来的科技领域时,强有力的、协调的全球网络安全应对措施是至关重要的,每个政府机构都应该把它作为一个关键的焦点来阐明。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,它们在过去几年中都增加了对政府主导的网络安全和专业知识的投资,似乎安全终于成为一个优先事项,而 "好人 "正在获得他们需要的东西以赢得这场战斗。
这当然有帮助,但这只是大局的一部分。这些资金可以买到超级专家团队(正如拜登的现金注入所发生的那样),全面的漏洞赏金计划,以及在发生灾难性漏洞时的顶级事件响应和缓解,正是这种网络防御方法确保我们仍然会取得最小的进展,无论有多少钱被扔到工作队和威胁响应。
每个政府都需要超越被动的安全措施,并将一些认真的努力(和资金)投入到更多的预防策略中。如果重点仍然是对成功的网络攻击作出反应,而不是努力从一开始就防止它们,那么无论多少钱都会降低日益增长的风险。一个真正的、积极主动的安全方法将看到预算被分配到基础设施的加固上,并推出有效的安全培训和技能培训,目的是从一开始就尽可能地减少攻击面。
网络安全技能差距可能永远不会缩小,但有浪费的潜力
世界各地对训练有素的专业安全人员的需求量很大,我们不太可能看到这些网络大师过剩的情况。然而,这就更需要政府和组织开始变得有创意,并更精明地利用他们所掌握的资源。
真正的网络防御方法始于参与软件开发和基础设施过程的每一个人都尽可能地对自己的角色有安全意识。开发人员尤其需要正确的安全培训和适合工作的工具,这样安全编码才能成为他们工作过程中的内在因素。这在很大程度上确保了常见的漏洞可以在它们出现之前得到解决。这本身就是一个强大的--更不用说更便宜的--步骤,可以在软件开发生命周期中进一步减少压力和返工。
我们需要加强以人为主导的网络安全最佳实践方法,它将获得更好的结果,而不是严重依赖自动化、工具和对已经嵌入和发现的问题的反应--如果我们看一下今天发生的违规事件的数量,这种策略显然是行不通的。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示下载资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
