网络攻击每 39 秒发生一次。政府终于有能力进行反击了吗?
这篇文章的一个版本出现在 VMBlog。它已在此处更新和发布。
看来,无论过去了多少网络安全宣传月,有多少精英安全专业人员跳伞,或者黑洞损失了多少钱,大数据泄露问题都会逐年恶化。它们非常常见,以至于现在几乎没有成为主流新闻,除非它们是灾难性的。在 2020 年, 超过360亿条记录被泄露 在恶意的网络攻击中,我们拭目以待,看看2021年将收获多少。
威胁行为者一直在寻找机会,虽然并非每一次攻击都是灾难,但它们平均会发生, 每 39 秒。我们甚至还没有接近赢得这场战斗,与数据捍卫者相比,坏人拥有巨大的优势。
但是,拜登政府似乎正在发生变化 将网络安全作为他任期内的早期优先事项,相当于额外提供100亿美元的资金。毫无疑问,这是朝着正确方向迈出的一步,但这真的会减少频率和复杂程度不断升级的网络犯罪吗?
网络威胁需要一个(全球)村庄来解决
有效防御日益强大的网络攻击不可能仅仅是少数国家的职权范围,不幸的是,长期以来一直缺乏协调一致的战略。但是,随着民族国家威胁的上升,许多政府都袖手旁观。
这个 影响美国政府的 SolarWinds 攻击 对可能发生的事情发出了明确的警告,也表明了如果任何关键基础设施遭到破坏,可能会遭受破坏。最近,联邦调查局发出警告, 佛罗里达州供水系统遭到袭击,威胁行为者能够远程污染供水。它们在造成严重伤害之前就被拦住了,但是更高级的攻击者本可以造成大规模的破坏,从而危及生命。
世界各地的政府正在缓慢但肯定地增加对网络防御的投资。英国制造 创纪录的投资 在网络安全领域,并成立了一个新的工作组。澳大利亚 加强了其网络安全战略 (尤其是在基础设施方面),以色列和丹麦等地也被考虑在内 他们的网络计划堪称一流。日本是 排名第五 在网络防御方面;时任网络安全大臣樱田义隆在2018年发表声明表示他会,此后他投了值得欢迎的信任票 从来没有用过电脑。一个 新加坡政府最近的公告 承诺投资5000万美元用于未来通信基础设施的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来科技的过程中,强有力、协调的全球网络安全应对措施至关重要,每个政府机构都应将其列为重点。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,在过去几年中,它们都增加了对政府主导的网络安全和专业知识的投资,那么安全似乎终于成为了当务之急,“好人” 正在获得赢得战斗所需的东西。
这当然有帮助,但这只是大局的一部分。这笔资金可以购买超级专家团队(就像发生的那样) 拜登的现金注入)、全面的漏洞赏金计划以及发生灾难性漏洞时的一流事件响应和缓解措施,正是这种网络防御方法确保了无论向工作组和威胁响应投入多少资金,我们都将取得最低限度的进展。
每个政府都需要将目光投向被动的安全措施之外,还需要将一些认真的努力(和资金)投入到更具预防性的战略上。如果重点仍然放在应对成功的网络攻击上,而不是从一开始就努力防范网络攻击,那么任何金钱都无法降低不断增长的风险。真正的主动安全方法将为基础设施加固分配预算,并推出有效的安全培训和技能提升,目的是从一开始就尽可能减少攻击面。
网络安全技能差距可能永远无法缩小,但潜力被浪费了
世界各地对训练有素的专业安全人员的需求巨大,我们不太可能看到这些人过剩 网络大师。但是,这更是政府和组织开始发挥创造力、精明地利用可支配资源的原因。
真正的网络防御预防性方法始于参与软件开发和基础设施过程的每个人,都要尽可能提高各自角色的安全意识。开发人员尤其需要合适的安全提升技能和适合工作的工具,这样安全编码才能成为其流程的固有组成部分。这大大有助于确保常见漏洞在出现之前得到解决。仅此一项就是一项强有力的举措,更不用说更便宜了,它可以进一步减轻软件开发生命周期中的压力和返工。
我们需要强化以人为本的网络安全最佳实践方法,这将比严重依赖自动化、工具和对已经嵌入和发现的问题的反应更好的结果——如果我们看一下当今发生的漏洞数量,这种策略显然行不通。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
这篇文章的一个版本出现在 VMBlog。它已在此处更新和发布。
看来,无论过去了多少网络安全宣传月,有多少精英安全专业人员跳伞,或者黑洞损失了多少钱,大数据泄露问题都会逐年恶化。它们非常常见,以至于现在几乎没有成为主流新闻,除非它们是灾难性的。在 2020 年, 超过360亿条记录被泄露 在恶意的网络攻击中,我们拭目以待,看看2021年将收获多少。
威胁行为者一直在寻找机会,虽然并非每一次攻击都是灾难,但它们平均会发生, 每 39 秒。我们甚至还没有接近赢得这场战斗,与数据捍卫者相比,坏人拥有巨大的优势。
但是,拜登政府似乎正在发生变化 将网络安全作为他任期内的早期优先事项,相当于额外提供100亿美元的资金。毫无疑问,这是朝着正确方向迈出的一步,但这真的会减少频率和复杂程度不断升级的网络犯罪吗?
网络威胁需要一个(全球)村庄来解决
有效防御日益强大的网络攻击不可能仅仅是少数国家的职权范围,不幸的是,长期以来一直缺乏协调一致的战略。但是,随着民族国家威胁的上升,许多政府都袖手旁观。
这个 影响美国政府的 SolarWinds 攻击 对可能发生的事情发出了明确的警告,也表明了如果任何关键基础设施遭到破坏,可能会遭受破坏。最近,联邦调查局发出警告, 佛罗里达州供水系统遭到袭击,威胁行为者能够远程污染供水。它们在造成严重伤害之前就被拦住了,但是更高级的攻击者本可以造成大规模的破坏,从而危及生命。
世界各地的政府正在缓慢但肯定地增加对网络防御的投资。英国制造 创纪录的投资 在网络安全领域,并成立了一个新的工作组。澳大利亚 加强了其网络安全战略 (尤其是在基础设施方面),以色列和丹麦等地也被考虑在内 他们的网络计划堪称一流。日本是 排名第五 在网络防御方面;时任网络安全大臣樱田义隆在2018年发表声明表示他会,此后他投了值得欢迎的信任票 从来没有用过电脑。一个 新加坡政府最近的公告 承诺投资5000万美元用于未来通信基础设施的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来科技的过程中,强有力、协调的全球网络安全应对措施至关重要,每个政府机构都应将其列为重点。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,在过去几年中,它们都增加了对政府主导的网络安全和专业知识的投资,那么安全似乎终于成为了当务之急,“好人” 正在获得赢得战斗所需的东西。
这当然有帮助,但这只是大局的一部分。这笔资金可以购买超级专家团队(就像发生的那样) 拜登的现金注入)、全面的漏洞赏金计划以及发生灾难性漏洞时的一流事件响应和缓解措施,正是这种网络防御方法确保了无论向工作组和威胁响应投入多少资金,我们都将取得最低限度的进展。
每个政府都需要将目光投向被动的安全措施之外,还需要将一些认真的努力(和资金)投入到更具预防性的战略上。如果重点仍然放在应对成功的网络攻击上,而不是从一开始就努力防范网络攻击,那么任何金钱都无法降低不断增长的风险。真正的主动安全方法将为基础设施加固分配预算,并推出有效的安全培训和技能提升,目的是从一开始就尽可能减少攻击面。
网络安全技能差距可能永远无法缩小,但潜力被浪费了
世界各地对训练有素的专业安全人员的需求巨大,我们不太可能看到这些人过剩 网络大师。但是,这更是政府和组织开始发挥创造力、精明地利用可支配资源的原因。
真正的网络防御预防性方法始于参与软件开发和基础设施过程的每个人,都要尽可能提高各自角色的安全意识。开发人员尤其需要合适的安全提升技能和适合工作的工具,这样安全编码才能成为其流程的固有组成部分。这大大有助于确保常见漏洞在出现之前得到解决。仅此一项就是一项强有力的举措,更不用说更便宜了,它可以进一步减轻软件开发生命周期中的压力和返工。
我们需要强化以人为本的网络安全最佳实践方法,这将比严重依赖自动化、工具和对已经嵌入和发现的问题的反应更好的结果——如果我们看一下当今发生的漏洞数量,这种策略显然行不通。
这篇文章的一个版本出现在 VMBlog。它已在此处更新和发布。
看来,无论过去了多少网络安全宣传月,有多少精英安全专业人员跳伞,或者黑洞损失了多少钱,大数据泄露问题都会逐年恶化。它们非常常见,以至于现在几乎没有成为主流新闻,除非它们是灾难性的。在 2020 年, 超过360亿条记录被泄露 在恶意的网络攻击中,我们拭目以待,看看2021年将收获多少。
威胁行为者一直在寻找机会,虽然并非每一次攻击都是灾难,但它们平均会发生, 每 39 秒。我们甚至还没有接近赢得这场战斗,与数据捍卫者相比,坏人拥有巨大的优势。
但是,拜登政府似乎正在发生变化 将网络安全作为他任期内的早期优先事项,相当于额外提供100亿美元的资金。毫无疑问,这是朝着正确方向迈出的一步,但这真的会减少频率和复杂程度不断升级的网络犯罪吗?
网络威胁需要一个(全球)村庄来解决
有效防御日益强大的网络攻击不可能仅仅是少数国家的职权范围,不幸的是,长期以来一直缺乏协调一致的战略。但是,随着民族国家威胁的上升,许多政府都袖手旁观。
这个 影响美国政府的 SolarWinds 攻击 对可能发生的事情发出了明确的警告,也表明了如果任何关键基础设施遭到破坏,可能会遭受破坏。最近,联邦调查局发出警告, 佛罗里达州供水系统遭到袭击,威胁行为者能够远程污染供水。它们在造成严重伤害之前就被拦住了,但是更高级的攻击者本可以造成大规模的破坏,从而危及生命。
世界各地的政府正在缓慢但肯定地增加对网络防御的投资。英国制造 创纪录的投资 在网络安全领域,并成立了一个新的工作组。澳大利亚 加强了其网络安全战略 (尤其是在基础设施方面),以色列和丹麦等地也被考虑在内 他们的网络计划堪称一流。日本是 排名第五 在网络防御方面;时任网络安全大臣樱田义隆在2018年发表声明表示他会,此后他投了值得欢迎的信任票 从来没有用过电脑。一个 新加坡政府最近的公告 承诺投资5000万美元用于未来通信基础设施的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来科技的过程中,强有力、协调的全球网络安全应对措施至关重要,每个政府机构都应将其列为重点。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,在过去几年中,它们都增加了对政府主导的网络安全和专业知识的投资,那么安全似乎终于成为了当务之急,“好人” 正在获得赢得战斗所需的东西。
这当然有帮助,但这只是大局的一部分。这笔资金可以购买超级专家团队(就像发生的那样) 拜登的现金注入)、全面的漏洞赏金计划以及发生灾难性漏洞时的一流事件响应和缓解措施,正是这种网络防御方法确保了无论向工作组和威胁响应投入多少资金,我们都将取得最低限度的进展。
每个政府都需要将目光投向被动的安全措施之外,还需要将一些认真的努力(和资金)投入到更具预防性的战略上。如果重点仍然放在应对成功的网络攻击上,而不是从一开始就努力防范网络攻击,那么任何金钱都无法降低不断增长的风险。真正的主动安全方法将为基础设施加固分配预算,并推出有效的安全培训和技能提升,目的是从一开始就尽可能减少攻击面。
网络安全技能差距可能永远无法缩小,但潜力被浪费了
世界各地对训练有素的专业安全人员的需求巨大,我们不太可能看到这些人过剩 网络大师。但是,这更是政府和组织开始发挥创造力、精明地利用可支配资源的原因。
真正的网络防御预防性方法始于参与软件开发和基础设施过程的每个人,都要尽可能提高各自角色的安全意识。开发人员尤其需要合适的安全提升技能和适合工作的工具,这样安全编码才能成为其流程的固有组成部分。这大大有助于确保常见漏洞在出现之前得到解决。仅此一项就是一项强有力的举措,更不用说更便宜了,它可以进一步减轻软件开发生命周期中的压力和返工。
我们需要强化以人为本的网络安全最佳实践方法,这将比严重依赖自动化、工具和对已经嵌入和发现的问题的反应更好的结果——如果我们看一下当今发生的漏洞数量,这种策略显然行不通。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
这篇文章的一个版本出现在 VMBlog。它已在此处更新和发布。
看来,无论过去了多少网络安全宣传月,有多少精英安全专业人员跳伞,或者黑洞损失了多少钱,大数据泄露问题都会逐年恶化。它们非常常见,以至于现在几乎没有成为主流新闻,除非它们是灾难性的。在 2020 年, 超过360亿条记录被泄露 在恶意的网络攻击中,我们拭目以待,看看2021年将收获多少。
威胁行为者一直在寻找机会,虽然并非每一次攻击都是灾难,但它们平均会发生, 每 39 秒。我们甚至还没有接近赢得这场战斗,与数据捍卫者相比,坏人拥有巨大的优势。
但是,拜登政府似乎正在发生变化 将网络安全作为他任期内的早期优先事项,相当于额外提供100亿美元的资金。毫无疑问,这是朝着正确方向迈出的一步,但这真的会减少频率和复杂程度不断升级的网络犯罪吗?
网络威胁需要一个(全球)村庄来解决
有效防御日益强大的网络攻击不可能仅仅是少数国家的职权范围,不幸的是,长期以来一直缺乏协调一致的战略。但是,随着民族国家威胁的上升,许多政府都袖手旁观。
这个 影响美国政府的 SolarWinds 攻击 对可能发生的事情发出了明确的警告,也表明了如果任何关键基础设施遭到破坏,可能会遭受破坏。最近,联邦调查局发出警告, 佛罗里达州供水系统遭到袭击,威胁行为者能够远程污染供水。它们在造成严重伤害之前就被拦住了,但是更高级的攻击者本可以造成大规模的破坏,从而危及生命。
世界各地的政府正在缓慢但肯定地增加对网络防御的投资。英国制造 创纪录的投资 在网络安全领域,并成立了一个新的工作组。澳大利亚 加强了其网络安全战略 (尤其是在基础设施方面),以色列和丹麦等地也被考虑在内 他们的网络计划堪称一流。日本是 排名第五 在网络防御方面;时任网络安全大臣樱田义隆在2018年发表声明表示他会,此后他投了值得欢迎的信任票 从来没有用过电脑。一个 新加坡政府最近的公告 承诺投资5000万美元用于未来通信基础设施的人工智能和网络安全研究,这是巩固数字安全和完整性的前瞻性举措。
在我们迅速进入未来科技的过程中,强有力、协调的全球网络安全应对措施至关重要,每个政府机构都应将其列为重点。
更多的钱并不意味着更少的问题
如果我们以美国、英国和澳大利亚为例,在过去几年中,它们都增加了对政府主导的网络安全和专业知识的投资,那么安全似乎终于成为了当务之急,“好人” 正在获得赢得战斗所需的东西。
这当然有帮助,但这只是大局的一部分。这笔资金可以购买超级专家团队(就像发生的那样) 拜登的现金注入)、全面的漏洞赏金计划以及发生灾难性漏洞时的一流事件响应和缓解措施,正是这种网络防御方法确保了无论向工作组和威胁响应投入多少资金,我们都将取得最低限度的进展。
每个政府都需要将目光投向被动的安全措施之外,还需要将一些认真的努力(和资金)投入到更具预防性的战略上。如果重点仍然放在应对成功的网络攻击上,而不是从一开始就努力防范网络攻击,那么任何金钱都无法降低不断增长的风险。真正的主动安全方法将为基础设施加固分配预算,并推出有效的安全培训和技能提升,目的是从一开始就尽可能减少攻击面。
网络安全技能差距可能永远无法缩小,但潜力被浪费了
世界各地对训练有素的专业安全人员的需求巨大,我们不太可能看到这些人过剩 网络大师。但是,这更是政府和组织开始发挥创造力、精明地利用可支配资源的原因。
真正的网络防御预防性方法始于参与软件开发和基础设施过程的每个人,都要尽可能提高各自角色的安全意识。开发人员尤其需要合适的安全提升技能和适合工作的工具,这样安全编码才能成为其流程的固有组成部分。这大大有助于确保常见漏洞在出现之前得到解决。仅此一项就是一项强有力的举措,更不用说更便宜了,它可以进一步减轻软件开发生命周期中的压力和返工。
我们需要强化以人为本的网络安全最佳实践方法,这将比严重依赖自动化、工具和对已经嵌入和发现的问题的反应更好的结果——如果我们看一下当今发生的漏洞数量,这种策略显然行不通。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
