本周事件：安全研究人员从雅诗兰黛身上发现了4.4亿条记录

即使是规模最大，训练有素，最勤奋的安全团队也可能拥有明显的安全漏洞。联合国，Travelex和Microsoft都已成为网络安全数据事件的近期头条新闻。最新发现的大量数据泄露是美容制造商EstéeLauder。 1月下旬，安全研究人员耶利米·福勒（Jeremiah Fowler）发现了一个包含4.4亿条记录的不受密码保护的数据库。经过进一步审查，确定与纽约的化妆品公司EstéeLauder有关联。该公司在收到通知的同一天收到了负责任的披露通知，并限制了公众对该数据库的访问。 “该数据库似乎是一个内容管理系统，其中包含从网络的工作方式到内部文档的引用，销售矩阵数据等等的所有内容，” Fowler说。假定电子邮件地址是中间件系统中使用的数字商务或在线销售活动的一部分。 我们对企业安全领导者的研究调查发现，大型企业组织不一定具有较大的安全预算。 对于那些不可避免地没有获得对环境进行动态和连续测试所需的资金的组织，“力所能及”的口号是一个不错的口头禅。存在用于企业安全评估的不同方法。 请参阅相关内容：云安全：CISO指南请参阅相关内容：云安全：CISO指南 除了进行渗透测试外，某些组织还具有Red Team功能。它们如何相同，不同之处在哪里？ 渗透测试可以识别系统和应用程序中的漏洞，然后利用这些漏洞来了解组织面临的每个漏洞的风险。 相比之下，红队则利用攻击场景来测试组织的安全状况。例如，红队可能会使用被盗的端点窃取数据。安全团队检测并响应该威胁的能力决定了其有效性。 两种方法都可以基于具有有限时间轴的广告活动，也可以作为连续活动进行。 请参阅相关内容：了解您的敌人：2020年的攻击模拟请参阅相关内容：了解您的敌人：2020年的攻击模拟 CPG品牌和供应链需要从整体上看待其安全状况-从零售分销到电子商务，运营再到第三方关系的所有内容-仅仅依靠年度合规检查表的尝试都是不够的。持续不断地对威胁和漏洞进行评估是前进的唯一途径。而且，这不必单独完成。 安全领导者需要参与更广泛的安全社区。人们过时地认为竞争对手不会互相交谈。网络安全并非如此。每个企业都面临着相同的威胁和风险。主动收集威胁情报并观察其他人的经验（以及他们对攻击的响应方式）使普通安全领导者与成功者截然不同。 请参阅相关：本周所有网络安全中心事件报告