安全與保護

北极狼网络公司售前系统工程副总裁Lane Roush在本次数字峰会上讨论了CIS的角色，控件和工具。他以惊人的统计数据开头：数据泄露的平均总生命周期为279天。 Lane认为平均需要206天才能发现漏洞，而遏制该漏洞需要73天。 互联网安全中心（CIS）成立于2020年，旨在识别，开发，验证，推广和维持网络防御的最佳实践解决方案。 CIS内不同的重点领域和计划致力于为信息提供众包，以开发新的安全保护功能。 CIS已确定了Lane分为基础，基础和组织方面的关键安全控制。 在莱恩（Lane）的客户群中，他观察到他的大多数客户都在使用边界和预防工具。端点防护和防火墙；电子邮件安全性；和恢复计划。虽然这是一个不错的开始，但组织的目标应该是不断分配资源和功能以增强安全控制。 在介绍前六个控件之前，Lane建议完成笔测试，以便优先确定将哪些控件按什么顺序放置。此外，笔测试是验证金钱支出并确保组织获得最大收益的好方法。接下来，Lane涵盖了CIS的20个顶级控件中的六个。 第一个控制是硬件资产的清单和控制。其次是软件资产的清单和控制。这些控制涉及主动管理网络上的所有硬件和软件，以便仅安装授权的软件和硬件并可以执行它们，并找到所有未经授权和不受管理的软件和硬件，并阻止其安装或执行。 Lane给出了一个示例，该示例说明了组织能够将检测到的特技漫游器追踪到一个未拥有的资产，并破坏了发现和缓解过程。他还讨论了可以采用哪些工具来防止此类破坏。 控制三是持续的漏洞管理。组织必须连续获取，评估，确定优先级并根据新信息采取行动，以便识别漏洞，补救并最大程度地减少攻击者的机会。 在强调整体漏洞管理程序对缓解和减少攻击面的重要性之前，Lane对大量的接触点表示同情，难以控制三个。 控件四是管理特权的受控使用。 这需要使用过程和工具来跟踪，控制，阻止和纠正对计算机，网络和应用程序上管理特权的使用，分配和配置。 这需要更改已部署设备上的默认密码，使用多因素身份验证进行管理访问，设置警报等。 控件五是确保硬件和软件的安全配置。 此控件涉及使用严格的配置管理和更改控制过程来建立，实施和主动管理移动设备，便携式计算机，服务器和工作站的安全配置，以防止攻击者防范攻击者无法利用易受攻击的服务和设置。 Lane解释了Arctic Wolf的安全配置基准，并将其映射到CIS强化标准中。他...

Siemplify的全球技术领导者Tim Condello在这个有趣的，内容丰富的2020年网络安全峰会中详细介绍了如何以业务速度检测和响应威胁。 企业努力工作（比其他人努力工作），以确保免受威胁因素的侵害，但事实是，违规行为会发生。黑客只需成功一次。 移动安全专家的目标杆以使其更好地与对手保持一致应该是网络安全行业的北极星。考虑到这一点，业界提出了“ 1、10、60”时间轴。 也就是说，在一分钟内进行检测，十分钟内进行调查，六十分钟内进行修复。 企业网络环境只会变得越来越广泛和复杂。蒂姆（Tim）并不惊讶于2020年SANS网络威胁情报（CTI）调查的95％的受访者说他们甚至没有接近1、10、60的目标。 但是，他没有认为目标不切实际。 “随着我们继续迭代流程，同时继续关注我们如何在安全运营中心内部做事，我认为我们可以到达那里。” 确定问题是定义解决方案的第一步。 Tim提出了可行的网络安全策略的一些障碍。 Tim提出了五步解决方案，以提高以业务速度进行检测和响应的速度。他们是： 来自各种来源（例如EDR，IPS等）的多个警报。 可以对发生的情况进行近视查看。一种特定的警报仅提供了对手流程的一部分。相反，Tim说：“您需要做的是确保安全团队可以轻松访问您的工具，以便他们可以查看和了解您所有产品的运行状况，并采取以威胁为中心的方法来确保他们正在为环境中正在发生的事情添加上下文。 此外，我们需要确保我们正在构建可重复且可伸缩的流程。”改进不完善的流程要比根本没有任何流程要好得多。构建和定义以威胁为中心的流程为利用自动化和编排铺平了道路。 大数据和数据孤岛最好由自动化来研究。然后，人为因素根据这些发现做出决策。威胁参与者依赖于缓慢的检测和响应时间，因为要隐藏的地方太多了。 通过了解环境中存在的内容并通过自动化将它们连接在一起，我们可以高效，智能地响应自动化工具的发现。 在大多数网络安全策略中都可以找到以事件响应方式进行的通信计划，这很好，但缺少的是安全运营中心内的通信。内部沟通涉及到关闭连续信息或状态查询的破坏性循环。 相反，沟通计划可确保信息驻留在特定的，可访问的区域，高层管理人员和其他主要参与者可以主动获取这些信息。 另外，沟通计划对单词应用特定的含义。 “危机”表示特定的事物。 警报和威胁均已标记并归类。定义字词意味着每个人都可以理解发生的事...

Fromp Thycotic的产品营销经理Erin Duncan在本次Digital Summit会议中讨论了特权访问。 Erin为此奠定了基础：“我们知道网络攻击者正在利用新技术和自动化来更快地发现漏洞。对于大多数组织而言，这些攻击者可以渗透到的攻击面非常大。 它填充了数百个（即使不是数千个）特权帐户。” 通常，在保护漏洞源方面，数据中心管理员帐户和网络设备会受到最多的关注。但是，攻击面通常也被忽略，包括： 这些新工具和自动化机构的帐户凭据一旦被忽略，便为违规铺平了道路。 随着企业开发新产品，提供新服务以及通过发展或并购进行变革，攻击面越来越大。 最小化风险的第一步是了解风险的来源。每年，Thycotic都会进行一次黑帽调查。 去年，据了解，有80％的黑客表示，人类对破坏行为负有最大责任。对于黑客而言，针对人为因素比尝试直接穿透防火墙和网络基础结构便宜且有效。 组织内的意识和教育对网络安全有很长的路要走。 实施技术工具还不够。员工需要充分发挥自己的作用，以最大程度地降低安全风险。 保护个人笔记本电脑和台式机端点的安全至关重要，因为特权帐户是通行证的关键。 如果应用程序的特权过多，则难以遏制攻击。不管采用何种方法，黑客都将目标锁定为使他们拥有最广泛，最深入的数据访问权限的帐户。为什么？ Erin这样解释： “他们想要这些帐户的原因非常简单。 当您以管理员身份登录时，使用该帐户运行的每个应用程序都可以无限制地访问该计算机。 [黑客]可以实施恶意代码，或者如果您访问了自动下载内容的站点，则该应用程序将以这种方式获得无限的访问权限。企业必须假设您的用户仍将浏览不安全的网站，否则他们将从不认识的人那里收到电子邮件或即时消息。 也许现在他们在此期间甚至玩一两个在线游戏。在工作日中使他们接触到恶意软件。 即使您及时了解补丁程序和病毒签名（这对安全性而言确实很重要），事情仍然会发生。因此，如果无论采取何种安全措施，这种情况都将发生，我们必须考虑一下，当它以管理员权限运行时，我们会赋予攻击以何种力量。 ” 一个管理员帐户被利用，攻击者可以安装勒索软件，穿上特洛伊木马，用砖砌机或安装键盘记录程序，从而消除它们的踪迹。 虽然有很多逻辑上的原因可以授予用户本地管理员权限，但这些都不值得在安全方面做出让步。最小特权访问控制的原则是用户或程序仅在需要时才有权访问所需的内容。...

在模棱两可的世界中发展的最佳做法 2020年5月网络安全数字峰会 克里斯汀·范德普（Christine Vanderpool）是佛罗里达水晶公司和ASR集团的IT安全副总裁兼首席信息安全官，该公司采购了世界上大部分的甘蔗。克里斯汀（Christine）在佛罗里达水晶（Florida Crystals）呆了近两年。刚开始的时候，尚无明确的网络安全策略，因此她从头开始制定了策略。安全基础架构。 不仅仅是基础 大多数公司都有某种形式的安全措施。应用程序安全性，电子邮件安全性和常规防病毒程序是网络安全性的低端成果，但这不足以使企业摆脱漏洞。 幸运的是，目前存在的框架可以作为起点。网络安全策略。存在基准选项时，无需重新设计轮子。 克里斯汀（Christine）在网络安全框架和学校教科书之间进行了恰当的比较，他说：“当您回想起上学的时候，当您有一本教科书时，您不仅会直接进入第一页。当您得到一本教科书时，总是会看目录。我认为这确实是框架所做的。它为您提供了该程序的目录。 ” 克里斯汀（Christine）由于网络生命周期的五个部分（识别，保护，检测，响应，恢复）及其对网络攻击的方法，将佛罗里达水晶的网络安全与NIST松散地联系在一起。该框架的另一个优点是其核心原则集是通用的。当高管传达的信息是他们可以理解的信息时，向高管们推销策略会更有效。 NIST的五个部分 –谈到组织识别威胁区域的能力。例如，GRC，策略和过程以及供应商。特别是在公司从供应商和SaaS解决方案中受益的世界中，必须仔细审查和理解这些工具和关系。 同一性 保护–针对威胁，基本的应用程序安全性可以增强保护。示例包括身份和访问管理，网络安全，电子邮件安全和端点安全。任何可能通过您的人员，流程，数据或机器潜入的东西，都需要得到保护。 检测-必须尽早检测到威胁，以尽力隔离并在威胁蔓延之前将其关闭。 SIEM和MSSP在这里发挥作用，发现异常情况和妥协的指标。 响应–对事件的响应需要包含事件，就事件进行交流并分析事件周围的信息。 恢复–自然，确实会发生事件。当他们这样做时，恢复计划将确保企业尽快恢复运行，并努力改善网络安全性，以免再次发生相同的情况。 讲故事 克里斯汀（Christine）采取了一项有效的策略，使高级职员可以花大笔的钱。 她强调讲故事的重要性，不仅要花多少钱，而且要做什么。...

在5月的前两周内，至少有10个不同组织的7300万条用户记录出现在了暗网中。黑客组织Shiny Hunters声称享有信誉。实际上，Shiny Hunters本身就公开了被黑客入侵的组织的名称。 在受侵害的公司中，只有少数几家发布了官方声明。 约会应用程式Zoosk的3000万个帐户凭据正在黑暗的网上以500美元的价格出售，尽管他们的隐私声明中写着“我们已经建立了处理任何可疑个人数据的程序，违规行为，并会在法律上要求我们将违规行为通知您和任何适用的监管机构。” 另一方面，丢失了800万条用户记录的黑客之家5月20日发布声明。 家庭厨师列出了被泄露的数据，包括电子邮件地址，姓名，电话号码，加密密码和最后一个社会保障号和信用卡号的四位数。家庭厨师说：“我们正在采取行动来调查这种情况，并加强我们的信息安全防护，以防止将来发生类似事件。”并建议用户（尽管已加密）更改了密码。 全球数家教育技术公司也成为Shiny Hunters骇客的受害者。地点。 请参阅相关：本周突发事件：黑客如何利用冠状病毒 Shiny Hunters还称赞自己对Microsoft GitHub（一种软件开发托管平台）的攻击。他们声称从平台窃取了500 GB的私人文件，包括代码示例，测试项目和电子书。提供的信息“闪亮猎人”是否真实。不过，很明显，网络犯罪现场中的这位新玩家正在寻找自己的名字。 黑客得益于媒体和流行黑客论坛中的漏洞宣传。该策略引起了组织的担忧，据说企业会悄悄地与这类组织进行交易，以从黑网上删除信息。 此外，被盗的数据可用于模拟目的。 即使密码和信用卡号保持加密状态，个人信息也可用于鱼叉式网络钓鱼攻击。鱼叉式网络钓鱼描述了针对特定个人或实体的网络钓鱼尝试。与标准的网络钓鱼诈骗相比，它涉及更多的研究和定制工作，而在网络钓鱼诈骗中，个人数据非常有用。 Shiny Hunters承诺5月份的数据转储仅为“第1阶段”，公开表达了他们对被媒体抓住的担忧。 查看相关：p BYOD值得冒险吗？ Shiny Hunter黑客再次强调了在漏洞发生之前建立强大的网络安全基础架构的重要性。宽松的BYOD政策以及在家工作的员工数量的增加是黑客的梦想。 。

在此数字小组会议中，Jim Brady讨论了事件管理的实时更改。他在整个职业生涯中担任过多种安全角色的丰富经验意味着他已经看到了医疗保健网络安全领域的许多变化。自然，最新的标志是COVID-19认为必要的新远程工作环境。 过去，事故响应计划是在现场创建和制定的，例如医疗保健，医院，指挥中心等。现在，由于大多数IT人员，管理人员甚至是远程工作的医生，必须考虑新的考虑因素采取。 现在，供应商，法律顾问和工作人员正在家里工作，他们是否容易受到新的威胁行为者的侵害，或者是坏人在这场全球大流行中给医疗保健提供了休息？不幸的是，随着世界与COVID-19的斗争，机会性网络钓鱼诈骗活动正在增加。例如，某些网络钓鱼企图是在PPE设备供应商的幌子下进行的。 此外，尽管远程医疗可以代替现场医生预约，但它是否安全？ 良好执行的网络安全事件可能会导致严重瘫痪甚至瘫痪组织。在医疗保健领域，尤其是在这段时间内，医院的门必须保持打开状态。 CSO尤其对以下三种威胁保持警惕： CSO可以采取一些关键措施来有效缓解这些漏洞区域。关键的安全人员现在在家工作，因此第一个挑战是远程管理环境。系统访问必须与现场访问相同。 家庭网络需要适当的带宽量，并且必须授予正确的VPN访问权限。家庭工作者需要为其家庭路由器防火墙提供适当的安全性。 全面的网络安全计划不仅可以预防事故，而且可以对事故做出反应。 在消防部门进行防火教育的同时，还要保持灭火的能力，必须对事故做出快速反应。例如： 在团队中进行团队建设，构建指挥中心非常困难。远程分布的每个人都变得更加困难。 通讯网格有助于弄清楚谁与谁进行了交流。高层管理人员需要定期的高水平沟通。前线提供护理的临床医生需要获得完成其工作所需的技术。 对行政人员进行如何在家中保持安全的教育也是当务之急。这些非技术职位更倾向于不安全的家庭网络和防火墙设置。 BOYB设备不能供家庭成员使用或放在不安全的地方。 在大流行期间制定事件响应计划时，需要考虑所有这些因素。 员工的健康和安全也与网络安全紧密相关。例如，如果大量IT员工生病，是否有应急计划？医院发放的笔记本电脑和重新使用的IT设备是否已正确消毒？供应商在运送安全货物吗？如果网络安全攻击影响了医院的技术工具，谁来取回该设备用于取证？他们有保护他们安全的防护装备吗？所有这些考虑都必须是事件响应计划的一部分。 医疗...

5月14日，有关圣迪吉托联盟高中区（SDUHSD）发生安全漏洞的信息已发布。该漏洞影响了一个未公开数量的员工电子邮件帐户，其中包括姓名，地址，社会安全号码，登录信息，医疗信息等个人信息。尽管尚不清楚确切地窃取了哪些信息以及是否使用了这些信息，但SDUHSD会通知受邮件影响的人并提供免费的信用监控。 此外，SDUHSD正在更新其当前的数据系统安全措施，并教育其员工如何保存他们负责的信息的安全和私密性。 有趣的是，pNetwrix在两天前发布的一份报告强调了在COVID-19，远程学习和云技术活动增加的这段时间里，教育组织易受攻击的数据和安全风险不断增长。该报告中有一个明显的说法是，有54％的教育部门IT专业人员意识到，区域员工正在利用IT未知或未批准的云应用来破坏敏感数据。 虽然尚不确定SDUHSD违规是否属于此类别，但该报告强调了有关学生和教职员工数据安全的其他严峻统计数据。令人惊讶的是，有82％的教育组织手动跟踪或根本不跟踪数据共享，并且50％的数据泄露是由于2019年未经授权的数据共享所致。 随着教育工作者争先恐后地创建远程学习课程，他们正被推向一个并非都精通或未受过培训的技术世界。 如此迅速的在线学习过渡为恶意玩家和黑客打开了大门这个新的弱势群体的优势。 旧金山湾区的Berkeley Unified和Oakland Unified上周在虚拟教室会议期间发生了两个数据泄露事件时，很难理解这一点。伯克利统一公司（Berkeley Unified）暂停了Zoom和Google Meets，此前一名男子获得了教室会议ID和密码，暴露了自己并冒出了种族歧视，然后被老师从Zoom中移除。 但是，学区和教师并不是唯一的弱势群体，因为“ Zoombombings”占据了头条新闻。 Zoom提供了提示，技巧，并正在加大其安全性工作以确保其用户安全，但最终，该地区应投资于虚拟会议平台所提供的措施之外的措施。其中包括培训，强大的数据策略以及“返璞归真”的IT安全方法。 各区可以通过确保所有登录信息安全来确保学生和教职员工的安全。当各州被命令匆忙转向在线学习，并以最有效的方式与家长和学生取得联系时，许多学校在其网站上或通过邮件发布了登录信息。 Netwrix的首席执行官Steve Dickson提供了一种确保学生和数据安全的三管齐下的方法。 首先，他们需要了解...