现在网络快照:6事情

主题是心灵的9月2日当周|左移位的努力不足。CISOs赚什么,强调出来。量子计算的关键基础设施的风险。确保机器学习系统。和更多!

1 -左移位:仍然在进步

将安全离开——这意味着,早些时候开始安全检查软件开发过程,得到了广泛赞誉。但是,一项新的研究显示,采用“左移位”实践的不足。

在这项研究中“在现代软件安全代码复查:开发人员的角度来看,“苏黎世大学的研究人员采访了10开发人员和182个在线调查,发现:

• 开发人员承认安全代码评审的重要性,认为这是他们的责任,但它不是最重要的思想。
• 大多数公司希望开发人员做安全代码审查,但许多不为他们提供安全培训。
• 开发人员排名缺乏安全培训和知识作为主要与安全相关的挑战。
• 开发人员常常不清楚谁负责什么关于应用程序安全性,因此他们可能忽视自己的一部分。
• 他们报告在评估第三方软件的安全库和应用程序代码组件之间的交互的安全性。

开发人员面临的挑战有关代码审查期间的安全

研究人员建议公司做得更好的开发人员对安全教育和激励他们评审代码通过提供激励和认可。

更多信息:

• ”一个实际的方法转移走了”(成立)
• ”什么是左移位测试?”(TechTarget)
• ”左移位:原生云计算安全到哪里去了”(新栈)
• ”安全离开需要GitOps方法转变”(TechTarget)
• ”OpenSSF主管警告安全发展”(栈)

2 -所有你想知道的关于2022年CISOs

CISOs挣多少钱?,他们将成为CISO的职业道路?他们呆在他们的工作多久?是什么让他们夜不能寐?

你可以找到这些和更多的问题的答案在“2022年全球首席信息安全官(CISO)调查“从高管猎头公司海德思哲。

重要发现的调查,调查了327名CISOs来自美国、欧洲和亚太地区:

• 关于他们的组织面临的最重大的威胁,大多数受访者包括ransomware(67%),其次是内部威胁(32%)、民族/国家攻击(31%)和恶意软件攻击(21%)。
• CISOs的团队规模与去年相比,增长反映了增加投资在网络安全组织。
• CISOs有广泛的能见度董事会,88%的人说他们现在全部董事会或董事会委员会。
• 平均现金补偿CISOs在美国从509000年的2021美元上升到584000美元。总薪酬,包括股权和其他激励措施,从936000美元增加到971000美元。
• 关于任期长度,77%的受访者在他们当前的工作至少三年,从2021年的56%的受访者的调查。
• “个人风险,”当被问及CISOs排名压力在顶部(59%),其次是倦怠和摩根士丹利员工流失率

更多信息:

• ”网络安全在黑板上:CISO的角色是如何发展的一个新时代”(TechMonitor)
• ”7 CISO最好的理由”(方案)
• ”有效的董事会CISOs沟通”(CISO街)
• ”当向董事会提出7 CISOs犯错”(方案)

3 -确保毫升和AI系统的指导

机器学习(毫升)和人工智能(AI)已成为无处不在的所有类型的应用程序,这使得他们一个有吸引力的目标网络罪犯,并创建一个安全团队需要保护这些系统。

最新的指导打击“敌对的机器学习”攻击来自英国国家网络安全中心(成都市)刚刚发表了一篇组安全原则毫升技术系统。

作为成都市新数据科学研究员解释道博客测试软件的漏洞和缺点,一个人必须理解它是如何工作的,但这通常是困难与ML,因为各种各样的原因。

在其指导,成都市新地址关键毫升弱点和挑战;毫升安全和网络安全标准之间的差异;及其发展的具体安全原则。

更多信息:

• ”敌对的机器学习是什么?”(对数据科学)
• ”敌对的机器学习解释”(方案)
• ”5 g网络容易受到敌对的ML的攻击”(TechTarget)
• ”数据篡改攻击很难检测”(协议)
• ”如何保护你的ML模型对对手的攻击”(下一个网络)

4 -努力填满它,网络安全工作?寻找非技术候选人

这工人的短缺仍然存在一个全球性的问题,是在网络安全中尤为明显,所以是一个招聘经理做什么?一个受欢迎的建议是考虑候选人没有技术经验。麦肯锡公司的一项新文章背起来是一个好主意。

题为“克服恐惧因素在招聘技术人才,“这是基于匿名在线工作的分析历史约280000技术优点。这里有一个统计,跳出:44%转换到非IT行业。和近五分之三美国IT经理开始在非IT角色。

其他有趣的发现对这些优点:

• 70%开始在专业服务、医疗或其他科学,技术,工程和数学(STEM)领域。
• 常见的第一个角色包括应用程序开发人员,支持和文档管理器。
• 他们表现出更强的能力来获得新的技能比它“无期徒刑犯”同行。
• 他们倾向于升职很快搬到更专业,在网络安全领域复杂的角色。

建议寻找优秀的候选人包括:

• 寻找动力候选人自己的组织内。
• 做出大胆的招聘决定,考虑“软技能”,如:
  • 分析性的思维
  • 对细节的关注
  • 解决问题的能力
  • 适应性
  • 沟通技巧
• 不排除中期工人渴望改变。
• 一旦他们,为他们提供足够的培训和教育。

更多信息:

• ”公司急需网络安全工作者”(财富)
• ”网络安全技能差距:为什么它的存在以及如何解决它”(TechTarget)
• ”网络安全团队需要填补的工作。他们需要入门级角色。”(协议)
• ”可以做些什么来克服网络安全人员短缺呢?”(银行Infosecurity)
• ”招聘初级及初级候选人可以缓解网络安全技能短缺”(TechRepublic)

5 -中钢协:关键基础设施必须准备对量子计算的威胁

给关键基础设施组织:量子计算是未来,你现在应该开始准备其网络安全风险。

是什么问题?可用时,可能在2030年左右,强大的量子计算机将会打破现有的公钥加密算法,这将创建一个全球数据隐私和安全灾难。

因此,美国政府正试图准备这个国家。例如,“量子耐”加密算法正在开发,努力定于2024年完工的释放一个新的标准。

政府也为网络安全提供指导团队,就像我们解释在这个博客。然而,关键基础设施面临特别复杂的挑战,因此,网络安全和基础设施安全机构(CISA)最近发布了一份指南为这个部门。

这里有一些线索:

• 在55个国家关键基础设施的功能由政府和企业,提供这四个将通过产品,提供基础性支持补丁和软件:
  • 在线内容和通信服务的提供者
  • 身份管理服务提供商
  • 这供应商
  • 保护者的敏感信息
• 因为他们的硬件是地理上分散的,更换周期长,组织和工业控制系统(ICS)应该量子计算风险因素在购买新的硬件。
• NCF长期保存机密数据的提供者必须防止“抓住和利用”攻击,黑客试图窃取这些数据和解密一次量子计算机是可用的。

中国钢铁工业协会也重申的重要性现在采取措施,比如盘点使用公开密匙加密的系统和应用程序,以及最关键的长期数据是安全的。

更多信息:

• ”量子启示录:专家警告的商店现在,解密后的黑客”(硅共和国)
• ”中钢协警告关键基础设施准备大规模Post-Quantum系统迁移”(NextGov)
• ”一窥中钢协Post-Quantum密码学的路线图”(深阅读)
• ”中钢协发布指导方针来帮助公司过渡到Post-quantum密码学”(Infosecurity杂志)

6 -快速的需要

这里选取了漏洞,趋势,新闻和事件,穿上你的雷达屏幕上。

• 微软警告关于一个叫做MagicWeb的恶意软件,“恶意索赔传入令牌的DLL,允许操作生成的Active Directory联合服务(广告FS)服务器。“MagicWeb被锘APT - SolarWinds名声保持持久的破坏环境。更多的信息和分析雷德蒙杂志,ZDNet和黑暗的阅读。

• Ransomware袭击7月飙升47%与6月相比,新Lockbit 3.0变异占大部分的攻击(52),根据NCC集团。

• LastPass,提供者的流行密码管理器应用程序,披露入侵者访问部分开发环境和偷了部分源代码,但表示没有妥协的客户数据。

• 谷歌披露多个在Chrome浏览器的漏洞,最严重的可能会导致执行任意代码。

• Wordpress是推荐用户更新到最新版本,因为它补丁三个安全问题,包括SQL注入漏洞。

• 谷歌已经推出了一个bug赏金计划专门为漏洞中发现任何的开源项目。

• Atlassian警告对关键的严重性脆弱性7.0在BitBucket都服务器和数据中心。