网络安全快照:六大事件即时

主题最思想周结束9月23数位信任断开理论实践+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

一-为数字信任组织聊天,但别步行

全球调查显示企业言行与数字信任实战脱节

IT治理专业协会ISACA为2 755名企业和IT专业人士了解数字信任的政策、实践和信仰,它定义数字信任为“对相关数字生态系统内提供者和消费者关系、互动和交易完整性的信心”。

调查结果包括:

• 几乎所有受访者(98%)都承认数字信任很重要,但只有12%的受访者有专职工作人员担任这一角色。
• 只有50%表示安全、数据完整性和隐私专业人员在组织上有足够的协作-数字信任最重要的角色
• 82%的受访者表示数字信任未来5年将增加重要性,但只有29%向员工提供数字信任培训
• 66%表示组织充分优先数字信任
• 23%表示组织测量数字信任实践成熟度

受访者也强烈意识到弱数字信任的反面, 包括名声伤害(62%受访者引用 ) 、更多隐私漏洞(60% ) 、 网络安全事件增加(59% ) 和客户损失(56% ) 等

^{来源:ISACA数字信任状态2022北美信息学,9月2022}

阻碍组织增强数字信任的障碍包括缺乏技能和培训以及与商业目标不匹配也无济于事,如果领导支持数字信任倡议弱小,如果财政和技术资源不足。

SACA部分建议加固数字信任包括:

• 理解数字信任如何帮助实现组织目标,测量当前状态并比较行业最佳做法
• 概述数字信任目标,确定优先事项并开发行进图
• 建立持续改善思维领域,如网络安全、质量、可靠性、守约度和客户经验

更多信息:

• 读取完整报表
• 读取博客SACA首席执行官新闻稿
• 视图视图信息学因地制宜

2-面向安全开放RAN5G服务

移动网络运营商看到从传统专有无线电接入网络向开机RAN转移的好处,这些网络向开机RAN提供更大的灵活性和可靠性

帮助操作者确保开放RANS安全,网络安全基础设施安全局和国家标准技术学院刚刚发布指南 "开放电台访问网络安全考量...

CISA代理助理主管Mona Harrington表示语句开放RAN是一个刺激概念,可以促进创新、网络性能和竞争并可能增加安全顾虑,

更多信息:

• ...前5安全风险OpenRAN...CSO
• ...开放RAN可带安全优等...RAN开放政策联盟
• ...开放RAN很容易黑它表示安全顶点...(光读)
• ...私有网络逐步了解开放RAN...(FierceWireless)
• ...NSA和CISA发布开放RAN接受和网络安全评估...(MeriTalk)

3-分析师:"Ignore攻击地表管理以自身风险'

攻击面增长加速,多亏远程作业、分布计算、API使用、IoT部署、云应用和影子IT-简言之,增加组织互联网应用资产的一切

内最近列企业策略分析师Jon Oltsik引用ESG对376安全支持者调查的结果,

• 组织开发更多云型应用并持续发布软件时,必须强化软件开发安全团队之间的协作和通信

• 现有安全工具和程序需要重新评价,因为组织正努力发现和管理攻击表面资产根据调查 人工整理分析数据 互不相容系统无效

• 43%的受访者表示需要80多小时完成全攻面管理盘点
• 69%表示因未知、非托管或误管地面资产而遭遇安全事件

• 准备管理更多漏洞并部署更多补丁

• 期望盲点增加

更多信息:

• ...终于在整个攻击面查找未知数...(百分数)
• ...何谓攻击表层管理?...(TechTaget)
• ...右路攻面映射...(百分数)
• ...寻找攻击表层管理2022年进入主流...CSO
• ...如何执行攻击面管理程序...(TechTaget)

4-网络承保人:黑客大打小商骨灰攻击下降

网络保险公司联盟发布年中报告依据对160,000名保单持有者索赔的分析并突出发现包括:

• 小企业年收入低于2 500万美元时报告平均索赔费用139 000美元,高于2021年上半年88,000美元,这突显出它们更容易受网络攻击。

• Phishing位居网络事件主触发器前列58% — — 2021年上半年上升41% — — 并聚焦员工易受这种形式社会工程攻击的可能性

• 具体到赎金件事件 平均收费下降频传请求中值赎金支付平均索要赎金 与2021年上半年相比联盟将趋势归结为各种因素,如:
  • 安全控件公司如离线数据备份可能拒绝支付赎金,因为它们能恢复运算
  • 大型组织尤其越来越不愿意参与赎金谈判。

^{网络索偿报告年中更新9月2022}

更多信息:

• ...Ransomware(略微)下降,网络保险公司表示...CSO
• ...网络保险先令支持回升请求...(惠誉评分)
• ...网络保险公司限制支付率,风险疏散...达克阅读
• ...网络保险需要全行业安全标准...安全杂志
• ...网络保险覆盖问题专家建议...(会计杂志)

5-SBOM初级程序,配有开发程序用法

全球管理咨询公司McKinsey公司发布清晰全面的素材汇算概论,

文章中标题为软件收费单:管理软件安全风险写者定义SBOM,解释它的好处并包括开发程序建议

• 使用现有软件组成分析工具基础并购或开发其他必要工具,确保这些工具顺利适应软件开发生命周期进程

• 保证跨功能团队参与SBOM程序,包括软件开发、安全、采购、法律、风险、隐私和守约者

^{软件安全风险管理,McKinsey公司,Septe2022}

• 在整个SDLC建立自动SBOM生成和评审能力

• 创建SBOM相关任务管理结构

更多信息:

• ...软件状态材料目录和网络安全准备...Linux基金会
• ...软件材料汇票最小元素...U.S.国家电信信息局
• ...安全软件供应链:开发者推荐做法...U.S.国家安全局)
• ...软件材料汇票Pros和Cons...(企业联网地球)
• ...白宫希望软件组件有新的透明度...(议定书)

6-云可见度不变

可见云资产对相当几支安全队来说仍是一个挑战,

有兴趣多学点这个题目查这些可腾资源

• ...IT全可见性需要商业风险环境...(blog)
• ...商业约束函数移到云头...(blog)
• ...扩展漏洞管理从代码云...(eBook)
• ...云安全圆桌:增强云接受而不牺牲安全标准...点播webinar
• ...4步实现库贝涅斯综合安全...(白纸)
• ...DevOpsTerraform安全指南...(白纸)