网络安全快照:什么,Me worry企业采用创用AI安全风险

受教义AI潜力的诱惑,组织向前跳跃,忽略陷阱并查常见缺陷 使Weba数据冒风险何以去年多零日虫变异已知脆弱点并查当前数据破解成本-ochAnd much more!

深入六大事物 顶心 八四结束一周

企业接受GenAI,忽略安全,守法风险

指职场使用AI时,

各种大小企业和跨行业企业都使用ChatGPT等基因化AI工具,但多数企业对技术在网络安全与守法等领域的风险视而不见。

根據McKinsey公司调查AI当前状态三分之一受访者表示,他们的组织定期使用染色AI实现至少一种商业功能-大都用于营销/销售、产品开发和服务运营

多数基因化AI早期采纳者忽略这些工具的风险举例说,只有21%接受调查的组织制定了员工使用染色AI的政策只有38%积极减轻网络安全风险受监管风险率低为28%

麦金赛公司调查1 684个组织,其中913个组织在至少一个业务函数中使用AI使用人工智能者中,60%使用自定义人工智能

获取更多细节,查报表标题2023年AI状态:创用AI破解年份...

更多安全负责使用自定义工具信息

• ...8个问题使用AI响应回答...(哈佛工商评审)
• ...CSA提供指南说明如何安全使用Org...(百分数)
• ...负责任的AI风险:理解并克服第三方AI风险...MIT Sloan管理评审
• ...聊天GPT类工具启动开发者速度-放大网络风险...(百分数)
• ...AI伦理学如何以教义AI向前发展...(ComputerWeekly)

2-当心Web应用常见缺陷使数据面临风险

U.S.澳洲网络机构警告 常见安全漏洞 恶意行为方利用 篡改网络应用数据

被称为安全直接对象引用漏洞,这些存取控制缺陷导致 web应用执行不充分认证和授权检查IDOR缺陷成功开发后允许黑客修改、删除和访问数据,使用合法用户标识向网站或WebAPI发送请求

恶意行为方经常利用这些漏洞破解数据事件,网络安全基础设施安全局国家安全局

文档描述IDOR漏洞,解释开发方式并详细为 weba应用商、设计师、开发商和终端用户提供缓冲

推荐缓冲包括:

• 销售商、设计师和开发商应:
  • 逐项安全执行并逐项安全执行原则
  • web应用对修改、删除和访问数据请求进行认证和授权检查
  • 使用自动化代码审查工具查找并修复IDOR缺陷
  • 不暴露识别码、名称和键入URL,而代之以随机强值
• 终端用户应:
  • 安全尽责评价weba
  • 尽快补网应用
  • 使用网络应用进行漏洞扫描渗透测试

获取所有细节读教程标题防止Web应用访问控制滥用...

更多网站应用安全信息

• ...10强Web应用安全风险...(OWASP)
• ...云安全基础知识:保护Web应用...(百分数)
• ...API攻击增加并避免...CSO
• ...Web应用安全:A2023指南...(GB黑客)
• ...5项应用安全威胁和如何预防...(TechTaget)

维多

渗透测试帮助安全Web应用EC-Council

安全web应用公共云(百分数)

3-Google:2022年许多零日错误变异

谷歌审查去年野生零日漏洞时发现约40%基于先前报告的漏洞后台是什么

有几个原因, 包括软件制作者有时不完全补补漏洞,允许savy攻击者通过不同路径触发bug

视补丁正确综合时为完全正确补丁完全精准修复错误,表示补丁不再允许利用漏洞,读报告

Google建议软件制作者在编译补丁时做下列工作:

• 查找bug真正的根原因,而不仅仅是它被利用的方式
• 识别其他地址错误可能存在
• 评估攻击者可使用的其他路径开发ug
• 确定补丁周围是否有路

报表的其他发现包括:

• 2022年有41个零日昆虫在野外开发,比2021年的69个下降
• 共41个昆虫中 17个变异已知漏洞
• Android用户往往不得不等待“重大”时间补丁零日错误

来源:谷歌威胁分析组,2023年7月

说到已知漏洞 美国及国际网络机构本周发布联合咨询详解2022年最常用漏洞可点安全响应小队博客深入覆盖咨询AA23-215A:2022顶路程开发虚弱性...

获取更多Google发现细节完整报表.

更多有关故障软件补丁题目的信息

• ...软软件补丁是一个 扰动趋势...(Wired)
• ...零日倡议看到故障补丁增加...(TechTaget)
• ...补丁缺陷:软件修补失效关闭攻击者...达克阅读
• ...补丁疯狂:供应商ug建议破解...达克阅读

4-IBM数据破解成本持续上升

数据破解将耗资很多IBM的“数据突破报告2023成本报告 ” 中的主要发现,它把物价标签绑定为全球平均445万美元 — — 三年内上升15 % 。

数据突破平均总成本(以百万美元计量)

数据突破报告费用2023年7月2023

死直肠纳克里特研究显示,如果广泛使用安全工具来利用人工智能自动化工具, 数据破解金融打击平均可减少176万美元。Dergrunddfur快速有效检测控制破解

成熟DevsecOps进程组织软件开发生命周期效果也更好,平均数据损耗比不先进DevsecOps进程或完全无损低168万美元

其它结果包括:

• 各种破解费用中,检测和升级费用猛增最大,比上一年高42%
• 95%分析的组织经历多数据破解,但只有半数被破解计划增加安全投资
• 数据破解生命周期长度平均短108天使用AI和自动化安全工具的组织
• Ransomware通知执法平均节省470 000美元数据破解费用,而受害者不涉及执法
• 40%的数据破解中,攻击者破坏多环境-公共云、私有云和馆舍-数据
• 平均费用保健破损数据猛增近1100万元,自2020年以来上升53%,而关键基础设施从去年上升4.5%至504万元

这份报告现为18年,由Ponemon学院编写,基于对2022年3月至2023年3月全世界553个组织遭受真实世界数据破解的分析

获取更多细节,查报表主页,a博客关于它,公告发布和78页报表本身.您也可以看视频 :

5-白宫解决网络技能短缺

拜登政府本周启动国家网络工作与教育策略,

共识是这是一个严重的问题美国约663 000个网络安全工作,根据国家标准技术学院统计,约达30%的工作空缺率赛博赛克跟踪网络安全工作开口

来源:Ceberseek,Aug2023

国家网络工作与教育策略基于四大支柱:

• 向每个人提供学习网络安全知识的机会,使所有美国人都拥有网络基础技能

• 各级变换网络教育,从小学一直到学院,包括社区学院和技术学校

• 拓展并增强美国网络工作网,例如通过推广技能招工

• 增强联邦网络劳动力,例如通过降低招聘和入职相关壁垒

多联邦机构以及民营公司、非盈利组织及教育机构都参与这一举措。

获取更多细节读白宫公告发布中,网络劳动力教育策略主页和60页程序描述.

更多网络安全专业人员短缺信息

• ...12方法处理网络安全技巧差距挑战2023...(InformationWeek)
• ...拼命填充IT网络安全作业寻找非技术候选...(百分数)
• ...网络安全技能空白:为何存在以及如何解决...(TechTaget)
• ...招聘初级生可缓解网络安全技能短缺...技术共和
• ...网络安全技能空白是一个实战威胁-这是如何解决它世界经济论坛

6-零信任架构入门

寻找零信任基础概述查取适当标题博客零信任架构是什么SANS学院本周发布定义零信任架构解释它应如何工作提供零信任使用案例样本轮廓五核心原理并列表五个实施阶段

零信任设计保护组织不受网络攻击,

更多零信任信息

• ...零信任到期模型-版本2.0...(CISA)
• ...零信任是什么提高安全效率模型...CSO
• ...7步实现零信任,并举实生例子...(TechTaget)
• ...5行业实施零信任架构最佳做法...Carnegie梅隆大学

维德索斯

企业零信任终极指南(TechTaget)