普普每日安全咨询一周概览(04.20-04.26)

作者:

时间:
2020-04-30

2020.04.20 周一



01

 从RSAC看DevSecOps的进化与落地思考


随着云计算、微服务和容器技术的快速普及,不仅IT基础架构发生了巨大的变化,政企组织的业务交付模式也迎来巨大变迁。DevSecOps通过一套全新的方法论及配套工具链将安全能力嵌入到整个DevOps体系中,在保证业务快速发展的情况下实现安全内生和自成长。

DevSecOps的广泛应用将标志着软件供应链的安全保障进入到一个全新的时代,将安全作为管理对象的一种属性,从软件供应链开发早期开始进行全生命周期的安全管理,将彻底改善企业和机构在软件和IT基础设施的安全现状。



普普评述

融入DevSecOps实践的发展成果,将一些好落地的新兴工具链技术及配套效率度量机制逐步柔和地嵌入现有IT体系中,逐步摸索出甲方自己的安全能力体系。


2020.04.21 周二


01

 如何逃离弱密码黑洞?


全球远程办公大潮中,一些企业安全的脆弱性问题被放大,全球数据泄露事件的频率和规模以肉眼可见的速度逐年递增,如果说身份与访问管理是数据安全的“重灾区”,那么“弱密码”则无疑是“震中”。

根据Verizon的《数据违规调查报告》,有81%与黑客相关的违规行为都利用了被盗密码或弱密码,只需一名员工的弱密码就可以撬开重兵把守、重金打造的企业网络安全防御体系。

以上调查是针对安全行业人士进行,普通企业员工的密码违规情况要比上面的数据严重得多!



普普评述

NIST新规则强调密码长度的重要性,另外不需定期更改密码,可以采用特殊字符和表情符在内的多种字符,密码找回不采用安用问题,避免使用已暴露的密码等。


2020.04.22 周三


01

 暗网流行数据报告,个人数据只值1美元


随着时间的流逝,网络犯罪分子已经改变了暗网市场的运营结构,目前主要是开始模仿大型零售商,比如亚马逊和eBay,提供搜索功能、电子商务和卖家评级等服务。

根据调查结果,欺诈指南是最常出售的数据类别(49%),其次是个人数据(15.6%),非金融账户和凭证(12.2%),金融帐户和凭据(8.2%),欺诈工具和模板(8%)和支付卡(7%)。一方面,网络犯罪分子可以物有所值的事实加剧了企业面临的风险。另一方面,组织经常忽视欺诈指南的负面影响,也给企业带来更大的数字风险。



普普评述

对于组织来说,尽早检测并响应被盗数据(原始材料阶段)非常重要,这样可以减少损害并防止数据被网络攻击者购买并被有效地用作网络犯罪武器。


2020.04.23 周四


01

 网络犯罪将成为第三大“经