特洛伊狩猎说,创造安全文化以提高网络防御
Synaptics有一个新的指纹传感器,意味着更平滑的手机屏幕
伦敦加入花旗银行IT创新网络
亚马逊旨在通过消除退房线来改变零售
AirMap,Digicert为无人机发出数字证书
为什么Marissa Mayer将从雅虎的灰烬中出现
思科与启动AI健康和安全试验合作
戴尔的纬度7285是世界上第一个2合1的无线充电
兰森沃特在2017年是最受欢迎的网络犯罪工具
开源硬件制造商开始认证产品
美国最高法院留下三星 - 苹果专利裁决的差距
Qumulo文件访问混合云QF2文件系统在欧洲推出
新年为物联网供应商的决议:开始将兰斯视为敌对
在法拉第未来的工厂的位置看不到太多
面试:勃比艾格说,解决性别多样性可以解决技能差距
2016年的10个最大的用户数据黑客
为GDPR准备的三分之二的初创公司
Microsoft推送R,SQL Server集成
忘记内华达州和加利福尼亚 - 这种国家对自动驾驶的更加认真
安全研究人员展示了对机器人的赎金软件攻击
一个未分割的漏洞暴露了Netgear路由器来攻击
Cyber​​spies偷走了工业巨人Thyssenkrupp的秘密
大多数NHS信托都失败了他们的网络安全评估,NHS Digital Acmits
英国信息专员表示,信任基础创新
Google Q4结果显示企业正在购买其公共云
预计这个春天迅速升级
区块链条给全球LGBT社区成为一个响亮的经济声音
尽管接近截止日期,但荷兰公司尚未为GDPR做好准备
这是您对AWS GreenGrass IoT服务的硬件需求的需求
最新的MacBook专业人士未能获得消费者报告建议 - 这就是为什么
密歇根州批准了没有司机或道路上的转向轮子的汽车
隐私集团敦促调查“玩具互联网”
几乎一半的年轻女性不觉得他们有一个技术职业的技能
西米德兰斯市长在狩猎首席数字官员
英特尔说独立的VR是在今年年底到来的
适用于AWS的新合作伙伴计划旨在增长Alexa,IoT等
想象力计划新的MIPS CPU,PowerVR GPU看起来它会反弹
IDC研究表明,对2017年飙升的云启用基础设施产品的需求
在压力下的企业可以让更容易获得云
ODI开始了健身的启动加速器,以获得英国移动
戴尔:带无线充电的主流笔记本电脑仍然是多年的
Waymo可能刚刚制造自驾车实惠
您的iPhone 8可以具有弯曲的OLED显示屏
麻省理工学院创建3D印刷石墨烯,比空气轻,比钢更强为10倍
隐藏的损失:非生产性任务和自动化的承诺
Microsoft为TETHETED VR耳机设置Windows 10 PC要求
802.11ac波2 APS获得地面
为思科,基于意图的网络预示着未来的技术要求
Microsoft结果显示了分布式计算的未来
戴尔emc:超级融合的时间,但不是关键任务
您的位置:首页 >产品 > 人工智能 >

特洛伊狩猎说,创造安全文化以提高网络防御

2021-07-30 12:44:07 [来源]:

根据Troy Hunt,Pluralsight Ander和Security Expert,创建安全文化可以缓解开发人员和安全专业人员之间的紧张局势,并提高组织的网络防御能力。

“安全必须是一个组织中所有技术专业人员的头脑,而不仅仅是指定的安全团队,”他每周告诉计算机。

“几乎每天发生新的黑客或违规行动,组织必须通过使担保规范而不是例外,制定保护和管理安全威胁所需的技能。”

但是,组织通常挣扎,为每个人提供网络安全性,使其成为一个普遍的组织行为,说狩猎。

“甚至安全的组织都意识到各种相关主题的培训员工不一定知道如何制定组织文化的艰难技能,”他说。

他说,这一实现导致了一个课程,为企业技术学习平台公司创造了一个以保证为中心的PlullaIght文化。

该课程旨在帮助技术专业人员和管理层了解如何在他们的组织中嵌入安全文化。

他说,部分问题是,许多组织的发展和安全团队倾向于在单独的孤岛上工作。

通常,开发组在传递给安全团队之前构建软件,但这在这些组之间创建了一个逻辑。

开发人员往往害怕安全人士,因为如果在软件代码中识别出任何关键安全漏洞,那么安全人员可以停止软件项目。

“结果,这两组之间经常有紧张,”他说。“我在银行,电子商务公司等一年内完成了大约20个讲习班,我一遍又一遍地看到这种摩擦。”

追求安全培训的第一件事就是在安全培训方面是观众。“经常安全团队进行培训,但使用对开发人员不熟悉的条款和工具,”他说。

“因此,创造以安全为中心的文化的关键是确保这些群体共同努力,并了解开发商和IT专业人员以不同的方式工作到安全优势。”

另一件重要的是要注意的是,开发人员往往不明白为什么他们正在编写代码弹性到SQL注入,例如说明。

“经常,他们还没有看到它出错了。但是当他们看到SQLMAP [SQL注射和数据库收购工具]指向他们的应用程序和所有数据都撕掉了系统时,然后他们会看到问题。也许我们应该改变我们编写代码的方式。所以显示而不只是说的真的很重要,“他说。

移动组织的另一种有用的方法以及他们内部的辛西斯,远离假设的安全方法是指狩猎的行业先例。

“突出突出了推动安全思想和方法的发生。例如,良好的安全实践是通过HTTPS加载登录页面,这是因为Facebook是由突尼斯政府的中间人攻击袭击,“他说。

“政府希望收集Facebook用户的登录,因为Facebook正在加载HTTP,突尼斯政府能够将密钥记录器与SIPHON OFF凭证一起使用,并且这是我们需要遵循最佳实践的真正良好的先例对于登录页面。“

许多旨在创建一个以保证为中心的文化在整个组织的各个团队中提名“安全冠军”。

“因此,负责软件交付的团队中的某个人被提名为安全冠军,因为它们对其感兴趣或做好安全,”狩猎说。

通常情况下,这些安全冠军都有额外的安全培训和参加安全会议的机会。它们甚至可以获得额外的安全相关的KPI(关键绩效指标)和激励措施。

除了对组织中每个人的定期安全培训外,HUNT还建议引入内部BUG赏金计划。

“这让组织内的人们寻找漏洞,以及一些组织赌博过程并使它具有竞争力和乐趣,但具有内部,可信赖的受众,”他说。

确保安全性是从顶部生活的东西,是创建一个以保证为中心文化的另一个关键部分。

“如果顶级管理人员未被示例领导,则创造安全文化是极其困难的,”他说,参考英国MP Nadine Dorries在12月份的启示,她的员工可以访问她的电脑密码。

“那是什么留言?”他说。“相反,我们希望看到领导者证明信息安全性很重要。虽然他们可能会代表他们的员工的员工的商业目标,但我们希望看到他们会发现它找到一种安全的方式,例如委派访问。

“我们必须看到顶部设置的正确示例。他们需要被视为遵循并支持安全政策和最佳实践。他们需要过上组织中其他人的行为。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。