当前位置: 首页>>久久操久久插 >>为网络恐怖主义提供质疑

为网络恐怖主义提供质疑

添加时间:    

2001年9月11日之后的五年,85%的IT高管认为美国政府机构不准备进行网络恐怖袭击。然而,86%的人认为他们自己的组织已经准备好抵御网络恐怖主义,根据nCircle的调查。

分析师对他们所看到的充满肯定的回应持怀疑态度,尤其是在安全漏洞和黑客攻击几乎每天都成为头条的情况下。事实上,甚至消费者都认为公司没有准备好。根据Gartner的数据,有200多万消费者报告说因为网络钓鱼攻击而直接损失了钱。

“组织的工作做得更好,但还有很长的一段路要走,对网络恐怖主义的准备感觉如此自信有点不现实,在过去的三个半月里我们已经看到了120次数据泄露这些数据泄露了个人信息,而这恰好发生在一些最大的公司,“nCircle首席执行官Abe Kleinfeld告诉TechNewsWorld。

更多不相信

大多数企业都没有准备好应对网络恐怖主义,SPI Dynamics的安全传播者Michael Sutton表示同意。他支持他的意见,指出已知的漏洞数量仍然没有打补丁几个月一次。

“除了防病毒软件供应商提供的详细信息,还有详细的蠕虫和病毒传播的详细信息,绝大多数的malcode都利用已知的漏洞,为此补丁程序可用,为什么malcode继续成功传播?及时地“,Sutton告诉TechNewsWorld。

随着复杂的Web应用程序的出现,每个使用自定义Web应用程序的公司现在都是一个软件商店,Web应用程序开发人员不是安全专家。除非这些开发商将安全问题纳入到他们的软件开发生命周期中,否则他们冒着在公司网络中形成漏洞的风险。

nCircle的Kleinfeld认为,如果没有客观的风险评分系统,组织就不能真正准备好进行攻击。他认为,大多数销售安全产品的公司都专注于对安全攻击做出反应,而不是衡量组织的整体安全性并优先考虑安全活动。 “公司需要测量,管理和降低信息安全风险,”Kleinfeld说。 “你要确保最重要的风险事先得到解决,我们没有一个一致的评级体系,所以对于企业在安全方面的表现如何,都是纯粹的猜测。

现在已经有一个标准化的安全漏洞评分系统,正在获得被称为“通用漏洞评分系统(CVSS)”的牵引。萨顿认为,CVSS在制定客观评估漏洞严重程度的系统方面做得很好,同时还能适应企业特定的风险。

虽然没有事实上的整体企业风险评分系统,但在确定要评估的内容时,并不缺乏合规性文档和最佳实践框架。 IT经理可以从CoBIT,ISO / IEC 27001,SOX,GLB,Basel II,HIPPA等等中选择。 Sutton认为:“我不认为解决方案在于制定另一个标准。 “公司自己有责任衡量风险敞口,确保风险得到适当的缓解,如果这些标准没有得到适当的应用,那么制定标准对于防范风险就没有任何作用。他说,减轻风险需要远远超过防火墙和防病毒软件。这些只是帮助减轻风险的工具 - 并非万无一失的解决方案。降低风险需要将IT的三大支柱 - 人员,流程和技术结合起来。

Sutton指出:“如果防火墙没有足够的规则,而且没有人负责管理这项技术,那么扔出防火墙什么都不做。 “同样,如果您不教育员工并采取控制措施以确保遵守规定,那么在员工手册中加入政策是浪费时间的。”

随机推荐

网站导航 福利地图