善后视角看安全 风险评估很重要

日期:2011-11-29作者:刘平

【TechTarget中国原创】

一说到安全,我们总是从应该怎样防范开始,一步步部署安全措施和产品,然后遇到新的问题再采用新的方法,周而复始。但我们是否也应该反过来想想:如果造成了一定的后果,是由哪些安全问题引起的?这种做好最坏打算的方式对安全来说永不为过。本站记者近日在OWASP大会上采访了StrozFriedberg公司的研发部主管Jack Li先生,让我们一起从安全事件的善后角度来看看企业安全解决方案应注意什么。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

企业安全风险管理>更多

相关推荐

  • “安全即代码”:整合安全团队和DevOps团队

    随着云计算开发和部署变得越来越快且越来越灵活,安全团队意识到,保护云应用和系统部署的唯一有效方法是开发可整合到部署管道的安全控制,以及尽可能自动化……

  • 云服务提供商该为安全负什么责任?

    随着云计算使用不断增加,数据保护和网络安全的共同责任模式概念也在改变。虽然这并不是新概念,我们已经与大多数外包共享安全责任多年,但共同安全责任的性质已经随着云计算的出现而改变……

  • “双十一”式的DDoS,你准备好了么?

    不知不觉间,“双十一”购物节已经来到第六个年头。无论电商网站还是社交平台,我们都可以在最显著的位置看到各式“双十一”的折扣广告;同事、朋友们的交流也从日常的问候变为了促销信息的互通有无……

  • 进行云迁移, 看起来挑战重重……

    对于缓解云迁移挑战的简单建议是:提前规划。企业应制定政策要求安全团队参与所有云计算项目,确定尽职调查程序,并确保不要选择任何控制缺失或存在数据兼容性问题的云服务。

技术手册>更多

  • Nessus指南手册

    假如你正在寻找一个漏洞扫描器,你可能已经遇到了大量的非常昂贵的商业解决方案,这些方案都有一长串的性能和优点。不幸的是,如果你和我们之中大部分人的情况一样的话,你一般根本没有运行这些奇特的系统的预算。你可能已经退而求其次,转向考虑使用像SATAN或Saint的免费工具。然而,你可能觉得使用这些工具是一种折衷的办法,因为它们的性能设置不能与商业解决方案相比。这时候你就应该学会使用Nessus! 2005年12月Nessus背后的公司Tenable Network Security Inc.发布了Nessus 3,引进了对该产品的全面检查。在写这篇文章时候的最近版本,Nessus 3.2是在2008年3月发布的。Nessus现在可以在多种平台上使用,包括Windows、各种版本的Linux、FreeBSD、Solaris和Mac OS X。以下是这次Nessus3中的重大变化: 下面将介绍如何使用Nessus工具以及Nessus工具的更新。

  • 安全加密秘籍

    无论是企业的自身需要还是安全标准的强制规定,为了更好的保护数据,加密已经成为企业的不二选择。本技术手册将详细介绍各种加密技术,帮助企业更好的保护数据。

  • 构建DMZ 保护网络安全

    DMZ(Demilitarized Zone)即俗称的隔离区或非军事区,与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。

  • 手持和移动设备安全防护手册

    现在智能手机和PDA的功能越来越强大,越来越受到商务人士的青睐。通过提供实时有效的信息访问连接,移动设备的出现提高了工作效率。但是移动设备在带来机遇的同时,也会由于设备的丢失造成企业机密和个人信息的丢失。还有日益盛行的恶意软件、垃圾邮件和针对移动设备的黑客事件。这些都危及到移动设备的安全,那么作为企业用户该采取哪些保护措施来保护您移动设备的安全呢?本技术手册主要介绍了手持和移动设备所面临的安全威胁,以及保护笔记本电脑和智能手机安全的方法,并总结了移动设备的安全应用策略。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

一说到安全,我们总是从应该怎样防范开始,一步步部署安全措施和产品,然后遇到新的问题再采用新的方法,周而复始。但我们是否也应该反过来想想:如果造成了一定的后果,是由哪些安全问题引起的?这种做好最坏打算的方式对安全来说永不为过。本站记者近日在OWASP大会上采访了StrozFriedberg公司的研发部主管Jack Li先生,让我们一起从安全事件的善后角度来看看企业安全解决方案应注意什么。

  Jack首先介绍了他们公司的主要业务是计算机取证,电子发现(e-discovery),网络攻击响应,数据泄漏调查等。具体说,就是在法律诉讼中处理商业纠纷。比如一个公司告另一个公司,这就需要取证,那么用什么作为证据呢?公司内的所有资料都可以作为证据。

  “从我们公司自身的角度来看,OWASP做的是防护,找出漏洞然后看怎样防止,而我们做的是在事情发生以后去处理,比如一个公司攻击了某个公司,造成数据泄漏等,我们要帮公司找证据,看哪些恶意软件和病毒等都做过什么,是处理攻击以后的东西。”Jack说道,“现在技术上的一个难题就是数据太多了,以前用的数据库现在太慢了,要找新的办法了。”

  风险评估很重要

  Jack所在的公司处理过很多高端案例,他说道,“即使是这么高端的公司,你会发现他们的安全做得还是很差,很多基本的东西根本没有实现,否则那些安全事件也不可能发生。”

  “可能对于公司来说,他们没有一个办法去估计风险,不知道这么做会有什么风险。风险中有些损失是间接的,比如打官司也是要花钱的,他们都没有预计过。很多公司存在侥幸心理,在事情没发生前就认为自己是安全的。每个公司都应该估计风险面临的损失,包括直接损失和间接损失。”

StrozFriedberg公司的研发部主管Jack Li先生

图为StrozFriedberg公司的研发部主管Jack Li先生在采访现场

  不止在网上 防止数据泄漏应该做什么?

  Jack说道,应用安全只是安全的一部分,公司整个的安全还有很多方面要考虑。最大的威胁并不是那些曝光率高的。比如,大部分公司面临最多的是员工在离职时造成了数据泄漏,还有移动设备的丢失等等。

  “针对数据泄漏,企业首先应该有规章规定,让员工有安全意识,不会随便把信息乱放。物理安全其实也非常重要,大部分的安全漏洞都源于此,安全应该是一个整合性体系,企业安全不应只关注在网上。”

  对于移动设备的普及带来的安全问题,Jack表示,不能不让员工做某些事情,但一定要有管理,有记录。比如我把文档放在某些地方,要记录是谁把这份文档放在了什么地方,这种记录很简单,但是非常重要。

  云计算带来的挑战

  关于云计算,Jack表示,目前比较机密的东西是不会放在云里面的,但以后肯定会放进去。企业将数据放进云里后,将给他们的工作带来更多挑战。虽然应该可以找到作为证据的文件,但法庭是否承认这个文件具有法律效应,就还有很多工作要做了,比如调查和认证。

  “在我们工作中,有时律师希望把一些文件做成图像,认为这样可以减少被人篡改的可能性,可实际上,还是会被人篡改的,”Jack说,“安全这件事情是没有绝对性的。要做到什么安全程度,投资多少去做,都需要根据自身情况而定。”

  化被动为主动

  现在很多黑客都是在网上买工具,然后进行攻击,非常容易。传统的安全方法是,呆在这里,等别人告诉你有攻击来了再采取措施,但这时已经晚了。抵御黑客攻击最重要的是防范未知的威胁,要主动去找威胁。Jack说道,“真想保护自己的话,要知道黑客在做什么,到底这些人在使用什么样的方法,怎么进行攻击。”

  最后,Jack表示,从本质上来说,网络就是让人们进行交流的,信息流通是比较容易和自然的事情,而拦截和防御是很难的,应该提倡安全方面的信息共享。OWASP是一个比较好的工具,可以为政府企业提供免费的咨询和帮助。