当前位置:主页 > 高防服务器 >

阿里云高防ip_阿里云高防_3天试用

时间:2021-05-02 13:38来源:E度网络 作者:E度网络 点击:

高防ddos_什么是高防手机_超稳定

在本系列的最后一部分(请阅读第1部分和第2部分),宝塔防御ddos,我将查看最新的CIS关键安全控制列表上的最后5个控件。虽然这些是列表的底部,但这些工具可以给infosec团队带来的见解是非常有用的;因此,尽管排名最后,但20是PCI认证的要求,并且正在扩展到PCI DSS 3.0版。最后,我检查了相关文档,该文档为我直接听到的许多安全领导都在努力解决的问题提供了指导:量化安全性。账户监控与控制保持在之前的16英镑。尽管接近底部,但这提供了一个有价值的预防措施。简单地说,那些不再需要的帐户应该被删除。infosec团队往往忽视了这一点,因为这似乎是一项平凡的任务,然而这些帐户却代表了攻击者不必要的、经常不受监控的入口点。如果你不想让这些公司的审计人员有权限访问这些数据,为什么你要给他们留下特权?给予这种控制,可以限制攻击面,并确保可以更有效地监视真实攻击面。如果你不需要的话,取消银行金库的附加门它。那个列表中的最后一个控件,渗透测试和红队演习(#20),也没有从以前的CSC版本中移动。我觉得奇怪的是,这个控件是列表中的最后一个;每个遵循PCI规范的公司都受到扩展标准的约束,ddos防御100g多少钱,这个标准要求进行渗透测试。为什么,尽管PCI(一家致力于获得数十亿张信用卡和数十亿美元的年度交易的组织)的重视,ddos攻击到底能不能防御,但这一点在榜单上却如此之低?我的信念是渗透测试很容易做到,但很难有效且始终如一地进行。这些工具很容易获得,其中许多顶级工具都是开源软件,但挑战来自如何使用这些工具。笔测试的科学性有很多艺术性;infosec的专业人士可能对这种灰色地带的安全性感到不舒服计划,共剩下的三个控件中,有两个比前一个版本下降了很多:安全技能评估下降了8个点,降至17个,而应用安全软件则下降了12个百分点至18个百分点。培训是另一个容易做但却更具挑战性的领域,它的有效性和规律性足以真正改变员工的行为。当组织将培训视为一种静态的一次性活动时,培训也可能会受到不良影响,而这些活动通常只不过是在会议室或在线课程中度过几天而已。员工们推迟了,只在经理说需要做的时候才去做;员工们会想方设法把痛苦降到最低。但归根结底,当网络钓鱼仍然成功的时候,用户培训并没有消失。随着高调的公司违规行为以及勒索软件和其他攻击员工机器的增长,用户教育往往来自于经验而不是教室我要讨论的下一个控制是今年跌幅最大的一个,但仍然在名单上——应用程序安全软件在18岁时登记注册。一个坚实的基础是一个好房子的关键,一个设计良好的应用程序从安全性开始,但是这是控制列表的底部。这里的部分挑战是由团队成员设计安全软件,这些成员可能不是安全专家。其他控制,如脆弱性评估(#4)更接近列表的顶部,在某种意义上起到了安全网的作用;理想情况下,安全性是内置的,但通常情况下,产品需要出门,功能优先安全。那个分析的最终控制是#19,事件响应和管理,在这个更新的列表中掉了一个槽。我很惊讶这个排名这么低。考虑到发生的违规事件的数量,了解在即时反应和长期战略反应中发生了什么是至关重要的。如果我不知道小偷是从窗户进来的,给后门加一把更好的锁是没用的。在这里投资解决方案的组织,无论是通过内部软件还是通过第三方,都可以更好地了解事件中发生了什么,包括采取了什么措施,没有采取什么措施。有多少次泄露表明有X百万的记录被泄露了,然后几天之后这个数字变了,通常是上升了,然后又变了?在不移动目标的情况下,损害控制已经足够困难了。CSC的补充文档是一个度量工具,国外免费高防cdn,它致力于帮助infosec专业人员定义如何量化这些控制。在与潜在客户和客户的交谈中,我经常讨论如何量化安全性,而且几乎总是得到一个充其量是模糊的答案。虽然这个伙伴不是圣杯,但它确实在很大程度上有助于为安全程序设置客观指标。该文件概述了95个控制有效性的量化测试,尽管其中近1/3的控制上限和下限没有指导。有了这一点,安全专业人员必须建立他们的基准,ddos攻击防御产品,并寻找改进的方法。另一个挑战是控制范围的广度,范围从10x到168x。底线是,本文档代表一个起点,您必须对其应用逻辑,以确定哪些内容最适合您的组织和您的风险状况。显然,那些在全球范围内运营、接受信用卡、允许员工自由使用软件和设备的公司,将面临与国内企业不同的挑战,而国内企业只有几台严格控制的机器地点。什么下一个?既然你对修订后的控制清单有了更好的理解,现在是时候把它付诸行动了。这可以是一个简单的心理检查表,或者直接由第三方进行详细的审计,以记录您的组织在该框架下的表现。随着您的公司沿着安全成熟度曲线前进,对这些控制的深入理解将导致围绕安全性的更好讨论,并最终就如何最好地保护您的关键资源做出更好的决策。

推荐文章
最近更新