当前位置:主页 > 高防服务器 >

cdn防御_高防御和高幸运_如何解决

时间:2021-06-12 01:34来源:E度网络 作者:E度网络 点击:

cdn防御_高防御和高幸运_如何解决

本文由Veracode首席营销官edjennings和产品营销经理annennielsen联合撰写。世界各地的企业,不仅仅是最大的银行,都忽视了他们在安全方面的一个重大差距最近,摩根大通(jpmorganchase)的漏洞泄露了7600万个家庭和700万个小企业的部分个人账户信息。这一漏洞,以及塔吉特、家得宝、洛斯和其他公司的漏洞,突出了供应商安全的问题:如果你在买东西,你是否也要负责保护它?本周早些时候,我的世界防御ddos,纽约州第一任金融服务监管官本杰明劳斯基(Benjamin Lawsky)致信数十家银行,希望能更好地了解第三方供应商的信息安全风险。不幸的是,这些银行中的许多人对这些问题没有答案,不是因为它们不感兴趣或不关心,而是因为它们利用了成千上万的供应商,还没有一种可扩展、高效和价格合理的方法来解决供应商风险。这种当前的方法是将许多过程拼凑在一起,ddos攻击防御算法,形成一个拼凑起来的保护机制,这一点也不奇怪,攻击者已经能够刺穿它。供应商安全流程主要是手动收集关于供应商安全实践的问卷。这些调查问卷通常在购买产品时填写,不会再次访问。最具雄心壮志的企业每年都会重新发送这些问卷,收集人工制品以证实回答是准确和诚实的,甚至可能进行现场访问以验证这些问卷的答案。如果购买的产品是软件,则由于时间和资源的限制,最高级别的测试(手动渗透测试)只保留给最关键的应用程序。我曾与那些努力彻底审查问卷调查结果和工件的企业交谈过,更不用说验证准确性了,或者(如果产品是软件的话)测试他们的产品实例。了解所购买产品的安全性对于每个企业来说都是一个重大挑战,cc防御验证,因为它们希望利用最新和最伟大的创新技术,无论是SaaS、移动、开源还是支持互联网的技术。相反,这对软件生产商来说是一个重大挑战。回答独特的调查问卷、准备定制的工件、促进现场评估和处理客户特定的手动渗透测试是非常麻烦和耗时的。在最坏的情况下,这些测试的结果可能会导致生产计划的推迟,因为产品需要返工,以满足客户的一次性要求。需要一种新的、标准化的方法来处理供应商风险企业如何应对供应商风险?去年,一组金融服务业的领先组织提出了解决这一问题的建议。虽然仅限于软件安全,本文"第三方服务和产品提供商的适当软件安全控制类型"记录了许多企业通过评估供应商和评估产品所采取的方法。航空航天和国防制造商波音(Boeing)也采取了类似的方法;如果供应商未能通过安全开发评估,则需要通过基于云的自助服务模式测试供应商的软件产品,这种模式的可扩展性也要高得多。基本上,企业有三种解决供应商风险的方法:选项1:评估供应商生产安全产品的能力如果供应商有一个适当生产安全产品的系统,高防cdn的目标客户是,那么可能不需要更繁重的控制和了解产品本身的安全性。在软件方面,有许多相互竞争的方法来验证开发过程,可以是ISO 27034或NIST 800-53合规性评估、共享评估的SIG问卷或vBSIMM(在成熟度模型中构建安全性)审计。然而,构建一个用于开发安全软件的系统(更不用说其他产品了)可能会非常昂贵。按照microsoftsdl建立一个安全的开发生命周期可能会让软件生产商付出数百万美元的代价。对于小型甚至中型软件生产商来说,安全开发的成本可能高得让人望而却步。选项2:评估供应商产品的安全性这似乎是最明显的,并为采购企业提供了最全面的安全保证:如果您想确保所购买的产品是安全的,那么就测试该产品。说到软件,这意味着渗透测试。但是,对于资助渗透测试的企业和软件供应商来说,签约、执行和修正笔测试的结果是昂贵和耗时的,而不是为了方便测试和让开发人员放弃对产品的工作来处理结果。FS-ISAC建议使用二进制静态分析,即软件二进制文件的自动代码审计。这保护了软件供应商的IP,而且成本更低,而且时间密集。调查结果仍需处理,但最好将此审计集成到软件开发生命周期中,这样可以减少发现的数量,并减少将来进行补救的时间。此外,还建议使用软件组成分析软件:为了保护企业免受未来世界的痛心和炮击,安全领导人不仅必须了解内部团队正在利用哪些第三方和开源组件,还必须了解他们的供应商在使用什么。商业软件供应商使用的第三方和开源组件的自动化治理是评估供应商产品安全性的一个重要方面。选择3:使用可信的第三方评级系统必须有一个更简单的方法-一个标准化的方法来理解供应商或产品本身的认证。对于供应商,有更好的商业局。对于一些硬件和软件产品,有消费者报告和CNET。但这些途径都不是针对安全的。一个模型系统将使一个企业能够——一目了然——了解哪个供应商正在做一些事情来解决他们产品的安全问题,并优先考虑那些没有做任何事情的供应商进行进一步的检查和测试。这将使那些投资于安全性的供应商(比如Veracode的Veracode的Veracode客户)在进行安全评估时能够跳过这个过程,而那些无所作为的供应商将得到更大的检查。理想情况下,ddos防御设备报价,企业应该将这三个选项都纳入其管理供应商风险的方法中。Veracode当然可以通过自动代码审核和第三方软件的软件组合分析来解决软件安全问题,但企业需要解决一个基本问题,即如何整体管理供应商风险,才能真正解决这一威胁。要了解两位安全领导者是如何应对这一问题的,请与451 Research的Wendy Nather、波音公司的Eric Leonard、安泰保险和FS-IASC的Jim Routh以及Veracode的Chris Wysopal一起参加"第三方软件安全实际有效的策略"网络研讨会

推荐文章
最近更新