零失业率是一个有吸引力的数据。它肯定是指导顾问为学生选择网络安全作为职业的原因。毫无疑问，这是一个很好的特权，但它与一些追求网络安全职业的更有说服力的理由相比。

您不需要成为网络安全专家就能理解这是一个增长领域。网络安全已成为任何现代企业结构的关键。由于违规行为突破了头条新闻，所以每个人都清楚组织需要更多专注于网络安全的专业人士。

IT中的每个角色都有网络安全方面。专注于安全性作为您的主要角色开辟了一个选择的世界。从安全操作到风险评估，应用程序安全，调查到遵从教育工作者，网络安全中的角色与浏览器中运行的代码行一样多。

不要让那些负面的头条新闻让你失望。对于每一个Equifax，在线都有成千上万的成功交易。我们作为一个职业正在取得进步。

以下是您应该考虑从事网络安全职业生涯的四大理由 - 这也是您不应该这样做的原因之一。

1.实际上无限增长

随着范围不断扩大，网络安全呈现出最终的增长潜力 - 无论是在您的职业道路上还是在学习机会方面。

我们将安全作为自己的学科教授，但它与所有其他IT技能组合相关联。一个优秀的网络安全专业人员尽可能地了解技术和组织的工作方式。

一位伟大的网络安全专家意识到学习永远不会停止。

这是一个保持参与和挑战的巨大机会。

当安全团队开始时，他们是从“万事通”类型构建的。该学科尚未发展到足以支持法医学或应用程序安全或事件响应方面的专业。

当前的工作量迫使安全团队迅速扩大规模。愿意挑战自我的专业人士有机会接受它。

无论您是希望以首席信息安全官（CISO）角色工作还是使用全新技术，唯一能够限制您成长的是您的愿望。

这是一个令人兴奋的命题和理由足以选择一个网络安全职业。

2.种类繁多

所有增长机会都与安全专业人员必须处理的各种技术和情况有关。如果它使用1和0，它有一个网络安全组件（有些角色甚至扩展到物理安全！）。

安全专业人员有机会直接与团队合作，研究他们从未梦想过的技术和系统。从机器人到汽车，再到为数百万用户提供服务的网站，品种几乎无限。

这是一个令人兴奋的职业前景。无聊不是经常使用的词。

这个品种有一个有趣的分支：由于正确理解现代安全挑战所需的广泛技能，网络安全专业人士来自不同的背景。事实上，你的背景越多，安全专业人士就越好！

没有“正确”的方式来培养成为网络安全专业人士。

3.解决难题的能力

将技术及其变化的增长加在一起，您就会开始瞥见网络安全专业人员可以处理的各种类型的谜题。

在网络安全方面，我们依赖于一些经过验证的原则，但这些策略可以在日常工作中发生变化。而且总会有一个需要解决的新难题。

随着每一次新技术浪潮的出现，都会产生新的风险。安全专业人员的工作是识别，理解并帮助解决这些风险。当您考虑如何保护在云中运行的网站而不是保护老年患者的心脏起搏器时，这种情况会发生显着变化。

每种情况都是一个独特的难题，也是迎接挑战的新机遇。

4. 这项工作有实际影响

最后一个用例 - 为老年患者辩护心脏起搏器 - 是一个真实的用例。由于安全问题，最近大规模召回了心脏起搏器。 Equifax黑客攻击了1.45亿美国人。

网络安全很重要。它的影响超越了数字世界，进入了物理世界。

这是一个可怕而令人兴奋的前景，也是一个突出其重要性的前景。

如果您想处理具有实际影响的IT问题，网络安全可能是您的纪律。

为什么不选择这条道路：感知

不犯错误。网络安全的多样性，增长机会，难题和影响加起来令人兴奋。但如果你期望职业生涯更符合好莱坞安全专业人士的介绍......再想一想。

网络安全中的绝大多数角色都不要求你在世界各地躲避子弹或在几毫秒内获得扫描结果，或者能够通过红色立即识别恶意代码（<sarcasm>感谢你，CSI：Cyber​​ </讽刺>）。

当然，这并不意味着这些角色没有回报。他们是。他们可能不是很迷人。

开始学习，不断学习

网络安全对于强大的职业生涯具有两个关键的后勤优势：低失业率和无失业补偿。

另外，如果您选择此路径，您将始终有成长空间。您将不断学习新技能并努力学习新技术。新挑战将不断涌现，您将接触到大量新人，情境和机会。

你永远不会觉得无聊，因为新的谜题需要解决，你总是可以自豪，因为你的工作将对数字和物理世界产生积极的影响。

你还能在职业生涯中要求什么呢？

原文：https://techbeacon.com/security/4-reasons-consider-cybersecurity-career

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】

你的敏感资料是否安全?

这并不夸张:任何公司都可能成为网络犯罪的受害者。有关网络攻击的报告来自政府机构、教育和医疗机构、银行、律师事务所、非营利组织和许多其他组织。

黑客、内部威胁、勒索软件和其他危险都存在。

聪明的企业正在加大对网络安全的投资，以消除风险，确保敏感数据的安全，这已经带来了首批成果。请看下面的信息图表，了解网络安全的最新趋势。

接下来的问题是:作为一名企业主，在2019年我能做些什么来保护我的数据?

上图显示，在政府机构和企业都开始加大对网络安全的投资的同时，数据泄露的数量显著下降。

不知道从哪里开始加强你的网络安全政策?我们准备告诉你网络安全的趋势和最新的技术。

以下是我们2019年的IT安全最佳实践清单:

1. 考虑生物安全

生物识别技术确保了快速认证、安全访问管理和精确的员工监控。

在提供对有价值资产的访问之前，验证用户的身份对企业来说至关重要。语音识别、指纹扫描、手掌生物识别、面部识别、行为生物识别和步态分析是识别用户是否是他们自称的人的完美选择。

使用生物识别技术提供了比密码和短信验证更安全的身份验证。这就是为什么生物识别技术已经成为多因素认证的重要组成部分。

然而，身份验证并不是生物识别的唯一用途。安全人员受益于各种生物识别驱动的工具，这些工具允许他们实时检测受损的特权帐户。

行为生物学分析用户与输入设备交互的方式。如果检测到异常行为，工具会向安全人员发送警告，以便他们能够立即做出反应。

以下是用户和实体行为分析(UEBA)系统可以使用的几种行为生物识别技术:

• 击键动态——考虑打字速度和在某些单词中出现典型错误的倾向，以创建用户行为概要文件
• 鼠标动态—跟踪鼠标点击和鼠标移动速度、节奏和样式之间的时间间隔
• 眼动生物测定-使用眼睛和注视跟踪设备来记录眼睛运动的视频和检测独特的模式

market sandmarkets对2018年的预测显示，到2023年，生物识别市场将从2018年的168亿美元增长到418亿美元。因此，请密切关注生物特征安全技术，并为您的用例选择最佳技术。

2. 形成分级的网络安全政策

为什么书面的网络安全政策如此重要?

首先，书面政策作为贵公司所有网络安全措施的正式指南。

它允许您的安全专家和员工处于同一页面，并为您提供了一种强制执行保护数据的规则的方法。然而，每个部门的工作流程可能是独特的，而且很容易被不必要的网络安全措施打乱。

虽然集中式安全策略作为整个公司的基本方针是有益的，但它不应该覆盖每个部门的每个流程。相反，允许您的部门基于中央策略创建自己的安全策略。

以这种分层的方式确定安全策略有很多好处。通过这样做，您可以考虑每个部门的需求，并确保他们的工作流和您的底线不会在安全的名义下受到损害。

伊利诺伊州政府网站提供了一个很好的网络安全政策模板，可以作为你分级管理的起点。

如果您想学习如何预防、检测和纠正内部攻击，您应该考虑构建一个内部威胁程序。

3.采用基于风险的安全方法

法规遵从性不能保护您的数据。

每个行业都有其特定的和隐藏的风险，因此关注法规遵从性和满足所有标准法规不足以保护您的敏感数据。

注意你的公司所面临的风险，以及它们如何影响你的底线。这里最好的工具是全面的风险评估。

以下是风险评估允许你做的一些最重要的事情:

识别所有有价值的资产，公司当前的网络安全状况，明智地管理你的安全策略

适当的风险评估可以让你避免许多不愉快的事情，比如因不遵守规定而被罚款，为潜在的泄漏和违规行为而付出的补救成本，以及由于流程缺失或效率低下而造成的损失。

找出网络安全的薄弱环节，并做出相应的调整。此外，请密切关注使用数据库和框架的新黑客技术，例如MITRE ATT&CK for enterprise。

全面的风险评估将帮助您优先考虑您的安全措施，并使您的策略以最佳方式服务于公司的底线。

您可以在Compliance Forge网站上找到一个风险评估工作表和评估报告的实际示例。如果你需要更多关于如何在你的公司进行风险评估的信息，请查看它。

4. 备份数据

定期备份数据，确保数据的安全性。

备份数据是近年来越来越重要的信息安全最佳实践之一。随着勒索软件的出现，对所有数据进行完整的、当前的备份可能是一种救星。

如何处理备份?您需要确保它们被彻底保护、加密并经常更新。同样重要的是，将备份任务分配给几个人，以减轻内部威胁。

美国计算机应急准备小组(US-CERT)提供了一份文件，详细说明了不同的数据备份选项。如果你想了解更多关于这个话题的信息，你应该读一读联邦调查局关于勒索软件的一篇优秀文章。

5. 物联网安全管理

今年延续了2018年以来的趋势——物联网设备越来越受欢迎。

贝恩公司预测，物联网市场将在2021年增长到约5200亿美元。然而，无论我们多么渴望看到新技术，安全总是第一位的。

物联网设备最具挑战性的地方是它们对敏感信息的访问。

安全摄像头、门铃、智能门锁、供暖系统、办公设备——所有这些你的商业网络的小部件都是潜在的接入点。

例如，一台受损的打印机可以允许恶意行为者查看正在打印或扫描的所有文档。

以下是一些企业网络安全的最佳实践:

• 进行渗透测试，了解真正的风险，并据此制定安全策略。
• 为静态和传输中的数据提供加密(端到端加密)。
• 确保正确的身份验证只允许到端点的可信连接。
• 不要使用默认的硬编码凭证:通常使用的密码在互联网上很容易找到。
• 购买安全和最新的路由器，并启用防火墙。
• 开发一个可伸缩的安全框架来支持所有物联网部署。
• 考虑实现端点安全解决方案。

6. 使用多因素身份验证

多因素身份验证(MFA)是高级安全策略的必备解决方案。

虽然这是一个基本的实现，但MFA仍然属于网络安全最佳实践。它是如此有效，以至于国家网络安全联盟甚至将MFA加入到其安全意识和教育运动中。

MFA通过添加额外的安全层帮助您保护敏感数据，使恶意行为者几乎没有机会像您一样登录。

即使恶意行为者拥有您的密码，他们仍然需要您的第二个或第三个身份验证“因素”，例如安全令牌、您的移动电话、您的指纹或您的语音。

作为一个额外的好处，MFA还允许您明确区分共享帐户的用户，从而改进访问控制。

还请阅读:双因素身份验证:类别、方法和任务

7. 处理密码安全

提到密码和安全密码处理的重要性总是值得的。

密码管理是企业安全的一个关键部分，尤其是涉及特权访问管理(PAM)时。特权帐户是网络罪犯的宝石谁试图获得访问您的敏感数据和最有价值的商业信息。

确保适当安全性的最佳方法是使用专用工具，如密码保险库和PAM解决方案。这样，您可以防止未经授权的用户访问特权帐户，同时简化员工的密码管理。

网络威胁行为者仍然使用密码喷雾攻击来窃取敏感信息，扰乱运营，损害组织的财务和声誉。

当你为你的员工设定密码要求时，以下是你应该考虑的主要技巧:

• 为一个帐户使用一个密码。
• 使用容易记住的短语，而不是由随机字符组成的短字符串。
• 使用助记符或其他个人策略来记住长密码。
• 无论多么方便，都不能互相共享凭据。
• 要求员工在一段时间后更改密码。

美国国家网络安全和通信集成中心(National Cybersecurity and Communications Integration Center)提出了一套选择和保护强密码的建议。如果你想了解更多细节，可以查看它们。

8. 使用最少特权原则

注意:有太多特权用户访问您的数据是非常危险的。

默认情况下，授予新员工所有特权允许他们访问敏感数据，即使他们不一定需要这样做。这种方法增加了内部威胁的风险，并允许黑客在您的任何员工账户受到攻击时访问敏感数据。

一个更好的解决方案是使用最小特权原则。

换句话说，为每个新帐户分配尽可能少的特权，并在必要时升级特权。当不再需要访问敏感数据时，应立即撤销所有相应的特权。

持续的特权管理可能是困难和耗时的，特别是对于大公司，但是市场上有很多访问管理解决方案可以使其变得更容易。

特别是，当您需要处理不受控制的特权时，专门化的PAM解决方案可以证明是一种救命稻草。

最小特权原则似乎类似于零信任安全模型，该模型还通过显著减少无保证的信任来降低内部威胁的风险。

零信任实践表示，只向那些已经在系统中进行了身份验证和验证的用户和设备授予访问权限。

9. 关注特权用户

拥有特权帐户的用户是公司最大的资产之一，还是对数据安全的最大威胁之一?

有特权的用户拥有所有必要的手段来窃取您的敏感数据，并且不被注意。无论你多么信任拥有特权账户的员工，任何事情都有可能发生。

你怎样才能把风险降到最低?以下是一些简单而有效的步骤:

• 通过实现最小特权原则来限制特权用户的数量。
• 确保在用户终止使用特权帐户时，立即删除特权帐户。
• 使用用户活动监视解决方案来记录在网络中采取的任何操作。

您可以查看Ponemon研究所的这份出色的报告，了解更多关于特权用户在内部威胁场景中的角色。

10. 监控对数据的第三方访问

控制第三方访问是您的安全策略的一个重要部分。

远程员工、分包商、业务合作伙伴、供应商和供应商——这只是可能远程访问您数据的人员和公司的一小部分。

第三方访问不仅会带来更高的内部攻击风险，还会为恶意软件和黑客进入您的系统打开大门。

通过第三方访问来保护您的敏感数据不受攻击的一个好方法是监视第三方操作。您可以限制第三方用户的访问范围，并知道谁确切地连接到您的网络以及为什么。

用户活动监视还应该与一次性密码结合使用，以便提供所有用户操作的完整日志记录，以便您可以检测恶意活动并在必要时进行调查。

11. 小心网络钓鱼

你们所有的员工都知道网络钓鱼吗?

值得注意的是，内部威胁不会以恶意员工告终。更常见的情况是，善意的员工无意中帮助了犯罪者，为他们提供了进入你的系统的方法。

网络攻击者使用垃圾邮件和电话等网络钓鱼技术来获取员工信息、获取他们的证书，或者用恶意软件感染系统。

你的基本防御可以很简单，只包括两个步骤:

获得一个正确配置的垃圾邮件过滤器，并确保最明显的垃圾邮件总是被阻塞。

教育你的员工流行的网络钓鱼技术和最好的处理方法。

幸运的是，教育和意识确实起了作用，人们现在对网络威胁的意识要高得多。Verizon 2018年的数据泄露调查报告强调，73%的人在2017年没有点击任何恶意邮件。他们2019年的报告显示，2018年网络钓鱼攻击的点击率只有3%。

您可以在US-CERT网站上找到更多关于网络钓鱼的信息，包括报告形式。

12. 提高员工的意识

这可能很难相信，但你的员工是保护你数据的关键。

处理员工疏忽和安全错误的一个可靠方法是教育他们为什么安全很重要:

• 提高对公司面临的网络威胁及其如何影响底线的认识。
• 向你的员工解释每项电脑安全措施的重要性。
• 展示现实生活中安全漏洞的例子，它们的后果，以及恢复过程的困难。
• 询问员工对当前公司安全体系的反馈。
• 询问员工关于如何将健壮的安全性与高效的工作流结合起来的新想法。

雇佣你的员工作为你辩护的一部分，你会发现疏忽和错误的情况将会减少。让你的员工接受适当的培训比处理意外行为造成的数据泄露要好得多。

上述网络安全最佳实践将帮助您保护您的数据和您的企业的声誉。然而，实现它们是另一个挑战。

原文：https://www.ekransystem.com/en/blog/best-cyber-security-practices

本文：https://pub.intelligentx.net/12-best-cybersecurity-practices-2019

讨论：请加入知识星球或者小红圈【首席架构师圈】

保护云中的数据和应用程序从未如此重要。

头条新闻不断提醒人们，在违规行为之后，对业务的破坏性（或灾难性）影响。 2017年最引人注目的漏洞事件中的许多都提醒您组织内部和外部可能存在的漏洞。

虽然没有单一的解决方案可以防止每次攻击，但是在整个组织中主动建立云安全意识是阻止通常在违规之前发生的恶意活动的第一道防线。

以下是应该在2018年推动您的安全策略的4种做法：

1. 了解您的安全责任
2. 确保您团队的云安全技能能够应对挑战
3. 在每个部署级别实施安全性
4. 建立安全第一的文化

1.了解您的安全责任

在云中，整个安全框架在提供者和客户之间的共享责任模型下运行。为了使这个模型有效，清楚地了解每一方的角色和责任是一个重要的起点。

从基础架构的角度来看，云服务提供商负责确保其数据中心具有足够的物理安全级别。服务提供商管理整个全球基础架构的安全性，从物理存在到提供计算，存储，数据库和网络服务的底层基础资源。这些功能共同提供了一个安全的云环境。

导入数据并利用提供商服务的客户有责任使用这些服务和功能来设计和实施他们自己的安全机制。这可能包括访问控制，防火墙（实例和网络级别），加密，日志记录和监控等。
AWS，Azure和Google Cloud都采用了共享责任模型。检查与每个提供商的服务水平协议，以充分了解双方的义务。

2.确保您团队的云安全技能能够应对挑战

根据迈克菲的说法，36％的组织正在采用云，即使承认没有正确的安全技能。

36％的组织正在采用云，即使在没有采用正确的安全技能的情况下也是如此。
2017年，由于人为错误以及Amazon Simple Storage Service（S3）等服务中配置不当的安全设置，数以百万计的客户记录和其他敏感数据暴露出来。 RedLock的研究人员发现，40％使用云存储的组织意外地向公众公开了这些服务中的一项或多项。黑客和其他不良行为者充分意识到人类的错误，他们完全有能力在企业走捷径时利用安全漏洞。

在这些情况下，这不是技术的失败，而是缺乏对安全重要性的理解以及缺乏使您的企业面临风险的技能。

正如业务压力首先影响急于迁移一样，领先的公共云供应商发布的新服务和更新的速度和数量使得团队难以跟上。云提供商已快速开发和发布创新技术，以确保云数据和应用程序的安全。例如，11月发布的AWS GuardDuty本质上是一种智能威胁检测服务，也是第一种使用人工智能和机器学习来检测可疑活动的服务。

对于公司来说，投入所需的时间和资源来培训内部云团队以正确有效地设计安全，可靠，可审计和可追溯的云解决方案同样满足您的业务需求至关重要。

3.在每个部署级别实施安全性

您的基础架构仅与其最薄弱的环节一样安全。威胁不仅限于外部来源。您的团队必须准备好正确地构建针对非恶意内部漏洞或用户特权漏洞以及最复杂攻击的漏洞以及介于两者之间的所有漏洞。
通过在部署的每个层实施安全措施，您可以最大限度地减少基础架构的攻击面积。

Amazon Web Services，Microsoft Azure和Google Cloud Platform提供了一系列服务和工具，您的团队可以使用这些服务和工具来设计，实施和构建适当级别的安全性，以保护云中的数据和应用程序。您的团队应充分了解您的云服务提供商提供的托管安全服务，以及在开发和部署生命周期各自部分内构建相关安全措施的知识和技能。

4.建立安全第一的文化

云采用会影响整个业务，从基础架构级别的技术变更到涉及所有级别和员工团队的文化变更。因此，安全性必须成为您业务战略的一部分，并且必须从组织的最高层加强。

如果不了解安全性在每个部署层面的影响，就可以忽略最佳实践，可能会出现错误，可能会出现快捷方式，并且会将漏洞安静地设计到解决方案中。建立以安全为先的文化将确保安全性处于所有相应方法，实践，流程和程序的最前沿。

通过发布“安全优先”指令并在业务的所有领域采取行动进行备份，您的组织将更自信地在云中运营。

原文：https://cloudacademy.com/blog/4-practices-that-should-be-driving-your-security-strategy-in-2018/

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】

数据保护者和数据窃贼之间的战争被描述为猫捉老鼠游戏。一旦白帽反击一种形式的黑帽恶意行为，另一种恶意形式就会抬起它的丑陋头脑。如何在有利于信息安全战士的情况下倾斜比赛场地？以下是五种新兴的安全技术，可以做到这一点。

1.硬件认证

用户名和密码的不足之处是众所周知的。显然，需要一种更安全的身份验证形式。一种方法是将身份验证烘焙到用户的硬件中。英特尔正在朝着这个方向发展，在其新的第六代Core vPro处理器中使用Authenticate解决方案。它可以同时结合各种硬件增强因子来验证用户的身份。

英特尔在之前的努力基础上，将一部分芯片组用于安全功能，使设备成为身份验证过程的一部分。良好的身份验证需要用户提供三件事：他们知道什么，例如密码;他们是谁，例如用户名;他们有什么，比如令牌。在Authenticate的情况下，该设备成为你拥有的。

“这不是新事物，”451 Research信息安全研究主任斯科特克劳福德说。 “我们已经在其他表现形式中看到了这一点，例如许可技术和令牌。”

硬件身份验证对于物联网（IoT）尤为重要，因为网络希望确保尝试访问它的东西能够访问它。

但是，克劳福德指出，“该技术最直接的应用是在传统IT环境中对端点进行身份验证 - 使用英特尔芯片组的笔记本电脑，台式机和移动设备。”

2.用户行为分析

一旦某人的用户名和密码遭到入侵，拥有这些用户名和密码的人就可以跳入网络并参与各种恶意行为。如果他们采用用户行为分析（UBA），那么这种行为可能会触发系统防御者的红旗。该技术使用大数据分析来识别用户的异常行为。

“这对企业有很大的兴趣，”451的克劳福德说。

“用户活动是安全专业人士的头号问题。”

他解释说，该技术解决了企业安全问题的盲点。 “一旦攻击者进入企业，那么会发生什么？”他问。 “他们做的第一件事就是妥协凭证。那么问题就变成了，你能区分合法用户的活动和已经获得进入的攻击者，破坏了合法用户的凭据，现在正在寻找其他目标吗？”

对不符合合法用户标准的活动的可见性可以在攻击链的中间关闭一个盲点。 “如果你认为攻击链是初始渗透，横向移动，然后是敏感数据的妥协，盗窃和泄漏，那么攻击链中的中间环节对于企业安全专业人员来说并不是很明显，这就是为什么对今天的用户行为分析，“克劳福德说。

将用户的当前行为与过去的行为进行比较并不是UBA识别恶意行为者的唯一方式。 “有一种叫做'同行分析'的东西，”威胁分析公司Bay Dynamics的项目管理副总裁Steven Grossman解释道。 “它比较了某人的行为与同一经理或同一部门的人的比较。这可能表明该人正在做他们不应该做的事或其他人接管他们的账户。”

此外，UBA可以成为培训员工更好的安全实践的宝贵工具。 “公司最大的问题之一是员工不遵守公司政策，”格罗斯曼说。 “能够识别这些人并通过正确训练来降低风险是至关重要的。”

“用户可以被识别并自动注册参加适合他们违反的政策的培训。”

3.数据丢失预防

防止数据丢失的关键是加密和标记化等技术。他们可以将数据保护到字段和子字段级别，这可以通过多种方式使企业受益：

如果成功违规，网络攻击者无法通过数据获利。
可以在扩展的企业中安全地移动和使用数据 - 可以对受保护形式的数据执行业务流程和分析，从而显着降低风险和风险。
企业可以极大地帮助遵守数据隐私和安全法规，以保护支付卡信息（PCI），个人身份信息（PII）和受保护的健康信息（PHI）。
“在过去的几年里，有很多安全支出，但2015年遭遇的记录数量比去年大幅增加，”451的克劳福德说。 “这促使人们对加密感兴趣。”

然而，正如SANS研究所新兴安全趋势主管John Pescatore指出的那样，身份验证在预防数据丢失方面发挥着重要作用。

“没有密钥管理就无法实现强大的加密，没有强大的身份验证就无法进行密钥管理。”

4.深度学习

深度学习包括许多技术，例如人工智能和机器学习。 “无论它被称为什么，出于安全目的，人们都非常感兴趣，”451的克劳福德说。

与用户行为分析一样，深度学习侧重于异常行为。 “你想要了解恶意行为在安全方面偏离合法或可接受行为的地方，”克劳福德解释说。

“当你在企业网络上查看活动时，其行为不是用户行为，而是仍然是恶意的。因此，即使它正在关注行为，它也会关注行为分析的略有不同的应用。”

Booz Allen的高级副总裁Brad Medairy解释说，该系统不是关注用户，而是关注“实体”。 “精确的业务分析和机器学习模型的最新发展意味着我们现在能够查看企业中从微观层面到宏观层面的各种实体。例如，数据中心作为一个实体，可以表现为某种方式，类似于用户。“

高级恶意软件检测平台制造商Acuity Solutions的总裁Kris Lovejoy补充说，使用机器学习可以帮助消除高级持续性威胁的祸害。 “凭借其能够以线速度解读好坏软件之间的能力，机器学习技术将为寻求缩短高级威胁检测和根除时间的安全从业者提供重要的福利，”她说。

克劳福德表示，他希望继续为安全目的进行深度学习投资。然而，他补充说，“企业面临的挑战是，很多公司都会采用类似的方法来解决同样的问题。区分不同厂商之间的区别对于未来一年的企业来说将是一项重大挑战。超越“。

5.云

“云计算将对安全技术行业产生一种变革性影响，”克劳福德说。

他解释说，随着越来越多的组织将云用于传统上属于内部部署IT的领域，将出现更多出现在云中的安全方法。内部部署技术将转换为云。诸如虚拟化安全硬件，虚拟化防火墙以及虚拟化入侵检测和防御系统之类的东西。但这将是一个中间阶段。

“如果你考虑基础设施即服务提供商可以为所有客户做大规模的事情，可能就没有必要在现场提供你需要的所有防御措施，”克劳福德说。 “基础架构即服务提供商将把它构建到他们的平台中，这将减轻为单个云客户做到这一点的需求。”

SANS'Pescatore补充说，政府机构和私营企业通过使用亚马逊和Firehost等IaaS服务提高了数据中心的安全性。 “GSA FedRAMP计划是”经过认证的足够安全“云服务的一个很好的例子，它使普通企业更容易拥有高于平均水平的数据中心安全性，”他说。

这五个应该帮助infosec战士获得上流。我们错过了什么？您建议使用哪些技术来推动信息安全？通过以下评论称重。

原文：https://techbeacon.com/security/5-emerging-security-technologies-set-level-battlefield

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】

尼尔·西蒙的戏剧和电影“奇怪的夫妇”取决于两个角色，奥斯卡和菲利克斯，他们有着完全不同的优先事项，却发现自己生活在一起 - 并且互相制造挫败感。

经过短暂的一段时间，奥斯卡将费利克斯赶出了他的公寓，但在最后一幕中，他发现（剧透警告）他意识到菲利克斯对他产生了积极的影响。菲利克斯的生活变化将两者结合在一起。

同样，IT安全和运营的变化正在促使更多的合作。虽然这些团队通常在一定距离内操作，但彼此之间的强制容忍，必须改变。来自欧盟通用数据保护法规（GDPR）和加州消费者隐私法案（CCPA）等隐私法的监管压力越来越大，以及由于补丁管理缓慢导致的高可见性黑客攻击，正在推动这些团队更加紧密地协调他们以互惠互利的方式努力。

我们还看到了DevOps的结果，模糊了开发人员和运营团队之间的界限，以更快速，更成功地部署代码。 DevOps所经历的成功是SecOps关系复兴的路线图。

菲利克斯和奥斯卡之间的争吵有时导致菜肴破碎。在现实生活中的IT中，监管罚款和安全漏洞等待那些不能一起工作的团队。寻找以下机会，以加强2019年安全和运营团队之间的合作。

1.建立补丁管理合作伙伴关系

谁在您的组织中拥有补丁管理？通常，运营是负责任的，负责任的，安全和审计提供政策和验证。该系统可以工作，但它有时会产生“我们与他们”的心态。

很容易指出操作，并说他们的补丁管理系统被破坏或缺乏足够的优先级。有时就是这种情况;必须为操作提供明确的时间表，以便部署能够关闭关键漏洞的补丁，并且需要资源来实现这一点。

但有时候，对于操作来说，更改量可能会非常大，有时必须锁定系统，或者在不破坏旧应用程序的情况下无法修补应用程序。

如果安全性将补丁管理视为一种伙伴关系，那么这些挑战可以一起解决。安全性可以通过定期重新确定漏洞的优先级来帮助运营，并且在冻结变更的情况下，可以提供缓解策略，例如网络分段或其他安全监控。

2.共享身份和访问数据

虽然补丁管理几乎总是操作的责任，但身份和访问管理（IAM）通常是一个联合监管程序。通常，管理和治理职责之间存在界限，但它们使用通用的IAM平台。

根据2018年的Verizon数据违规调查报告，凭借安全漏洞的最高威胁，凭据受到损害，安全和运营对于管理和管理身份和访问的集成方法至关重要。

实际上，这意味着使用身份和访问数据作为安全信息和事件管理（SIEM）的洞察源。这不仅仅是为了法医目的，在违规后搜索证据，而且还可以实时用作通过警告异常访问模式或滥用特权来识别正在进行的违规行为的方法。

响应特权滥用还应该导致权利的快速撤销，直到可以调查事件，因为一旦攻击者拥有内部人员的证书，损害可以在几分钟内完成。这需要集成回IAM平台以自动响应。

3.管理数据 - 而不仅仅是数据库

数据库管理是操作提供的关键技能，但通常侧重于维护数据库的性能。由于隐私权要求和攻击者专注于数据，安全团队可以使用应用程序和数据库管理员的一些支持来保护数据。

加密虽然不是隐私法规要求，但在攻击者访问包含PII的数据库时，可为个人身份信息（PII）提供重要保护。一些管理员不愿意支持加密，担心复杂性或性能挑战。然而，现有的格式保留加密方法以不改变数据格式的方式加密数据，导致强加密，几乎不需要应用程序已经运行的方式进行更改。

4.拥抱变化

很少有管理员愿意接受通常属于特权管理工具的手铐。但是，随着DevOps的压力越来越快，并且与补丁管理保持同步，需要使实施变更更容易进行操作。

安全团队必须抵制在每个系统上实现特权管理工具的每个功能的冲动。应该应用多少权限管理的选择必须基于风险。对于许多系统，检查密码和会话记录就足够了。更好的是基于风险的活动控制，如果使用高风险命令，则终止访问或升级身份验证。

此外，一些变化对时间敏感，以防止正在发生的事件成为头条新闻。通过编排工具自动执行对安全事件的常见响应，以便在选择更改时实现快速反应，同时将风险降至最低。

5.共同规划和培训响应程序

所有优秀的团队一起练习和训练，并且需要做同样的事情来应对网络攻击。 NIST网络安全框架于2018年4月更新，要求将响应计划，通信，分析，缓解和改进作为核心响应功能的一部分。

建立和实施上述每项活动的协议和程序的时间是在发生违规行为之前。试图在危机中弥补它们会留下不可避免的空白并延长暴露时间，从而造成更多的破坏。

在构建和培训这些协议和程序时，操作和安全性同等重要。一些组织认为安全性是IT安全团队的唯一责任。这不是一种实用的方法，因为任何处理过重大安全漏洞的人都会告诉您。

虽然IT操作和安全可能感觉像一对奇怪的夫妇一起被迫生活在一起，但是两个团队一起做的工作越多，每个人对另一个人的看法就会越多。

这最终将提高IT服务的机密性，完整性和可用性。这只是安全性和操作如何更紧密地协同工作的部分列表。加入对话，分享您的想法。

原文：https://techbeacon.com/security/why-security-it-ops-must-team-2019

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】

DevOps是一种软件开发实践，开发和运营工程师在整个产品生命周期中进行协作。随着DevOps在主流级别的采用，我们现在看到安全性开始在DevOps的日常职责中发挥更大的作用。从安全角度来看，DevOps可以通过将安全性从最早阶段更紧密地嵌入到软件开发生命周期中来帮助提高应用程序的安全级别。但这种进步并非没有挑战和权衡。在这篇文章中，我们将研究DevOps对企业安全和安全组织的影响。

关于安全责任的辩论

编写好的代码意味着在代码开发过程中采用良好的安全实践。毫无疑问，开发人员需要编写具有高安全性标准的代码，但是出现的问题是谁负责组织的安全性？
在非DevOps环境中，我们看到集中安全模型的趋势，其中安全解决方案由公司安全团队管理。该团队执行组织安全策略 - 这意味着他们对安全性负责，并将实施和控制所需的安全产品以检测和阻止攻击。
但是，在应用程序开发方面，集中式安全模型存在已知的挑战。我们从不止一个Imperva客户那里听说，安全团队和应用团队之间往往没有很强的合作（协调，沟通......）。例如，应用程序团队在应用程序更改时不会更新安全团队，因此安全团队无法在启动新版本之前更新安全策略。
DevOps方法改变了组织思维。这个想法是“每个人现在都负责安全” - 这就是DevSecOps概念的出现方式。但企业安全团队如何适应新形象？

将安全责任转移给开发人员的挑战

采用DevOps通常会改变安全模型。一些职责从IT安全组织转移到应用程序团队。例如，除了部署应用程序之外，我们还看到应用程序团队部署（和运行）安全解决方案，例如Web应用程序防火墙（WAF）。
虽然这种变化可能带来好处，但它也可能给组织的安全带来一系列新的挑战。首先，在每个应用程序组中维护安全人才是低效的。在不同团队之间拆分安全知识会使在整个组织中应用统一安全策略的工作变得复杂。
此外，并非所有问题都可以通过编写安全代码来解决。作为一个例子，让我们看一下外部库的使用。现代应用程序倾向于依赖提供标准和经过验证的功能的第三方框架和库。通过使用这些库可能出现的安全漏洞的演示是Heartbleed，这是广泛使用的OpenSSL加密库中的一个漏洞，它影响了数百万个网站。通过单独修补所有应用程序来缓解Heartbleed和类似的漏洞是一项几乎不可能完成的任务。但是，使用集中式安全解决方案（例如使用虚拟修补程序的WAF）可以快速有效地保护所有系统。
但我觉得有一个更大的问题需要讨论。安全所有权。

安全团队的角色转变

在与客户交谈时，我们听到安全架构师说他们的角色将转变为“组织的安全顾问。”听起来很棒 - 这种转变可能会带来好的结果。安全工程师将开始与开发人员密切合作，减少组之间的摩擦，提高开发人员对安全性的意识。另一方面，将角色从所有者更改为顾问可能会降低安全专业人员的承诺水平，因为他们不再感到自己“拥有”安全性。
另一个主要问题是事件响应，因为安全性的所有权并未在部署时结束。虽然安全团队生活和呼吸安全，专注于预防和缓解，但应用程序团队无法对安全性给予同等程度的关注。在DevSecOps中，应用新的安全配置是一项任务，例如发布新版本的代码。安全工程师会立即将更新的策略应用为高优先级，但在DevSecOps下，此任务将成为代码发布管道的一部分，其时间可能因不同的应用程序团队而异。

安全组织在未来时代的作用

鉴于违规成本高且不断增长，安全仍将是优先事项。有人总是需要对组织的整体安全负责。执行管理层将继续让安保人员对整个安全负责，这似乎很自然。在这种情况下，安保人员必须继续在制定和执行安全战略方面发挥积极作用，不仅可以担任顾问。
毫无疑问，安全组织必须适应DevOps引入的不断变化的环境。即使在他们的新角色中，无论在其环境中如何形成，安全团队仍将定义和实施安全准则，自己的安全系统并定义如何将安全性合并到DevOps流程中。
安全产品还必须适应新环境，并提供与DevOps环境的更好集成。安全供应商必须意识到他们的用户可能不再只是安全专业人员，因为部署可以由软件工程师执行。安全经理有责任通过要求更多的自动化功能，推动供应商在需要时调整产品。

最后的想法

高层管理人员花了几十年的时间才要求安保人员在行政桌上提供企业安全状况更新。 DevOps可能会改变游戏规则，因为它为组织带来了很多价值 - 它提高了生产力和质量，甚至（在某些情况下）提高了安全标准。但共享的安全所有权可能会使事情倒退 - 消除了多年来在保护网站和服务方面取得的许多进展。虽然安全组织需要适应DevOps和DevSecOps的新世界，但它无法逐步淘汰并完全将安全性的所有权移交给开发人员。放弃完全控制可能最终会降低安全标准。随着安全漏洞趋势如今，安全团队发现一旦放开缰绳就很难重新获得控制权。

原文：https://www.imperva.com/blog/managing-security-devops-environment/

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】

“安全永远是我们的首要任务。——沃纳·沃格尔斯，亚马逊副总裁兼首席技术官

敏捷性、成本、自主和更快的上市时间是为什么大多数客户将在06工作负载到云——让我们找出我们可以移动安全←左边对齐到这些软件开发原则——安全不应成为瓶颈,您可以使用云安全的工作负载在云上。

目标受众

如果您已经使用AWS Cloud几年了，我相信您能够理解我在这篇文章中试图表达的观点。请与更广泛的观众分享你的经历。如果你即将开始你的旅程，这是一个很好的开始，因为我将总结我多年来学到的一些实践。

我想你已经和AWS合作至少一年了。因此，在本系列的这一部分中，我不会详细解释本文中提到的任何AWS服务;相反，我将重点介绍您应该实现的策略，以获得更好的安全体系结构。本系列的其他部分将介绍一些实现。

在过去的两年里，我花了大量的时间与我的团队和其他云专家通过许多开源平台一起工作，试图改进AWS云上的安全实践。虽然在纸面上听起来很简单，但是在生产规模上实现它是一项非常具有挑战性的任务，需要跨不同的团队和非常不同的技术堆栈集进行协作。

不要担心，因为我们将涵盖所有的细节和即将发布的帖子。希望你能从我们的错误中吸取教训，并利用我们的胜利。重要的是，与我们分享你的经验。

这就解决了。我们走吧，走DevOps的路!

文化

消除指责的循环

在讨论AWS上的安全实现之前，让我们先从我们(安全人员)、我们的文化、我们的流程和思维方式开始。

“总的来说，我们辜负了客户。——VMWare首席执行官帕特•盖尔辛格(Pat Gelsinger)表示。

帕特说的对极了，我们的安全团队。多年来，我们关注的是威胁，而不是建立安全能力。首先，安全团队将大部分时间花在应对威胁上，而不是预防威胁。

我们应该更多地讨论收缩攻击表面的实现和预防机制。复杂、缓慢和团队间的冲突破坏了许多组织。只有当您将简单性应用于流程，将更多的协作精神应用于企业文化，并将可靠的安全原则(由数据支持)应用于决策引擎时，您才能看到事情正在朝着正确的方向发展。我也同意安全团队资金不足的说法，他们总是为了“最好的性价比”而奋斗。“这使我们更聪明!

我们的团队必须共同努力，以实现组织的安全目标;最后，安全应该是每个人的工作。我们花在互相指责上的时间越少，我们就越容易有效地合作。

共享责任模型

我知道，你在想，从哪里开始呢?我知道您正试图赶上每天发布新特性或bug修复的应用程序团队，他们有很多需要担心的事情。我知道这很容易跳的很酷的东西,开始实施策略通过自动化或其他方式,但理解你作为一个客户的责任就是你需要开始,所以开始与共同责任模型因为你会避免很多新手的错误。

AWS共享责任模型

根据您对AWS计算服务(EC2、ECS/EKS或lambda等)或公共云模型(IaaS、PaaS或SaaS)的选择，您作为客户的责任可能会发生根本性的变化，但是我们不会在本文中详细讨论这一点，因为这篇文章可以独立撰写。

但是，在高层次上，您应该非常担心数据的安全性，因为您不能将此责任转移给AWS，无论您使用什么AWS服务或采用什么公共云模型，这都是您的义务。

您越接近无服务器，就越不需要担心补丁管理和OS级别的安全加固噩梦。

对于您的公共云模型也是如此，您越倾向于SaaS，就越不需要担心基础设施安全性。请注意，我不是提倡SaaS，我只是陈述事实。

公共云模型

多账户模型

理解了作为客户的安全性职责之后，就可以考虑大规模地实现治理了。早期采用者学到的重要经验之一是;从安全和成本管理的角度来看，将应用程序部署在一个AWS帐户上是一种危险的做法，因为它会使云管理过程复杂化。

AWS帐户体系结构

我将让您决定如何构建您的帐户，但是上面的图表说明了一个常见的模式。

您需要为开发人员提供一个沙箱帐户来尝试新功能，并为每个产品提供正式的开发、预戳和戳帐户。拥有一个日志帐户，您可以在其中聚合所有CloudTrail日志、配置规则、S3访问日志和其他与安全相关的数据，审计人员可能需要访问这些数据，以防发生违规。

您还需要一个用于对其他帐户执行策略的管理帐户。尝试将帐单委托给帐单管理帐户，而不是使用主帐户。使用主帐户对链接帐户应用组织服务控制策略。

资源标签是一个巨大的问题，成本控制是当今企业面临的重要问题之一。再一次，多账户模型来拯救，因为您已经将每个产品部署到一个单独的AWS帐户上，所以您知道“产品团队”可以吃掉整个账单，您不应该过多地担心他们的标记缺陷事件，尽管我认为标记对于许多其他原因是必要的。

许多为所有应用程序使用一个帐户的AWS客户都经历了服务限制不断增加的痛苦。您有许多工程师在争夺有限的资源(s3 bucket、计算机资源和其他资源)，更不用说AWS有一些无法为您增加的硬限制。

我一直最喜欢的多账户模式的好处是它提供的有限爆炸半径。我可以确保开发团队A不能访问开发团队B的账户，这样他们就不会破坏他们的东西。我也可以在晚上睡觉时知道，如果我的猫在AWS账户120上的图像处理产品被入侵，我在其他AWS账户上的其他产品将不会受到影响。我想你现在看到了使用这个模型的好处:)而且它不会花费你更多的钱!在您开始使用资源之前，AWS帐户是免费的。

云计算赋能

确保您所做的一切不会毫无理由地阻塞您的开发人员。必须在允许开发人员快速开发和确保环境安全之间取得平衡。首先要确保开发人员知道，您并不是要充当拦路虎，而是要充当推动者。

建立一个商定的安全基线，该基线需要满足您的业务的每个帐户，以符合特定于行业的法规。

解剖学和速度是必不可少的业务安全所以确保你对齐安全实践你的业务工作在和谐,说这很简单,因为它需要大量的传福音,了解你的产品和基础设施除了你所有的合规要求。

自动化&策略as Code (PaC)

云托管

我不知道您的想法，但是用代码构建安全策略并在几分钟内将其部署到生产环境中，这种想法非常酷。你可以控制你的策略的版本，知道谁做了一个糟糕的合并，以及最后一个好的版本是什么。

还记得开发人员需要等待五周才能批准防火墙请求吗?那些日子一去不复返了。开发人员现在可以在几秒钟内创建安全组规则，并在更短的时间内向全世界开放端口22。

开发人员从不关心充满过时安全策略的冗长文档，他们从不阅读这些文档，即使您花费了宝贵的时间来更新它们，他们也不会这样做。

那么你应该怎么做呢?如果您正在考虑自动化您的安全策略，那么您应该拍拍自己的肩膀。为了跟上速度，云提供了你的业务;安全策略需要像您的基础设施一样灵活。您需要像您的应用程序团队一样快速或缓慢地移动。

在AWS、AWS组织服务控制策略、IAM策略以及特定于服务的策略(如KMS键策略和bucket策略)上定义策略的方法有很多。

自动化使这种灵活性成为可能，而编写策略是不可思议的，因为可以将安全策略视为基础设施和应用程序代码。策略可以在git中检入、修改、改进、重构、由多人查看，应用于应用程序代码的所有内容都可以应用于策略代码。

您可以使用Lambda和CloudWatch事件等服务，或者利用云托管等开源工具来帮助您通过自动化实现遵从性。

关键是，自动化您的安全控制，或者准备好输掉这场战斗。

实时检测、通知和修复是非常云化和人性化的。

如果您的开发人员在部署Prd期间向全世界开放了s3 bucket，请检测到这一点，并立即通知他们您已经检测到这个问题并为他们修复了它。如果您在产品投产两周后发现安全性问题，那么说服构建器修复它将不是一项有趣的工作。实时反馈通常很受欢迎，因为他们可以立即采取行动。

身份和访问管理

AWS  IAM

AWS IAM是AWS安全的核心。如果你和我的忍者交谈，他们会告诉你，让AWS的IAM正确是一个游戏改变者，因为在我看来，这是AWS最强大的服务之一。

AWS IAM使您能够定义非常细粒度的策略，帮助您轻松设置边界和实现最小特权原则。IAM集成了所有AWS服务，甚至包括允许您直接在其上建立策略的服务，如s3和KMS。

IAM的关键是使用角色并假设这些角色，而不是在任何地方都必须使用API键。此外，尽可能自动化策略、组和角色的创建，并为策略、角色和组定义良好的命名转换，以避免配置偏移。理解条件和IAM操作可能比较棘手，但是如果您想要严格控制访问策略，那么这是必不可少的。

我给您的建议是，请避免使用单一的AWS帐户模型，这样您就可以避免切割策略。

数据安全

通过加密静止、传输中的数据，并确保只有需要访问数据的人才能访问数据，从而确保数据的安全是至关重要的。尽管这看起来很简单，但是许多组织都不能理解它。

我经常在google上搜索s3 bucket泄漏的数据，并与我圈子里的人分享我的发现，以吓走所有人。我记得有好几天没有听到这种新闻。

我学到的教训是尽早对数据进行分类，并确保所有数据存储都有所有者。您还应该加密所有内容，并确保所有数据存储都受到保护。

KMS是不可思议的，因为它为您完成了所有繁重的工作，创建主键、数据键和键旋转都是由AWS为您管理的。如果你想有更多的控制权，你可以带客户的钥匙，自己管理他们。

基础设施安全

由于AWS为您处理物理基础设施安全性，所以您可以关注VPC中的流量和资源的安全性。首先创建私有和公共子网，使用VPN或bastion主机访问服务器。使用nacl和安全组来限制流量是必须实现的最佳实践。

通过利用不可变基础设施的概念，避免使用SSH之类的协议，因为它本质上提供了更大的安全性。

不修补实例只是重新构建一个新的AMI，不进行适当的更新，只是从一个基本映像进行销毁和构建。

使用AWS git-secrets检测意外签入git存储库的密钥。使用EC2角色而不是API密钥，也不要忘记您的EC2密钥对，如果这些泄漏，rest确保您的服务器将在短时间内挖掘比特币。

如果您使用s3作为静态web主机，我强烈建议使用CloudFront发行版作为bucket的前端，并利用AWS原始访问标识将bucket限制在发行版中。该模式将对象隐藏起来，使您能够访问AWS WAF和Shield等不能直接与s3一起工作的安全特性。

弹力

Netflix混乱的猴子

高可用性、操作的连续性、健壮性和恢复能力以及灾难恢复通常是使用AWS部署云的原因。多az和多区域部署都是我们都需要根据AWS架构良好的框架进行调整的模式。

使用诸如AWS架构良好的工具可以帮助您在AWS上部署更具弹性的工作负载。AWS使您更容易为失败进行架构，大多数服务提供高可用性和持久性，其他服务可以被架构为更具弹性。AWS建议我们在设计时考虑四大支柱;安全性、可靠性、成本优化和性能。

AWS架构的四大支柱

在完成设计和实现阶段之后，可以通过引入混沌工程和增强对基础设施的信心来测试基础设施，还可以定义能够帮助您在出现故障时更快地恢复的过程。您可以从单个节点(AZs)开始测试，或者取下整个区域，看看您的应用程序如何处理这些问题。

日志记录和监控

必须启用CloudTrail、Config和VPC流日志，并将其聚合到日志帐户中。您还应该确保在每个区域中都启用了这些服务，如果有人试图禁用其中任何一个服务，则会通过自动化得到通知。

还应启用AWS guardduty和AWS SecurityHub;两者都提供出色的监视功能。被动监视是不够的，我们应该以实时自动化来应对安全事件为目标。

事件响应

说到实时自动化，我们应该拥有一个剧本，帮助指导我们业务中的安全专业人员和涉众更有效地响应安全事件。

不知道谁拥有这些数据，不知道如何处理一个受攻击的实例或更糟的事件——一个被劫持的AWS帐户——是一个糟糕的处境。我们需要尽可能地自动化，但我们也需要定义的职责和文档化的流程，以便我们可以参考。我认为这个主题写起来会很有趣，所以我很快就会在这里停下来写一篇博客!

DevSecOps

这是一个很像DevOps的流行词汇。DevSecops或SecDevOps是在CI/CD工作流上实现安全性的实践。当代码通过所有较低的环境进入生产环境时，将扫描并检查其安全性漏洞。

我们不会等到安全团队在我们的代码投入生产前的最后一分钟才祝福我们的代码，我们会尽早从安全性着手，在编写代码时使用IDE插件来查找安全性bug。使用Docker bench等工具以及其他可以轻松与Jenkins集成的工具是一个很好的起点。

DevSecOps是一种以“每个人都对安全负责”的心态来处理IT安全的方法。它涉及到将安全实践注入组织的DevOps管道。目标是将安全性合并到软件开发工作流的所有阶段。这与它的前辈开发模型相矛盾——DevSecOps意味着您没有为SDLC的最后阶段保存安全性。

合规验证

你有客户的信用卡信息吗?医疗保健信息?或任何个人识别资料(PII)?当您根据特定于行业的最佳实践检查基础设施时，您需要了解您正在做什么。

如果你不遵守行业规则，你就不能做生意。我们可以使用AWS配置规则来持续审计我们的基础设施。如果我们不需要遵守其他框架，如PCI DSS或HPPA，那么我们至少应该从CIS基准开始。

原文：https://itnext.io/architecting-security-governance-across-your-aws-accounts-part-1-introduction-ae200624424d

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】

一些IT安全框架和网络安全标准可用于帮助保护公司数据。以下是为您的组织选择合适的建议。

信息安全管理包括许多领域--从外围保护和加密到应用程序安全和灾难恢复。法规遵从性法规和标准（如HIPAA、PCI DSS、Sarbanes-Oxley法案和GDPR）使IT安全更具挑战性。

这就是IT安全框架和标准有帮助的地方。法规、标准和框架的知识对所有信息安全和网络安全专业人员至关重要。从审计的角度来看，遵守这些框架和标准也很重要。

为了帮助管理流程，让我们看看IT安全标准、法规和框架是什么，以及一些更受欢迎的选项可供选择以及如何使用。

什么是IT安全标准和法规？

标准就像一个配方；他们列出了要执行的步骤。管理良好的IT组织必须符合标准中规定的要求。

相比之下，法规具有法律约束力。他们描述如何做某事的方式表明政府和公众对法规中规定的规则和程序的支持。不遵守以IT为重点的法规可能会导致经济处罚和诉讼。

什么是IT安全框架？

IT安全框架是一系列文档化的过程，定义了信息安全控制的实施和持续管理的政策和程序。这些框架是管理风险和减少脆弱性的蓝图。

信息安全专业人员使用框架来定义管理企业安全所需的任务并确定其优先级。框架还用于帮助为合规性和其他IT审计做准备。因此，该框架必须支持标准或法规中定义的特定要求。

组织可以自定义框架来解决特定的信息安全问题，例如特定于行业的要求或不同的法规遵从性目标。框架也有不同程度的复杂性和规模。如今的框架经常重叠，因此选择一个有效支持运营、合规和审计要求的框架非常重要。

为什么安全框架很重要？

框架为建立信息安全管理的流程、政策和行政活动提供了一个起点。

安全要求经常重叠，导致“人行横道”可以用来证明符合不同的监管标准。例如，ISO 27002在第5节中定义了信息安全政策；信息和相关技术的控制目标（COBIT）在“协调、计划和组织”部分对其进行了定义；Treadway委员会赞助组织委员会（COSO）框架在“内部环境”部分对其进行了定义；HIPAA在“分配的安全责任”部分对其进行了定义；PCI DSS在“维护信息安全策略”部分对其进行了定义。

使用通用框架（如ISO 27002），组织可以建立人行横道，以证明其符合多项法规，包括HIPAA、Sarbanes-Oxley法案（SOX）、PCI DSS和Graham Leach Bliley法案。

如何选择IT安全框架

使用特定IT安全框架的选择可能受到多种因素的驱动。行业类型或合规性要求可能是决定性因素。例如，上市公司可能希望使用COBIT来遵守SOX，而医疗保健行业可能会考虑HITRUST。另一方面，ISO 27000系列信息安全框架适用于公共和私营部门。

虽然ISO标准的实施通常很耗时，但当组织需要通过ISO 27000认证来展示其信息安全能力时，这些标准会很有帮助。虽然NIST特别出版物（SP）800-53是美国联邦机构要求的标准，但任何组织都可以使用它来制定特定技术的信息安全计划。

这些框架帮助安全专业人员组织和管理信息安全计划。在这些框架中，唯一糟糕的选择是不选择任何一个。

IT安全标准和框架示例

1.ISO 27000系列

ISO 27000系列是由国际标准化组织开发的。它是一个灵活的信息安全框架，可以应用于所有类型和规模的组织。

两个主要标准——ISO 27001和27002——确立了创建信息安全管理系统（ISMS）的要求和程序。拥有ISMS是一项重要的审计和合规活动。ISO 27000包括概述和词汇表，并定义了ISMS要求。ISO 27002规定了开发ISMS控制的实施规范。

遵守ISO 27000系列标准是通过审计和认证过程建立的，通常由ISO和其他认可机构批准的第三方组织提供。

ISO 27000系列有60个标准，涵盖广泛的信息安全问题，例如：

• ISO 27018涉及云计算。
• ISO 27031提供了有关IT灾难恢复计划和相关活动的指导。
• ISO 27037涉及数字证据的收集和保护。
• ISO 27040解决了存储安全问题。
• ISO 27799定义了医疗保健中的信息安全，这对需要遵守HIPAA的公司非常有用。

2.NIST SP 800-53

NIST开发了一个广泛的IT标准库，其中许多标准侧重于信息安全。NIST SP 800系列于1990年首次发布，几乎涵盖了信息安全的各个方面，并越来越关注云安全。

NIST SP 800-53是美国政府机构的信息安全基准，在私营部门广泛使用。SP 800-53有助于推动信息安全框架的发展，包括NIST网络安全框架（NIST CSF）。

3.NIST SP 800-171

NIST SP 800-171因美国国防部对承包商遵守安全框架的要求而广受欢迎。政府承包商由于靠近联邦信息系统，经常成为网络攻击的目标。政府制造商和分包商必须有一个IT安全框架来竞标联邦和州的商业机会。

NIST SP 800-171框架中包含的控制与NIST SP 800-53直接相关，但不太详细，更为笼统。如果一个组织必须以NIST SP 800-171为基础，证明其符合NIST SP 800-53，则可以在这两个标准之间建立人行横道。这为较小的组织创造了灵活性——它们可以使用NIST SP 800-53中包含的额外控制措施，在成长过程中显示出合规性。

4.NIST-CSF

NIST改善关键基础设施网络安全框架（NIST CSF）是根据2013年2月发布的第13636号行政命令制定的。它的开发是为了解决美国的关键基础设施问题，包括能源生产、供水、食品供应、通信、医疗保健和运输。这些行业必须保持高度的准备，因为它们都因其重要性而成为民族国家行为者的目标。

与其他NIST框架不同，NIST CSF专注于网络安全风险分析和风险管理。该框架中的安全控制基于风险管理的五个阶段：识别、保护、检测、响应和恢复。与所有IT安全计划一样，这些阶段需要高级管理层的支持。NIST CSF适用于公共和私营部门。

5.NIST SP 1800系列

NIST SP 1800系列是对NIST SP 800系列标准和框架进行补充的一套指南。SP 1800系列出版物提供了有关如何在现实应用中实施和应用基于标准的网络安全技术的信息。

SP 1800系列出版物提供了以下内容：

• 具体情况和能力的示例。
• 基于经验的操作方法，使用多种产品来实现所需的结果。
• 关于各种规模组织能力实施的模块化指导。
• 所需组件的规范以及安装、配置和集成信息，使组织能够轻松地复制流程本身。

6.COBIT

COBIT是由ISACA在20世纪90年代中期开发的，ISACA是一个由IT治理专业人员组成的独立组织。ISACA提供著名的认证信息系统审计员和认证信息安全经理认证。

COBIT最初专注于降低IT风险。2012年发布的COBIT 5包含了新技术和业务趋势，以帮助组织平衡IT和业务目标。当前版本为COBIT 2019。它是实现SOX合规性最常用的框架。许多出版物和专业认证都满足了COBIT的要求。

7.CIS控制

互联网安全中心（CIS）关键安全控制，版本8（以前称为SANS Top 20）列出了可应用于任何环境的技术安全和操作控制。它不像NIST CSF那样涉及风险分析或风险管理；相反，它只专注于降低风险和提高技术基础设施的弹性。

18个CIS控件包括以下内容：

• 企业资产的盘点与控制。
• 数据保护。
• 审核日志管理。
• 恶意软件防御。
• 渗透测试。

CIS控制与现有的风险管理框架相联系，以帮助补救已识别的风险。对于缺乏技术信息安全经验的IT部门来说，它们是有用的资源。

8.HITRUST通用安全框架

HITRUST通用安全框架（CSF）包括风险分析和风险管理框架以及操作要求。该框架有14个不同的控制类别，几乎可以应用于任何组织，包括医疗保健。

HITRUST CSF对于任何组织来说都是一项巨大的事业，因为它对文档和流程的重视程度很高。因此，许多组织最终确定了HITRUST关注的较小领域。获得和维护HITRUST认证的成本增加了采用该框架所需的努力水平。认证由第三方审核，这增加了有效性。

9.GDPR

GDPR是全球组织必须实施的安全要求框架，以保护欧盟公民个人信息的安全和隐私。GDPR要求包括限制未经授权访问存储数据的控制措施和访问控制措施，如最低权限、基于角色的访问和多因素身份验证。

10.COSO

COSO是五个专业组织的联合倡议。其内部控制——综合框架于1992年发布，并于2013年更新，帮助公司实现基于风险的内部控制方法。它包括以下五个组成部分：

• 控制环境。
• 风险评估和管理。
• 控制活动。
• 信息和通信。
• 监测。

COSO于2004年发布了企业风险管理（ERM）——综合框架，并于2017年进行了更新。该框架旨在帮助组织改进网络风险管理，涵盖以下五个组成部分的20项原则：

• 治理和文化。
• 战略和目标设定。
• 表演
• 审查和修订。
• 信息、沟通和报告。

2019年发布的一份指导文件《数字时代的网络风险管理》就如何准备和应对企业网络威胁提供了建议。它与COSO ERM框架保持一致。

11.FISMA

《联邦信息安全现代化法案》（FISMA）与NIST风险管理框架紧密一致，为保护联邦政府数据和系统提供了一个安全框架。FISMA于2002年推出，并于2014年更新，建议在2023年更新；立法悬而未决。

FISMA要求联邦机构及其第三方、承包商和供应商制定、记录和实施安全政策和做法，包括监控其IT基础设施和进行定期安全审计。

12.NERC CIP

北美电力可靠性公司关键基础设施保护是一个由14个已批准和提议的标准组成的框架，适用于大容量电力系统内的公用事业公司。这些标准概述了监测、监管、管理和维护关键基础设施系统安全的建议控制和政策。

CIP标准包括以下内容：

• CIP-004-6网络安全——人员和培训。
• CIP-008-6网络安全——事件报告和响应计划。
• CIP-013-1网络安全——供应链风险管理。
• CIP-014-1物理安全。

大容量电力系统所有者、运营商和用户必须遵守NERC CIP框架。

Web应用程序攻击正在增加。最近的一项研究发现，它们是2017年和2018年第一季度报告的违规行为的主要原因。这一显着增长部分是由于Web应用程序漏洞的多样性，因为新的攻击媒介被发现并被利用。

缺乏对安全性的关注也是一个问题，另一项研究发现，96％的Web应用程序都包含某些可能用于伤害用户的漏洞。

应用程序开发人员和安全人员需要了解这些新兴的Web应用程序漏洞，以及应该采用的网络安全实践来加快应用程序安全策略和过程。知识是保护应用程序及其用户的关键，特别是在新威胁出现时（攻击者抓住机会利用它们）。

教育：2019年的主要Web应用程序漏洞

1.人工智能攻击

人工智能（AI）为Web应用程序开发带来许多好处，允许开发人员创建更有意义和更强大的产品。但AI也被用于恶意活动。

攻击者可以使用基于AI的黑客算法来查找最微小的应用程序漏洞并分析复杂的用户行为和场景。通常需要数周和数月才能完成的分析几乎可以立即完成，从而为攻击者提供可用于利用Web应用程序的信息。

检测到的第一个AI网络攻击是2017年末，当时攻击软件能够通过模仿正常行为来伪装自己，使其更难被发现。自动机器人也可用于发动攻击，因为它们变得更难以与人类区分并且越来越善于表现出“正常”行为。

这种攻击的最佳防御方法是使用AI。使用AI来保护您的应用程序是应用程序安全性的未来，也是行业发展的方向。将其构建到您的安全系统中，以进行主动监控和事件报告。

AI可以帮助减少误报，确定威胁的优先级，并自动化修复过程。公司还需要改进认证措施，以便自动化机器人更难以规避。典型的安全问题，用户名和密码是不够的。例如，如果您还没有添加软件或硬件令牌，请考虑使用它们。

2.开源安全威胁

开源组件通常用于Web应用程序开发。它们缩短了开发时间，允许开发人员为其Web应用程序添加功能，而无需从头开始编写代码。增加的功能有助于在保持预算和时间表的同时提供更好的最终产品。

但是，如果不考虑安全性，这些好处就会消失。我们始终建议对所有开源组件进行安全测试。不要因为其他人使用它们而认为它们是安全的。

这在未来一年将变得更加重要。为什么？随着开源在Web应用程序开发中变得越来越普遍，它成为攻击者的一个更大（更具吸引力）的目标。如果他们可以找到一个开源组件或库的漏洞利用，他们可能会同时攻击多个应用程序。并且因为这些库和组件是开放的，所以它们使得它们更容易找到这些漏洞。

最近对开源安全性的分析发现，开源组件的使用正在增加，但对安全性的关注并未跟上步伐。被审查的企业中有三分之一尚未修补源自开源组件的漏洞，发现的威胁中有一半以上被认为是关键漏洞。

防御这些攻击的第一步是仅使用来自受信任存储库的开源代码 - 无论这看起来多么明显，这是一个非常少的开发人员打扰的预防措施。活跃的用户社区是开发人员目前正在使用并（希望）测试开源组件以解决安全问题的好兆头。

除此之外，应使用软件组合分析（SCA）工具（如Black Duck Hub和OWASP依赖项检查）在部署之前扫描源代码中的漏洞。

另一个重要的，看似简单的预防措施是创建一个工作文档来跟踪应用程序中的开源组件 - 您正在使用的所有组件，它们的使用位置以及当前部署的版本。如果发生攻击，此文档将允许您快速识别受影响的应用程序或代码行，从而帮助您快速修复威胁。

如果发现漏洞，还可以使用正式的补救策略来确保您的团队准备好快速采取行动。移动得越快，造成的伤害就越小。

3.勒索软件

根据2018年赛门铁克互联网安全威胁报告，勒索软件是2017年最普遍的攻击类型之一，增长了46％。

勒索软件经常让我们想到整个网络被攻击锁定（如WannaCry违规的情况），但它也可能发生在应用程序级别。在这种情况下，应用程序会受到攻击，无法再正常使用。攻击者要求赎金以换取释放申请。

Spora是一个强硬的勒索软件攻击的例子。在此攻击中，JavaScript代码会添加到网站并生成弹出式提醒，提示用户更新其Chrome浏览器。然后攻击者窃取用户的凭据并索要赎金或出售信息以换取金钱。

Web应用程序对勒索软件攻击并不安全。最常见的进入途径是通过Web应用程序中使用的软件包。攻击者可以将勒索软件工具包嵌入到软件包中，开发人员可能会在不知不觉中将软件包作为其Web应用程序的一部分进行安装。

如上所述，开发人员经常在Web应用程序开发中使用第三方软件包，其中许多开源解决方案容易受到攻击，因此攻击者很容易创建恶意版本并诱骗开发人员使用它们。

为了保护您的Web应用程序免受勒索软件的侵害，您当然应该对Web应用程序中使用的所有第三方组件执行定期安全测试。我们还建议使用包管理器（如Sonatype）来创建一个受信任的包存储库，供开发人员选择。

4.攻击已知漏洞

Gartner预测，到2020年，99％的漏洞利用已经知道至少一年 - “已知”意味着这些漏洞已被识别和披露，但尚未修复。使用具有已知漏洞的组件会使您的应用程序受到攻击。

Heartbleed漏洞就是一个很好的例子。此漏洞可以追溯到一行代码，这会使敏感数据面临风险。许多公司一旦曝光就争先恐后地更新补丁。如果不对其他漏洞执行此操作，您的组织将面临破坏性攻击。

一旦发现漏洞，尤其是那些可能危及敏感信息的漏洞，这一点很重要。教育开发人员了解应用程序安全性的重要性可以激励他们为安全性提供应有的关注。

从第一天开始，安全性需要整合到设计和开发过程中。有很多方法可以使这种集成变得更容易，正如您将在讨论来年的网络安全趋势时所看到的那样。

预防：2019年最重要的网络安全趋势

1. Bug赏金计划

赏金计划正在变得越来越受欢迎，其中攻击者付费试图侵入应用程序和系统以暴露漏洞。这些“友好”的攻击者通过在恶意攻击者利用漏洞之前发现漏洞来帮助提高应用程序的安全性。这种方法填补了自动安全测试可能遗漏的空白。

有时需要通过人工触摸来找到暴露应用程序以进行攻击的新方法，并且发现新的或罕见漏洞的攻击者获得了良好的回报。像HackerOne这样的Bug赏金公司管理经过审查的攻击者并帮助组织更快地发现漏洞。

2.应用程序漏洞管理

正如我们前面提到的，安全性需要集成到开发过程中。更多组织将开始使用工具来简化此过程。应用程序漏洞管理器通过从多个测试工具中删除重复结果并确定结果优先级来简化应用程序安全测试流程，以便您可以首先处理最严重的威胁。

质量应用程序漏洞管理工具集成到开发人员的工作环境中，例如Eclipse和Jenkins，因此可以查看和跟踪漏洞，而无需强迫开发人员切换到其他应用程序。像这样的工具允许全面的应用程序安全性测试，而不会减慢开发过程。

3.数据安全治理计划

更多组织将在2019年开始采用数据安全治理（DSG）计划。数据治理可保护组织内所有数据（包括应用程序）的完整性，可用性，可用性和安全性。

正式的DSG计划详细说明并实施标准化的策略和程序，以便更有效，更安全地保护用户和业务数据。作为该计划的一部分，确定并处理安全方面的差距。您的DSG计划应该是更大的IT治理策略的一部分，因此它适合您的整体安全计划。

4.运行时应用程序自我保护（RASP）

RASP通过实时检测攻击来提高Web和移动应用程序的安全性。代理程序安装在应用程序中，并监视应用程序是否存在攻击并对其进行防护。

它在应用程序运行时为应用程序添加一层保护，检查每个执行的指令并确定任何给定的指令是否实际上是攻击。

它可以在诊断时使用，在发现攻击时引发警报或警报。它还可以用于自我保护，并实际上停止可能导致攻击的执行。

到2022年，全球RASP市场目前预计将以29％的复合年增长率（CAGR）增长。

5.减少对密码的依赖

虽然我们不希望密码完全消失（它们已经过于成熟），但会发生转变，更加重视其他识别技术。这种转变将在中高风险应用中更频繁地发生，以使其更安全。

面部识别是一个可以改善网络和移动应用程序安全性的示例。随着威胁数量和种类的增加，这些更先进的验证程序变得越来越重要。

随着Web应用程序攻击的不断增加，开发人员和安全团队必须共同努力，以防止或抵御新的和现有的威胁。将安全性整合到整个应用程序设计，开发和部署过程中的全面应用程序安全策略是保护您的企业和用户免受攻击的最佳方式。该策略必须包括对最新攻击媒介的教育和网络安全的进步，以便您的防御始终处于最佳状态。

原文：https://codedx.com/predicted-web-application-vulnerabilities-and-cybersecurity-trends-for-2019/

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】

运行时应用程序自我保护技术（RASP）可直接从运行时引擎（如JVM）缓解应用程序级漏洞。

开发人员依靠Python，Node.js和Java等语言来编写和发布复杂的Web应用程序，但是他们快速的开发周期使这些应用程序的安全成为一项挑战。输入RASP（运行时应用程序自我保护），它将漏洞保护直接整合到应用程序中，以阻止出现的威胁。

应用程序使用RASP通过将安全控件包含到应用程序运行时引擎（如JVM）中来自我防御内部和外部攻击。由于控件是运行时引擎的一部分，因此RASP可以全面了解应用程序的逻辑流程，数据流和配置。

 

在基本级别，RASP通过阻止未经授权的尝试执行shell命令来保护应用程序。完成所有这些操作无需对应用程序代码进行任何更改。

“RASP在应用程序内部移动保护，”Immunio的首席技术官Mike Milner说，它提供了一个保护Java和其他动态语言的平台，包括Python，Node.js和Ruby on Rails。

Immunio的平台不仅限于检测和防范代码级漏洞和跨站点脚本和SQL注入等应用程序问题。它还可以检测和阻止帐户接管。 Immunio最近在平台上添加了Node.js支持，以反映企业内Node.js的增长。

许多企业将其开发工作集中在单一语言（如Java或.Net）上，并使用静态分析工具来查找这些应用程序中的漏洞。动态语言的采用率的增长使得依靠静态代码分析来发现漏洞变得更加困难。动态语言越来越多地为大量互联网提供动力，企业需要更快的方法来缓解生产环境中的漏洞。

企业通常必须等待供应商发布商业应用程序的补丁，这为攻击者留下了机会之窗。开源应用程序的情况甚至更加模糊。但是，使用RASP，组织可以在等待官方补丁时保护应用程序，无论它何时到达。

考虑一下今年早些时候公布的Java反序列化漏洞。该漏洞已经在JBoss和Websphere等应用程序中进行了修补，但在较旧的Rails应用程序中可能仍未修补，而且Milner指出许多自定义Java应用程序可能仍然存在缺陷。这就是RASP派上用场的地方，因为它可以保护应用程序免受试图触发该漏洞的攻击。

毫无疑问 -  RASP并不能解决Web应用程序中的软件漏洞问题。它不应被视为Web应用程序防火墙的替代品，甚至不应被视为转储应用程序安全测试和静态代码分析的借口。 WAF擅长检测和阻止针对应用程序的网络级攻击，例如检测恶意IP和自动机器人，以及阻止拒绝服务攻击。另一方面，RASP更适合监视代码级漏洞并减轻跨站点脚本和SQL注入威胁。

应用程序受到攻击，因此企业需要结合使用跨越开发和运营的检测和保护技术，而不是寻找一颗银弹来保护它们。开发人员仍然需要通过静态代码分析扫描程序运行代码，以便在开发阶段发现漏洞。应用程序安全测试有助于在软件上线之前发现安全问题。

对于devops爱好者，安全测试和代码扫描解决了方程式的“开发”部分，而RASP涵盖了“操作”，因为它让团队“主动应对其应用程序中的漏洞，而不是被动反应”，Milner说。

原文：https://www.infoworld.com/article/3089951/how-rasp-protects-applications-from-attacks.html

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】