特洛伊亨特说,许多企业仍然使用过时的安全性

2021-11-15 12:46:24来源:

根据安全专家特洛伊狩猎的说法,还有许多安全漏洞和甚至10年前的安全选项,而且许多组织都被困在过去。

“我仍然从几十年前使用安全方法,技术和流程的企业,”他每周告诉电脑。

Hunt表示,这些组织组织处理密码和安全问题等文件的方式是一个互联网安全专家,Hloralsight Author,BreachWwned.com的所有者,以及Microsoft最有价值的专业奖的接收者,谁是互联网安全专家。

“许多公司在几十年前仍在使用安全范式,但技术景观现在完全不同,具有不同的风险,因此这些范式不再有意义,”他说。

然而,随着技术景观改变的话,组织也有更多的选择来验证逃生,并具有更大的信心,所以不再需要依赖出生日期和母亲的娘家姓名,所有这些都是可被发现的,并且也经常在线泄露。

“组织现在拥有短信,消息传递应用和电子邮件渠道,以及NFC [近场通信],USB令牌甚至亚真皮电脑芯片等技术,但相对少的组织正在使用它们,”他说。

在安全挑战和问题方面,大多数人不明白的一个重要事项说,狩猎,一旦违反,就是个人数据的重新分配。

“每天我都会获得多个电子邮件和消息报告的消息,他们已经找到了更多的数据似乎被突破,而这件东西只会被重新分配的en Masse,”他说。

据亨特说,大多数重新分配是由青少年和年轻人来说,他们只是吹嘘他们所发现的东西,因为缺乏对任何社会责任的认识。但其中一些是由“商业机会主义”的驱动,例如LiredSource网站,用于出售被盗的身份和密码。

“肯定有金融动机,”他说。“我们仍然看到了很多销售数据。在2012年的LinkedIn漏洞之后,我们看到数据广泛出售。来自2013年的AdobeBreac区的细节仍在梦想市场上销售在黑暗的网络上。“

在通过提升问责制的改善网络安全方面,亨特认为教育至关重要。虽然立法发挥作用,但他说,直到现在,为数据保护失败发出的罚款并没有真正打回家,尽管欧盟的一般数据保护条例(GDPR)可能会改变,罚款高达2000万欧元或4%全球营业额。

虽然狩猎并不相信随时将有大约4%的全球营业额的罚款,因为这只是在极端案件中,他说他会更幸福地看到1%甚至0.5%的罚款超过400,000英镑公司等公司,缺点是15岁的缺陷的贸易胜地。

“我担心组织正在寻求安全性,并说在网络安全上没有足够的理由,”他说。“投资没有足够的回报。但如果我们开始看到真正伤害的处罚,我们可能会看到ROI计算变化。“

然而,最终,亨特认为提高意识和网络安全教育是集中注意力的最重要领域之一。

“我真的相信我们能做的最好的事情就是为正在建立IT系统的人提供更好的教育,”他说。“持续的大规模违规表明我们已经有了大量技能差距。”

亨特表示,基本的安全错误仍然是经常进行的,这引用了许多Web服务仍然以SQL注入漏洞创建,这已被确定为至少七年的最高风险。

SQL和命令注入长期以来一直是Web应用程序安全风险的前10个列表,因为它们根据开放的Web应用程序安全保护(OWASP),它们继续具有启用数据丢失或妥协的可能性最大的可能性,这是编译列表的。

“SQL注射仍然是无处不在,但这只不过是人类错误,这些人可以被任何了解他们正在寻找的人,这只是一个教育问题,”亨特说。

“它不需要更多的努力或成本来编写良好的代码,而不是写出易受SQL注入的代码。”另一方面,未能编写好的代码,他补充说。

他说,“与硬件电器,安全控制,渗透测试和违规成本相比,教育很便宜。”

亨特说,不仅是教育在做时,狩猎,虽然人们在多天的训练中应用了许多项目的培训,但有助于积极影响他们组织内的网络安全实践的知识。

“教育与他们的工作角色有关的网络安全问题是最易懂和最重要的事情,”他说。“它还允许我们在最便宜的地方修复缺陷,因为你进入了一个项目的生命周期,它越昂贵它是解决缺陷,特别是在违约之后。”

除了由内部团队或商业软件开发公司进行良好的编码实践,亨特认为,数据收集和保留需要更多的教育。

“我们看到这么多数据违规的原因之一是每个人都收集了太多数据,”他说。“如果组织停止收集如此多的数据,并且只限于他们所需要的数据收集,只要他们真正需要,它就会限制他们的数据收集,只能为它收集它的目的而限制他们的数据收集。 “

据亨特说,人们应该能够访问在线讨论论坛,例如,不必提供诸如出生日期之类的个人数据,这是由论坛收集的,可以留在其数据库中多年,并且如果该数据库被突破。

“组织可以控制收集的数据,他们保留的数据以及他们保留多久,所以我想鼓励他们尽可能地收集和保留,”他说,指出数据最大化是其中之一他在2017年11月对美国数据泄露的证词中突出了问题。

在他的书面证词中,亨特说:“加重数据泄露的患病率和影响是一种普遍的”数据最大化“的态度,即采集和保留尽可能多的数据的做法。”他说很多组织都在这样做,因为他们可以,以防他们可能需要它。

然而,亨特说这个问题在美国更糟糕的是,因为英国和其他欧洲国家对数据最小化有更好的态度,这是GDPR的基石。

“组织将客户视为其资产的数据,但未能认识到它也可能成为责任,”他在向美国国会的证词中说。

他说,组织往往不会想到事情发生的事情发生了什么。“这一切都回到了这个原则,你不能丢失你没有的东西。因此,除了组织刚刚开始的数据时,技术控制抛开,这将是一件好事。“

当发生数据漏斗时,亨特表示,组织需要确保他们有处理处理的流程。“我们现在处于一个时代,人们不再像违反那样严厉地判断组织,而是在他们处理它的方式判断它们,”他说。

例如,在照片共享服务Imgur的情况下,该公司在2017年11月在2017年11月的25小时内通知受影响的用户2014年11月影响了数百万个账户,告知用户违规,告诉他们该公司的内容正在做它,并为违规行为道歉。

“如果您将使用优步比较,该优惠工具将在2016年掩盖数据泄露的情况下影响了5700万客户和司机,并且如果您将其与Secofax处理违约的方式进行比较,则清楚地说是更好的计划您将如何处理数据泄露,并能够以IMGur所做的方式回应。因此,规划失败是,以一种方式是一个问责制的重要组成部分。“


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章