并购有可能给企业带来重大的网络安全风险。全球技术研究和咨询机构ISG公司的合伙人兼网络安全联合主管Doug Saylors表示,实施企业并购的团队通常规模有限,主要专注于财务和业务运营的问题,IT和网络安全在并购过程的早期往往处于次要地位。Saylors说:“有关网络连接、合理化IT和网络安全平台以及员工的假设,通常是在对每个企业的实际职能和工作知之甚少的情况下做出的。”
调研机构Gartner公司在发布的一份关于并购和尽职调查过程中的网络安全调查报告称,正在合并、被收购或进行任何其他并购活动的企业必须能够评估可能影响未来实体业务战略和风险的安全需求。报告指出:“这将导致对被收购的企业安全状况的了解(在交易之前可能的范围内),以确保没有受到冲击,并制定出如何安全可靠地解决整合问题的计划。”
例如2017年,雅虎公司发生两起大规模数据泄露事件,导致其30亿用户账户全部泄露,Verizon公司为此取消了3.5亿美元收购雅虎公司运营的业务的交易。雅虎公司最初表示,数据泄露只影响了10亿多个用户账户。Verizon公司最终以44.8亿美元收购了该公司。
以下是帮助企业在并购过程中管理网络安全风险的五种策略,可以为收购方提供借鉴和帮助。
全球专业服务商Vaco Holdings公司的安全、合规和风险主管Vladimir Svidesskis表示,在开始收购交易之前,收购方需要对计划收购的目标公司进行当前或近期的评估,无论是具体的审计、安全态势评估还是业务评估,并考虑何时进行评估。
他说:“在理想情况下,收购方希望这份评估是在过去9个月内完成的,任何超过一年的信息都是无效的。收购方需要将这些信息与现行的政策和程序以及最新的战略目标相平衡。他们的政策、程序和流程是否与此一致?评估是否支持一定程度的保证?这些政策和程序是否得到了遵守?”
Svidesskis表示,收购方还应获得有关可疑和已确认的安全或合规事件、风险暴露、网络攻击、网络相关保险活动等的任何信息。他说,“这应该包括法律上可能没有要求披露的事情。例如,即使这是一个不向政府部门报告的内部事件,这仍然是需要提前了解的相关信息。”
曾经收购Black Duck Software公司的Synopsys公司的审计业务总经理Philip Odence表示,在科技公司的交易中,技术是目标产品或其重要组成部分,网络安全因此是一个特别关注的焦点。Odence专门从事并购交易的尽职调查。他表示,收购企业必须确定目标公司是否在其软件中设计了安全性。如果不是这样,收购方就要在采购之后实施更多的补救工作。
Odence说:“过多的安全性问题意味着遭受网络攻击的几率会增加,收购方可能希望将部分资金托管起来,以应对这种可能发生的情况。如果软件明显不符合行业规范,那么进行估值谈判也是很正常的。”
Odence表示,收购方并不期望收购过程完美,但如果需要解决的问题超出其预期,收购方可能会改变对交易的看法。尽职调查通常并不会扼杀收购交易,但它们可能会影响交易条款、时机或估值。他说,“最重要的是,知识就是力量,收购方需要充分利用尽职调查过程,尽可能多地了解目标公司的软件安全预成交情况,这样他们就可以保护自己免受风险影响。”
Inversion6公司董事兼首席信息技术官Chris Clymer表示,在并购之前,网络安全和IT团队很少参与,因为目标是保持较小的圈子。他说,战略性业务收购或合并目标的IT和安全状况很差,这并不少见,修复这些问题可能要花费数百万美元。因此,尽早让网络安全和IT团队参与进来并找出关键的弱点是至关重要的。
Clymer说:“在监管宽松的行业(例如制造业),我见过被收购的公司缺乏基本的安全补丁和端点安全措施,更不用说更先进的控制措施,例如安全信息和事件管理。”
他表示,企业减轻网络安全风险的最佳方法之一是让IT或安全部门成为审查收购的团队的一部分,以避免日后出现代价高昂的意外。Clymer说:“此外,IT团队应该有一个结构化的流程,具体说明他们如何进行收购,其中包括进行早期评估,并且告知员工关于财务交易变化的问题应该联系谁,以及在收购的第一天就更改所有关键系统的管理密码。”
SANS研究所研究员、YL Ventures公司常驻首席信息安全官Frank Kim表示,企业在进行尽职调查时,通常没有一个将安全性包括在内的流程。从一开始就将网络安全团队包括在这个过程中可以避免许多令人头痛的问题。他说,“在最糟糕的情况下,安全团队或首席信息官可能会很晚才加入,而收购或合并团队会说,‘我们很快就会完成这次并购或收购。下周就要开始了,你们能在我们完成并购之前完成安全审查吗?’”
然而,Kim表示,如果网络安全团队或首席信息安全官总是在谈判桌上占有一席之地,而不是只在出现问题时才参与进来,那么他们就可以评估目标公司的安全性,并对潜在的网络安全风险提出质疑。
Gartner公司分析师Sam Olyaei表示,如果被收购的目标公司从一开始就没有进行尽职调查,那么他们可能不了解自己所处的数据环境类型。他说:“这些目标公司可能要处理个人信息和可识别信息,以及可能要处理有监管要求的医疗保健信息,例如HIPAA法规。他们可能要处理有监管要求的支付信息,例如PCI或者有地理监管要求的GDPR法规。所以,他们可能没有真正从信息的角度或环境的角度很好地理解所得到的信息。”
不了解数据环境风险的问题在于,收购方不知道目标公司实施了哪些类型的安全控制,也不知道他们的环境是否完全安全,Olyaei表示,这同样适用于正在合并的公司。他说,“这些公司必须尝试至少对其正在处理的数据环境有一个很好的想法,并确定潜在的风险。对正在追求或打算合并的公司进行SWOT(优势、劣势、机会和威胁)分析,可以让收购方很好地了解正在处理的信息和资产。”
Planview公司的首席技术官兼首席信息官Joe McMorris表示,重要的是要记住,收购方除了收购目标公司的技术之外,也在收购这些公司的员工。Planview公司已经进行了多次收购,其中包括2021年1月至2022年6月的三次企业收购。McMorris说:“企业需要对即将入职的员工进行全面的技能分析,因为这样可以招聘合格的新员工。在整合过程中,双方可能会存在知识和技能差距,因为可能需要适应一些新技术,而收购方可能没有相关领域的专业知识。”
McMorris表示,在任何整合过程中,对于招聘目标公司的员工必须做大量的工作,这是在日常经营业务的基础上进行的,这可能会导致他们的倦怠、士气低落和人员流动。他说:“在整合过程中,可以说是风险最高的时期,因为需要合并网络和技术,那么会对流程做出改变。在这段时间里,如果企业流失了员工,或者他们的技能难以胜任现在的工作,那么真正的漏洞和风险就会浮出水面。技能分析(可以帮助确保企业)拥有在整合过程中运作的员工队伍。”
Svidesskis表示,对于收购方来说,重要的是要有更广阔的视野,制定一个基本并购协议,包括当前风险、潜在风险的所有方面,以及收购后的评估。最后应提交一份报告,其中包括最新的风险态势和相关剩余风险,以及对风险偏好的评估。
他表示,换句话说,收购方就是要放眼全局,并系统地完成整个过程。Svidesskis说,“企业需要评估安全形势、态势和政策,需要保护收购方和被收购方的利益,收购方需要让对方了解其标准和政策是什么,还需要让他们做出回报,这样就不会是恶意收购。在这一基础上,需要采用介于两者之间的最终结果,而且最重要的是,需要在整个过程中持续监控和审计。此外,还需要遵循几个关键步骤,而且在这些步骤中面临的问题都应该得到解决,以降低风险。”
我正在使用i18n从头开始构建一个多语言网络应用程序,虽然我自己可以处理一大堆yml文件,但我说的语言(非常)有限,最终我想寻求外部帮助帮助。我想知道这里是否有人在使用UI插件/gem(与django上的django-rosetta不同)来处理多个翻译器,其中一些翻译器不愿意或无法处理存储库中的100多个文件,处理语言数据。谢谢&问候,安德拉斯(如果您已经在rubyonrails-talk上遇到了这个问题,我们深表歉意) 最佳答案 有一个rails3branchofthetolkgem在github上。您可以通过在Gemfi
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我安装了ruby版本管理器,并将RVM安装的ruby实现设置为默认值,这样'哪个ruby'显示'~/.rvm/ruby-1.8.6-p383/bin/ruby'但是当我在emacs中打开inf-ruby缓冲区时,它使用安装在/usr/bin中的ruby。有没有办法让emacs像shell一样尊重ruby的路径?谢谢! 最佳答案 我创建了一个emacs扩展来将rvm集成到emacs中。如果您有兴趣,可以在这里获取:http://github.com/senny/rvm.el
我想在Ruby中创建一个用于开发目的的极其简单的Web服务器(不,不想使用现成的解决方案)。代码如下:#!/usr/bin/rubyrequire'socket'server=TCPServer.new('127.0.0.1',8080)whileconnection=server.acceptheaders=[]length=0whileline=connection.getsheaders想法是从命令行运行这个脚本,提供另一个脚本,它将在其标准输入上获取请求,并在其标准输出上返回完整的响应。到目前为止一切顺利,但事实证明这真的很脆弱,因为它在第二个请求上中断并出现错误:/usr/b
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
是否有简单的方法来更改默认ISO格式(yyyy-mm-dd)的ActiveAdmin日期过滤器显示格式? 最佳答案 您可以像这样为日期选择器提供额外的选项,而不是覆盖js:=f.input:my_date,as::datepicker,datepicker_options:{dateFormat:"mm/dd/yy"} 关于ruby-on-rails-事件管理员日期过滤器日期格式自定义,我们在StackOverflow上找到一个类似的问题: https://s
网络编程套接字网络编程基础知识理解源`IP`地址和目的`IP`地址理解源MAC地址和目的MAC地址认识端口号理解端口号和进程ID理解源端口号和目的端口号认识`TCP`协议认识`UDP`协议网络字节序socket编程接口`sockaddr``UDP`网络程序服务器端代码逻辑:需要用到的接口服务器端代码`udp`客户端代码逻辑`udp`客户端代码`TCP`网络程序服务器代码逻辑多个版本服务器单进程版本多进程版本多线程版本线程池版本服务器端代码客户端代码逻辑客户端代码TCP协议通讯流程TCP协议的客户端/服务器程序流程三次握手(建立连接)数据传输四次挥手(断开连接)TCP和UDP对比网络编程基础知识
我正在使用ruby2.1.0我有一个json文件。例如:test.json{"item":[{"apple":1},{"banana":2}]}用YAML.load加载这个文件安全吗?YAML.load(File.read('test.json'))我正在尝试加载一个json或yaml格式的文件。 最佳答案 YAML可以加载JSONYAML.load('{"something":"test","other":4}')=>{"something"=>"test","other"=>4}JSON将无法加载YAML。JSON.load("
我想用这两种语言中的任何一种(最好是ruby)制作一个窗口管理器。老实说,除了我需要加载某种X模块外,我不知道从哪里开始。因此,如果有人有线索,如果您能指出正确的方向,那就太好了。谢谢 最佳答案 XCB,X的下一代API使用XML格式定义X协议(protocol),并使用脚本生成特定语言绑定(bind)。它在概念上与SWIG类似,只是它描述的不是CAPI,而是X协议(protocol)。目前,C和Python存在绑定(bind)。理论上,Ruby端口只是编写一个从XML协议(protocol)定义语言到Ruby的翻译器的问题。生
这是我在ActiveAdmin中的自定义页面ActiveAdmin.register_page"Settings"doaction_itemdolink_to('Importprojects','settings/importprojects')endcontentdopara"Text"endcontrollerdodefimportprojectssystem"rakedataspider:import_projects_ninja"para"OK"endendend我想做的是,当我单击“导入项目”按钮时,我想在Controller中执行rake任务。但是我无法访问该方法。可能是什
