如今,很多企业并没有把工作重点放在他们面临的实际安全威胁上,这使他们的业务更加脆弱。如果他们相信事实而不是炒作的话,那么这种情况可能会改变。
人类是一种有趣的生物,很多时候并不会对自己的最佳利益做出正确的反应。例如,大多数人乘坐飞机比乘坐汽车到机场要害怕得多,尽管乘车面临的风险是乘坐飞机的数万倍。更多的人害怕在海边被鲨鱼袭击,却不担心在家里被自己的狗咬伤,即使被狗咬伤的可能性也会高出数十万倍。人们即使知道并相信一个事件可能会发生,通常也很难对风险做出适当的反应。而这种情况同样适用于IT安全。
IT工作人员经常在计算机安全防御系统花费大量的时间、费用和其他资源,而这些安全防御措施并不能阻止对网络攻击对企业的最大威胁。例如,当面对单个未修补程序需要更新以阻止威胁的事实时,大多数公司除了修补这个程序之外,没有做其他事情。
此外,还有很多这样的例子,事实上,大多数公司很容易被黑客入侵,这足以证明威胁的严重性。然而即使面对这样的事实,很多企业也不会做他们应该实施的一些比较简单的措施。
这个问题带来了很多困扰,关于为什么这么多的防御者不能很好地采取防御措施的原因,其答案主要是缺乏重点。许多优先考虑的事情占用着IT人员更多的注意力,以至于他们可以做到的显著改进安全防御的事情还没有完成,即使成本更低、速度更快、更容易实施。
那么是什么原因导致这种情况的发生,如何将正确的防御措施放在正确的位置,以正确的方式抵抗网络威胁呢?以下了解一下企业没有专注于IT安全威胁的6个原因:
1. 绝大多数的安全威胁是压倒性的
全球每年将出现5000到7000个全新的威胁,平均一天出现15个,也就是说人们每天都面临15个全新的问题,日复一日,一直如此。IT工作人员就像消防队员一样每天接到更多的紧急呼叫求助,但并不是每个工作人员能够充分应对这些威胁,所以他们必须进行分类,并排列处理的优先次序。
2. 威胁炒作可能会分散对更严重威胁的关注
通常,媒体所报道的威胁和脆弱性往往伴随着大量的炒作与宣传。而一些安全防御厂商为了销售自己的产品和服务,也积极参与对这种威胁的炒作,一些威胁往往会以令人毛骨悚然的名字命名。
这并不能把所有的责任都推到计算机防御厂商身上,因为销售软件或服务是他们的工作。这将由消费者决定哪些事物值得他们关注,而当每天面临15个新的威胁时,安全人员保持关注是非常困难的。
即使威胁和风险很大,每一次威胁的过度报道都会让人很难注意到真正的威胁。例如,Meltdown(熔毁)和Spectre(幽灵)实际上是计算机世界所面临的最大威胁之一。它们几乎影响到所有主流的微处理器,这将会让攻击者无形中利用计算机,通常需要采用多个软件和固件补丁来保护,而在解决问题时可能会显著降低计算机处理速度。在许多情况下,唯一的好办法是购买一台新电脑。Meltdown(熔毁)和Spectre(幽灵)是很大的威胁,但专家表示,无需对其大肆炒作。
但是,除了网络安全行业和一些主流媒体文章报道之外,人员的集体反应是越来越沉默。通常当计算机安全发生大事时,很多人都会问应该怎么做。Meltdown(熔毁)和Spectre(幽灵)被报道之后,人们的反应不再那么强烈。
因为应对Meltdown(熔毁)和Spectre(幽灵)通常需要固件补丁,用户几乎很难独自处理。在未来的很多年里,全球将有数以亿计的这样的设备。为什么反应并不强烈?这是因为炒作疲劳。每一个威胁都被过度夸大,而当一个真正的全球性威胁出现时,需要每个人都进行关注的时候却并不在意,并会认为他们的操作系统提供商或设备提供商会在适当的时候修补它。坦率地说,这两个新威胁很可能会导致更多的微处理器错误,被网络攻击者发现和利用。
3. 不良威胁情报干扰了关注焦点
部分原因是大多数企业自己的威胁情报在提醒他们需要担心哪些威胁。而威胁情报(TI)还应该关注数以千计的威胁,并告诉工作人员哪些威胁最可能进行攻击。与其相反,威胁情报(TI)的作用通常是用于进行炒作的放大器。
想要知道大多数威胁情报部门是如何感染的?询问对企业造成最大的损害的威胁是什么。是恶意软件、社交工程、密码攻击、配置错误、故意攻击、加密不足?没有哪一个TI团队可以直截了当地回答,并且有数据支持其结论。如果企业无法确定最大的威胁是什么,那么如何才能最有效地应对正确的威胁呢?
4. 合规性问题并不总是与安全最佳实践保持一致
如果企业想要在计算机安全方面快速完成某些工作,需要了解是否符合法规要求。企业的高级管理人员需要关注合规问题。在很多情况下,他们可以承担责任,积极弥补合规缺陷。
不幸的是,合规性和安全性并不总是一致的。例如,一年前的最好的密码建议,却违反了有关密码的法律和监管要求。事实证明,人们所认知的密码安全的许多事情都在变化,例如要求密码的复杂性,网络威胁随时间而改变。大多数法律和法规建议的创建者和维护者似乎都没有注意到,即使遵循旧的密码建议,往往也会使企业的数据容易被泄露。
在这个问题上,很多网站不会让人们创建一个超过16个字符的密码(而这样的密码将是非常强大的,无论其复杂性如何),而密码采用“特殊”的符号在理论上会使黑客的攻击更加困难,数据和研究显示这在实际应用中显然不是这样。
5. 太多项目分散资源
很多企业都有几十个正在进行的安全项目,每个安全项目都旨在保护企业的电脑和设备。在任何情况下,这些项目中的一个或两个如果完成,将提供其所需的大部分安全收益,以显著降低安全风险。而实施数十个项目,将拆分有限的资源。大多数项目即使完成,也会被延迟和低效执行。而IT安全世界的软件价格昂贵,并承诺项目不用工作人员监督持续运作。
6. 宠物项目通常不是最重要的项目
更糟糕的是,大多数企业都有一个或两个宠物项目。企业不了解自己公司的数据面临的最大威胁是什么,他们会从其他项目中选拔出最优秀、最聪明的团队成员来完成他们的任务,这其实影响了其他重要项目的实施。
还有更多的例子说明为什么计算机维护者不把重点放在正确的事情上。企业通常从日常的威胁开始,并且在项目链上受到许多其他因素的影响。解决问题的第一步是承认企业的安全有问题。而如果企业发现一些无效计算机防护措施,那么是帮助团队中的每个人了解问题,并帮助他们更好地关注问题的时候了。
我好像记得Lua有类似Ruby的method_missing的东西。还是我记错了? 最佳答案 表的metatable的__index和__newindex可以用于与Ruby的method_missing相同的效果。 关于ruby-难道Lua没有和Ruby的method_missing相媲美的东西吗?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/7732154/
我有一个奇怪的问题:我在rvm上安装了rubyonrails。一切正常,我可以创建项目。但是在我输入“railsnew”时重新启动后,我有“程序'rails'当前未安装。”。SystemUbuntu12.04ruby-v"1.9.3p194"gemlistactionmailer(3.2.5)actionpack(3.2.5)activemodel(3.2.5)activerecord(3.2.5)activeresource(3.2.5)activesupport(3.2.5)arel(3.0.2)builder(3.0.0)bundler(1.1.4)coffee-rails(
从给定URL下载文件并立即将其上传到AmazonS3的更直接的方法是什么(+将有关文件的一些信息保存到数据库中,例如名称、大小等)?现在,我既不使用Paperclip,也不使用Carrierwave。谢谢 最佳答案 简单明了:require'open-uri'require's3'amazon=S3::Service.new(access_key_id:'KEY',secret_access_key:'KEY')bucket=amazon.buckets.find('image_storage')url='http://www.ex
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我想在一个没有Sass引擎的类中使用Sass颜色函数。我已经在项目中使用了sassgem,所以我认为搭载会像以下一样简单:classRectangleincludeSass::Script::FunctionsdefcolorSass::Script::Color.new([0x82,0x39,0x06])enddefrender#hamlengineexecutedwithcontextofself#sothatwithintemlateicouldcall#%stop{offset:'0%',stop:{color:lighten(color)}}endend更新:参见上面的#re
大家好!我想知道Ruby中未使用语法ClassName.method_name调用的方法是如何工作的。我头脑中的一些是puts、print、gets、chomp。可以在不使用点运算符的情况下调用这些方法。为什么是这样?他们来自哪里?我怎样才能看到这些方法的完整列表? 最佳答案 Kernel中的所有方法都可用于Object类的所有对象或从Object派生的任何类。您可以使用Kernel.instance_methods列出它们。 关于没有类的Ruby方法?,我们在StackOverflow
我真的为这个而疯狂。我一直在搜索答案并尝试我找到的所有内容,包括相关问题和stackoverflow上的答案,但仍然无法正常工作。我正在使用嵌套资源,但无法使表单正常工作。我总是遇到错误,例如没有路线匹配[PUT]"/galleries/1/photos"表格在这里:/galleries/1/photos/1/edit路线.rbresources:galleriesdoresources:photosendresources:galleriesresources:photos照片Controller.rbdefnew@gallery=Gallery.find(params[:galle
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
我在Rails应用程序中使用CarrierWave/Fog将视频上传到AmazonS3。有没有办法判断上传的进度,让我可以显示上传进度如何? 最佳答案 CarrierWave和Fog本身没有这种功能;你需要一个前端uploader来显示进度。当我不得不解决这个问题时,我使用了jQueryfileupload因为我的堆栈中已经有jQuery。甚至还有apostonCarrierWaveintegration因此您只需按照那里的说明操作即可获得适用于您的应用的进度条。 关于ruby-on-r
如何在Ruby中获取BasicObject实例的类名?例如,假设我有这个:classMyObjectSystem我怎样才能使这段代码成功?编辑:我发现Object的实例方法class被定义为returnrb_class_real(CLASS_OF(obj));。有什么方法可以从Ruby中使用它? 最佳答案 我花了一些时间研究irb并想出了这个:classBasicObjectdefclassklass=class这将为任何从BasicObject继承的对象提供一个#class您可以调用的方法。编辑评论中要求的进一步解释:假设你有对象
