降低未知风险的很好的方法是填补与第二层安全技术的差距,例如攻击检测系统(BDS)。BDS的关键功能是它能够感知攻击。
威胁检测已经超越了基于签名的防火墙和入侵检测系统,包含了监测内容和通信的新技术。然而,这些第二层技术并没有包括在安全预算中,原因有很多。
过去几年,主流Web浏览器供应商一直在努力开发新的改进的安全功能来帮助推广其最新浏览器版本,抢占市场份额,特别是在企业领域。但是,这种趋势似乎已经戛然而止。
只要我们使用计算机,后门程序将继续成为企业的风险。然而,早期规划和保护企业免受各种形状和大小的后门程序可以帮助显著降低潜在风险。
数据泄露事故已经成为信息安全领域常见的事情,并且由于用户经常在多个网站和服务使用相同的登录信息,受害者往往很难确定自己哪些账号信息已经泄露,需要更改哪些信息。
惠普对来自600多家福布斯全球2000强企业的2100个移动应用进行了分析,结果发现90%都有潜在漏洞。最常见的安全漏洞包括滥用未加密数据、糟糕的开发做法、未加密数据存储以及使用不安全的协议来传输数据等。
在企业设置中,与简单地访问电子邮箱账户相比,访问敏感的销售或者财务数据或应用意味着更高的风险,因此,基于风险的身份验证系统可以被配置为要求用户提供额外的用户信息。
基于风险的身份验证有时候也被称为自适应身份验证,这种验证方式可以被描述为变量矩阵,这些变量的结合会产生一个风险信息。基于这个风险信息,在某些功能执行前,可能需要添加额外的身份验证要求。
安全和合规团队需要培训和投资于与虚拟化、云计算、平台即服务和应用为中心安全相关的技能集。作为安全领导,如果你还不采取行动,并努力进入“软件定义一切”的世界,你和你的团队将处于危险之中。
云计算和“软件定义一切”的影响正在阻止新安全模型的部署让位给更灵活、自动化和集成的安全产品。这在很大程度上是因为虚拟化平台被打乱了。