安全是有分量的

cdn高防_web服务器安全防护_免费测试

2021-07-06 11:01栏目:防护

cdn高防_web服务器安全防护_免费测试

Synopsys CSO Deirdre Hanford讨论了我们从网络安全意识月学到的东西,以及如何创建和成熟软件安全程序。 Synopsys的首席安全官Deirdre Hanford负责公司的内部安全,这不仅涉及专有资产,还涉及相关第三方的安全,从合作伙伴到客户到供应链供应商。她还有一个外部角色,通过Synopsys的软件安全测试工具,帮助客户设计更安全的产品。汉福德在全国网络安全意识月开始时谈到了"拥有它"这个月的主题。保护它。保护它。-以及如何实现这些目标,以及在硬件和软件方面出现的安全趋势。本周,她谈到了组织和个人如何能够接受过去一个月的培训和活动,并利用它们来提高全年的安全性。全国网络安全意识月经验教训在国家网络安全意识月期间,传奇如何防御cc攻击,个人和组织从安全课程中得到了什么启示?非常感谢你。这是一个很好的问题,因为这个月我们花了很多时间来宣传网络安全意识的概念,并进行了大量的对话。尽职尽责我有两件事要强调。首先是勤奋。这个月我有幸参加了BSIMM会议。它由Synopsys托管,但它实际上是由一个软件开发领导者社区驱动的,他们被激励来基准测试并不断改进他们的安全软件开发生命周期实践。我旁听了BSIMM社区的一位软件开发负责人的演示。他分享了一个框架,供软件开发人员在评估开源软件时使用。这是简单,常识和有效的,真正显示了我的勤奋。他提出了11个关于开源软件的实际问题。假设您是一名开发人员,正在考虑使用一些开源软件。你如何评价它的好处?他的一些问题是:开源软件项目是否有定期的维护和补丁周期?项目是否对代码更改进行代码评审?项目是否使用静态代码分析?这些都很好。我喜欢这样一个事实,它是直接和实际的。我们都希望那些正在构建软件模块的工程师在评估开源时能尽职尽责,因为众所周知,开源可以成为安全漏洞的一扇门,我认为勤奋的确是一个伟大的主题。应对不断变化的威胁面第二是不断演变的威胁面。在网络安全意识月期间,宝塔能防御cc攻击,我的部分作业是与其他CISO交谈,了解他们的基本情况,他们看到了什么?作为我们的专业人员,我们的工作和安全的一部分是如何保持开放的。我记得在Black Hat的一次演讲中,我非常强调,作为安全专业人员,我们都在一起,我们有责任保持最新信息并广泛共享信息。本月早些时候,我和一位CISO进行了一次同行电话,他向我介绍了他的公司正在做什么来评估和减轻一个新的漏洞。它不是什么新的,它已经有一年多了,但现在看来它的打击很大。它被称为凭证填充,OWASP将其定义为自动注入被破坏的用户名和密码对,以欺诈方式获得对用户帐户的访问。这是暴力袭击。大量被破坏的凭证会被自动输入到网站中,直到他们找到一个匹配项,这就给了攻击者访问权限,然后他们就可以为自己的目的进行劫持。我为什么喜欢这个?首先,这个CISO正在评估新出现的威胁,然后运行威胁场景,看看他们的环境对它的恢复力有多强。这是企业的一面。但是作为一个消费者,作为一个个人,我们中有多少人对我们的登录和密码很懒惰呢?如果您的登录在一个网站上被破坏,而您对其他网站没有不同的密码,那么您的凭证很可能就在一个被用于凭证填充攻击的列表中。希望你通过修改密码来保护自己。这是两个关键的收获:尽职尽责,应对不断变化的威胁面。如何创建软件安全程序你认为组织启动安全计划所需的基本要素是什么?了解业务驱动因素第一个组件是:了解业务驱动因素。没有业务驱动,我不认为你会建立一个程序。让我们把它分解。软件安全是一项任务,因为软件无处不在,在我们的业务流程和产品中。有那么多连接的消费设备,比如智能门铃,这些设备的设计可能考虑到也可能没有考虑到安全性。在这个月的Arm TechCon会议上,有人强调了如何构建智能和安全的物联网设备。我很高兴看到数百名工程师坐在这些会议上分享安全设计的最佳实践。在工业和汽车行业,安全是一项任务。公司和消费者愿意为安全设备支付额外费用吗?我希望如此。更有可能的是,他们将安全性设计为一个基线需求。了解您的业务驱动因素安全性是否是您产品的要求?这会是一个区别吗?当你建立一个安全程序的时候,一个商业驱动程序会给你很多保障。所以这是关键。构建安全蓝图然后构建一个安全蓝图。安全不仅仅是一个事件;它是一个持续的过程。我不喜欢这个词,因为人们过度使用它,但安全确实是一个"旅程",你永远不会真正在那里。考虑将构建、度量、验证、改进和管理等步骤合并到软件安全计划中。组建软件安全小组,培养开发团队中的冠军。安全卫士的卫星存在于大多数成功的安全计划中。不仅仅是安全团队拥有它;它还将信息传达出去,并在整个企业范围内让这些拥护者。我的一个同事实际上一直对我说,火绒5.0防御ddos,"Deirdre,不要让你的安全计划拖慢我的后腿。"你需要准备好解释,将安全性纳入流程实际上可能会让你在上游花费更多的时间,但这些步骤将为你在下游节省大量时间。如何使软件安全程序成熟已经有安全计划的组织可以做些什么来使它更成熟?我需要在这里谈谈BSIMM,因为正如我前面提到的,安全是一个旅程,而不是目的地。BSIMM表示在成熟度模型中构建安全性。BSIMM是一个使团队能够对其软件安全实践进行基本基准测试的框架。有了这个基线,他们就可以确定需要改进的地方,制定计划在这些方面进行改进,然后继续执行。BSIMM现在正处于第10次迭代中,它是一个成熟度模型,有4个领域和12个实践。例如,实践8是关于代码评审的,全球DDoS防御市场排名,而实践4是关于开发和演化攻击模型来测试代码的。练习10是关于笔试的。信不信由你,这12种实践都有三个层次:新兴、成熟和优化。因此,即使你认为你有一个热门的软件安全计划,如果你以这个成熟度模型为基准,你会发现你可以做得更好的领域。122家公司已将其实践与BSIMM进行了对比。我会向软件安全开发领域的每个人提出挑战:你是如何衡量和改进你的过程的?将BSIMM视为使您的安全态势更加成熟的途径。我也喜欢你可以在自己的行业里与其他人进行比较。没错。在BSIMM会议上,有不同行业的代表出席。代表银行的人会有一套关键的"关心",这可能与零售业的人有所不同。看到成熟度模型如何根据行业有一组不同的轴是很有趣的,因此拥有特定于行业的基准测试是非常有帮助的。安全是每个人的责任现在"每个人都有责任"的主题。你认为这仍然是真的吗?如果是,那对你意味着什么?这是真的,我们在网络安全意识月期间花了很多时间在我们的主题:拥有它的背景下讨论安全。保护它。保护它。我们每周都会和Synopsys公司进行沟通。我们的软件完整性小组甚至主办了安全周,在那里他们有各种各样的活动来鼓吹安全。我认为这是最好的做法。但我想分享几个我认为人们生活安全的例子。当我经过我们的一个大厅时,我有一个最喜欢的,非常简单的时刻。一大群人吃完午饭回来了。有人把门关了大约12个人,我们的一位主管大声问道:"我可以看看你的徽章吗?"她真的是信口开河,因为那当然是一个绝佳的机会,有人尾随进入我们的大楼。她拥有它,保护它,保护它。我认为第二个例子很有趣。在网络安全意识月开始之际,我给公司发了一封电子邮件,插入的一些链接在我们一些更注重安全的员工看来很可疑。一些同事甚至怀疑我的电子邮件是否是网络钓鱼测试。我喜欢同事们的勤奋,安全狗防御不了ddos,他们认为,"这封安全邮件看起来太可疑了,所以我不会点击任何链接。"这让我笑了