A CISO game plan for cloud security
随着企业越来越多地迁移到云,首席信息安全官 (CISO) 在确保强大的云安全方面面临众多关键挑战。不相信我吗?专家在最近的 Gartner 安全与风险管理峰会上强调了这一点。Gartner 预计云安全支出将大幅增加 24%,使其成为全球安全和风险管理市场中增长最快的领域。适应、调整、执行最重要的是,转向云计算需要从根本上重新考虑安全性。组织努力将云集成到标准业务运营中,然而,这种转变比大多数 CISO 理解的要有更多陷阱。我在研究和 20 年的咨询经验中看到了这一点,包括云计算和之前的经验。要阅读本文全文,请单击此处
Does cloud security have a bad reputation?
最近围绕银行业云计算安全性的讨论,以 Nicholas Fearn 在《金融时报》上发表的文章为重点,描绘了银行转向云计算时网络安全形势的严峻图景。并不是只针对这篇文章,而是在过去几年中,随着云计算的价值受到越来越多的质疑,我认为这已经成为一种趋势。几年前,批评“云”还是被禁止的,而现在情况发生了变化。从那时到现在发生了什么?企业看到了云计算平台的弱点,例如成本过高和难以摆脱。这使得指出公共云提供商的问题成为可以接受的事情,而我确实也尽了自己的一份力,即使这样做并不流行。要阅读本文全文,请单击此处
10 cloud development gotchas to watch out for
在云中开发软件的好处包括提高灵活性和可靠性、提高效率和降低成本。但基于云的开发也带来了许多挑战。了解需要注意的事项是保护应用程序和开发工作的第一步。以下是在云中开发、测试或部署应用程序之前需要考虑的 10 个陷阱。在云中开发之前要三思而行的 10 个理由性能和延迟问题网络安全和数据保护威胁供应商锁定失控成本法规遵从性要求兼容性和集成问题可扩展性要求分布式协作和通信测试和部署障碍面向全球市场进行开发性能和延迟问题虽然云服务在可用性和性能方面通常是可靠的,但服务中断或性能问题可能会影响开发工作。要阅读本文全文,请单击此处
How finops can make the cloud more secure
云财务运营是核算和优化云计算支出的学科。这是对多年来无纪律的云支出的反应,或是一种恢复使用云资源秩序的方式。总的来说,这是朝着正确方向迈出的一步。然而,它很少被讨论为增强安全性的途径。与云安全的联系有效的云财务运营需要对云使用模式有很强的理解。在正常操作期间会发生什么?通过识别和跟踪云使用情况,财务运营团队可以检测到异常。他们还可以看到大多数云安全的错误配置,从而发现潜在的安全威胁。要阅读本文全文,请单击此处
You should be worried about cloud squatting
云中的大多数安全问题都可以追溯到某人做了一些愚蠢的事情。抱歉,我直言不讳,但我没有看到有天才的黑客。我确实看到配置错误的云资源(例如存储和数据库)导致本来可以轻松避免的漏洞。我总是教导你,你的第一道防线不是酷炫的安全工具,而是培训。考虑到预算用于新工具,而不是教管理员如何避免做傻事,这一点经常被忽视。考虑到所需的投资与获得的价值,这令人沮丧。算了。要阅读本文全文,请单击此处
Confidential computing in Microsoft Azure gets a boost
任何使用公共云的企业面临的最大挑战之一是它是公共的。是的,您的应用程序在独立的虚拟机中运行,您的数据位于自己的虚拟存储设备中,但仍然存在数据泄露的风险。在多租户环境中,您无法确定内存是否已安全释放,因此您的数据不会泄漏到您的系统与其他系统之间的边界。这就是为什么企业密切关注其法规遵从性,并经常将敏感数据保存在内部。这使他们能够确信他们正在安全地(或至少是私下)管理个人身份信息以及任何受法规约束的数据。要阅读本文全文,请单击此处
3 security best practices for all DevSecOps teams
Shannon Lietz 提出 DevSecOps 一词已有 10 多年,旨在让 IT 开发人员和运营商在安全方面占有一席之地。问题是,从那时起,安全性取得了多大的进展?DevSecOps 团队是否拥有所需的文化、实践和工具,以便更快、更可靠、更安全地将技术投入生产?最近发布的 SANS DevSecOps 调查显示,这一趋势十分显著。越来越多的组织正在寻求左移安全性,以确保安全性在其开发实践中占据突出地位。超过 50% 的受访者声称他们在 7 天或更短的时间内解决了关键的安全风险和漏洞。但尽管近 30% 的受访者表示他们每周都会部署到生产中,但只有 20% 的人以类似的速度评估或测试安全漏
Cloud security and devops have work to do
如果有什么事情让云开发领导者夜不能寐,那就是即将发生的安全漏洞风险高得吓人。如果我在任何企业开发会议上走一圈,devops 工程师、云开发人员和云架构师都认为,对公司造成严重破坏的漏洞是不可避免的。企业战略集团最近完成了一项云威胁检测和响应研究项目,结果很有趣。首先,我们已经了解到:80% 的组织采用了 devops 模型,75% 的组织每周至少将新软件版本推向生产。最大的挑战包括开发过程中没有足够的可见性和控制力、未经安全检查就发布的软件以及开发团队之间的安全流程不一致。我还要补充供应链问题。要阅读本文全文,请单击此处
Oracle open-sources Jipher for FIPS-compliant SSL
甲骨文公司于 11 月 7 日表示,该公司正在开源 Jipher,Jipher 是一个专为安全性和性能而构建的 Java 加密架构 (JCA) 提供商,已被该公司的云平台使用。Jipher 是为具有 FIPS(联邦信息处理标准)140 要求的环境开发的。据甲骨文称,Oracle 云基础设施 (OCI) 在使用 Jipher 后性能得到了显著提升。该技术将通过 OpenJDK 以开源形式提供,以支持基于 Project Panama 的 Java 应用程序。Project Panama 旨在开发 JVM 与本机代码之间的互连。要阅读本文全文,请单击此处
Open source is still the future of enterprise IT
云计算已成为企业 IT 的代名词,但我们不要操之过急。根据 IDC 的数据,尽管企业现在每年在云基础设施上花费约 5450 亿美元,其中 41% 的支出流向了前五大云提供商,但现实情况是,大量资金,甚至是“云”资金,并没有花在大型超大规模企业身上。相反,这些资金被投入到其他推广 Kubernetes 和相关基础设施的公司身上。“开放和平易近人”可能会定义价值 5000 亿美元的云基础设施市场的未来。要阅读本文全文,请单击此处
3 musts for your 2024 cloud to-do list
现在正是许多企业的预算时间,每年这个时候我最常被问到的问题是:2024 年我们应该在哪些方面开展工作来改善我们的云计算部署?我提出了我的三大建议,我认为这些是一般概念,您需要考虑企业内部自己的云状态。让我们开始吧。安全性和合规性始终需要更新随着云中存储和处理的数据量和敏感度的增加,安全性和合规性仍然是关键问题。在 2024 年,这意味着以明显和不明显的方式评估和增强云安全性。你们中的大多数人都没有对云部署进行可靠的访问控制。这通常会被忽视,因为建立目录服务来识别人员、机器、应用程序、数据等既昂贵又耗时,但没有办法避免。让我们在 2024 年解决这个问题。要完整阅读本文,请单击此处
How to have encryption, computation, and compliance all at once
多年来,数据团队一直使用简单的数据管道。这些管道通常由一些应用程序或数据馈送组成,这些应用程序或数据馈送融合到标准的提取、转换和加载 (ETL) 工具中,该工具将数据馈送到集中式数据仓库。从该仓库,数据被发送到一定数量的地方,例如报告工具或电子表格。因此,数据保护相对简单。需要保护的数据并不多,数据的位置也有限。要阅读本文全文,请单击此处
Centralized cloud security is now a must-have
由 Fortinet 赞助的 2023 年云安全报告调查了来自全球各个行业的 752 名网络安全专业人士。大多数受访者 (90%) 表示,拥有一个单一的云安全平台来在其云部署中一致地配置和管理安全性会很有帮助。你觉得呢?这并不奇怪。安全孤岛是云计算中的一个大问题。它们大多发生在特定的云品牌中,当公司只使用该特定云的原生安全工具时。当您拥有三到五个不同的云提供商时,就像大多数多云部署一样,您至少有三到五个安全孤岛。要阅读本文全文,请单击此处
The unhappy reality of cloud security in 2023
这些天的研究进展很快。泰雷兹 2022 年全球云安全研究发现,在过去 12 个月中,45% 的企业经历了云数据泄露或未能进行审计。(如果这个数字能被分解出来就好了。)如果你一直在关注这个领域,它只比上一年减少了 5%。到底是怎么回事?总体而言,我们正面临一场完美的风暴:缺乏对云安全的投资,严重依赖基于云的平台,以及云安全人才短缺,导致许多企业聘用了资质不够的专业人员。再加上不良行为者越来越多地将新工具(例如生成式人工智能)武器化,大多数企业都没有做好应对新挑战的准备。要阅读本文全文,请单击此处
Malicious hackers are weaponizing generative AI
虽然我发誓不再将研究作为博客素材,但我确实注意到 Vulcan Cyber 的 Voyager18 研究团队最近发布了一份咨询报告,证实生成式人工智能(如 ChatGPT)将迅速转变为一种武器,随时准备攻击您附近的基于云的系统。大多数云计算内部人士一直在等待这一刻。新的攻击方式一种使用 OpenAI 语言模型 ChatGPT 的新攻击技术已经出现;攻击者正在开发人员环境中传播恶意程序包。专家们发现 ChatGPT 会生成不存在的 URL、引用、代码库和函数。根据报告,这些“幻觉”可能是由旧的训练数据引起的。通过 ChatGPT 的代码生成功能,攻击者可以利用恶意分发的伪造代码库(程序包),
Disaster recovery in the cloud
周五晚些时候。您接到 CIO 的电话,说数据已从 XYZ 公共云服务器中删除,他们需要尽快恢复。情况变得更糟。首先,没有数据的当前备份副本。您期望云提供商代表您执行的备份仅包括提供商的核心系统备份。这意味着它在功能上无法使用。其次,没有业务连续性/灾难恢复 (BCDR) 策略、程序或剧本来处理违规或灾难。每个人都认为云会自动执行此操作。这就是我们在云中的原因,对吧?这些都是常见的误解。同样常见的是假设那些负责保持云系统正常运行和安全的人现在已经掌握了这个问题。在太多情况下,这种假设是不正确的。换句话说,您可能错误地执行了云 BCDR,需要采取一些措施。要阅读完整的文章,请单击此处
Don't overlook attack surface management
在保护云计算环境方面,一个关键方面经常被忽视:攻击面管理 (ASM)。为什么?许多云安全培训计划(包括特定的云提供商认证)都没有关注它。相反,他们关注的是特定工具和炒作趋势,而这些只是云安全的一部分。此外,随着云安全技能的持续短缺,我们不再挑剔我们招募的云安全人才。攻击者正在变得越来越擅长他们所做的事情,现在可以利用人工智能技术来对付你。这可能会变成一场完美的风暴,导致另一轮入侵事件,冲击 24 小时新闻周期,并使公司的价值一落千丈。要阅读本文全文,请单击此处
3 overlooked cloud security attack vectors
2022 年泰雷兹云安全研究显示,88% 的企业将大量(至少 21%)的敏感数据存储在云中。这并不奇怪。事实上,我以为这个比例会高得多。同一份报告显示,45% 的组织经历过数据泄露或未通过涉及基于云的数据和应用程序的审计。这个消息并不那么令人惊讶,也不那么令人鼓舞。正如我之前所报道的,人类造成了大多数云计算安全问题。他们犯下了很多本可避免的错误,导致企业损失了数百万美元的收入和负面公关。为他们辩护的是,大多数人没有接受识别和处理不断变化的威胁、攻击媒介或攻击方法所需的培训。企业不能跳过这种教育,同时仍然保持对云安全的控制。要阅读本文全文,请单击此处
