XiaoMi-AI文件搜索系统
World File Search SystemISC2
信息安全 - 专业 - ISC2
您很少会遇到拥有自己 IMDb 页面的大型公司 CISO。或者了解巴布亚新几内亚的人道主义使命如何仍然影响国际企业集团的安全团队负责人的决策。还有曾经为美国国家篮球协会和詹妮弗·洛佩兹的制作公司工作的 ISSO。这些是我们在封面故事中重点介绍的一些网络安全专业人士,这些封面故事是关于具有非传统职业历史的成功从业者。所有人都对事物的运作方式有着天生的好奇心,并渴望向那些相信它们的人表明信仰没有错。在撰写专题文章时,我回想起我第一次开始记录信息安全行业的时候,大多数人都没有接受过专业培训。很少有大学提供 IT 安全课程,更不用说实际学位了,这意味着那些想要专攻该领域的人大多是自学或接受指导。像 (ISC) 2 这样的组织在提高信息安全的知名度和专业性方面发挥了重要作用。CISSP 仍然是雇主在遵循道德准则的候选人中寻求的黄金标准。随着行业不断变化以满足当今不断发展的组织需求和运营模式,CCSP 等专业 (ISC) 2 认证正在取得进展。(ISC) 2 继续通过为入门级专业人员提供新认证为追求者提供更多展示基本技能的机会来塑造行业(有关试点计划的最新信息,请参阅 Field Notes)。这应该有助于缓解最大的进入壁垒之一,并有助于说服招聘经理,这些求职者尽管缺乏经验,但仍符合资格。我记得 20 (!)年前采访过伟大的 Dan Geer,谈论这个不断变化的职业。他担心,如果成为信息安全专业人士只有一条道路,那么这个行业本身就会缺乏他所谓的“混合活力”。他认为,以前的职业、背景、经验和教育的多样性是当时新兴行业最大的优势。今天,我们看到了类似的推动多样性和包容性的举措,以改善整个行业。当然,每当我们被要求以不同的方式做事时,在一切顺利之前,我们都会遇到一些困难。那些克服最初阻力的人会变得更有韧性。他们所服务的公司和社区也是如此。○
信息安全 - 专业 - ISC2
我最喜欢的专栏之一是 Office Hours,由两位网络安全领导者轮流撰写,他们就一系列主题分享自己的经验。Mike Hanna 和 Spencer Wilcox 都是 CISSP,他们通常专注于专业发展,但有时也会转向不同的方向。在本期中,Spencer 讨论了工业控制系统 (ICS) 仍然存在的脆弱性。这是对我们香港 CISSP Julien Legrand 撰写的 IT/OT 融合封面故事的一个很好的补充。Spencer 回忆了两起造成大规模生命损失的灾难,以及此后为减少人为错误所做的努力。一种方法是将围绕 ICS 的基础设施以及以长期使用落后技术而闻名的监控和数据采集 (SCADA) 系统现代化。然而,在这样做的过程中,一旦 IT 资产被虚拟化和联网,它也更容易受到网络攻击。今年俄罗斯对乌克兰的袭击提醒我们,我们必须投入足够的资源来防止关键系统受到攻击。然而,斯宾塞的文章关注的是系统保护的非技术方面。无论是由于配置错误还是恶意软件,人类仍然是造成入侵的主要原因。这让他怀疑,培养未来网络专业人员的正式课程是否没有达到预期效果,这些课程强调如何入侵,而不是阻止威胁行为者。他引用了高中和大学的夺旗比赛,这些比赛奖励那些
信息安全 - 专业 - ISC2
我最喜欢的专栏之一是 Office Hours,由两位网络安全领导者轮流撰写,他们根据自己的经验谈论一系列主题。虽然 Mike Hanna 和 Spencer Wilcox 都是 CISSP,通常专注于专业发展,但有时他们会转向不同的方向。在本期中,Spencer 讨论了工业控制系统 (ICS) 仍然存在的脆弱性。这是对我们香港 CISSP Julien Legrand 撰写的 IT/OT 融合封面故事的一个很好的补充。Spencer 回忆了两起造成大规模生命损失的灾难,以及此后为减少人为错误所做的努力。一种方法是现代化 ICS 周围的基础设施以及以长期使用落后技术而闻名的监控和数据采集 (SCADA) 系统。然而,在这样做的过程中,一旦 IT 资产虚拟化和联网,它也更容易受到网络攻击。俄罗斯今年对乌克兰的袭击提醒我们,我们所有人都必须投入足够的资源来防止关键系统受到损害。然而,斯宾塞的文章关注的是系统保护的非技术方面。无论是由于配置错误还是恶意软件,人类仍然占了大部分入侵事件的罪魁祸首。这让他怀疑,培养未来网络专业人员的正式课程是否没有达到目标,这些课程强调如何入侵,而不是阻止威胁行为者。他引用了高中和大学的夺旗比赛,这些比赛奖励那些渗透网络和数据库的人,奖励他们多巴胺般的荣誉。了解对手行为当然是一项重要技能。斯宾塞本人也表示,夺旗比赛对人们的网络安全教育有一定作用。这一点似乎在现在开展紫队训练的组织数量中得到了认可,紫队训练是人们更熟悉的红队/蓝队渗透测试的混合体。紫队建立在一种更具协作性的模型上,在这种模型中,团队并肩工作(而不是对抗),以测试现有控制措施是否能抵御预定的攻击方法。这种理解对抗行为的方法正在获得越来越多的关注,尤其是对于开始或继续虚拟化老化 IT 组件的制造商和工业企业而言。每一次数字化都会带来一系列新的风险和不断扩大的攻击面。找到合适的工具和培训来保护不断扩大的 IT/OT 威胁环境非常重要。而且不仅仅是对那些生计受到威胁的人而言。○
信息安全 - 专业 - ISC2
您很少会遇到拥有自己 IMDb 页面的大型公司 CISO。或者了解巴布亚新几内亚的人道主义使命如何仍然影响国际企业集团的安全团队负责人的决策。还有曾经为美国国家篮球协会和詹妮弗·洛佩兹的制作公司工作的 ISSO。这些是我们在封面故事中重点介绍的一些网络安全专业人士,这些封面故事是关于具有非传统职业历史的成功从业者。所有人都对事物的运作方式有着天生的好奇心,并渴望向那些相信它们的人表明信仰没有错。在撰写专题文章时,我回想起我第一次开始记录信息安全行业的时候,大多数人都没有接受过专业培训。很少有大学提供 IT 安全课程,更不用说实际学位了,这意味着那些想要专攻该领域的人大多是自学或接受指导。像 (ISC) 2 这样的组织在提高信息安全的知名度和专业性方面发挥了重要作用。CISSP 仍然是雇主在遵循道德准则的候选人中寻求的黄金标准。随着行业不断变化以满足当今不断发展的组织需求和运营模式,CCSP 等专业 (ISC) 2 认证正在取得进展。(ISC) 2 继续通过为入门级专业人员提供新认证为追求者提供更多展示基本技能的机会来塑造行业(有关试点计划的最新信息,请参阅 Field Notes)。这有助于缓解最大的入职障碍之一,并帮助说服招聘经理,这些求职者尽管缺乏经验,但仍然符合资格。我记得 20 (!)年前,我采访过伟大的 Dan Geer,谈到了这个不断变化的职业。他担心,如果成为信息安全专业人士只有一条道路,那么这个行业本身就会缺乏他所谓的“混合活力”。他认为,以前的职业、背景、经验和教育的多样性是当时新兴行业最大的优势。今天,我们看到了类似的推动多样性和包容性的举措,以改善整个行业。当然,每当我们被要求以不同的方式做事时,在一切顺利之前,我们都会遇到一些困难。那些克服最初阻力的人会变得更有韧性。他们所服务的公司和社区也是如此。○
信息安全 - 专业 - ISC2
我们心爱的家犬在两周内相继去世——一只因年老,一只因癌症。所有宠物爱好者都明白,这对我们来说是巨大的损失。丧亲之痛与我们与逝者的关系深度相称,在这方面,我们中的一些人(也许是大多数人)在宠物去世时会充满激情和持续的悲伤。这部分是因为我们与这些动物之间有着独特的社会契约。作为交换,我们人类在需要时(有时不需要时)会得到无条件的支持。它们保守我们的秘密,缓解我们的压力。它们迫使我们到户外,与我们原本会忽略的邻居和陌生人互动。大多数时候,我们会在 InfoSecurity Professional 中发布文章,以帮助您获得专业帮助。这次,我们关注网络危险,例如人肉搜索和深度伪造。我们提供在社交媒体上受到攻击时如何恢复过来的指南。外面的世界很可怕,但我不需要告诉你。就在我们告别 Pip 和 Axel 的同一个月,我的两只孙狗庆祝了社交媒体的一个里程碑——他们的 Instagram 帐户的关注者超过了 1,000 人。在我写这篇文章的时候,关注者数量还在增加。他们的经理,也就是我的女婿,解释说 Ford 和 Brewer 很快就明白,表现得友好和善意会慢慢但肯定地赢得持久的关注。这对情侣表现得好像自己并不受欢迎,外出时还要忍受狗仔队的跟踪。这两只上镜的拉布拉多猎犬不需要深度伪造。他们也绝不会考虑通过网络骚扰造成伤害。多年前,当网络世界还很神秘而非充满恶意时,《纽约客》发表了一幅如今著名的插图,其中一只坐在桌面前的狗转向他的狗同伴说:“在互联网上,没人知道你是一只狗。” 这是对用户的警告,他们可能真的不知道自己在网上与谁互动。正如本期所说明的那样,这仍然是事实。但我真的不知道插图画家指的是动物中的狗,还是指令人不快甚至可怜的人中的狗。无论哪种方式都有效。即使在当今世界,人类也落后于真实狗的在线账户。○
认证维护手册
Examples include: • Taking a course from ISC2 such as Skill-Builders, Certificate learning or Certification training • Reading a cybersecurity white paper • Publishing an article on cybersecurity • Attending ISC2 Security Congress • Preparing for a presentation or teaching information related to cybersecurity This does not apply to instructors teaching ISC2 Official Training Courses • Performing a unique work-related project that is not a part of your normal work duties • Self-study与项目的研究或准备认证考试有关•政府,公共部门和其他慈善组织内部与安全有关的活动志愿活动•参加网络安全(或相关领域)的高等教育课程
AI 安全与 AI 安全
各家公司都期望人工智能的发展将有助于扩大其业务机会和提高工作效率。普华永道 (*3) 在 2023 年对 4,702 名首席执行官进行的一项调查中,超过 64% 的人回答说人工智能会提高员工的工作效率,59% 的人表示人工智能也会改善他们自己的工作 [1]。另一方面,59% 的首席执行官还担心网络安全是生成式人工智能的主要风险。另一家公司在 2023 年询问了 300 多名风险和合规专业人士,调查显示 93% 的公司认识到生成式人工智能存在风险,而只有 9% 的公司为降低风险做好了准备 [2]。此外,由 ISC2(国际信息系统安全认证联盟)(*4) 组织的另一项针对 1,123 名安全专业人士的调查显示,对于人工智能是否有利于网络安全而非犯罪的问题,只有 28% 的人同意,38% 的人不同意 [3]。事实上,[3] 中的另一项调查显示,12% 的受访者禁止在其业务中使用所有生成式人工智能工具,32% 的受访者禁止使用多种生成式人工智能工具。