XiaoMi-AI文件搜索系统
World File Search System信息安全
信息安全 - 专业 - ISC2
我最喜欢的专栏之一是 Office Hours,由两位网络安全领导者轮流撰写,他们根据自己的经验谈论一系列主题。虽然 Mike Hanna 和 Spencer Wilcox 都是 CISSP,通常专注于专业发展,但有时他们会转向不同的方向。在本期中,Spencer 讨论了工业控制系统 (ICS) 仍然存在的脆弱性。这是对我们香港 CISSP Julien Legrand 撰写的 IT/OT 融合封面故事的一个很好的补充。Spencer 回忆了两起造成大规模生命损失的灾难,以及此后为减少人为错误所做的努力。一种方法是现代化 ICS 周围的基础设施以及以长期使用落后技术而闻名的监控和数据采集 (SCADA) 系统。然而,在这样做的过程中,一旦 IT 资产虚拟化和联网,它也更容易受到网络攻击。俄罗斯今年对乌克兰的袭击提醒我们,我们所有人都必须投入足够的资源来防止关键系统受到损害。然而,斯宾塞的文章关注的是系统保护的非技术方面。无论是由于配置错误还是恶意软件,人类仍然占了大部分入侵事件的罪魁祸首。这让他怀疑,培养未来网络专业人员的正式课程是否没有达到目标,这些课程强调如何入侵,而不是阻止威胁行为者。他引用了高中和大学的夺旗比赛,这些比赛奖励那些渗透网络和数据库的人,奖励他们多巴胺般的荣誉。了解对手行为当然是一项重要技能。斯宾塞本人也表示,夺旗比赛对人们的网络安全教育有一定作用。这一点似乎在现在开展紫队训练的组织数量中得到了认可,紫队训练是人们更熟悉的红队/蓝队渗透测试的混合体。紫队建立在一种更具协作性的模型上,在这种模型中,团队并肩工作(而不是对抗),以测试现有控制措施是否能抵御预定的攻击方法。这种理解对抗行为的方法正在获得越来越多的关注,尤其是对于开始或继续虚拟化老化 IT 组件的制造商和工业企业而言。每一次数字化都会带来一系列新的风险和不断扩大的攻击面。找到合适的工具和培训来保护不断扩大的 IT/OT 威胁环境非常重要。而且不仅仅是对那些生计受到威胁的人而言。○
信息安全法律机制...
保护和打击网络犯罪。为了实现研究目标,采用了法学方法论原则和方法。分析结果表明,一组国家机构能力指标和一组国民经济和网络安全数字能力指标表现出最显著的相互影响。本研究证实了加速优化乌克兰网络安全机构体系的主要方向,包括两个关键领域:法律和组织。法律机制包括进一步完善和协调监管框架、制定相关法律规范、制定信息安全领域的国家政策。组织措施旨在提高负责任的机构结构(网络安全主体)的效率,提高其能力,消除行使其权力的重复,同时考虑到国际和欧洲经验的最佳实践。综合信息安全体系的核心是国家网络安全协调中心。
信息安全 - 专业 - ISC2
您很少会遇到拥有自己 IMDb 页面的大型公司 CISO。或者了解巴布亚新几内亚的人道主义使命如何仍然影响国际企业集团的安全团队负责人的决策。还有曾经为美国国家篮球协会和詹妮弗·洛佩兹的制作公司工作的 ISSO。这些是我们在封面故事中重点介绍的一些网络安全专业人士,这些封面故事是关于具有非传统职业历史的成功从业者。所有人都对事物的运作方式有着天生的好奇心,并渴望向那些相信它们的人表明信仰没有错。在撰写专题文章时,我回想起我第一次开始记录信息安全行业的时候,大多数人都没有接受过专业培训。很少有大学提供 IT 安全课程,更不用说实际学位了,这意味着那些想要专攻该领域的人大多是自学或接受指导。像 (ISC) 2 这样的组织在提高信息安全的知名度和专业性方面发挥了重要作用。CISSP 仍然是雇主在遵循道德准则的候选人中寻求的黄金标准。随着行业不断变化以满足当今不断发展的组织需求和运营模式,CCSP 等专业 (ISC) 2 认证正在取得进展。(ISC) 2 继续通过为入门级专业人员提供新认证为追求者提供更多展示基本技能的机会来塑造行业(有关试点计划的最新信息,请参阅 Field Notes)。这有助于缓解最大的入职障碍之一,并帮助说服招聘经理,这些求职者尽管缺乏经验,但仍然符合资格。我记得 20 (!)年前,我采访过伟大的 Dan Geer,谈到了这个不断变化的职业。他担心,如果成为信息安全专业人士只有一条道路,那么这个行业本身就会缺乏他所谓的“混合活力”。他认为,以前的职业、背景、经验和教育的多样性是当时新兴行业最大的优势。今天,我们看到了类似的推动多样性和包容性的举措,以改善整个行业。当然,每当我们被要求以不同的方式做事时,在一切顺利之前,我们都会遇到一些困难。那些克服最初阻力的人会变得更有韧性。他们所服务的公司和社区也是如此。○
关键信息安全术语表
摘要 美国国家标准与技术研究所 (NIST) 收到大量请求,要求为我们的出版物和其他相关来源提供一份摘要词汇表,并向从业人员提供该词汇表。根据这些请求,我们从 NIST 联邦信息处理标准 (FIPS)、特别出版物 (SP) 800 系列、NIST 机构间报告 (NISTIR) 以及国家安全系统委员会指令 4009 (CNSSI-4009) 中提取了这份常见安全术语词汇表。本词汇表包括 NIST 出版物中的大多数术语。它还包含 CNSSI-4009 中的几乎所有术语和定义。本词汇表提供了 NIST 信息安全出版物和 CNSS 信息保证出版物中最常用的术语和定义的中央资源。对于给定术语,我们不会包含 NIST 文档中的所有定义 - 尤其是较旧的 NIST 出版物中的定义。由于草稿文件不稳定,我们不会引用其中的术语/定义。
信息安全 - 专业 - ISC2
我们心爱的家犬在两周内相继去世——一只因年老,一只因癌症。所有宠物爱好者都明白,这对我们来说是巨大的损失。丧亲之痛与我们与逝者的关系深度相称,在这方面,我们中的一些人(也许是大多数人)在宠物去世时会充满激情和持续的悲伤。这部分是因为我们与这些动物之间有着独特的社会契约。作为交换,我们人类在需要时(有时不需要时)会得到无条件的支持。它们保守我们的秘密,缓解我们的压力。它们迫使我们到户外,与我们原本会忽略的邻居和陌生人互动。大多数时候,我们会在 InfoSecurity Professional 中发布文章,以帮助您获得专业帮助。这次,我们关注网络危险,例如人肉搜索和深度伪造。我们提供在社交媒体上受到攻击时如何恢复过来的指南。外面的世界很可怕,但我不需要告诉你。就在我们告别 Pip 和 Axel 的同一个月,我的两只孙狗庆祝了社交媒体的一个里程碑——他们的 Instagram 帐户的关注者超过了 1,000 人。在我写这篇文章的时候,关注者数量还在增加。他们的经理,也就是我的女婿,解释说 Ford 和 Brewer 很快就明白,表现得友好和善意会慢慢但肯定地赢得持久的关注。这对情侣表现得好像自己并不受欢迎,外出时还要忍受狗仔队的跟踪。这两只上镜的拉布拉多猎犬不需要深度伪造。他们也绝不会考虑通过网络骚扰造成伤害。多年前,当网络世界还很神秘而非充满恶意时,《纽约客》发表了一幅如今著名的插图,其中一只坐在桌面前的狗转向他的狗同伴说:“在互联网上,没人知道你是一只狗。” 这是对用户的警告,他们可能真的不知道自己在网上与谁互动。正如本期所说明的那样,这仍然是事实。但我真的不知道插图画家指的是动物中的狗,还是指令人不快甚至可怜的人中的狗。无论哪种方式都有效。即使在当今世界,人类也落后于真实狗的在线账户。○
