2022 年 8 月 4 日,Microsoft 公开共享了自 2019 年以来一直用于保护其自身开发实践的框架,即安全供应链消费框架(S2C2F),之前称为开源软件-供应链安全 (OSS-SSC) ...
OpenSSF 采用微软内置的供应链安全框架
开源安全基金会 (OpenSSF) 周三宣布采用安全供应链消费框架 (S2C2F),这是微软构建的用于使用开源软件的框架。开启等级保护之路:GB 17859网络安全等级保护上位标准日本加密货币交易所被...
OpenSSF 通过 S2C2F 扩大供应链完整性工作
作者:Jay White,Microsoft 和 David A. Wheeler,Linux 基金会围绕确保开发人员在构建软件时如何使用和管理开源软件 (OSS) 依赖项的稳健策略至关重要。安全供应...
美 DISA 发布数据战略实施计划
为进一步推动美军数字化转型,改善其数据、信息技术和网络能力,美国防信息系统局首席数据官办公室(DISA OCDO)于 8 月 30 日发布《数据战略实施计划》(Data Strategy IPlan)...
威胁狩猎不是新兴事物,它只是一直在不断发展
威胁狩猎(Threat Hunting)也被称为威胁猎捕、威胁搜寻等,是一种重要的主动安全防御方法与过程,通过主动、持续地分析入侵痕迹,捕获正在进行的入侵,从而缩短攻击驻留时间,阻止攻击者完成其攻击目...
如何制订有效的网络安全意识计划?
人员已成为全球网络攻击的主要媒介,正如Verizon2022年数据泄露调查报告所揭示的,现在对企业构成最大风险的是人,而不是技术。根据SANS 2022安全意识报告,安全专业人员最关心的三大安全风险是...
重视信息安全规划设计,有序推进安全建设实践
讲武堂,带兵者研究武学之所。今设“安恒信息安全咨询讲武堂”,与圈内人士共同聚焦、分享安全咨询领域的心得体会与实践经验。本期聚焦安全开发建设必要性与开展方式,欢迎大家文末留言探讨。前言随着信息技术行业的...
记5个基于ATT&CK的云原生攻击示例
在过去的几年里,关于云原生环境的攻击报告越来越多。结合在众多大型客户云原生安全项目上的支持经验和各类报告研究分析,我们对攻击者的战术、TTPs、活动周期、攻击复杂程度都有了一定了解。为此,总结出本文内...
致美国总统的零信任报告
全文字不多 阅读5分钟2022年2月23日,总统国家安全电信咨询委员会(NSTAC)投票通过了一份致拜登总统的零信任报告《零信任和可信身份管理》。CISA(网络安全和基础设施安全局)在其官...
安全 | 这些年我对安全成熟度模型的一点点思考
长沙 浏阳河。2018年11月2日。在多年安全咨询的职业与项目经历中,一直钟爱并经常使用的一个工具,就是安全成熟度模型。安全成熟度模型既能够清晰地展示安全全貌,又能为安全工作提供明确的努力...
数据质量成熟度模型:分析数据准备的 5 个级别
生成可供分析的数据的一个关键要求是数据必须是“好”的。各组织对良好数据质量的定义存在差异,这些定义符合其在分析和数据科学方面的成熟度。由于两个原因,成熟度模型类比似乎适合这里。首先,模型中的关卡是相互...
物联网时代下的油气行业将最容易受到网络攻击
点击上方“安全优佳” 可以订阅哦!石油和天然气看起来并不像是一个黑客们会感兴趣的行业。但事实上,随着钻井平台、炼油厂、总部和下游零售行业的普遍数字化和互联性增加,公司越来越多地将日常业务建立在互联网技...
6