在企业的网络安全风险管理中,需结合资产、漏洞、威胁与威胁情报等核心要素,通过系统化的方法构建动态防御体系。以下是综合多篇行业实践与研究的最佳实践总结:一、资产管理与暴露面控制全面资产清点建立资产指纹库...
四分之三的网络安全事件是由于资产管理不善造成的
一项新的研究,揭示了对攻击面风险的识别与使用专门工具管理该风险之间存在令人担忧的脱节。趋势科技在旧金山举行的 RSA 大会上公布了这一研究结果。这项对全球2000多名网络安全领导者进行的研究表明,73...
简单聊聊信息安全文化建设
各位亲,好久不见,祝安。今天咱们聊聊企业的信息安全文化。有组织认为,2025年全球因网络攻击导致的企业损失突破3万亿美元,数据泄露事件平均处置成本高达435万美元。在这个万物互联的时代,信息安全已从技...
数据泄露响应:企业指南
刚刚得知您的公司遭遇了数据泄露。无论是黑客从公司服务器窃取了个人信息,还是内部人员窃取了客户信息,还是信息无意中泄露到您公司的网站上,您可能都在想接下来该怎么做。如果个人信息可能被泄露,您应该采取什么...
企业架构中最容易误解的概念:DMZ 不出网 ≠ 无法被访问
🔐 “DMZ 边界服务器不出网” 到底是什么意思?在企业网络中:“不出网” 并不代表这个服务器完全不能发送任何网络请求;它的含义是:“不能主动访问互联网公网”,特别是 HTTP、HTTPS、FTP、S...
企业网络安全的三个认知误区与科学应对策略
在网络安全投入持续增长的背景下,企业防御效果与威胁增长速率仍存在显著落差。数据显示,全球企业年均安全预算增幅达12%,但高级威胁防御成功率仅提升3%。本文基于真实行业实践,解析企业安全建设中的典型误区...
为何员工会中招钓鱼邮件?起决定作用的是安全文化,而不是安全培训
反复培训,可以降低钓鱼中招率吗?安全意识培训依然很重要!但是,如果仅仅是停留在知识传播层面(反复告诉员工什么是钓鱼、该做什么、不该做什么)的简单重复,然后便想当然地认为员工在下一次面对真实钓鱼邮件或模...
企业浏览器报告:多数浏览器扩展程序可访问企业敏感数据
浏览器扩展程序已经深入到大多数用户的日常工作中,无论是拼写检查器还是生成式人工智能工具,都离不开它们的身影。然而,许多 IT 和安全人员可能并不清楚,浏览器扩展程序的过度权限正成为企业面临的一个日益严...
聊聊企业蓝军攻防的关键
写在前面我记得大概从2016年左右,国内有越来越多的企业开始构建自己的蓝军攻防团队。我想这和当时《网络安全法》颁布,以及大型攻防演练的举办有密不可分的关系。企业希望通过组建企业级的蓝军攻防团队,来验证...
传统钓鱼演练的痛点分析
原文始发于微信公众号(无限手套Infinity Gauntlet):传统钓鱼演练的痛点分析
企业如何做好数据跨境传输合规与安全管理相关工作
数据跨境传输涉及国家安全、个人信息保护等多方面法律要求,在中国需严格遵守《网络安全法》《数据安全法》《个人信息保护法》等法律法规。以下是具体操作框架建议:一、国内监管合规流程1. 数据分类分级重要数据...
货拉拉第三方密钥管理实践
一背景Key Management随着互联网应用的发展,作为一个服务普通用户的应用,整个流程很难完全由一个厂商全部完成,不可避免的会需要与其他厂家进行对接,比如应用的支付需要对接支付宝或者微信支付。而...