2019网络安全的十大趋势
2018年,很多轰动的数据泄露和勒索软件攻击震惊了企业界。Juniper Research公司估计,在未来五年内,网络犯罪分子窃取的数据量会增加高达175%。再加上全球经济的不确定性,2019年对于网络安全专业人士来说将是充满挑战的一年。
1.实施GDPR
欧盟的通用数据保护条例(GDPR)要求在欧盟运营的每一家企业都要保护欧盟公民的隐私和个人数据。如果不合规会受到很高的处罚,GDPR对个人数据的构成的规定非常宽泛,因此,这会是一项非常繁重的工作。Ovum在2018年7月一份有关数据隐私法的报告中指出,三分之二的企业认为他们将不得不调整自己的工作流程以实现合规,一半以上的企业担心他们可能会因为不合规而被罚款。
2.管理托管和非托管设备
随着用户使用的移动设备(包括托管的和非托管的)的数量和范围不断增加,企业网络在降低相关风险方面面临着艰巨的挑战。物联网已经把很多联网的设备(其中很多设备几乎没有或者根本没有内置安全性)连接到以前的安全网络中,导致易被攻击的端点数量呈指数增长。企业应把握好这一趋势,对非托管设备的使用进行一定程度的控制,并为托管设备建立明确的协议。
3.做一个完整的清单
Ponemon在2018年进行的一项调查发现,尽管97%的安全专业人士认为由不安全设备引起的网络攻击对他们的企业来说可能是灾难性的,但只有15%的企业拥有与其系统相连的物联网设备的清单,不到一半的企业拥有允许他们断开与被视为高风险设备的连接的安全协议。企业必须对这些漏洞主动采取措施。今年,我们希望看到有更多的企业遵循NIST的最佳实践建议,为所有连接设备建立实时清单。不仅是那些通过有线连接的设备,还有通过Wi-Fi和蓝牙连接的设备。
4.有目标的网络钓鱼攻击
对于黑客来说,个人数据是越来越有利可图的宝藏。可以从暗网上买到从Facebook等社交媒体网站的攻击中挖掘出来的数据,然后利用这些数据为 社会 工程攻击工程师提供成功瞄准个人所需的信息。这导致了APT(高级持续威胁)组织能够发起越来越复杂的攻击。现在很少有人会陷入“尼日利亚”骗局,但如果网络钓鱼电子邮件来自可信来源或者引用了你认为垃圾邮件发送者不会拥有的个人数据,那这就很难被发现。卡巴斯基公司认为,鱼叉式网络钓鱼将是2019年对企业和个人最大的一种威胁。
5.勒索软件和挖矿劫持
虽然勒索软件攻击在减少,但在某种程度上已经被挖矿劫持(劫持计算机以挖掘加密货币)所取代。这些攻击采用与勒索软件类似的战术,但需要较少的技术专业知识。恶意软件是在用户不知情的情况下在后台工作,因此很难估计这个问题的真实规模,但所有证据都表明这一问题越来越严重。
2018年(WannaCry、NotPetya)发生的轰动的攻击也表明,尽管随机的低级勒索软件攻击数量在减少,但复杂的有目标的攻击在一段时间内仍是问题。我们预计,2019年挖矿劫持和有目标的勒索软件攻击仍然会持续增长。
6.用户访问权限
有效的管理用户权限是强大的安全措施的基石之一。授予用户不必要的数据访问权限或者系统权限会导致意外和故意滥用数据,并给外部攻击留下漏洞。识别和访问管理(IAM)系统是应对这种风险的主要途径,它为管理员提供了监视和评估访问的工具,以确保符合政府法规和公司协议。在这一新兴领域中的很多解决方案仍处于起步阶段,但它们已经证明了自己的业务价值。我们预计在未来一年会有越来越多的解决方案。
7.端点检测与响应(EDR)
端点检测和响应是一种新兴的技术,它连续监视接入点,对高级威胁做出直接响应。EDR解决方案主要侧重于检测入口点的事件,包括防止网络感染的事件、调查任何可疑的活动,以及恢复系统完整性的补救措施等。传统的端点保护平台(EPP)主要是预防性的。EDR增强威胁检测远远超出了传统EPP解决方案的能力,并使用行为监视和人工智能工具去主动搜索异常情况。网络威胁的性质已经发生了变化,我们期望能够有一波新的安全解决方案,能够把传统的EPP与新兴的EDR技术结合起来。
8.深度虚假视频
眼见不一定为实。自动化的人工智能技术已经开发出来,能够创建和检测深度虚假视频。这类视频可能描述了一个从事非法或者色情活动的名人或者政治家,也可能是一个发表煽动性言论的国家元首。即使图像被证明是假的,但也会造成持久的名誉损害,或者严重的不可挽回的后果。这不仅突出了事实检验的重要性,而且这项技术还令人感到隐隐的担忧。深度虚假视频经常会像病毒一样传播,这使其成为传播恶意软件和发起网络钓鱼攻击的绝佳工具。在接下来的一年里,我们都应警惕这种恶劣的趋势。
9.云安全
把服务和计算解决方案迁移到云端给企业带来了很多好处。然而,这也打开了新的风险领域。令人担忧的是,网络安全技能方面的差距仍然很大,新一代网络犯罪分子正在积极 探索 利用基于云的服务,寻找漏洞。很多企业仍然不确定他们应在多大程度上负责保护数据,即使是最好的系统也可能因为违反协议而被攻破。我们需要重新定义云的安全性并采取主动措施。
10.用户认识
在上述几乎所有的领域中,最终都取决于用户认识。木桶的容量取决于最短的那块木板,如果我们想保护好我们的数据和网络,那么我们都必须承担风险。最重要的是,我们希望所有用户都能提高认识,并在限制威胁和补救方面开展更全面的教育。知识就是力量,它就在我们的掌握之中。
(原标题:这十个网络安全趋势,谁都躲不掉!但结果取决于……)
什么是 Growth Hacker?
“Growth Hacker”在中国普遍译为“增长黑客”,这个在硅谷风靡已久的概念,近几年在国内也不断地被各个企业重视起来。但是这个翻译似乎并不能完全表达Growth的意义。那么首先要先了解其蕴含的意义,那什么是Growth Hacker呢?Growth Hacker指那些能够帮助企业或团队成长的黑客。这个成长可以是用户、流量、营收,而帮助的手段是通过信息技术进行持续的数据营销。Growth Hacker是技术和营销的混血儿,你不仅要懂技术会编程,而且要对数据和用户体验敏感,还要有创造性和好奇心。增长黑客早已经不是一个单打独斗的独行侠形象,而是转变为有体系、有模型、强调试验、追求结果、以团队的形式来推动增长。曲卉(Acorns 市场总监,原 GrowthHackers.com 增长产品经理)在2016 GrowingIO 数据驱动增长大会时讲到增长是下一代的营销,原因如下:关注整个用户生命周期,而不仅仅是获客;
通过数据驱动的方法,不断试验迭代;将增长机制产品化,把增长做到产品里面去。以 LinkedIn 的双重病毒营销为例,老用户可以给新用户发邀请邮件,起到拉新的作用;新用户加入的时候会给老用户发一份提醒邮件,问他要不要来看看,这样可以起到促活的效果。这样的双重循环,LinkedIn 早期的增长团队花了一年半的时间进行打造、细化、优化,甚至为此主动延期其他功能的上线。增长团队日常的运营模式主要是两大部分:战略部分和执行部分。战略部分中,增长团队需要去理解整个公司的商业模式,找重点,定战略,这是比较欠缺的。战略部分需要稍微长一点的周期,比如聚焦做用户激活中某个点,定一个30-90天的小目标。“Growth Hacker”这个词之所以被国外创业公司竞相讨论,并不是因为它只是个媒体创造出来的浮夸辞藻,而是因为 growth hacking 在 Facebook、Twitter、Quora、LinkedIn 等等成功的初创企业背后扮演着举足轻重的角色,这些公司也的确专门为这个角色成立了独立的部门,全权负责用户的增长。
昭通电脑培训学校告诉你网络攻击分为哪些方面?
你在使用电脑的时候有被攻击吗?我们应该如何识别这些攻击程序?随着互联网的发展,人们在享受着互联网对生活带来的改变同时,也面临着由木马、漏洞、钓鱼网站和各类病毒组成的安全威胁,昭通电脑培训认为这些安全威胁犹如悄声逼近的丧尸,入侵并感染着用户电脑。
三大安全威胁构成网络丧尸共同体
综合来看,通过漏洞、挖矿木马与钓鱼网站威胁用户网络安全的事件频发,给用户带来的损失难以估量,并且都有着不易被察觉的特点,也因此成为更需要引起重视的网络安全威胁。
1.漏洞为黑客打开方便之门
数据显示,2018年一季度每家公司检测到的独特性漏洞检测增长了11%以上,七成以上公司遭受了严重漏洞攻击。在2018年上半年,因企业网络漏洞导致5000多万脸书用户的个人信息数据被泄漏,此外,主流CPU芯片被曝出两组可能被黑客非法访问的漏洞,攻击者可能利用浏览器远程控制并窃取用户隐私数据。
一旦有攻击者利用CPU漏洞通过浏览器进行攻击,用户访问恶意网址之后,就可能面临隐私数据被恶意窃取的风险,这种CPU漏洞隐患犹如在系统中为攻击者打开了一扇门,让其可以安然入侵。
2.挖矿木马使电脑沦为“苦力”
挖矿木马是不法分子在用户不知情的情况下植入电脑或网页中的挖矿程序,依靠算力来赚取数字货币进行牟利,在2017年呈现大规模爆发的趋势,每季度挖矿木马的利用量都要增长一倍以上,随着挖矿木马不断翻新升级,其多样性特点逐渐显示出来,让挖矿木马变得愈加难以检测、预防。
其中网页挖矿木马被广泛利用,在用户浏览含有挖矿木马的网页时,浏览器的解析对象就变成了挖矿脚本,从而利用用户计算机资源进行挖矿获利,这种很难被察觉的安全威胁让用户电脑沦为“挖矿苦力”,致使用户电脑资源被大量消耗。
3.钓鱼网站让用户难辨“李鬼”
通俗来讲,钓鱼网站也就是“高仿网站”,高仿购物网站、购票网站通过套用网络模板等技术手段,伪装成官方网站,若用户未能及时察觉,就很容易误入钓鱼网站,不仅会遭遇财产损失,还容易泄露个人信息,引发二次诈骗。
数据表明,2017年直接或间接因钓鱼网站造成财产损失的用户,占网络诈骗总体的三成以上,钓鱼网站难辨真假,且给用户造成的损失不容小觑。
什么是增长黑客?
增长黑客”这一说法,最早在2010年由Qualaroo的创始人肖恩·埃利斯(Sean
Ellis)提出。它最初的定义指的是“一群以数据驱动营销、以市场指导产品方向,通过技术化手段贯彻增长目标的人”。其中,数据主要指收集的用户数据、产品使用数据等。市场为行业的发展导向和热点趋势。至于技术化手段,小哇在这里就不多做说明啦
留给大家一个想象的空间~
随着增长黑客的逐渐火热,这个词不仅仅指这样的一群人,也代表一种“以最快方法、最低成本、最高效手段实现用户大量增长,最终增加收入”的运营方式。
经开发出来,能够创建和检测深度虚假视频。这类视频可能描述了一个从事非法或者色情活动的名人或者政治家,也可能是一个发表煽动性言论的国家元首。即使图像被证明是假的,但也会造成持久的名誉
背后扮演着举足轻重的角色,这些公司也的确专门为这个角色成立了独立的部门,全权负责用户的增长。昭通电脑培训学校告诉你网络攻击分为哪些方面?你在使用电脑的时候有被攻击吗?我们应该如何识别这些攻击程序?随着互联网的发展,人们在享受着互联网对生活带来的改变同时,也面
但只有15%的企业拥有与其系统相连的物联网设备的清单,不到一半的企业拥有允许他们断开与被视为高风险设备的连接的安全协议。企业必须对这些漏洞主动采取措施。今年,我们希望看到有更多的企业遵循NIST的最佳实践建议,为所有连接设备建立实时清