普普安全资讯一周概览（0514-0520）

作者：

时间：

2022-05-20

壹

远程工作中的网络安全提示

在新冠疫情发生之后，世界各地正在经历一段艰难的时期。随着新冠疫情对全球经济、政治、社会方面带来的不利影响，企业开展业务最主要的办法是开展远程工作。如果企业要继续运营并减少损失，远程工作就是一个主要的解决方案。远程工作在许多方面与在企业的办公室工作完全不同，人们主要关注的一个方面是网络安全，尤其是在这个数字化的时代，很多企业投入了大量精力和资源来保护其网络、IP和设备，以保护敏感数据。不幸的是，使用家庭网络和设备访问企业的工作平台和数据通常没有同等程度的安全保护。这使得允许远程工作的企业容易受到网络攻击或数据泄露的影响。以下将提供7个基本的网络安全提示和技巧，以帮助人们开展远程工作时确保信息安全。1、安装可靠且不断更新的防病毒软件；2、在公共网络中使用VPN；3、加密Wi-Fi路由器；4、更新操作系统和程序；5、完成工作后锁定设备；6、利用可靠和安全的云计算网络；7、保持谨慎和警惕。

普普点评

如今，几乎每个工作场所都有一系列旨在保护其网络和设备免受恶意软件侵害的措施。其中包括禁止在工作设备上安装应用程序、限制访问和强大的安全解决方案的规则。即使有了上述提示，没有什么比保持谨慎和警惕更重要了。一封令人相信的垃圾邮件足以让整个网络瘫痪。因此，需要花时间仔细核实发件人，并在打开电子邮件之前使用适当的程序扫描电子邮件。

贰

区块链如何减轻DDoS攻击

根据研究，仅在2021年上半年就有540万例已知的分布式拒绝服务(DDoS)攻击，比2020年上半年的同一统计数字增长了11%。DDoS攻击的目的是减慢网站的运行速度，并最终阻碍网站的正常运行。这种攻击是通过向它们发送大量请求来发起的，直到其崩溃。DDoS攻击除了极其常见之外，还会给企业造成超过160万美元的累计损失。为了防止此类损失，多个行业的企业将区块链和网络安全结合起来，以确保保护其数据和IT基础设施。同时，在DDoS攻击的情况下，区块链提供了一个可行的解决方案，以防止或至少减轻此类攻击的影响。

1、通过去中心化实现IT基础设施安全。在基于区块链的网络中，没有数据库或IT基础设施的其他组件，位于某个特定位置或处于单个管理员的控制之下。这种去中心化特性，使基于区块链的网络安全工具能够分配数据和带宽，以减轻DDoS攻击的影响。

2、通过加密网络实现物联网安全。基于区块链的工具可以促进创建安全、无需信任的物联网网络。在这样的网络中，基于区块链的去中心化和去信任化，消除了可能对多个连接设备造成损害的威胁。

普普点评

DDoS攻击的危险来自于黑客如何部署它们，以用过多的流量淹没集中式的IT系统，从而使在任何给定时间只能处理一定数量请求的网站和服务器不堪重负。区块链和网络安全能够很好地结合在一起的原因是，前者的一些核心特性对于后者的无缝应用非常理想。随着区块链的不断发展，与未来完全开发的基于区块链的工具相结合，未来的网络安全将更加强大。

叁

降低物联网网络安全风险的关键步骤

从智能家居到灾难管理操作，物联网无处不在，因目前可以通过多种方式被黑客攻击，过去曾发生过连接到互联网的设备，因各种原因被黑客攻击的例子。在如此广泛的应用规模下，物联网安全应该是首要关注的问题。提高物联网设备的安全性是必须的，否则，可能会导致巨大的财务和声誉损失。企业可以通过多种方式专注于提高物联网设备的安全级别。数据加密、防火墙和内部监控，只是可以用来提高物联网设备安全级别的一些措施。

(1) 使用云基础设施。云支持物联网安全，因为其维护了这些设备记录的信息的机密性、可用性和完整性。可以对正在交换的信息进行加密，以提高这些设备的安全性。

(2) 设计安全基础设施。设计一个专注于提高物联网设备安全级别的更好的基础设施至关重要。及时对设备在特定情况下的运行情况进行内部检查，这对于更改设备的系统非常重要。

(3) 考虑物联网的API。使用API安全性，企业可以确保只有经过授权的设备才能相互通信。任何未经授权的对系统的访问和操作，都可以通知企业和用户。

普普点评

物联网是一项热门技术，其应用范围从协助人类完成日常家务到军事专业知识。凭借如此强大的力量和能力，物联网安全也成为单向或其他使用物联网的人们以及组织关注的问题。可以说，我们所有人都在不同的设备上使用物联网。在过去的十年里，我们对物联网的依赖在增长，且没有迹象表明其依赖在减少，或物联网安全在增加。

肆

2022 年云计算网络安全威胁和趋势

云计算为企业提供了灵活性和熟练度，不仅可以收集大量数据，还可以将其用于实时洞察。迁移到云的不利之处在于会出现新的网络安全挑战。

Gartner 将网络安全网格确定为 2022 年顶级战略技术趋势列表中的一项关键安全功能。网络安全网格通过允许企业重新配置其网络安全协议以实时满足需求来模仿向灵活、可组合架构的转变。它帮助企业集成分布式安全服务。网格将允许 IT 专业人员和管理人员验证身份、提供上下文并确保整个系统遵守策略。专家将网络安全网格确定为允许企业将云服务集成到其整体零信任架构中的过程。端点检测和响应以及多因素身份验证也适合这里的安全流程。云原生平台和工具在整体安全策略中也占有一席之地。这些产品和工具使安全更容易，因为它们充分利用了云提供的功能，然后以云产品需要的方式保护这些资产。最重要的是，它可以帮助企业在需要的地方保持可见性。还需要减少云攻击面。快速响应时间还将减少黑客能够造成的损害。无论哪种方式，云攻击都将变得更加普遍，企业应该做好准备。

普普点评

应用程序编程接口允许用户无论身在何处都可以访问基于云的产品，但它们可能成为恶意行为者的入口。即使通过身份验证，由于缺乏可见性或网络钓鱼，一些黑客也可以利用这些漏洞。因此，网络安全必须变得与架构本身一样灵活，以帮助公海710快速调整并更快地响应。

伍

ERP软件是否存在安全风险？

ERP系统需要防止网络攻击，但其中许多系统都存在使组织面临风险的常见漏洞。有一些策略可以帮助最大限度地降低风险并防止攻击。

(1) 系统复杂性。ERP工具将来自工作环境中多个部门的各种流程连接在一起。因此，对所有用户进行适当的培训应该是实施ERP系统时的标准做法。

(2) 访问权限。如果访问权限配置不正确，将外部数据源和第三方工具与ERP系统合并可能会产生安全风险。

(3) 延迟更新。应自动实施ERP系统更新，以尽量减少与过时软件相关的风险。

(4) 合规问题。组织不能固有地信任ERP工具中包含的安全措施来保证其网络和数据的安全。

(5) 云ERP系统接入。基于云的ERP工具是面向互联网的，它们对Web可访问数据构成更大的安全风险。

(6) 系统授权。有权访问ERP数据集和系统权限的用户越多，越有可能被黑客入侵。

(7) 单因素身份验证。用户密码需要复杂并定期更新，以确保免受黑客攻击。

普普点评

随着COVID-19大流行开始后远程工作结构的增加，越来越多的组织实施了ERP系统来连接他们的团队和工作流程。但是，这会带来ERP安全风险，因为该系统集成了所有业务资产。因此，网络犯罪分子只需侵入这个系统即可访问整个组织的所有数据和资源。ERP软件中的漏洞可能导致每个可访问部门对每个数据源的资产进行攻击，从而导致广泛的数据泄露、盗窃和丢失。

陆

《个人信息保护法》对金融行业的监管要求分析与应对建议

个人信息保护的专门法律，与《民法典》、《网络安全法》、《数据安全法》、《电子商务法》、《消费者权益保护法》等法律共同组成一张公民个人信息保护网。该法律的施行，明确了金融数字化发展应当遵循的基本准则和行为规范。个人金融信息在金融业务的收集、传输、存储、使用、删除和销毁的数据生命周期过程中面临着诸多挑战，个人敏感数据泄露事件时有发生，保护个人敏感数据是《个人信息保护法》重点保护的领域之一。金融行业在落实个人信息保护法时，应结合金融行业特点和自身情况，采取有效的机制和措施落实相关要求，并建立持续的改进机制。

（1）加强个人信息保护法和个人金融信息法规的学习，全面落实合规要求。

（2）制定个人金融信息保护组织架构，落实个人金融信息保护职责。

（3）健全个人金融信息保护管理制度，夯实个人金融信息保护基础；

（4）实施个人金融信息数据分类分级，落实差异化安全保护机制；

（5）个人金融信息全生命周期保护，筑起全方位安全保护屏障；

（6）开展个人金融信息保护审计，持续完善个人金融信息保护体系。

普普点评

金融机构在业务运营和日常管理中要加强数据安全合规建设，注重个人金融信息收集和处理的记录存储，以满足举证责任的要求。由于金融机构对个人金融信息的搜集、使用和处理是其开展业务的基础，未来个人金融信息保护机制与信息系统全生命周期的全面融合将是金融机构重点关注的方向，为此，金融机构应通过不断提升个人金融信息的管理和技术管控能力。?

柒

使用特权访问管理的六个好处

特权访问管理 (PAM) 是一种战略方法，让谁有权访问网络(包括基础设施和应用程序)，然后有目的地管理该访问。大多数情况下，这涉及为用户使用单点登录，为管理员使用单点管理。实施 PAM 的企业将获得诸多好处，包括：

1.提高可见性：借助 PAM，可以实时了解谁访问了每个网络、服务器、应用程序和设备；

2.提高合规性：许多行业，如医疗保健和金融，必须保持对最低特权访问的合规性，以遵守法规；

3. 提高生产力：大多数 PAM 工具使用自动化来执行以往手动任务，例如密码创建和密码保管；

4. 跨环境集成：通过特权访问管理，可以轻松地在整个团队中集成流程和工具；

5. 减少恶意软件攻击：更安全地控制访问并限制对业务的访问意味着攻击不会传播那么多；

6. 减少终止员工的攻击：PAM 提供了一个内置流程，用于在员工离开公海710时关闭访问权限。

普普点评

密码是管理访问的重要组成部分，但还有其他方面需要考虑。使用特权访问管理 (PAM) 提供的全部范围会有所帮助。很容易将注意力集中在网络安全的闪光方面。但是，如果没有正确管理凭证和访问权限，企业就会面临受到攻击的风险。根据Verizon 数据泄露调查报告，绝大多数网络安全问题 (80%) 与通常被盗或薄弱的凭据有关。

上一篇:普普安全资讯一周概览（0521-0527）下一篇:普普安全资讯一周概览（0507-0513）