移动优先世界中安全和隐私策略

于 2024-06-21 00:00:00 发布
阅读量596 收藏 6
点赞数 11
分类专栏: 网络研究观 文章标签: 安全 网络 设备 数据 隐私 平台
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29607687/article/details/139816553
版权

Lookout 首席执行官 Jim Dolce 讨论了如何保护移动设备以缓解不断升级的云威胁。他强调,组织必须转变其数据安全方法,承认移动访问基于云的公司数据所带来的复杂性。

以及人工智能驱动的自动化和纵深防御策略的必要性,以有效保护敏感信息。

移动威胁可能会升级到云端。组织如何降低与配置错误和人为错误相关的风险?

首先,在数据安全方面,需要转变思维,并承认威胁形势已变得更加复杂,因为大多数敏感的公司数据现在都存储在云端,而不是专用的私人数据中心、多台服务器、网络设备和存储设备中。

与此同时,组织的员工也在改变他们通过不断扩展的基于云的应用程序访问和与这些数据交互的方式。

人为因素使每个方面都变得复杂。现代劳动力的特点是渴望灵活性,用户希望在任何地方使用任何设备工作并自由共享信息。

攻击者可以指望人们在使用移动设备时犯错误,而且由于人无完人,一个小小的人为错误可能会导致巨大的企业数据泄露机会。

在 IT 方面,由于人为错误或对数据所在位置缺乏了解而导致的云基础设施配置错误也可能暴露公司的应用程序和数据。

意识到这些因素后,威胁行为者开始改进其策略、技术和程序 (TTP),这反映出他们明显脱离了传统的恶意软件或基于漏洞的攻击。

例如,我们现在看到越来越多的不良行为者针对移动设备用户发起社交工程攻击,旨在窃取凭据并冒充用户。

一旦攻击者获得这些合法登录信息,他们就可以快速进入关键的公司基础设施并在几分钟内(而不是几个月内)窃取敏感数据。这就是我们所说的现代网络杀伤链。

这引出了第二部分,即认识到传统策略和遗留技术无法解决和防范这些新的 TTP。

仅靠设备管理无法提供实时洞察,这意味着您甚至无法知道主动攻击是否正在发生,直到为时已晚。

而传统的网络钓鱼培训仅关注电子邮件以及您可以在笔记本电脑等传统终端上检测到的内容。

在当今的威胁形势下,几乎不可能依靠人类的反应和手动流程来减轻这些新风险。

相反,组织必须考虑采用纵深防御方法来制定安全策略;这种方法可以持续洞察移动设备的情况,并能够通过人工智能驱动的自动化进行检测和响应,以保护云中的敏感数据,无论这些数据流向何处。

由于数据分布在众多应用程序和云存储库中,组织如何确保可见性并防止数据泄露?

这主要涉及两个方面。首先,组织需要全面、持续地了解他们在这些不同环境中拥有的数据,无论是云服务、私人应用程序还是 Web 目标,以及用户如何访问和与公司数据交互。

其次,组织应该拥有基于这些洞察实施政策的工具,以便在有恶意行为者窃取他们在云中的数据时能够迅速做出反应。

为了确保可见性并防止数据泄露,组织需要采取真正以数据为中心的安全和数据风险管理方法;这种方法旨在同时最大限度地提高可见性、访问和控制。

首先要了解违规行为的源头,即移动设备和社会工程攻击。

但它还需要基于云的数据丢失防护 (DLP) 解决方案来检测和分类整个组织的数据,然后在数据流向不同的应用程序、网站和端点时保护数据。

随着远程工作的兴起,组织应该实施哪些关键的最佳实践来保护移动设备的安全?

远程工作和移动设备使用率上升带来的挑战是个人生活和职业之间的界限变得模糊,这意味着任何个人风险都会影响企业。

考虑到这一点,组织应该在所有设备上为员工实施多因素身份验证。这将防止某些帐户被接管,并缩短攻击者进入后获得访问权限的时间。

另一个最佳做法是定期更新和修补设备,包括非托管设备和个人设备,最后一步是确保您的培训是现代化的。

攻击现在完全集中在移动设备上,因此您不能只将培训重点放在传统端点和预防措施上。

在所有设备和平台上制定一致的安全策略有多重要?组织在实现这种一致性方面面临哪些挑战?

在所有设备和平台上实施一致的安全策略至关重要。

这有助于通过确保所有设备遵循相同的安全标准来降低风险,并减少可利用的安全漏洞。

它还有助于通过简化运营来缓解资源问题,确保 IT 和安全团队能够更有效地应对事件并遵守法规要求。

当然,说起来容易做起来难。传统技术和策略依赖于专业工具,而这些工具不一定能很好地协同工作。

为了克服这些挑战,组织必须在选择工具时具有战略性。

这意味着从自上而下的角度审查需求,并实施无论在何处或以何种方式访问或使用数据都能协同工作的解决方案。

在 BYOD(自带设备)和企业移动设备环境下,首席安全官怎样平衡安全性和用户隐私?

隐私和安全常常被视为对立的两极,但其实并非如此。

虽然对雇主拥有的设备实施安全控制是理所当然的事情,但个人和职业的重叠度越来越大,这意味着组织需要考虑如何保护用于工作的员工拥有的设备。

由于个人和职业之间的界限变得如此模糊,如果组织中的一名员工的个人设备被入侵,则意味着他们的公司数据也可能被泄露。

因此,为了维护隐私和数据安全,组织需要一种覆盖所有终端用户设备(包括个人设备)的移动安全策略。

iOS、Android 和 ChromeOS 设备的保护监控可能是一项特别的挑战,这就是为什么组织应该考虑使用人工智能和机器学习来取得适当的平衡。

实施大数据解决方案可以让组织有效地检测和应对威胁,而无需像传统端点安全那样进行资源密集型和侵入性扫描。

归根结底,这一切都取决于你如何处理它。

传统解决方案非常具有侵入性,因此很难在自带设备的背景下谈论安全性。

考虑到这一点,对于首席安全官来说,重要的是深入了解他们的安全工具,并了解他们如何在不断发展的劳动力背景下同时处理隐私和安全性。

 

关注公众号网络研究观获取更多内容

网络研究观
关注
  • 11
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MDM(移动设备管理策略系统)、MAM、MCM作用
墨痕诉清风的博客
05-13 1660
收集设备信息,设备功能管控,设备配置推送(wifi email vpn 什么的,设备设置里有的),企业app商店(应用发布什么的 ),都是继续移动os提供的标准接口来开发的,安卓有安卓的,苹果有苹果的,国外厂商同步的速度比较快例如airwatch,mobileiron 基本能做到0延迟支持最新系统。还有一种方案是定制,根据用户需求,跟设备提供商合作通过签名或sdk方式获得更多更特殊的功能,但是只支持安卓,国内排名靠前的厂商基本都支持例如国信灵通。
企业安全体系的构建蓝图:深入规划与实践策略
随手糊墙上的技术笔记
04-23 1325
随着技术的发展和威胁环境的变化,企业安全体系的建设是一个持续的过程。企业需要不断更新和完善安全体系,以适应新的挑战。通过全员参与和持续投入,企业可以构建一个坚不可摧的安全防线。
移动应用的第三方SDK隐私合规检测,早知道
热门推荐
华为云官方博客
02-21 3万+
https://bbs.huaweicloud.com/blogs/329427?utm_source=csdn&utm_medium=bbs-ex&utm_campaign=paas&utm_content=content
移动应用数据安全问题列举
securitypaper的博客
07-03 779
隐私政策是移动应用运营者告知用户个人信息收集规则的主要途径。移动应用应在用户首次注册、登录移动应用时以弹窗、超链接等明显方式提醒用户阅读隐私政策,明示告知用户收集使用个人信息的目的、方式、范围,使用户充分了解其个人信息如何被收集、存储、使用、传输、共享、销毁。部分移动应用存在用户首次登录时要求用户默示“打勾”同意隐私政策(即未要求用户主动打勾同意),导致隐私政策难以起到告知和真正具有法律效力的“同意”作用,存在违规收集个人数据行为。除了前面的默认打勾的违规行为,还包括如:通过“登录/注册即表示同意隐私政策”
语音控制系统的安全挑战与防御策略
最新发布
声纹感知 洞察芯声
05-29 900
。目前Wav2Letter(基于CNN)、Kaldi(DNN-HMM)和CMU Sphinx(GMM-HMM)这样的高级模型成为主流,因为它们在语音识别方面的准确性有较大提高。但核心层仍然容易受到对抗性攻击的影响,这些攻击操纵解码过程和欺骗攻击,其攻击者模仿合法的音频输入来欺骗系统,这突显了在这关键的VCS组件需要强大的安全措施。
第9章 安全漏洞、威胁和对策
HeLLo_a119的博客
11-23 692
安全漏洞、威胁和对策
【网络互联技术】(一)移动数据加密和网络安全概述
Tamic (大白)
07-05 7370
转载请标明出处:ttp://blog.csdn.net/sk719887916/article/details/42437253       对3G移动通信系统的网络安全问题进行了探讨,国内开展的4G系统及工程的建设已经开始安全性改造的工程,此举具有特别重要的意义。     安全性问题自移动通信技术问世以来就已产生。第一代移动通信的模拟蜂窝移动通信系统几乎没有采取安全措施,移动台把
监控云安全的9个方法和措施
Dexun_chuqi的博客
05-28 529
媒体是否正在创造一种因上网而产生恐惧的文化,并信任将我们的信息公开给所有人看,或者等待在互联网黑暗角落的威胁是否真的很严重并且可能发生在任何人身上,最好的我们都可以做的就是做好监测准备。“重要的是要了解得不到什么。采用一行脚本或简单地采用某人的身份都会造成“灾难性的破坏”,并且对可能导致这种损害的人和因素的整体理解应该是网络安全策略的核心。如今,很多企业致力于提高云计算安全指标的可见性,这是由于云计算的安全性与本地部署的安全性根本不同,并且随着企业将应用程序、服务和数据移动到新环境,需要不同的实践。
国内移动应用数据安全发展现状
securitypaper的博客
07-03 1761
随着移动通信技术的飞速发展,移动应用成为了经济活动和民生需求必不可少的工具,全面覆盖到金融、医疗、教育、办公、交通等各个领域,移动应用种类和数量呈爆发式增长,对社会经济发展的基础性服务作用日益突显...
移动应用隐私政策研究.pdf
08-26
移动应用隐私政策的研究,随着移动应用的快速发展,个人隐私保护成为了日益重要的议题。文章指出,政府和用户都对因APP导致的隐私侵害问题表示关注,因此建立符合标准的隐私政策是必要的。国已经在个人...
信息安全_数据安全_Hindsight_and_2020:A_Clear-Eyed_.pdf
08-22
综上所述,这份报告深入探讨了信息安全的多个方面,包括移动安全、威胁建模、定向攻击的应对、安全管控策略以及云数据库安全,同时强调了政府和业界在面对共同威胁时的共享责任。它不仅提供了历史视角,还为未来趋势...
安全技术-网络安全-移动网络安全若干关键问题研究.pdf
04-12
4. 提出了一种基于半自治计算的移动网络病毒安全补丁分发方案,能够在大规模、动态网络高效分发补丁,优先处理对病毒传播有重大影响的终端,有效控制补丁分发过程,避免网络拥塞和资源浪费。 5. 建立了多途径传播...
Java安全体系结构1
08-08
Java安全体系结构是Java平台的核心组成部分,它为Java的三大特性——平台无关性、网络移动性和安全性提供了坚实的基础。本文将深入探讨Java如何通过其语言特性、类加载器和安全管理器来实现安全性。 首先,Java的源...
专业技术人员公需科目-计算机网络信息安全与管理-试题和答案411.pdf
02-02
因此,依赖国外核心技术可能存在风险,国内需要加强自主研发和安全审查。 网络安全与信息化是相互依存的,没有安全的网络环境,信息化进程将受到严重影响。我国在网络安全方面的立法和执法还需加强,公众的网络安全...
2022年有多少人使用微信?
网络研究观
12-15 2万+
预计到 2025 年将达到 25 亿用户。
ChatGPT 存在很大的隐私问题
网络研究观
04-08 2万+
数据最终如何进入 GPT-4 之类的东西,存在这种分层和复杂的供应链,从来没有真正设计或默认的任何类型的数据保护。
2021年加密货币犯罪报告
网络研究观
09-07 1万+
关于当今网络犯罪分子如何使用加密货币的原创研究和案例研究。
如何一键关闭win安全心(Windows Defender )
网络研究观
05-14 1万+
用于设置 Windwos Defender 状态(开关),和卸载 Windows Defender 相关组件。
win10安全策略如何禁止移动硬盘
05-26
2.在左侧窗格,依次展开“计算机配置”、“管理模板”、“系统”、“可移动存储访问”。 3.在右侧窗格,找到“拒绝所有可移动存储访问”选项。双击打开此选项。 4.在弹出的窗口,选择“已启用”选项,然后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络研究观

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值