严重的安全性：假期中重要的网络安全课程

尽管现在已经是 4 年的第 2023 天，但节日季的一些重要 IT/系统管理员/X-Ops 安全故事现在只出现在主流新闻中。

因此，我们虽然会快速回顾一下过去几周我们讨论的一些主要问题，并且（只是为了让您不能指责我们偷偷溜出新年清单！）重申严肃的安全课程我们可以向他们学习。

这是 LASSPASS 的最后一根稻草吗？

学习经验：

• 客观一点。 如果您一直坚持执行数据泄露通知，请不要试图重写历史以获取您的营销优势。 如果有部分攻击是你在通行证上发起的，一定要说出来，但要注意不要在任何时候听起来都沾沾自喜。
• 要完整。 这并不意味着啰嗦。 事实上，您可能没有足够的信息可以说很多。 “完整性”可以包括简短的陈述，例如“我们还不知道”。 尝试预测客户可能会问的问题，并主动面对他们，而不是给人留下你试图回避他们的印象。
• 抱最好的希望，但要为最坏的情况做好准备。 如果您收到数据泄露通知，并且您可以做一些明显的事情来提高您的理论安全性和实际安心（例如更改所有密码），请尝试找时间去做。 以防万一。

密码学是必不可少的——这是法律

学习经验：

• 密码学对于国家安全和经济运行至关重要。 这是官方的——该文本出现在国会刚刚通过成为美国法律的法案中。 下次当你听到来自各行各业的任何人争论我们需要“后门”、“漏洞”和其他安全绕过有意构建到加密系统中时，请记住这些话。 后门 是个糟糕的主意.
• 软件的构建和使用必须具有加密灵活性。 我们需要能够轻松引入更强大的加密。 但我们还需要能够快速淘汰和替换不安全的密码学。 这可能意味着 主动 替换，因此我们今天不会加密将来可能很容易破解的秘密，而它们仍然应该是秘密的。

我们偷了您的私钥——但我们不是故意的，老实说！

学习经验：

• 您必须拥有整个软件供应链。 PyTorch 是通过一个社区存储库受到攻击的，该存储库被恶意软件毒害，无意中覆盖了 PyTorch 本身内置的未受感染的代码。 （PyTorch 团队迅速与社区合作以覆盖此覆盖，尽管是假期。）
• 网络罪犯可以以意想不到的方式窃取数据。 确保您的威胁监控工具密切关注您组织之外不太可能的路线。 这些骗子使用带有“服务器名称”的 DNS 查找，这些名称实际上是泄露的数据。
• 不要为网络犯罪找借口。 显然，本案中的攻击者现在声称他们出于“研究原因”窃取了包括私钥在内的个人数据，并表示他们现在已经删除了被盗数据。 首先，没有理由相信他们。 其次，他们发送了数据，以便您网络路径上看到或保存副本的任何人都可以解密它。
  

  ---

  当速度战胜安全

  学习经验：

  • 威胁预防不仅仅是查找恶意软件。 放大镜 (扩展的检测和响应) 还与了解您拥有的内容及其使用位置有关，因此您可以快速准确地评估安全漏洞的风险。 正如老生常谈所说， “如果你不能衡量它，你就无法管理它。”
  • 性能和网络安全经常发生冲突。 这个错误只适用于 Linux 用户，他们决心加速 Windows 网络，诱使他们在内核中实现它，不可避免地增加了额外的风险。 当您调整速度时，请确保在更改任何内容之前确实需要改进，并确保您在之后确实享受到真正的好处。 如有疑问，请将其排除在外。

  ---

  网络犯罪预防和事件响应

  对于两者的精彩概述 预防网络犯罪 和 事件响应, 收听我们最新的假期播客，我们的专家会在播客中慷慨地分享他们的知识和建议：

  单击并拖动下面的声波以跳到任何一点。你也可以 直接听 在 Soundcloud 上。

  单击并拖动下面的声波以跳到任何一点。你也可以 直接听 在 Soundcloud 上。

  ---

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://nakedsecurity.sophos.com/2023/01/04/serious-security-vital-cybersecurity-lessons-from-the-holiday-season/