在 9
月的一次活动中,国家安全顾问杰克·沙利文 (Jake Sullivan)
在一次主题演讲中将美国招募包括中国研究人员在内的更多科技人才的使命描述为国家必须赢得的一场竞赛。
“中国在 STEM 人才生产和 STEM
人才吸引力上加倍投入,但吸引和留住世界上最优秀的 STEM
人才是美国失去的优势,我们决心不失去它,”沙利文在该活动由特殊竞争研究项目举办,该项目由谷歌前首席执行官和人工智能技术投资者埃里克施密特资助,旨在促进美国政府对人工智能和其他新兴技术研发的投资。
随着美国政府和科技行业内部人员努力留住和增加来自中国的人工智能研究人员的数量,人工智能和中国建造的其他类别的技术受到美国政府、美国科技领袖和人权组织的抨击,激起对中国科学家及其研究成果的不信任。
在美国学习和工作的中国科研人员首当其冲。亚裔美国人学者论坛在 2021 年 12
月至 2022 年 3 月期间对大约 1,300
名在美国从事计算机科学与工程、数学和其他科学领域的华裔美国科研人员进行了一项调查,发现
72% 的人感到不安全作为一名学术研究员,61% 的人曾考虑离开美国,65%
的人担心与中国的合作。 C ...
Roku
看到其第三季度的收入增长放缓,并在周三警告投资者情况将变得更糟:“很多第四季度的广告活动正在被取消,”Roku
首席执行官安东尼伍德在公司第四季度财报电话会议上表示。“我们看到很多大品类都在撤退。电信、保险……甚至玩具营销商都在计划减少开支。”
因此,Roku 现在预计其第四季度收入将同比下降约 7.5%。Roku
的第三季度收入同比增长
15%,但硬件利润率的持续压力以及公司广告和服务业务的利润率下降导致净亏损
1.22 亿美元。2021 年第三季度,Roku 产生了近 6900 万美元的净收入。 Roku
是消费电子产品和一般视频广告市场的一个有趣的测试案例。该公司销售自己的硬件,但绝大部分收入来自广告。这两个行业通常会在第四季度看到大量现金涌入,但
Roku 高管警告说,这一次情况会有所不同。
“这不是一个正常的假期,”伍德说。他还坚称营销人员正在全面撤退。“他们不会和任何人一起消费,”伍德说。然而,他表示乐观地认为,一旦当前危机的最严重时期结束,广告商将把更多的预算转移到流媒体上。“我们希望从当前的广告低迷中脱颖而出,比以往任何时候都更强大,处于更好的位置,”伍德说 ...
态势感知(SA,Situational Awareness or
Situation
Awareness)是对一定时间和空间内的环境元素进行感知,并对这些元素的含义进行理解,最终预测这些元素在未来的发展状态。当前,大家提到“态势感知”时主要是指“网络安全态势感知”,即将态势感知的相关理论和方法应用到网络安全领域中。网络安全态势感知可以使网络安全人员宏观把握整个网络的安全状态,识别出当前网络中存在的问题和异常活动,并作出相应的反馈或改进。通过对一段时间内的网络安全状况进行分析和预测,为高层决策提供有力支撑和参考。
网络安全态势感知的概念来源
态势感知的概念起源于 20 世纪 80
年代的美国空军,当时主要用于分析空战环境信息,对当前和未来形势进行分析,最终做出相应的判断和决策。后来经过不断发展和完善,形成相关理论体,已广泛应用于军事、航空、工业生产、安全、网络等领域。网络安全态势感知即是将态势感知的相关理论和方法应用到网络安全领域中。
态势感知的概念比较抽象,我们举个例子来帮助理解:天气预报就可以理解为一种“态势感知”。通过对某一地点的持续观测和分析,我们可以预测未来一段时间内的天气。 ...
维护 OpenSSL 的团队在周二披露了两个影响最新版本软件的漏洞,OpenSSL
是广泛使用的开源软件的关键部分,用于为互联网通信提供加密。
然而,在上周的提醒公告中最初将这些漏洞评为“严重”之后,新漏洞已被降级为“高”严重等级,尽管仍敦促管理员快速修补系统。
OpenSSL 项目团队上周透露,将在 11 月 1
日公布一个新漏洞,但没有提供具体细节。由于 OpenSSL
的无处不在以及该软件中先前披露的关键漏洞(2014 年的 Heartbleed
漏洞)的巨大影响,该公告在网络安全界引起了极大关注。 据 Firefox
称,OpenSSL 通过为 HTTPS
协议提供底层技术来实现安全的互联网通信,目前全球 82% 的页面加载都使用
OpenSSL 。Heartbleed
漏洞影响了大量主要网站,并导致了包括加拿大数百个社会保险号码被盗在内的攻击,这导致加拿大税务局关闭了一个纳税申报网站。
该漏洞仅影响 OpenSSL 3.0 及更高版本。来自网络安全供应商 Wiz
的数据表明,只有 1.5% 的 OpenSSL 实例受到该漏洞的影响。 这至少部分是由于
OpenSSL 3.0 ...
越来越多的极端天气威胁着数据中心和云计算客户最优先考虑的事情之一:可靠性。
数据中心运营商长期以来一直在计划应对一些气候风险,但气候变化正在增加极端事件发生的几率,并将新事件纳入其中。这为运营商创造了一种清算方式,他们可能不得不重新评估从新数据中心的选址到物理加固基础设施以及将工作负载分散到多个区域的所有事情。
为商业基础设施公司提供可靠性建议的 Uptime Institute 于 2019
年进行的一项调查显示,云计算行业的很大一部分正在对气候变化带来的威胁做出反应,或者更糟糕的是,根本不采取任何行动。在做出回应的近
500
家数据中心运营商中,近三分之一表示他们最近没有审查风险,也没有计划这样做。与此同时,只有
22% 的人表示他们“正在为越来越多的恶劣天气事件做准备”。 Uptime Institute
的可持续发展研究主管 Jay Dietrich
表示,大型数据中心公司通常有资源进行更定期的风险评估,并为气候变化将如何影响运营做好准备,从可能增加停电风险的风暴到可能使问题复杂化的干旱获得水进行冷却。与此同时,规模较小的公司往往会更加被动,尽管他们遭受的损失最大。
“如果我 ...
零信任是一种全新的网络安全防护理念。
零信任基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。它是一个全面的安全模型,它涵盖了网络安全、应用安全、数据安全等各个方面,致力于构建一个以身份为中心的策略模型以实现动态的访问控制。
简而言之,零信任将每个人和一切都视为敌对,在零信任模式下,企业网络内外的任何人、设备和系统都需要“持续验证,永不信任”,基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。
万物互联时代,网络边界泛化带来诸多的安全风险,零信任“持续验证、永不信任”的理念彻底颠覆了基于边界的传统安全防御模型,通过零信任,可以防止恶意用户在企业边界内部访问私有资源、防止数据泄露以及恶意操作,因此其受到追捧。
零信任的三大核心技术是软件定义边界、身份权限管理、微隔离。
一直以来,IT
行业一直是用周边安全策略保护例如用户数据和知识产权这类最有价值的资源。这些安全策略主要是通过使用防火墙和其他基于网络的工具来检查和验证进出网络的用户。
随着云计算、大数据、物联网等新兴技术的不断兴起,企业 IT
架构正在从“有边界 ...
零信任模型需要场景
因此,安全团队必须收集并使用来自整个企业的信息,以创建快速决定每个连接的可信赖度所需的场景。
持续执行时,此模型可帮助企业加快安全授权连接的过程。
它支持合适的用户在合适的条件下获得对合适数据的合适访问权。
以下四个零信任原则建立了在安全工具之间共享场景的治理模型,以保护用户的连接、数据和资源。
定义上下文
了解用户、数据和资源,以创建与企业一致的协调安全策略。
这个过程需要基于风险发现和分类资源,定义细粒度的资源边界,并根据角色和职责分隔用户。
验证和实施
通过快速、一致地验证场景并强制实施策略,以保护企业。
这一细节需要针对公司策略中定义的条件,积极监视和验证所有访问请求,以快速、一致地授予对合适资源的访问权限。
解决事件
通过采取有针对性的操作,在对业务影响最小的情况下解决安全违例。
此作业需要进行准备并采取有针对性的操作,例如,撤销个别用户或设备的访问权,调整网络分段,隔离用户,擦除设备,创建事件凭单,或生成合规报告。
分析和改进
通过调整策略和实践以做出更快、更明智的决策,从而不断提高安全态势。
此操作需要持续评估和调整策略、授权操作和修复手段,以缩小每个 ...
减少勒索软件攻击
组织机构正在转型实施零信任策略,以实现安全保护现代化,并防止勒索软件攻击。
零信任策略持续对用户进行验证,当出现安全漏洞时,可有助于减少数据泄露的情形。
保护混合云
要保护企业增长、组织转型以及混合云的所有优势,您需要将零信任策略作为着力点,以现代化的思维重新设计企业安全的架构。
保障混合、远程办公员工的网络安全
企业的安全模型应能确保员工能够在任何位置使用任何设备办公,同时能够访问任何生态系统中的工具和数据。
安全模型应可实时提供各域的上下文信息,完美匹配零信任安全策略。
由于企业需要允许多个用户访问公司的资源,尽管这些员工、合作伙伴、客户和消费者的目标和需求不同,但他们都需要某种级别的权限来访问企业信息。
因此,企业需要管理的连接和资源繁复无比,用户验证也进而变得非常复杂。
迁移至混合、多云的基础架构意味着您的资源也可能分散在多个配置不同层次的可视化和控制度管理的
IT 环境中。
您很难明确知晓:是否是正确的用户拥有正确的权限来访问正确的数据。
您需要利用上下文信息来帮助自己做出正确的决定。
同样令人担忧的还有普遍存在的恶意行为,例如勒索软件和网络钓鱼;这些恶意行为会让您的网络、数字资产和业务面临风险。
根据《IBM 数据泄露成本报告》所示,相关损失成本比去年增加了 10%。 IBM
零信任安全策略可帮助组织提高网络弹性,控制业务环境断开连接的风险,同时仍然允许用户访问适当的资源。
这是一种在正确的时间和条件下应用上下文信息的模式和计划,旨在确保让正确的用户能够安全连接至正确的数据,同时还能保护组织免于遭受网络威胁。
零信任需要安全能力和体验的广泛组合:身份、数据、设备和工作负载、分析和可视性、自动化和编排,以及网络和端点。
身份
定义并管理零信任安全策略,以通过
SSO、多因子认证和生命周期管理功能来管理所有用户和特权帐户的访问权。
数据
使用零信任安全实践保护关键数据。
根据风险发现、分类和管理数据访问。
设备和工作负载
通过各种零信任安全实践(从利用安全原则设计的应用程序到监视和管理端点)保卫企业。
分析和可见性
监视并强制实施带有智能分析的零信任安全策略。
查看并监视企业中进行连接的所有用户、资源和数据的行为。
自动化和编排
通过编排的操作和常用运行手册,快速解决在零信任实践过程中出现的安全问题并对其进行迭代。
网络和端点
应用公认的技能、专业知识和现代解决方案,以保护网络、基础结构和端点免受当今网络安全威胁的影响。