11月研究显示，网络安全威胁在不断演变

11月15日的报告发现，与2017年同期相比，2018年前三个季度的漏洞数量减少了7%。然而，并非所有漏洞都是相同的，其严重性和影响各不相同。基于风险的安全报告显示，第三季度15.4%的漏洞被评为“关键”。

从缺陷的根本原因来看，67.3%的漏洞是由于输入验证不足或不正确造成的。并非所有的缺陷都有解决方案，这是报告指出的一个关键挑战。超过四分之一(24.9%)的报告漏洞目前没有已知的解决方案。

“在大多数组织意识到这些问题之前，我们就已经看到了很多漏洞被积极利用。”在损害已完成后才对漏洞有所了解，这是一个很不幸的情况。负责基于风险的安全漏洞情报的副总裁Brian Martin说。

关键结论：有一个积极的补丁管理策略，以及时处理补救措施。

SailPoint第十届年度市场脉搏调查

SailPoint于11月13日发布的第10届年度市场脉动调查(Market Pulse Survey)提供了对身份治理实践的深入了解。

调查的重点之一是，75%的受访者承认在多个账户(包括个人账户和工作账户)中重复使用密码。与2014年相比，这是一个显著的增长，当时只有56%的受访者承认做过同样的事情。

员工不仅越来越忽视密码的最佳实践，他们还忽视了其他被认为不方便的IT策略。在SailPoint的调查中，55%的受访者表示，他们的IT部门可能会给他们带来不便。这种不便导致员工忽视IT策略，安装自己的软件。

SailPoint的CMO Juliette Rizkallah说:“为了保障和支持当今的员工团队，用户已经成为新的‘安全边界’，他们的数字身份是组织在数字转型每个阶段的IT生态系统的共同纽带。”

关键要点：确保它是对员工的一种激励，而不是他们需要四处走动的一种不便。在可能的情况下，锁定公司所有的设备，以控制下载的内容，并加强密码管理。

Secureworks: :2018年网络犯罪状况报告

据11月13日发布的《2018年网络犯罪安全工作状态报告》显示，网络犯罪组织越来越多，使用的技术也越来越先进。

从2017年7月到2018年6月，安全工程反威胁小组(CTU)的研究人员分析了事件响应结果，并进行了原始研究，以深入了解4400家公司的威胁活动和行为。

报告的一项关键发现是：民族国家行为者越来越多地使用网络罪犯使用的工具和技术，反之亦然。Secureworks报告称，犯罪网络团伙现在使用先进的社会工程技术，同时使用带有销售点(POS)恶意软件的网络入侵方法。

“网络犯罪是一个利润丰厚的行业，它能够成为强大、有组织的团体分支也就不足为奇了，”安全工程反威胁部门(Secureworks Counter Threat Unit)网络情报单元高级主管Don Smith表示。

关键要点：了解宏观安全形势，并拥有能够应对有针对性和高级持续性威胁的控制。

StackRox容器安全状态

11月14日，StackRox发布了其首份《容器安全状态报告》，深入研究了应用程序容器安全的新生世界。

容器可以在多种类型的部署中运行，StackRox发现，它的调查对象中有40%在混合环境中运行容器，包括在场所和云中。

在容器安全方面，54%的受访者表示，他们最担心的是错误配置和数据意外泄露。44%的组织指出，他们更关心容器的运行时阶段，而不是构建和部署阶段。

（编辑：PHP编程网 - 湛江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!