ENISA 2023年威胁态势报告:主要发现和建议

  欧盟网络安全局(ENISA)最近发布了其年度2023年威胁态势报告。该报告确定了预计在未来几年塑造网络安全格局的主要威胁、主要趋势、威胁参与者和攻击技术。在本文中,我们将总结报告的主要发现,并提供可操作的建议来缓解这些威胁。

  介绍

  ENISA 威胁态势报告是一份年度报告,全面概述了网络安全威胁态势。该报告基于对各种来源的全面分析,包括开源情报、专家意见和来自多个组织的数据。该报告旨在提供对网络安全领域新出现的威胁和趋势的见解,并帮助组织改善其网络安全态势。

  主要发现

  如前所述,ENISA 2023年威胁态势报告确定了预计在未来几年塑造网络安全态势的几个关键威胁和趋势。该报告的一些主要发现是:

  勒索软件仍然位居榜首,占欧盟威胁的 34%。预计勒索软件攻击的频率和复杂程度将继续上升。攻击者越来越多地使用双重勒索和供应链攻击等先进技术来瞄准组织。该报告还强调,勒索软件攻击的针对性越来越强,攻击者专注于高价值目标,特别强调工业和制造业。破坏制造过程或夺取工业系统的控制权可能会导致重大的财务损失和运营停机,使其成为一个有吸引力的目标。

  人工智能信息操纵的兴起是组织日益关注的问题。攻击者利用地缘政治环境,并使用人工智能驱动的工具来创建令人信服的深度伪造、虚假信息活动和社会工程攻击。报告指出,这些袭击可能对民主进程、社会凝聚力和国家安全产生重大影响。

  供应链攻击正变得越来越普遍和复杂,威胁行为者滥用合法工具主要是为了延长其网络间谍活动。与即将到来的欧盟议会选举相关的供应链攻击的影响程度成为一个重大问题。这是因为此类攻击影响了21%的公共管理,影响了16%的数字服务提供商。

  DDoS攻击仍然是一个持续的威胁。它们是欧盟第二大威胁。DDoS攻击越来越大,越来越复杂,正在向移动网络和物联网发展,并用于在冲突背景下提供额外手段的支持。

  网络钓鱼再次成为初始访问的最常见媒介。但新的模式,社会工程学,也正在兴起,这种方法包括在现实世界中欺骗受害者。

  该报告将公共行政确定为最受攻击的部门(19%),其次是针对个人、卫生、数字基础设施、制造、金融和运输。

  建议

  ENISA 报告提供了一些与ISO 27001和 NIST网络安全框架相对应的建议。这些建议可以归纳为以下几点:

  确保您的资产得到清点、管理和控制。资产发现和风险评估是任何缓解计划的基础。正确的数据安全态势始于识别潜在目标并进行彻底的风险评估。

  定期执行漏洞扫描以识别和解决漏洞。根据您的补丁策略定期安装安全更新和补丁。与外部利益相关者建立漏洞披露和事件通知协议。

  确保远程访问技术或其他公开的服务配置安全,并使用防网络钓鱼MFA来支持强密码策略。应用最小特权和职责分离原则。

  实施安全冗余的备份策略。确保按照备份过程维护定期测试的脱机加密数据备份。

  为了应对新的日益增长的风险(例如与人工智能有关),ENISA建议最终用户使用不同的技术来保护他们的数据,包括加密.为此,ENISA 指的是由 ISO27001(通常是加密密钥管理)定义的“加密控制”。

  创建、维护和执行定期测试的事件响应计划。记录内部和与合作伙伴的沟通流程,包括事件期间的响应和通知程序。应该存在计划 B,以快速恢复关键业务服务并缩短平均恢复时间。将关键供应商纳入业务连续性和事件响应计划和演习。

  定期的安全意识培训至关重要,因为社会工程和网络钓鱼是打开攻击大门的初始行动。调整意识培训,以考虑不断变化的威胁形势和攻击策略。考虑针对人力资源、销售和财务部门的定制培训。此外,考虑对 IT 和安全人员进行特定培训。

  部署足够的安全资源,降低攻击者的投资回报率。目标是让攻击者的生活尽可能艰难。

  对数据管理风险进行适当的规划和预算是关键,需要管理层和从业人员在理解安全影响方面保持一致。

  零信任架构可以通过实施“永不信任,始终验证”范式来改善系统的安全态势。

  为了在当今的移动和云优先世界中安全运营,组织必须保护其数据并控制谁有权访问数据。泰雷兹解决方案发现、保护和控制关键资产使组织能够实现数据安全现代化,从而实现零信任环境。

  关于Thales泰雷兹

  你依靠来保护你的隐私的人依靠Thales来保护他们的数据。在涉及到数据安全方面,组织面临着越来越多的决定性时刻。无论现在是建立一个加密策略,转移到云计算,还是满足合规要求,您都可以依赖Thales来确保您的数字转型。

  决定决定性时刻的决定性技术。

  关于Safeploy安策

  SafePloy安策从事信息安全业务超过20年,是泰雷兹Thales (原lmperva,Gemalto,Vormetric,SafeNet,Aladdin,Rainbow) 等公司在中国区的战略合作伙伴,为云、应用、数据、身份等提供安全保护的能力和技术支持能力,为在中国地区经营和出海开拓业务的企业,提供本地化的可信、可控、又合规的数据安全策略。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/762066.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CVX安装新版本Mosek求解器

在使用连续凸近似(SCA)求解优化问题时遇到了报错 Problem status : ILL_POSED Solution status : PRIMAL_ILLPOSED_CER并且最后给出的结果为NaN。 在CVX论坛中找到一条回答 具体链接如下: The status is failed 因为我使用的是CVX自带的…

垃圾回收-垃圾回收中的相关概念

目录 System.gc()的理解 内存泄漏(Memory Leak) 内存溢出(OOM) Stop The World 垃圾回收的串行、并行与并发 安全点与安全区域 强、软、弱、虚引用 强、软、弱、虚引用 终结器引用 System.gc()的理解 在默认情况下&#…

嵌入式驱动学习第四周——设备树

前言 掌握设备树是 Linux 驱动开发人员必备的技能!因为在新版本的 Linux 中,ARM 相关的驱动全部采用了设备树。本篇博客重点介绍一下设备树与设备树语法。 嵌入式驱动学习专栏将详细记录博主学习驱动的详细过程,未来预计四个月将高强度更新本…

Vue3的与2的简单区别

Vue2选项式api Vue3组合式API setup方法的使用,最后需要return setup语法糖省略了内部的export default{} 和return 内容 以及组件的注册 reactive生成响应式对象,只能适用于复杂对象,简单类型不可 ref生成响应式数据:复杂类型和简…

详细剖析多线程(更新中...)

文章目录 前言一、认识线程1.1线程概念1.2为什么要有线程1.3线程和进程的区别(经典面试题) 二、创建线程2.1继承 Thread 类,重写run2.2实现 Runnable 接口,重写run2.3继承 Thread 类,重写run,匿名内部类2.4实现 Runnable 接口,重写run&#x…

Linux信号补充——信号捕捉处理

一、信号的捕捉处理 ​ 信号保存后会在合适的时间进行处理; 1.1信号处理时间 ​ 进程会在操作系统的调度下处理信号,操作系统只管发信号,即信号处理是由进程完成的; ​ 1.信号处理首先进程得检查是否有信号;2.进程…

赋能智能未来:AI大模型的学习之旅

随着人工智能的迅速发展,AI大模型已经成为技术领域的一个热点。这些模型以其强大的数据处理能力和预测精度,正在不断推动着科技的边界,并且在医疗、金融、交通等多个行业中显示出了巨大的潜力。然而,构建和训练一个高效的AI大模型…

浅谈如何自我实现一个消息队列服务器(2)——实现 broker server 服务器

文章目录 一、实现 broker server 服务器1.1 创建一个SpringBoot项目1.2 创建Java类 二、硬盘持久化存储 broker server 里的数据2.1 数据库存储2.1.1 浅谈SQLiteMyBatis 2.1.2 如何使用SQLite 2.2 使用DataBaseManager类封装数据库操作2.3 文件存储消息2.3.1 存储消息时&#…

宏景eHR report_org_collect_tree.jsp SQL注入漏洞复现

0x01 产品简介 宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。 0x02 漏洞概述 宏景eHR report_org_collect_tree.jsp 接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而…

Docker部署Alist全平台网盘神器结合内网穿透实现无公网IP访问云盘资源

🌈个人主页: Aileen_0v0 🔥热门专栏: 华为鸿蒙系统学习|计算机网络|数据结构与算法|MySQL| ​💫个人格言:“没有罗马,那就自己创造罗马~” #mermaid-svg-oZuxWTWUiXLx3aQO {font-family:"trebuchet ms",verdana,arial,sans-serif;f…

SpringBoot实战(二十七)集成WebFlux

目录 一、WebFlux1.1 定义1.2 WebFlux 与 Spring MVC 区别 二、代码实现2.1 Maven 配置2.2 暴露 RESTful API 接口的方式方式一:基于注解的控制器方式二:函数式路由器(Functional Endpoints) 2.3 测试Service2.4 测试ServiceImpl2…

Streamlit实战手册:从数据应用到机器学习模型部署

Streamlit实战手册:从数据应用到机器学习模型部署 简介Streamlit核心功能介绍Streamlit的安装创建第一个Streamlit应用界面布局与导航数据处理与展示 Streamlit的进阶应用交互式组件按钮复选框单选按钮滑块 图表与可视化使用Matplotlib绘图使用Plotly创建交互式图表…

【题目】【网络系统管理】2019年全国职业技能大赛高职组计算机网络应用赛项H卷

极安云科专注职业教育技能竞赛培训4年,包含信息安全管理与评估、网络系统管理、网络搭建等多个赛项及各大CTF模块培训学习服务。本团队基于赛项知识点,提供完整全面的系统性理论教学与技能培训,成立至今持续优化教学资源与讲师结构&#xff0…

Springboot 整合 Knife4j (API文档生成工具)

目录 一、Knife4j 介绍 二、Springboot 整合 Knife4j 1、pom.xml中引入依赖包 2、在application.yml 中添加 Knife4j 相关配置 3、打开 Knife4j UI界面 三、关于Knife4j框架中常用的注解 1、Api 2、ApiOperation ​3、ApiOperationSupport(order X) ​4、ApiImplici…

Leetcode 994. 腐烂的橘子

心路历程: 一开始以为和刚做过的岛屿问题很像,只不过是把岛屿问题换成BFS去做,然后再加上一些计数的规则。结果做完后发现只能通过一半左右的测试用例,发现有一个逻辑错误在于,当腐烂的橘子位于两端时,可以…

C#探索之路基础篇(2):接口Interface的概念、实现、应用范围

文章目录 1 概念2 示例代码:2.1 简单接口的实现2.2 简单的使用接口2.3 使用接口呈现多态性2.4 通过接口实现一个数组迭代器2.5 通过接口来实现松耦合的关系2.6 使用接口实现可扩展、便利性 3 使用范围与时机4 注意事项 不知道大家在学习的过程中,有没有反…

笔试总结01

1、spring原理 1、spring原理 spring的最大作用ioc/di,将类与类的依赖关系写在配置文件中,程序在运行时根据配置文件动态加载依赖的类,降低的类与类之间的藕合度。它的原理是在applicationContext.xml加入bean标记,在bean标记中通过class属性说明具体类…

vue3+threejs新手从零开发卡牌游戏(二):初始化场景

在删掉初始化中一些没用的代码后,在views目录下新建game文件夹,在里面新建一个index.vue,这里就当成游戏的主入口。 目录结构如下: 下面开始尝试创建场景: 一、添加一个div作为threejs的画布对象,之后整个…

ubuntu - 编译 linphone-sdk

业务需求需要定制sdk,首先声明我们需要的是在Android4.4上跑的sdk,因此本次编译的sdk最低支持为19(不同版本需要的环境不一致),编译过程较容易,难点在于环境配置 环境准备 Ubuntu 18.04.6 android-sdk_r24.…

mysql分页查询多用GitCode平台

目录 一、在GitCode平台AI搜索结果(这个更优) 二、在百度搜索输入“mysql Java分页查询”的输出结果: 三、推荐的文章 四、GitCode的使用 1)如搜索jdk11可以直接下载jdk11的包 2)搜索开源项目 3)如搜…