

网络安全观C
-
美国国防工业网络保护框架和启示
兰德公司基于对美国国防工业的研究考察,提出了关于国防工业网络安全保护的鲜明观点,比如:安全预算比例:国防工业公司应该将其IT预算的22%用于网络安全;而对于易遭受网络攻击的公司,则…
-
网络安全架构 | 安全架构公理
2020年7月15日,TOG(国际开放组织,The Open Group)联合SABSA研究院,正式发布中文版指南《安全架构实践的公理》(其英文版《Axioms for the P…
-
美国网络安全 | NIST网络安全实践指南系列
NIST(美国国家标准与技术研究所)在安全行业几乎是无人不知吧。作为NIST的一部分,NCCoE的名气虽然没有那么大,但其名称“国家网络安全卓越中心”也是够大气。 在笔者心目中,N…
-
美军网络安全 | 我们需要自己的DISA
笔者认为,DISA是美军网络安全的保护神,这就是要单独讲它的原因。 而要讲它的更重要的原因是,我们也需要这样一个保护神。如果缺少这样一个专司J网防护的强力机构,我们的网络安全保护组…
-
美国国防部的百亿大单和上云启示
美国国防部有两个百亿美元云计算合同——国防飞地服务(DES)和联合作战云能力(JWCC)计划:DES参考:《美国国防部IT改革的“皇冠宝石”:DES(国防飞地服务)》JWCC参考:…
-
美国网络安全 | 安全自动化和IACD框架
安全自动化是安全从业者的梦想。安全主要解决两方面问题:时间问题(速度越来越快)和空间问题(规模越来越大)。安全归根结底是要在时间和空间这两个维度上,提高自动化防御的有效性。安全自动…
-
网络安全架构 |《零信任架构》NIST标准正式版发布
等了好久!《零信任架构》NIST标准正式版于美国时间8月11日发布。笔者针对《零信任架构》的正式版和第2版草案这两版本,进行了两个方面的对比:一是仔细对比目录;二是粗略对比内容。经…
-
美国网络安全 | MITRE Shield 积极防御知识库
提到MITRE,安全人员最先想到的可能是引领全球网络安全攻防潮流的对手战术和技术知识库框架ATT&CK。ATT&CK知识库被用作私营部门、政府、网络安全产品和服务社…
-
致美国总统的零信任报告
2022年2月23日,总统国家安全电信咨询委员会(NSTAC)投票通过了一份致拜登总统的零信任报告《零信任和可信身份管理》。CISA(网络安全和基础设施安全局)在其官网上发布了该报…
-
美国网络安全 | NIST身份和访问管理(IAM)
笔者一直对身份和访问管理(IAM)念念不忘。IAM的目标是实现“三个恰当”或“三个任意”,IAM是实现访问自由的基础。笔者认为它既是基础,也是未来。而且它与零信任架构(ZTA)的成…
-
SANS | 如何创建一个全面的零信任策略
SANS研究院于2020年9月发布了白皮书《How to Create a Comprehensive Zero Trust Strategy》,该白皮书的赞助者为CISCO(思科…
-
美国网络安全 | 美国联邦使用网络安全框架(CSF)的方法
本文标题和正文中的“网络安全框架(CSF)”特指NIST发布的“改善关键基础设施网络安全框架”(最新版是v1.1版)。CSF由NIST与私营和公共部门密切合作开发,是美国各组织自愿…
-
美国网络安全 | NIST SP 800-53 第5版(信息系统和组织的安全和隐私控制)正式发布
万众瞩目、七年等一回的NIST SP 800-53 第5版(信息系统和组织的安全和隐私控制)终于在2020年9月23日正式发布。 SP 800-53一直被视作NIST信息安全的支撑…
-
美军网络安全 | 2020年底国防部将提供零信任架构
美国海军中将、美国国防信息系统局(DISA)局长、联合部队总部国防部信息网络部(JFHD-DoDIN)司令 南希·诺顿(Nancy Norton)表示:美国国防部打算在2020日历…
-
美国网络安全 | 将风险评估结果映射到ATT&CK框架
2020年10月,美国国土安全部(DHS)的网络安全与基础设施安全局(CISA)发布了一份《CISA 2019财年风险脆弱性评估信息图》。本文旨在对这张信息图,进行分析说明。该信息…
-
CrowdStrike | 无文件攻击白皮书
CrowdStrike是端点保护平台(EPP)的最强者,是云交付的下一代端点保护的领导者。由于CrowdStrike邮件推送了“无文件攻击白皮书”《谁需要恶意软件?对手如何使用无文…
-
NIST NCCoE发布《实现零信任架构》正式版
NIST(美国国家标准与技术研究院)与其下属单位NCCoE(国家网络安全卓越中心)一唱一和:NIST推零信任标准,NCCoE搞零信任实践。而他们背后的推动者,都是联邦首席信息官(C…
-
数据访问控制的未来
数据访问控制是零信任的最后环节和终极目标。基于零信任的数据访问控制,已经成为数据安全保护和治理的新方法。但是,对于数据访问控制的实施问题,企业客户却不得不面对几种选择:1)基于数据…
-
美国国防部零信任的支柱
在2020年9月16日举行的“TechNet网络研讨会”上,DISA(国防信息系统局)新成立的新兴技术局局长Stephen Wallace,以《零信任和身份:DISA如何继续保护网…