脆弱水?。和ǔＳ糜跀祿暾员Ｗo，當數據內容發(fā)生改變時(shí)，脆弱水印會(huì )發(fā)生相應的改變。哪怕是一個(gè)像素改變，都會(huì )破壞水印本身，從而達到驗證保護的目的，鑒定數據是否完整。

魯棒水?。和ǔＳ糜跀底只瘓D像、視頻、音頻或電子文檔的版權保護。將代表版權人身份的特定信息，如一段文字、標識、序列號等按某種方式嵌入在數字產(chǎn)品中，在發(fā)生版權糾紛時(shí)，通過(guò)相應的算法提取出數字水印，從而驗證版權的歸屬。

脆弱水印主要用于保護圖像的完整性，而魯棒水印除了被用于多媒體數據的版權保護外，因其特性還可以用于電子文件的追蹤溯源。通過(guò)特定的程序設計，在電子文件產(chǎn)生的同時(shí)，也將文件創(chuàng )建人、時(shí)間、地點(diǎn)等必要信息通過(guò)魯棒水印的方式嵌入到電子文件中。魯棒水印具備承受大量的、不同的物理和幾何失真。不論是有意的，如惡意攻擊、修改;或是無(wú)意的，如圖像壓縮、濾波、噪聲污染和尺寸變化等等，魯棒水印中的信息都會(huì )盡可能地保存下來(lái)。

普普點(diǎn)評

數字水印是把一些標識信息(即數字水印)直接嵌入數字載體中如多媒體、文檔、軟件等，或是通過(guò)修改載體特定區域的結構來(lái)實(shí)現間接嵌入。這兩種嵌入方式不影響原載體的使用價(jià)值，也不容易被探知和再次修改。數字水印可以被生產(chǎn)方識別和辨認，通過(guò)隱藏在載體中的信息，可以達到確認內容創(chuàng )建者、傳送隱秘信息等目的，是追蹤溯源、文件保護的有效辦法。

傳統方法是一次只允許一個(gè)程序使用內存控制器，但這會(huì )大大降低計算速度。新方法是將程序的內存請求“塑造”成預定義的模式，并混淆程序實(shí)際需要使用內存控制器的時(shí)間，從而擾亂攻擊者的視線(xiàn)。在一個(gè)程序可以訪(fǎng)問(wèn)內存控制器之前，它必須通過(guò)一個(gè)“請求塑造器”(request shaper)來(lái)“塑造”內存請求。這種“請求塑造器”使用圖形結構來(lái)處理請求并按照固定的時(shí)間表將它們發(fā)送到內存控制器。這種類(lèi)型的圖稱(chēng)為有向無(wú)環(huán)圖(DAG)，而這種創(chuàng )新安全方案稱(chēng)為 DAGguise。使用這種嚴格的時(shí)間表，有時(shí)DAGguise會(huì )將程序的請求延遲到下一次允許訪(fǎng)問(wèn)內存，或者有時(shí)如果程序不需要訪(fǎng)問(wèn)內存，它會(huì )提交一個(gè)假請求調度間隔?？傊?，通過(guò)這種非常結構化的模式，用戶(hù)可以向攻擊者隱藏實(shí)際行為。DAGguise會(huì )將程序的內存訪(fǎng)問(wèn)請求表現為一個(gè)圖，其中每個(gè)請求都存儲在一個(gè)“節點(diǎn)”中，連接節點(diǎn)的“邊”是請求之間的時(shí)間依賴(lài)關(guān)系，節點(diǎn)之間的邊——每個(gè)請求之間的時(shí)間是固定的。

(1)電子郵件安全培訓：如果企業(yè)員工點(diǎn)擊惡意攻擊者發(fā)送的鏈接就有可能破壞企業(yè)網(wǎng)絡(luò )，解決方案是向員工播放電子郵件安全培訓視頻，然后每隔一段時(shí)間通過(guò)向團隊發(fā)送虛假電子郵件進(jìn)行模擬。

(2)數據劃分：通過(guò)與IT團隊合作，確保只有需要數據的人員才能訪(fǎng)問(wèn)數據，可以極大地提高企業(yè)的數據安全性。

(3)物聯(lián)網(wǎng)管理：注意哪些員工能夠連接到辦公網(wǎng)絡(luò )。智能手表和其他來(lái)源可疑的設備可能包含惡意軟件或后門(mén)，使不法分子更容易訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò )，或者它們可能有實(shí)現同樣功能的軟件漏洞。

(4)U盤(pán)管理：將未知的U盤(pán)連接到業(yè)務(wù)工作站可能會(huì )對業(yè)務(wù)數據和網(wǎng)絡(luò )造成巨大破壞。

(5)雙因素身份驗證：在商業(yè)環(huán)境中實(shí)現雙因素身份驗證的方法有很多，從要求生物特征數據訪(fǎng)問(wèn)企業(yè)云，到推出隨身攜帶的物理密鑰以訪(fǎng)問(wèn)企業(yè)數據。無(wú)論企業(yè)決定采用何種方法，啟用雙因素身份驗證都可以讓企業(yè)的網(wǎng)絡(luò )更加安全。雙重身份驗證也可以解決弱密碼問(wèn)題，這是一個(gè)很大的問(wèn)題。

普普點(diǎn)評

如今有很多方法可以對網(wǎng)絡(luò )攻擊進(jìn)行分類(lèi)，通常的方法是根據其目標對其進(jìn)行分類(lèi)。隨著(zhù)近年來(lái)網(wǎng)絡(luò )攻擊變得更加肆無(wú)忌憚，企業(yè)采用一些預防措施阻止數據泄露比以往任何時(shí)候都更加重要。數據安全的重要性怎么強調都不為過(guò)。企業(yè)根據其經(jīng)營(yíng)的業(yè)務(wù)類(lèi)型，網(wǎng)絡(luò )攻擊不僅僅意味著(zhù)消費者數據被泄露，也會(huì )顯著(zhù)地降低企業(yè)的運營(yíng)能力。

數據驗證：數據驗證的工作原理是，移動(dòng)網(wǎng)絡(luò )運營(yíng)商在用戶(hù)使用移動(dòng)數據時(shí)分配給其電話(huà)號碼的IP地址之間的相互作用。驗證的工作原理是，確認與試圖執行驗證的最終用戶(hù)的身份相關(guān)聯(lián)的電話(huà)號碼與最終用戶(hù)移動(dòng)數據會(huì )話(huà)相關(guān)聯(lián)的號碼相同。該服務(wù)非?？?不到兩秒)并且非常安全，因為不可能通過(guò)“中間人攻擊”或社交工程進(jìn)行攔截，因為它不依賴(lài)于用戶(hù)在某些時(shí)候必須記住的任何信息。

Flash呼叫驗證：在最終用戶(hù)設備上發(fā)起和終止語(yǔ)音通話(huà)。主叫方號碼是從與服務(wù)相關(guān)聯(lián)的專(zhuān)用號碼池中隨機選擇的。智能手機會(huì )自動(dòng)接聽(tīng)電話(huà)，并使用主叫方號碼作為身份驗證，而不是通常通過(guò)短信發(fā)送的一次性密碼進(jìn)行驗證。

與數據驗證類(lèi)似，Flash呼叫比短信更快、通常更安全且更便宜，因為移動(dòng)網(wǎng)絡(luò )運營(yíng)商只是將連接確認為未應答呼叫。研究機構估計，采用Flash呼叫可以節省高達25%的身份驗證成本，并且可以將交付速度提高70%。

在按需經(jīng)濟中，很多用戶(hù)希望能夠與他們的服務(wù)提供商互動(dòng)(無(wú)論是流媒體服務(wù)、在線(xiàn)零售商還是其他等)，并且只需點(diǎn)擊鍵盤(pán)和鼠標就可以輕松完成。而新冠疫情帶來(lái)的遠程工作加速了這種需求。Flash呼叫驗證和數據驗證身份驗證技術(shù)的最重要的一點(diǎn)：它們都在后臺發(fā)生，無(wú)需用戶(hù)干預。因此，它們不僅安全且便宜得多，而且是無(wú)縫的。

（1）公司優(yōu)先考慮供應鏈彈性和可信賴(lài)的采購：

越來(lái)越多的攻擊者將目標對準對較小的供應商，使供應鏈或第三方的違規行為幾乎不可避免。越來(lái)越多的報道顯示，關(guān)于第三方違規的事件困擾著(zhù)企業(yè)。

（2）隱私立法將在全球范圍內加速

根據預測報告，由于數據駐留仍然是安全最重要的組成部分之一，預計現代隱私法規將覆蓋全球75%人口的個(gè)人信息?！?GDPR、LGPD(巴西的通用數據保護法)和CCPA(加州消費者隱私法)等法律覆蓋的范圍表明，合規官將管理不同司法管轄區的多項數據保護立法，客戶(hù)則希望了解會(huì )被收集什么樣的數據以及這些數據如何被使用。

（3）聘請常駐合規官將被提上議程

隨著(zhù)各組織不斷面臨新的法規，組織將需要常駐合規官來(lái)幫忙應對復雜且不斷變化的指令。他們可以成為組織內部和跨組織的值得信賴(lài)的聲音和領(lǐng)導者，他們能夠為從CEO到收發(fā)室的每個(gè)人，將新的且不斷變化的全球法規的復雜性轉化為真正的商業(yè)價(jià)值?！?/span>

全球經(jīng)濟都在尋求擺脫疫情導致的混亂局面，新常態(tài)下充滿(mǎn)了不確定性。如今很多企業(yè)都在大力宣傳加速數字化轉型，但對于企業(yè)中的安全領(lǐng)導者來(lái)說(shuō)，快速部署新技術(shù)這件事也存在著(zhù)不利的一面。遠程辦公、虛擬會(huì )議、混合云網(wǎng)絡(luò )和SaaS的采用帶來(lái)了復雜的 IT 基礎設施，這些基礎設施也帶來(lái)了新的威脅路徑，以及系統架構設計和數據處理。

攻擊：

(1)通過(guò)魚(yú)叉釣魚(yú)、水坑、供應鏈攻擊等方式，初始攻擊某臺暴露在公網(wǎng)的主機。(2)橫向滲透到某臺做為中轉的機器上，下發(fā)感染文件(包括文檔文件、可執行文件等)、收集信息等惡意插件模塊。(3)在中轉機器上監視可移動(dòng)磁盤(pán)并感染可移動(dòng)磁盤(pán)上的文件。(4)可移動(dòng)磁盤(pán)進(jìn)入隔離網(wǎng)絡(luò )。(5)可移動(dòng)磁盤(pán)再次插入中轉機器上時(shí)，中轉機器上的其他的惡意插件，對可移動(dòng)磁盤(pán)特定扇區存儲的機密信息進(jìn)行收集，再回傳到攻擊者控制的服務(wù)器中。

防御：

(1)通過(guò)官方渠道或者正規的軟件分發(fā)渠道下載相關(guān)軟件，隔離網(wǎng)絡(luò )安裝使用的軟件及文檔須確保其來(lái)源可靠。(2)嚴禁連接公用網(wǎng)絡(luò )。(3)可能連接隔離網(wǎng)絡(luò )的系統，切勿輕易打開(kāi)不明來(lái)源的郵件附件。(4)需要在隔離網(wǎng)絡(luò )環(huán)境使用的移動(dòng)存儲設備，需要特別注意安全檢查， 避免惡意程序通過(guò)插入移動(dòng)介質(zhì)傳播。(5)漏洞掃描及修復系統必須十分可靠，及時(shí)安裝系統補丁和重要軟件的補丁。(6)殺毒軟件要及時(shí)升級，防御病毒木馬攻擊。

普普點(diǎn)評

互聯(lián)網(wǎng)受制于體系、架構以及各種復雜環(huán)境因素的影響，存在太多的不安全因素，為此可以營(yíng)造一個(gè)封閉的專(zhuān)用或私有“內網(wǎng)”，邏輯方式的虛擬專(zhuān)網(wǎng)VPN、實(shí)體方式的物理隔離內網(wǎng)。內網(wǎng)—特別是物理隔離的內網(wǎng)其安全體系與外網(wǎng)安全體系相比，可以做得更加全面和細致，它可以采用各種技術(shù)手段和行政管理措施來(lái)進(jìn)行強監管、強認證、強加密。

攻擊面是指所有通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)處理或存儲數據的硬件、軟件、SaaS 和云資產(chǎn)，也可以將其視為可被網(wǎng)絡(luò )犯罪分子利用來(lái)操縱網(wǎng)絡(luò )或系統以提取數據的攻擊向總和。攻擊面包括，已知資產(chǎn)：庫存和管理的資產(chǎn)；未知資產(chǎn)：影子IT或孤立的IT基礎設施，這些基礎設施超出了安全團隊的權限范圍；流氓資產(chǎn)：由威脅行為者啟動(dòng)的惡意基礎設施；供應商：第三方和第四方供應商同樣會(huì )引入重大的第三方風(fēng)險和第四方風(fēng)險。

ASM 是一種挖掘互聯(lián)網(wǎng)數據集和證書(shū)數據庫，或模擬攻擊者偵察手段的技術(shù)。這兩種方式都旨在對排查過(guò)程中發(fā)現的組織資產(chǎn)進(jìn)行全面分析，排查面向互聯(lián)網(wǎng)的資產(chǎn)，然后對其進(jìn)行分析以找出漏洞和安全隱患。高級ASM包括針對每個(gè)暴露的安全隱患提供可行解決建議，或對個(gè)人提出警告。ASM 亦包括就開(kāi)放源情報(OSINT)進(jìn)行報告，這些情報包括公開(kāi)在社交媒體，甚至視頻、網(wǎng)絡(luò )研討會(huì )、公開(kāi)演講和會(huì )議等材料上的個(gè)人信息，可能會(huì )被用于社會(huì )工程攻擊或網(wǎng)絡(luò )釣魚(yú)活動(dòng)。

普普點(diǎn)評

云設施的廣泛采用、組織網(wǎng)絡(luò )的迅速發(fā)展，以及工作方式轉向遠程，直接導致了組織攻擊面大幅擴展，連接架構中盲點(diǎn)增多。攻擊面擴展，加之監控分散，帶來(lái)了人們不愿見(jiàn)到的結果。發(fā)現攻擊是問(wèn)題所在。要迎頭趕上而對所有過(guò)去和現有資產(chǎn)進(jìn)行編目，這一任務(wù)常被認為徒勞無(wú)益，十分復雜且耗費資源。這也就是攻擊面管理(ASM)等新興技術(shù)的用武之地。