Equifax捍卫着小卒中参议院报告
IT优先事项2019:云迁移成为IT决策者的最高投资区域
政府眼睛是他们自己的区块链加呼货币
Google详细信息它将如何推翻Chrome中的加密信号
谷歌在收件箱的未来重量
Chrome OS的Androideration即将进入过度驱动
2018年的十大艾迪斯
2018年度的十大IT安全故事
它管理员警告微软慢慢升级到升级速度
这个春天苹果所期待什么
政府宣布对移民规则的变更
NVIDIA如何追求实时的“圣杯”照片型VR
政府立法在禁止交易中恢复漫游费用
曼彻斯特非营利利润启动运动鼓励女孩进入茎干
Microsoft Yanks Maky Office 2016 Patch KB 4018385,重新发布本月的补丁下载
veeam云层在S3云中添加了备份的分层存储
报告确认,新技术将敏感数据放在风险上,确认
Surface Pro(2017)业主击中Win10 1803更新蓝屏。现在我们知道为什么。
苹果的下一个大想法:私人医疗保健
欧盟的Android反垄断裁决忽略了3个关键点
CIO采访:Amitabh Apte,全球数字集成导演,火星
CIO采访:David Walliker,Liverpool女士和皇家利物浦和Broadgreen NHS信托
Apple的商业聊天意味着有一天,您将要求HomePod进行银行贷款
BCS警告说,Brexit将破坏数字经济的无交易
西门子连接到世界上最大的UCC部署
紫红色,Chrome OS,黑白思维的危险
网络安全的公共采购关键
KBNEW:看看微软改变KB文章的场景
许多公司不知道数据exfiltration威胁
执行面试:为什么bet365正在为golang
澳大利亚的数据违规表明没有人的迹象
卫生秘书Matt Hancock订单禁止在2021年底之前由NHS工作人员使用寻呼机
谷歌面临5亿美元,良好的Android浏览器和搜索引擎领带
国家网络安全计划缺失目标的风险
您需要了解的顶级屋顶工作
ico承诺支持创新
定制数字培训计划有助于德国旅行运营商全球转型
小心:现在可以在GitHub上提供的总熔化漏洞代码
戴尔集团频道骑行数字变换波
新加坡艾滋病毒阳性个体的个人记录在线泄露
企业PC-Buying Spree Spurs首次发货攀登六年
保持给予给予的礼物:Win7每月汇总KB 4093118一遍又一遍地安装
思科震撼了合作努力; morphs火花进入webex
文化冲突克拉普斯数字业务
梅赛德斯 - 奔驰与车载超级计算机上的NVIDIA合作
战争在索赔云巨头的AWS和Green和GreenPeace在可再生能源承诺中有“回归”
完美结束一个完美的月份:另一个Win10 1709累计更新,KB 4058258
Surface Pro 2所有者奇怪:Microsoft Ship TPM固件是否有效?
2018年十大金融服务故事
OpenReach招聘3,000名学徒,以支持英国全纤维网络部署
您的位置:首页 >科技 > 物联科技 >

Equifax捍卫着小卒中参议院报告

2021-08-24 12:44:08 [来源]:

新的Equifax首席捍卫了该公司在参议院国土安全和政府事务小组委员会听证会上的网络安全方面的方法。

听证会恰逢小组委员会出版了分组报告,发现Equifax未能在2017年之前和之后优先考虑网络安全优先考虑属于美国,加拿大和英国的近1.49亿人口的个人数据。

“Equifax没有难以置信的信息安全计划并遭受违规的事实并不意味着公司未能认真对待网络安全,”Equifax首席执行官Mark Begor在准备好的声明中说。

“在网络攻击之前,我理解[Equifax]的安全计划是基于一组强大的政策,标准和程序,并由一般和专业培训的支持,并支持了良好的资金和人员提供了良好的资金和人员。”

Begor指出,2018年对美国公司的1,200多项数据违约表明,各种类型的公司都将受到“日益复杂的刑事戒指”和“资助的民族行动者或国家军事武器的国家 - 国家的军事武器”下降到网络袭击事件下降,“报告CNBC。

自2017年以来,他表示,Equifax增加了四名新董事,并创建了一个“审计框架”,意味着他们理解的董事会安全基准委员会,这可以使其更易于记录进展。该公司在2018年至2020年期间,在事件下,2018年至2020年在2018年和2020年之间花费了1.25亿美元。

违规违反了故障修补所有Equifax IT系统,以防止黑客利用Apache Strutsweb应用程序框架中的Avulnerability。

该报告发现Equifax并未遵循自己的策略修补漏洞,它未能定位和修补Apache Struts,因此Equifax由于网络安全实践较差而留下攻击,即黑客可能已经最小化的损坏,Equifax在通知公众违约之前等待六周,并且Equifax并没有节省关于违约的内部对话记录。

根据该报告,CIO在2010年至2017年向2017年推过负责安装补丁的公司雇员,但表示他从未意识到Apache Struts漏洞,并不明白为什么漏洞“未被捕获”。

虽然CIO说他不认为Equifax可能会做出不同的方式,但报告指出,TransUnion和Experian收到了与公众和Equifax相同的信息,就Apache Struts漏洞,而且两家公司都已部署了软件,以验证安全补丁的安装。 ,RAN更频繁地扫描,并维护IT资产库存。

为了响应Apache Struts漏洞,TransUnion在几天内开始修补软件的易受攻击的版本。Experian于2017年3月保留了一个软件安全公司,进行Apache Struts漏洞的目标漏洞扫描。查找Experian服务器运行漏洞版本后,Experian脱机了服务器并开始修补它。

根据Synopsys的高级技术福音师,CENIFAX BREACH展示了商业软件安全实践及其开源等价物之间的断开连接。

“通过商业软件解决方案,供应商处于将安全信息推向消费者的位置。使用开源产品,除非维护使用的开源组件有效库存,否则难以管理有效的补丁管理策略。

“例如,开源通常可从多个分发通道获得,并且在应用于从不同通道获得的同一组件时,为一个分发信道设计的补丁可能没有有效。”

虽然参议院报告突出了易受攻击开源组件的定期扫描的值,但Mackey表示,当组织使用敏捷开发实践在Devops伞下方使用敏捷开发实践时,练习可以轻松地部署易受攻击的组件。

“而不是定期扫描,应在开发期间创建开源依赖性的全面库存,并且部署应用程序护理时。这些依赖项应进入连续的监控解决方案,旨在识别新的安全披露何时发布。

“当组合时,这种解决方案允许在近实时进行准确地测量给定应用程序内的安全暴露的精确图像。掌握了一个易受攻击的开源组件和组件的起源的知识,可以创建有效的补丁策略,“他说。

国会应通过立法,该立法建立一个国家统一标准,要求收集和存储PII [个人身份信息]采取合理和适当的步骤来防止网络攻击和数据漏斗。扩大应通过必要的立法,要求遭受数据违规的私人实体通知受影响的消费者,执法和适当的联邦监管机构没有不合理的延误。强调应该探讨需要额外的联邦努力,将信息与私营公司分享有关网络安全威胁和传播IT资产所有者可以采用的网络安全最佳实践.FEDERAL在确保私人实体中具有作用的机构采取措施防范网络攻击和数据违约,保护PII应审查其当局并向国会报告给国会,以提高其努力的有效性.PRIVATE实体应重新审查其数据保留政策奴隶这些政策在网络攻击发生时适当地保护相关文件。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。