传统网络安全 2015年以前，互联网还没有现在这么发达，网络安全产品主要集中在防火墙、入侵检测、杀毒，称为老三样。 当时网络设备单一，网络安全很少涉及业务，数据资产占比较低，老三样基本能满足企业对网络安全的需求。例如在2015年以前，企业仍然有明显

1. 重视管理层沟通和自上而下的安全意识文化建设 制定并提出应对网络安全攻击的策略/计划。这应该每年进行一次，并在董事会会议上介绍。避免讲技术，重点提供有关新威胁的统计信息、趋势和概述。讨论这些威胁带来的业务风险以及公司防御此类攻击的能力。在计

简而言之，软件环境的攻击面由未经授权的用户可以输入或提取数据的所有点组成。了解和监视这些点是有效提高无服务器安全性的关键。 无服务器系统由数十个、数百个甚至数千个组件组成，这为恶意攻击者和未授权用户提供了新的切入点，他们都在添加集成到生态系

正如号称达到4级高度自动驾驶的特斯拉FSD8.2测试版在奥克兰街头处处鸟惊心的糟糕表现给自动化狂热主义投机分子兜头浇了一盆凉水，网络安全的无人驾驶，也还有很长的路要走。 在网络安全中，当今被视为标准的一种基本自动化是SIEM和网络安全工具之间的关联。

然而，想要找到并成功吸引具备合适网络安全技能的人才绝非易事。即便在当今的入门级网络安全职位上，所需的技术技能清单也很长。Krehel指出，网络安全领域的入门级职位描述通常看起来像其他行业中的中高级职位，因为它往往需要非常多的安全性或供应商认证，

在这篇文章中，我们将研究互联网中的宏错误配置问题，并学习如何使用Netz来帮助我们了解相关问题。Netz是一款开源工具，正好适合我们的研究。 扫描的常用方式 检测公开暴露在互联网上的网络资产的最快方法是使用搜索引擎服务，如Shodan、Censys或Zoomeye，并

最薄弱环节的吸引力 为了更好地理解最薄弱环节原理，让我们来看一个假设的场景。想象一下，你的任务是将一件珍贵的艺术收藏品从一个破旧的偏远仓库转移到城市中心一个高度安全的银行保险库。你签了一个装甲运输服务来运输物品。 现在，假设有一个罪犯刚刚抓

迄今为止，许多备受瞩目的软件供应链攻击(包括SolarWinds攻击和ShadowPad攻击)都归因于与政府有可疑联系的APT组织。根据大西洋理事会(Atlantic Council)对过去10年中披露的115种软件供应链攻击和漏洞的分析结果发现，其中至少27种是民族国家赞助的。但是，实