展开

关键词

架构建设

1 组织架构在甲方的工作中,重点自然是在建设上,但是为了能持续不断的输出,队伍的建设变成了不可或缺的一环。 成员的能力决定着的高度,合理的队伍配置是整个建设之路上的引擎。 很多甲方公司或许并没有专职的人员,或许仅有临时工,此类场景常常出现在传统、非互联网过渡到互联网的中,所以在准备跳槽时对的选择需要谨慎。 相比专人员,这无疑在一定程度上限制了的发展。此外,由于对领域的不熟悉,在与上级领导沟通、对项目上的投入等方面表现不足,往往也会成为制约建设的因素。 3 工作推动3.1 领导支持工作的推动是一个自上而下的过程,在建设的伊始便是与上层领导沟通,并争取获得必要的支持,具体理由可参照【建设需求】进行分析与汇报。

1.1K51

威胁简述

面临的威胁可以说是来自四面八方,既有恶意的外部攻击者,也不排除来自内部的隐患。往往在不经意间,又可能引入新的因素,也有可能在输出产品时给其他带来风险。 大而言之,的威胁从个人理解的角度出发,大致可以分为以下几点:输入威胁内部威胁外部威胁输出威胁? **** 内部威胁浅析 **** 内部威胁主要来自于人,如果细分的话可以从意识、相关制度、内网管控等方面进行考量,比如:&内鬼泄露内部机密信息资产&内部人员主动攻击外部其他系统&内部系统沦为肉鸡被动攻击外部其他系统 、隐蔽的多,但在面对诸多威胁的时候,应该具备发现问题的眼光并深入下去,找到欠缺之处的根源,从源头进行修补。 ”,建设只有主动将救火阶段慢慢的转到建设,才能在遭受外部攻击时稍微淡定一点。

46340
  • 广告
    关闭

    50+款云产品免费体验

    提供包括云服务器,云数据库在内的50+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    建设需求

    ## 前言 ##近来“”这个话题比较火热,一个人的部、甲方建设相关文章倍受大家欢迎。 ## 需求 ##除了没有被外部黑客攻击造成财产损失外,影响难以花费成本在建设方面的因素还有很多,比如务还没有到达一定规模、没有相关部门的监管、没有第三方的合作监督等。 一次能力提升”的实质效果。 能力与相关负责人、团队息息相关,究竟是务实还是专心搞政治分心做,往往取决于人。 这种情况下,务会主动找到人员为其做测试、评估,这算是需求中,务方最主动的一种情形。

    44060

    项目-短信验证码

    然而,短信验证码算是建设中能马上“止血见效”的突出代表,无论是从开销,又或实际有效性,还是用户体验来说,保护好我们的短信相关接口、完善校验逻辑是十分有必要的。 2、风险描述短信任性发,慢性恶意消耗费用在做验证码改造项目过程中,深刻的领悟到“水滴石穿”的道理,每条短信大约0.03元,目测单价很便宜但整个公司的务短信量却很庞大,一年下来正常的总花销也是一大笔费用 短信验证码失效,又或是务逻辑背锅 短信验证码在对造成不良影响的同时,还可能违背设计者的初衷,并未到达预期验证、放刷等功能。其原因主要为:验证码本身与务逻辑。 组:发现隐患与规则的制定者、验证人员以及推广。参与基础服务(短信服务)相关规则的测试、制定、验证,与中间件同学推广改造后的相关接口到各务。 通过对底层短信相关接口的改造,足以解决短信验证码中的大多数问题,但在具体的一些务场景中,可能仍然存在漏洞,由此需要人员深入各务线,对短信验证码可能出现的场景进行测试,尽可能的完善务逻辑

    68580

    项目-Github信息泄露专项

    2、总体概况源代码对于而言,无疑是最宝贵、密级较高的信息资产之一,其泄露途径有很多种可能:?然而github源代码泄露却是敏感信息泄露的典型代表,一般而言主要是开发大神们缺乏意识所致。 在建设项目中,防止github信息泄露主要可以从:制定相关制度-->意识培训-->技术手段监测-->相关问题处置角度出发,持续进行维护并形成一个完整的闭环。? 往大处讲,的核心产品信息可能遭到竞争对手复制,相关系统可能遭受外部攻击;从小处说,一些细微之处的敏感信息可能被有心人搜集为后续的攻击准备,比如员工邮箱、SMTP服务器旧用户名与密码、 2)意识培训涉及开发与运维人员,准备大量github信息泄露导致系统被攻击的案例,针对开发部门进行现场剖析与宣讲。也可以在公司内开展期刊、海报等宣传工作,比如我们做的一张海报:? 5)内部自检git平台“不能让务没地方玩,不然没人跟玩。”不允许开发上传公司务相关代码至公网github,但是应该在内部搭建git平台供大家交流使用。

    1.1K110

    项目-测试环境内网化

    经过长时间的风险发掘与分析,面临的风险已逐渐清晰并有了比较面的视野。从投入与产出比的角度出发,结合当前正在承受的危害和实施难易程度考虑,可以将前期所规划的项目排入实施计划周期并进行推动。 1 总体概况为了减少对外资产暴露面,减少外部恶意攻击,首先应将不必要开放到互联网的测试环境进行内网化。在项目推动的过程中,再次证明工作的开展离不开各部门的协作支持。 组织接口人召开会议正好以外部白帽提交漏洞为驱动力,召集接口人(一般由组成员、各务部门leader组成)开会进行商议并立项。? 或许是因为新人的关系、没交情、各自忙务、没有习惯等因素,仅少量的人反馈情况。?? 【3】考虑务感受关键词:不影响正常作是红线开发使用测试环境、测试使用测试环境,如果影响到大家,那么就可能没有人陪玩耍。

    35750

    项目-前端绕过专项整改

    前端绕过专项整改是我加入公司后,参与的第一个“伤筋动骨”(涉及底层逻辑设计,影响整个公司务)类项目,也差不多是公司内部自己开展的第一个影响范围广的务相关项目。 这里所指的前端,听上去像是关于JS、HTML5等方面的,但其实不然,实则是一些关于会员体系方面务逻辑漏洞的整改。 】【高危】忘记密码流程中敏感信息泄露【】【高危】验证码绕过【】【中危】忘记密码务逻辑存在漏洞,导致遍历用户名、email等信息【】【中危】注册场景应在验证码校验以后再判断手机号是否被使用【 】【中危】余额变动短信关闭时可以绕过支付密码校验【】【中危】短信验证码及图片验证码绕过漏洞【】【中危】绑定手机号可以前端绕过【】【中危】签入无防暴力破解机制经过梳理总结出以下存在隐患的务场景 5、总结反思这应该算是一个大家不太愿意推动,但是建设必经之路的项目。因为它涉及务底层逻辑,牵一发而动身,几乎所有务均需要跟着变动,项目难度较大。

    33550

    建设之HIDS

    ,如:后门,反弹shell,恶意操作,主机组件漏洞,系统用户管理问题,主机基线风险等。 这里直接使用了公司先已有的架构,直接将日志发送到kibana统一分析。 0x04 开源HIDS部门不是盈利部门,“一个人的信息部”之中型公司常用开源项目二次开发,知名的HIDS项目如OSSEC、Osquery。 0x05:个人HIDS实践 从SQLmap到HIDS刚学习的时候,SQL注入的内容还是挺丰富的,当时是怎么快速入手的呢? 参考文献保障IDC:分布式HIDS集群架构设计建设—基于Agent的HIDS系统设计的一点思路点融开源AgentSmith HIDS—- 一套轻量级的HIDS系统*本文作者:罹♛殇,本文属

    1.1K40

    检查指南

    《中华人民共和国网络法》、《中华人民共和国数据法》、《关键信息基础设施保护条例》等法律法规的相继出台,为压实了网络主体责任,均要求应当至少一年做一次风险评估.当前大多数都是将风险评估以项目外包的方式给第三方网络服务机构来做的 本篇文章以“5个W,1个H”的方式将检查的必要性和具体做法进行总结,以指导保障建设,适用于自查。 检查小组的组长最好由的网络责任人担任,负责统筹协调项目资源,给与领导力支持;检查小组的执行组长则建议由部门的负责人担任,主抓检查工作的执行和落实。 检查小组一旦成立,可在组织架构内长期存在,建议一年两次自查,并且当的信息化架构发生重大变更时,也建议及时做检查,避免引入其他风险。 (5)状况评价检查小组根据所承载务重要性和威胁,综合评价信息系统的总体状况。(6)建设建议检查小组针对检查中发现的问题和风险,提出建设建议。

    12120

    | 红蓝对抗

    声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息、国家。 其目的在于发现自身的风险,检验防范水平和效果以及响应效率,为后续的网络与信息建设提供强有力的支持。3.什么是渗透测试?渗透测试是对给定的目标系统进行测试,找出漏洞或风险的过程。 通过渗透测试,及机构可以了解自身部的网络资产状态,可以从攻击角度发现系统存在的隐性 漏洞和网络风险,有助于进一步构建网络防护体系。 ,并绕过防护体系渗透到内部,面检验各个维度的防护能力和感知能力;传统渗透测试的攻击手段相对比较单一,比如针对WEB务系统的渗透测试基本就是利用WEB攻击的相关方法;而Red Team •身份认证:弱口令、不的cookie和session、加密测试。•验证码突破:爆破、时间次数突破、绕过、回显。•密码找回:任意密码修改、密码重置等。

    21160

    浅析与实践

    过于超前、浮在表面没有落地方案的新概念,这些声音对实操都缺乏积极的意义。体系架构与威胁应对流程,是保障、应对威胁、确保稳定发展的关键。 从架构设计规范中上升到标准体系、通用基线的根本目的,是保障务连续性,保证利益相关者生命、财产的延续。 需要基于信息大环境,结合所处行、IT投入、务需求等实际情况,参考可靠的架构体系,自上而下地建立能在内部落地的策略与流程,并在流程中应用合适的技术与产品。 类型划分分为:传统互联网架构随整个务架构水平扩展,保证高可用性1. 互联网与传统区别互联网和传统建设中的区别? ;生态级vs平台级建设的需求生态级和平台级之间的建设需求不仅仅是量的差别而是质的差别。

    23620

    漏洞通告引擎

    如今大多数都在用漏洞扫描+漏洞通告,存在如下两个问题:1、漏扫存在“扫描周期长、扫描库更新不及时”等情况,同时扫描报告中有无数干扰项,导致了漏扫报告约等于“漏洞信息堆砌”,真正有用的可能没几个,而让甲方运维人员从中找到有用的信息 2、厂商的漏洞通告是“只通知,具体影响那台服务器,运维自己找去吧。” 1、输入部分a) 版本探测:针对服务器各应用的版本探测扫描、不便于扫描的区域进行手工检查版本并录入b) 爬虫:选出多家厂商,通过其漏洞公告的网站进行每日(或更高频次)漏洞信息抓取2、主引擎部分a ) Python:真心好用b) 数据库:制定“应用-IP-版本-管理员”表c) 版本比较:通过比较漏洞影响范围&当前应用版本,来判断是否存在问题d) 最新漏洞告警:定时任务运行(每日一次或更高频次) ,以自动发现最新的漏洞3、输出部分根据“应用-IP-版本-管理员”的对应关系,自动将相应的应用漏洞发送给相应的运维管理员,实现较为精准的自动化漏洞通告&新漏洞预警。?

    36850

    建设进阶实战

    是个“无底洞”,没有一个负责人会说自己的系统是百分百的,也不是特别好衡量和量化,尤其是定量地评估出谁比谁做得好、好多少。 本文将介绍宜信建设不同阶段的思路和成果,每个阶段遇到的挑战、踩过的坑,以及收获的心得和体会,分享宜信内部产品的发展,探索建设路径。 在这个阶段,我们开始追求构建更加贴合长期发展、在某个点更专注更深入的能力,比如运营的能力、数据的能力。 重要的项目也会参与需求评审,与务、产品、技术等团队建立了很好的合作关系。值得一提的是,在,与的合作可以分为两种:一种属于“免责甩锅型”、一种属于“合作共赢型”。 《数据法》已经进入立法阶段,不论从建设、合规、还是的战略发展,很多走在行前列的已经在向以“数据为中心的策略”转变。

    36420

    | ATT&CK框架概述

    当前阶段,如何根据ATT&CK框架来检查目前产品的整体覆盖度,进行面的差距分析,以及如何将ATT&CK所涵盖的技术点融入到产品中,是目前各大研究的重点,也是架构中的核心内容。 帮助拓宽视野,不仅仅是局限于检测;加强认识,了解可能需要承受哪些方面的风险;哪些内容是你无法检测或缓解,检查你的预算与计划,实现资源的优化利用。 之前进行差距分析,是自身状况的差距分析,分析后的内容主要用于指导体系的建设。 03ATT&CK 框架总结 如今已有越来越多的都已经开始着手研究ATT&CK模型框架,通常组织采用两种方法。首先是盘点其工具,让厂商提供一份对照ATT&CK覆盖范围的映射图。 尽管这是最简单、最快速的方法,但供应商提供的覆盖范围可能与实际部署工具的方式并不匹配。此外,也有些组织在按照战术逐项进行评估能力。

    50230

    《2018威胁统一应对指南》产品名录征集开启

    在 FIT 2018 大会现场,FreeBuf 发布了《2017威胁统一应对指南》,受到厂商和用户的广泛关注。 如今,我们将继续精进,通过资料搜集、走访客户以及征询专家意见,对 2018 现状、态势和产品情况进行深入调研,并经过严谨的分析和总结,描绘 2018 年现状与产品的新画像 研究方法问卷调查——初期通过问卷调查的形式获取多家产品以及相应的自评信息;专家访谈——采访专家,把握 2018 信息的热点与趋势;权威参考——参考国内外信息领域的各类奖项 、Gartner 魔力象限以及专机构发布的权威报告等,了解 2018 的现状与发展以及厂商和产品的情况;数据分析——依托以上几点,对获取到的产品信息进行分类分析,并由专家评审团从品牌影响力 《2017威胁统一应对指南》入选产品得分情况

    14760

    管理的“六脉神剑”

    下面一起来看管理的“六脉神剑”——六个最佳实践:实践一:防止权力的滥用行政权力的两个原则将帮助你避免权力得滥用:限制权力及职责的分离。 实践四:获取外部信息作为内部管理借鉴专家面临紧跟当前形势的艰巨任务。你应该及时了解当前威胁和适用于你组织的核心务流程和高价值目标相应的保护措施。 除了这些资源,专协会,如国际信息系统认证联盟( ISC2 )提供厂商中立的培训、教育和认证,包括为开展的CISSP 。 人员所遇到的问题是如何知道什么时候一个系统或应用程序需要一个修补程序或补丁应用。大多数供应商为更新、提供警示,以及一个维护订阅被购买的信息提供一个邮件列表。 从管理者到员工,内部到外部的专人士,如IT员工、务合作伙伴、运营、人力资源、法律、财务、审计、公共关系和执法。计算机事件响应小组(CSIRT)是任何运营功能的重要组成部分。

    25550

    建设与态势感知

    前言在今天越来越受重视,各类单位也不断加大投入,很多度过了建设初级阶段(被动防御)的团队开始做态势感知。 如果设备的部署不影响务或不需要和务耦合,那么“堆盒子”这个工作虽然会有困难,但总是可以完成。完成了以上工作,挑战从开始的没有威胁感知能力变为真正的威胁被海量日志和告警淹没。 然而较短的TTR并不等同于务(IT资产)是的,所以还倾向于SIEM具备可视化能力,让管理层从资产的视角看到态势,呈现价值。 而后者(SIEM)通常侧重分析,但并不支持对设备的策略管理。典型代表可以参考Gartner的SIEMMagic Quadrant报告。该报告中第一阵营中的商产品都比较成熟。 此外,考虑软件供应链务版本发布规范的组织还可以考虑将第三方开源组件的使用记录下来也一并集成。2.

    71862

    无间道之抓内鬼

    内鬼的范围其实很多,传统上会抓账号泄漏、横向移动之类。但如果是商间谍、搞破坏、内部欺诈这些行为,上基本上没能力管。 很多同学吐槽,在公司不受重视,得不到资源,在我看来,是目前做的这些事相对于公司的大风险来看,太小,在高层那里不受重视理所当然,当有能力为公司发现、收敛更大的风险,地位当然会上升。 抓一个坏人,可能涉及到内控、信息、内部监察、内控、廉政、HR等部门,具体落在哪个部门取决于内部博弈,但一般内不会是先设立这么一个组织再来开展活动,而是谁能干这件事,责任就落在谁头上。 规则必定被绕过在商组织里,是一个支撑角色,赚钱才是核心务。而措施叠加,必定会在一定程度上降低效率,由于效率原因,规则也一定不被完遵守。 无意行为危害无意行为危害更为常见,例如DLP抓到的外发,大量都是务需要的非故意外发行为,真正的坏人可能就隐藏在这里而被淹没。这需要靠意识教育、直接触达的警告来强化

    29610

    实践之漏洞管理

    以前在互联网公司做软件项目的时候,公司规定的上线流程中,就有一项是要做测试。 后来吸取扫描的经验教训,先把扫描配置调优了,降低了扫描的并发数和任务数,并设置在非务时段定时触发扫描任务,这样既不会影响到正常的务,也能有效提升web漏洞扫描的效率。 在对漏洞的扫描中,我也不断提升自己的认知,特别是跟厂商的学习交流以及自己在freebuf、客这些社区中徜徉各种知识,慢慢对漏洞的管理有了更多的认识。 从操作系统漏洞、到应用程序漏洞、再到开源组件漏洞、以及务逻辑漏洞,就是一个漏洞处理循序渐进的过程。 漏洞管理只是我在公司做的一部分网络的工作,面对复杂的网络管理体系,我希望可以借助漏洞管理的经验,在整个网络架构下,横向和纵向扩展开来,有计划地并行开展着,确保有序进行。

    7820

    】甲方眼里的测试

    1.2 提测如果务方有新的应用需要发布或老应用有新增功能,则需要进行提测,测试通过后才能上线发布。 提测流程便由此产生,由有需求的务方(一般而言是开发)发起任务单,提交至部门受理。任务单的工作流程为:?任务单的主要内容为:? 甲方测试流程甲方团队在收到务方提测后,将先与提测方进行务相关沟通(具体环境、功能等)并评估工作量,再进行测试,测试过程中一般都会进行多次沟通,对象包括对应开发、测试、产品甚至运维。? (攻击篇)【8】【应急响应】redis未授权访问致远程植入挖矿脚本(完结篇)【9】【建设需求【10】【威胁简述【11】【架构建设【12】【项目-测试环境内网化【13】【项目-Github信息泄露专项 【14】【项目-短信验证码【15】【项目-前端绕过专项整改【16】【一起玩蛇

    69830

    相关产品

    • 企业移动管理

      企业移动管理

      企业移动管理(EMM)专注于提供企业移动业务的全方位数据安全保护解决方案。为企业构建统一的移动安全工作域,将企业办公环境和员工私人环境隔开,防止终端侧恶意泄密,既满足了企业管理等需求,又保护了员工的个人隐私。

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      扫码关注云+社区

      领取腾讯云代金券