记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

随笔|浅谈网络安全服务行业现状与展望

早上醒来后,脑子非常清醒,适合写作。特别是在一个人出差的时候,所以今天想写一点关于网络安全服务行业的现状与展望的内容,欢迎各位留言交流。上周五,在接受非著名大学的《创客说》节目录制的时候,被问及了5个问题,其中有两个问题印象深刻,也让我思考了很多。这两个问题是:您对信息安全行业的个人见解与对未来信息安全行业的展望。先来回顾一下自己的网络安全服务从业之路,我从事网络安全服务行业已16年,农业院校的工科生出身。毕业后在老家做了一名操作进口自动化高精机床的技术蓝领(当时高端大气上档次的说法是从事CAM),想想几十年后还是这样单调的工作,感觉这样的工作不是我想要的。
发布时间:2017-07-20 17:35 | 阅读:109630 | 评论:0 | 标签:安全即服务 安全治理 公司运营 安全服务

“徐玉玉案”的警醒:个人信息泄露如何防

又是一年高考季,在为学子们似锦前程喝彩的同时,去年高考季发生的“徐玉玉案”却令人心痛不已。分析诈骗分子的犯罪手法不难发现,他们早已经从“大海捞针”式广撒网的诈骗模式,进化为以个人信息为基础的“精准”诈骗模式。个人信息泄露可能是内鬼所为、用户安全意识薄弱等原因,另一大主要原因就是信息系统或网站存在漏洞。信息安全防护能力全面升级是大势所趋个人信息保护层面,6月1日实施的《网络安全法》明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。第四十条明确规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
发布时间:2017-07-05 22:20 | 阅读:124510 | 评论:0 | 标签:安全治理

随笔|网络安全2.0时代已开启

durex说熬过67和68就是69,想想今天是2017年6月9日,是一个特殊的日子,因为刚过了结婚纪念日就是入职纪念日。早上要出差,和往常一样设了一个手机闹钟又在铃声响之间关掉了。想到昨晚看了浙江的高考满分作文,我的体会就一个字“我服了”,在出差路上突然又想写点什么了,就说说网络安全2.0时代吧。个人感觉,网络安全2.0时代已开启,这时代的开启以网络安全法的实施为起点。你看,“六一”节前,国内外媒体对网络安全法的关注统计分析(引自赛博5号院)。 据有关分析,境内对《网络安全法》的关注点聚焦如下: 对个人信息进行保护,全部实名制之后监管能够到位,是否会造成更多的信息泄露。
发布时间:2017-06-09 20:25 | 阅读:119391 | 评论:0 | 标签:安全治理

WannaCry引发的企业安全建设思考

勒索软件从CTB-Locker最早出现,到Locky的大规模爆发,再到刚刚发生的WannaCry,至今已经有两年时间了。尤其是此次影响到100多个国家的WannaCry,已经对各行各业造成了不可挽回的经济损失,甚至影响到了国家关键基础设施。值得庆幸的是由于国内外各个信息安全领域的厂商、研究机构及从业人员从未停止过对勒索软件的分析和研究,使得在事件发生之后能在很短时间内发现,并公布防止勒索软件扩散的解决方案。与此同时,各个信息安全厂商结合自身的产品均发布过相应的解决方案,也起到了一定的作用,但始终无法根治。若要从根本上解决勒索软件泛滥的问题,就必须究其根源及传播方式。
发布时间:2017-05-16 07:45 | 阅读:133780 | 评论:0 | 标签:安全方案 安全治理

安全的本质是什么?

作为一个信息安全从业者,十多年来,在不同的场合被人问过这个问题,在微信群里也多次有人讨论过这个问题。但是,这么久以来,我一直无法回答这个问题,甚至拒绝回答这个问题,因为这并不是一个好问题。本文只是想谈谈常见的几个答案,由此帮助大家思考信息安全工作的一些特征。本文首发Sec-UN,转载请注明。 1、 安全的本质是信任。
发布时间:2017-04-02 08:55 | 阅读:145274 | 评论:0 | 标签:安全治理

骗子网站面面观之冒充公检法诈骗网站

       有一天老王接到自称”张警官”的电话,告知老王他的信用卡涉嫌洗钱,”张警官”对老王的个人情况掌握的一清二楚。“张警官”告诉老王他已经上了专案通缉令了。      不信?看看!网站上有!老王打开网址,输入了案件编号。老王看到“中华人民共和国最高人民检察院”的网站,还专门提示了“谨防假冒高检院门户网站实施网络诈骗”。老王心想,这肯定是真的咯!其实这都是骗子精心制作的仿冒网站。 难怪老王会相信,让我们看看真正的高检院网站:风格太像,真假难辨。假网站多了飘窗,其他几乎一个模子刻下来的。
发布时间:2016-11-28 22:45 | 阅读:236458 | 评论:0 | 标签:安全治理

从甲方眼里看“世纪佳缘”与白帽子之争

2016年6月,北京夏日炎炎骄阳似火,中国网络安全大会和WOT2016企业安全大会正在京如火如荼之际,“世纪佳缘”的事件也在网上快速发酵,引来圈内外无数的观点和口水之争。之前已有关于这个话题的无数文章,有支持白帽子无辜的,有说厂商不讲道义的,有说平台失职的,各方隔空喊话好不热闹。不过迄今为止貌似甲方的声音甚是微弱,本文就想从甲方的角度来谈谈如何看待这个问题,也希望能够让大家换位思考一下。一、你是谁?当一起安全事件出现时,一个负责任的甲方安全团队的心路历程大概是这样的:1.卧槽,又出漏洞了。2.尼玛,谁爆的,最坏的后果是什么。3.怎么快速止损和修复。4.以后怎么预防。
发布时间:2016-07-21 02:55 | 阅读:154223 | 评论:0 | 标签:安全治理 安全实务

从“0”到“1”:如何开始企业的信息安全治理

随着各类信息安全事件发生频率的不断升高,企业的老板们也都产生了一个朴素的想法,要加强信息安全治理,保护企业的各类经营、生产信息,保护企业的业务。但是对于如何建立起一套科学、高效的信息安全治理体系,却是无从下手。 企业的信息安全治理,从0到1主要分为三个阶段,本文主要介绍下这三个阶段的主要任务,并简单介绍下从1到正无穷的工作目标。   第一阶段——“点” “信息安全”是一个非常庞杂的范畴,任何一个安全域的疏漏都可能导致企业的信息安全受到破坏。网络安全和IT系统安全是信息安全众多安全域中的一部分,也仅仅是一部分。
发布时间:2015-12-02 13:55 | 阅读:129457 | 评论:0 | 标签:安全治理 ISMS 信息安全实务 信息安全治理

信息资产的“管”与“控”

安全圈子从来不缺少话题,网络安全、大数据安全、云安全、安全攻防、安全监控…… 近期与几个新进入安全行业的新朋友交流,大家有着共同的困扰,信息安全实务中到底要干什么。   在企业里信息安全到底要干什么?这个问题可能是很多在安全行业里做了很多年的朋友都想不明白或者没有认真想过的问题。
发布时间:2015-11-27 13:15 | 阅读:104909 | 评论:0 | 标签:安全治理 ISMS 信息安全 信息资产 实务 治理

安全,是云基础设施的核心竞争力之一

始料不及的是AWS re:Invent 2015居然在朋友圈刷屏,而Gartner Symposium却没什么动静。云计算领域最受瞩目的AWS大会已经是产业标杆,每年会上发布的新服务也是各大厂商竞相模仿和追赶的对象。这种大会都是各看各的热闹和门道,而对于笔者来说,最大的变化是,AWS果然开始做安全了。 我一直认为,安全,继运维之后,会是云基础设施服务商的核心竞争热点。因为基础安全任务具有很明显的运维特征,是云用户的广泛需求,亦能发挥云计算种种节省成本提高效率等等优势。 然而这个观点在国内似乎并不招人喜欢。
发布时间:2015-10-11 03:45 | 阅读:115852 | 评论:0 | 标签:安全方案 安全治理

提升数据治理水平和风险管控能力

本月为美国国家网络安全意识月,不料1日和2日刚开始两天就已经接连爆出两个严重数据泄漏事例。信用记录和消费者数据提供商Experian于10月1日披露,约1500万曾申请T-Mobile融资服务的消费者数据被泄漏,包括社保号、驾照号、护照号等。10月2日,Scottrade宣布其收到联邦执法机构通知,发现有460万客户信息被盗取。 可以预见的是,这两宗大规模数据泄漏事件,不仅会给公司带来高额罚款以及后续处理成本,信息安全管理者必然需要承担责任,很有可能被迫辞职。Experian将为所有数据泄露的用户提供两年免费的信用监测作为补偿。数据安全事件,已经是导致CISO责任离职的最主要原因。
发布时间:2015-10-08 15:05 | 阅读:144250 | 评论:0 | 标签:安全方案 安全治理 data breach data classification data governance da

信息安全治理的成本

根据普华永道发布的《2015年全球信息安全状况事件调查》中的数据,2014年,网络信息安全事件导致中国大陆与香港企业平均财务损失激增33%。而仅在中国大陆与香港地区,失窃的知识产权或者商业机密的价值已经远超10亿美元。 毋庸置疑的是,信息的安全性,已经成为企业运营中一个不可忽视的风险来源。对于信息安全的重要性,规模以上企业的经营者都应该有着清醒的认识。 为了提升企业信息的安全性,企业持续大量的投入资源进行信息安全风险防范,雇佣大批的安全人员,不断购买大量最新的安全产品,发布大堆的安全制度。
发布时间:2015-10-04 20:05 | 阅读:130147 | 评论:0 | 标签:安全治理 信息安全 实务 成本 治理

布式前置机器学习在威胁情报中的应用

在ISC 2015威胁情报分论坛中使用的幻灯片。内容有点超前,目标受众群很小。以业务和风险为导向,总感觉行业内总是讲得不够。受演讲时间所限,后半部分没有展开。没有讲解,字面背后的内容恐怕要自己揣摩。关于恶意域名和DGA等内容,可参照之前分享的在阿里安全峰会上使用的幻灯片,有很多详细实例。
发布时间:2015-10-01 01:05 | 阅读:144766 | 评论:0 | 标签:安全威胁情报 安全治理

关于企业信息安全治理实务中业务和安全关系的思考(续):责任与义务

       上一篇文章在《关于企业信息安全治理实务中业务和安全关系的思考》里分析了业务和安全的关系,安全应该是保障业务,支撑业务而非是简单粗暴的限制业务。        然而在信息安全治理的实务中,安全部门和业务部门(包括IT运维部门)的责任和义务却往往很难界定。当出现安全事件、事故时,企业管理层往往第一反应就是安全部门失职,从而导致安全部门承担了绝大部分的板子,而业务部门却依然感受不到安全的压力。
发布时间:2015-09-08 21:25 | 阅读:150675 | 评论:0 | 标签:安全治理 信息安全 实务 治理

威胁防御水平的四个阶段

节选两张图自笔者《智慧安全 – 应对数字商业的安全风险挑战》幻灯片,关于应对高级威胁的企业防御新体系架构的设计,希望与正在思考类似题目的同志们探讨。本来还打算多写几句阐述,后来想到看得懂的自然不用解释,就懒得动笔了。以后会有机会看到整套幻灯片并和笔者交流。 威胁防御现在市面五花八门琳琅满目的技术和产品,各种厂商的各有重点的自我吹嘘,甲方需要一个框架体系审视自己所处的位置,理解厂商可以提供的能力,总结自身最关注的风险,结合自己的实际能力,考虑投资回报率,以制定下一步行动计划。   安全厂商的产品都可以找到对应位置,而每个企业到达了哪个阶段也可准确评估。
发布时间:2015-09-06 10:45 | 阅读:128576 | 评论:0 | 标签:安全治理

关于企业信息安全治理实务中业务和安全关系的思考

进入九月的第一天,阿里云就给了广大安全圈子的同仁们一个茶余饭后的大谈资。一时间众说纷纭,各种评论不绝于耳。   今天看到的一篇文章《由此次阿里云事件谈粗暴的安全防护手段》从一个不同的角度讨论了阿里云安全防护中存在的几个问题,让人耳目一新。   由此也引出了一个一直以来国内信息安全实务中隐藏的比较深的问题:业务和安全,孰大?   眼下国家对于网络和信息安全的重视程度不断上升,习大大亲自摇旗,整个安全行业看似欣欣向荣。但是在企业信息安全治理的实务操作中,存在的却往往是两种极端。
发布时间:2015-09-04 14:45 | 阅读:268980 | 评论:0 | 标签:安全治理 信息安全实务

探讨如何建立应激反应式的企业安全团队

还是在看《反脆弱》这本书。从书里谈到“反脆弱性的原型”中借鉴的米特拉达梯式解毒法、毒物兴奋反应等,可以看出来,反脆弱性来源于我们下意识认为对自己有害的东西,而实际来说,只要在受控范围内,这些东西是有益的。比如人们为了保持健康进行健身,而健身实际是人为地为身体创造可预期的、更高强度的压力和内外部环境,从而提高身体的抗压性,即反脆弱性,也就是“健康”。
发布时间:2015-09-02 04:05 | 阅读:109064 | 评论:0 | 标签:安全治理

关于安全行业的发展和价值取向的瞎想

最近看了一本书《反脆弱(antifragile)》,纳西姆-塔勒布写的。这位大咖还写过《黑天鹅》,是一名非常出名的商业思想家和风险管理理论学者。 出于自己的本职工作(信息安全风险评估和风险管理),以及对商业风险管理的个人兴趣(源自本人一直想找到将安全风险评估和商业风险管理的结合点),我拜读了这部大作。看完之后,整个人顿时陷入了一种“自我否定”和“怀疑论”的臆想。或许是我理解能力偏弱,误解了作者的想法,也可能是我杞人忧天,但是一些东西还是想说一说,再看看历经风雨的大牛们的意见。 首先,是对安全行业存在价值和存在模式的思考。
发布时间:2015-08-28 07:00 | 阅读:119587 | 评论:0 | 标签:安全治理 价值取向 发展方向 观念转变

国有企业信息安全管理追根之合规管理的局限性

合规管理自身的局限性也是制约中国各大国有企业信息安全成效提高的重要原因之一。在不断变化的外部安全态势下,以事后评价改进为主要手段的合规管理在控制范围、成本效益、应对时效等方面的局限性正逐步放大。各大国有企业在应对威胁时迟缓、低效的表现也说明,以合规驱动的信息安全管理已不足以适应外在形势的变化和内在发展的需要。受制于自身的局限性,安全合规管理的成效已进入瓶颈,亟需运用更灵活、更高效的信息安全管理机制来指导中国石化的信息安全管理工作。 从安全合规管理自身机制来看,其局限性主要在控制范围、成本效益和应对时效三个方面,大量安全问题的出现均与之相关。
发布时间:2015-08-28 07:00 | 阅读:100359 | 评论:0 | 标签:安全治理

技术算个啥之02篇——威胁情报(Threat Intelligence)的背后

    必须要谈谈Threat Intelligence威胁情报了,越来越多信息安全从业者开始关注威胁情报,NUKE同学发起的安全威胁情报推进联盟已经集结了400多名安全圈的大佬精英了,我个人甚至预计威胁情报会引燃国内企业信息安全管理领域下一阶段的大爆发。   这篇口水文里,我不想去试图阐释威胁情报的准确概念,纠结于准确的概念容易禁锢大家创新的思维,任凭大家天马行空最好。   回想起来,我入行信息安全领域也已经有十五六年了,十多年的耳濡目染和俯首躬耕,让我非常确定一件事情,那就是在信息安全对抗技术发生翻天覆地变化的同时,信息安全对抗的动机也发生了巨大变化。
发布时间:2015-08-27 01:50 | 阅读:156789 | 评论:0 | 标签:安全威胁情报 安全治理

从HT泄漏看邮件内容安全

最近Hacking Team被黑导致电子邮件流出,没过多久直接导致韩国一名官员自杀。韩国国家情报院被发现曾购买间谍软件,虽然其否认用于监听国民,声称主要是用于对付朝鲜的黑客攻击,但仍不被国民谅解。HT泄漏邮件在全球范围内都引起了轩然大波,很多国家的执法机构都曾寻求购买入侵和远控工具,国内也有好几家厂商被曝光,此处就不一一列举了。 大部分组织明确要求员工不得使用工作邮箱发送任何违法或不道德的邮件,但只有少部分企业有能力付诸管理实践。使用公司邮箱与黑客组织公开讨论入侵细节有可能给公司带来监管机构的严厉惩罚,或海外巨额诉讼,降低产品和服务的可信度,对公司声誉有致命打击。
发布时间:2015-08-13 02:25 | 阅读:102100 | 评论:0 | 标签:安全治理

发现未知威胁,你需要一条线索

现在网上流传的大数据安全文章总是给你一个印象,只要有了大数据,未知威胁就会自动跳到你眼前,做出针对性防御只是举手之劳。  大部分信息安全从业者在过去十年中,太依赖于类似杀毒软件和IPS之类的工具发现已知威胁,以至于已经形成思维定式,对未知威胁颇有无从下手的感觉。安全行业迫切需要一剂神药,而大数据安全的出现恰到好处,于是瞬间就变成精神寄托。 于是,你说服企业领导部署了非常完善的大数据平台,采集了网络流量终端日志等所有数据,集成了云上的超大信誉库,也订阅了各大厂商的威胁情报,可视化十分出色,查询都是毫秒级的反应,提供无穷无尽的关联和钻取信息。
发布时间:2015-08-03 23:50 | 阅读:133258 | 评论:0 | 标签:安全威胁情报 安全治理 威胁情报 威胁防御 未知威胁 机器学习

对预测未知威胁的要求 – 摘自美国2013年国防预算法案

美国的国防采购一直是先进实用技术和产品的风向标,对信息安全行业发展方向的指导和引领作用也是不言而喻。行业内一直有个传说,称美国2013年国防预算法案中抛弃了基于识别特征库的安全产品。可惜每次听到或看到都语焉不详。因此笔者找到了原文,翻译给大家,并一起分析探讨其真实含义。 1、  仔细想想,这要求再合理不过了。虽然美国国防部每年都有大笔预算砸向信息基础设施,但海量条数的威胁库,对计算能力、存储空间、和网络带宽,都是极大的压力,而且只要不能及时更新威胁库,很容易令敌对方有机可乘。 法案中只是泛泛地提到了威胁库,并没有专指基于识别特征(signature-based)的产品。
发布时间:2015-06-11 04:45 | 阅读:124185 | 评论:0 | 标签:安全技术 安全治理 data driven machine learning

简单吐槽一下移动开发者服务平台为移动互联网恶意程序提供温床的行为

         声明此文章只为分析了大量移动互联网样本所频繁出现的统计插件行为吐槽:        最近分析一些移动互联网的恶意程序发现非常多的恶意程序使用某公司平台的监测用户行为的插件。以下是监测的某恶意软件post提交的http请求记录: 某公司的网站说明: 2014年第四季度国内活跃设备达9.9亿,也就是有9.9亿用户向某公司提交了移动终端的信息,不经过用户同意私自回传这么大量的信息有背互联网的安全守则。
发布时间:2015-03-26 06:50 | 阅读:109137 | 评论:0 | 标签:安全治理 移动互联网恶意程序,apk样本分析 移动

ADS

标签云