记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

随笔|浅谈网络安全服务行业现状与展望

早上醒来后,脑子非常清醒,适合写作。特别是在一个人出差的时候,所以今天想写一点关于网络安全服务行业的现状与展望的内容,欢迎各位留言交流。上周五,在接受非著名大学的《创客说》节目录制的时候,被问及了5个问题,其中有两个问题印象深刻,也让我思考了很多。这两个问题是:您对信息安全行业的个人见解与对未来信息安全行业的展望。先来回顾一下自己的网络安全服务从业之路,我从事网络安全服务行业已16年,农业院校的工科生出身。毕业后在老家做了一名操作进口自动化高精机床的技术蓝领(当时高端大气上档次的说法是从事CAM),想想几十年后还是这样单调的工作,感觉这样的工作不是我想要的。为找一份自认为的好工作(当时看到培训广告说“拥有MCSE,年薪10万不是梦”,其实现在有时候偶尔也会想,高端的技术蓝
发布时间:2017-07-20 17:35 | 阅读:87007 | 评论:0 | 标签:安全即服务 安全治理 公司运营 安全服务

“徐玉玉案”的警醒:个人信息泄露如何防

又是一年高考季,在为学子们似锦前程喝彩的同时,去年高考季发生的“徐玉玉案”却令人心痛不已。分析诈骗分子的犯罪手法不难发现,他们早已经从“大海捞针”式广撒网的诈骗模式,进化为以个人信息为基础的“精准”诈骗模式。个人信息泄露可能是内鬼所为、用户安全意识薄弱等原因,另一大主要原因就是信息系统或网站存在漏洞。信息安全防护能力全面升级是大势所趋个人信息保护层面,6月1日实施的《网络安全法》明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。第四十条明确规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。同样是6月1日生效的“关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释”第九条规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安
发布时间:2017-07-05 22:20 | 阅读:96046 | 评论:0 | 标签:安全治理

随笔|网络安全2.0时代已开启

durex说熬过67和68就是69,想想今天是2017年6月9日,是一个特殊的日子,因为刚过了结婚纪念日就是入职纪念日。早上要出差,和往常一样设了一个手机闹钟又在铃声响之间关掉了。想到昨晚看了浙江的高考满分作文,我的体会就一个字“我服了”,在出差路上突然又想写点什么了,就说说网络安全2.0时代吧。个人感觉,网络安全2.0时代已开启,这时代的开启以网络安全法的实施为起点。你看,“六一”节前,国内外媒体对网络安全法的关注统计分析(引自赛博5号院)。 据有关分析,境内对《网络安全法》的关注点聚焦如下: 对个人信息进行保护,全部实名制之后监管能够到位,是否会造成更多的信息泄露。全网实名制之后是否会导致公民言论自由和网络发言自由受到损害。是否会限制数据依法有序自
发布时间:2017-06-09 20:25 | 阅读:95169 | 评论:0 | 标签:安全治理

WannaCry引发的企业安全建设思考

勒索软件从CTB-Locker最早出现,到Locky的大规模爆发,再到刚刚发生的WannaCry,至今已经有两年时间了。尤其是此次影响到100多个国家的WannaCry,已经对各行各业造成了不可挽回的经济损失,甚至影响到了国家关键基础设施。值得庆幸的是由于国内外各个信息安全领域的厂商、研究机构及从业人员从未停止过对勒索软件的分析和研究,使得在事件发生之后能在很短时间内发现,并公布防止勒索软件扩散的解决方案。与此同时,各个信息安全厂商结合自身的产品均发布过相应的解决方案,也起到了一定的作用,但始终无法根治。若要从根本上解决勒索软件泛滥的问题,就必须究其根源及传播方式。勒索软件的最终目的就是要植入到PC或移动客户端上,加密终端上的数据,从而索要钱财。其传播方式多为通过群发钓鱼
发布时间:2017-05-16 07:45 | 阅读:103492 | 评论:0 | 标签:安全方案 安全治理

安全的本质是什么?

作为一个信息安全从业者,十多年来,在不同的场合被人问过这个问题,在微信群里也多次有人讨论过这个问题。但是,这么久以来,我一直无法回答这个问题,甚至拒绝回答这个问题,因为这并不是一个好问题。本文只是想谈谈常见的几个答案,由此帮助大家思考信息安全工作的一些特征。本文首发Sec-UN,转载请注明。 1、 安全的本质是信任。选择一款杀毒软件之后,就必须要相信这款软件的运作机制和体系架构,而不会去想这个杀毒软件会不会留有后门、让竞争对手可以趁虚而入;选定某个数字证书供应商之后,对它签发的数字证书是要信任的;选择让某个员工从事审计岗位,他必然会接触大量敏感的数据,那必然也是要信任员工的。这里所说的“信任”并不一定是放任自流、不加监管,而是强调信任链条的最后一定是要
发布时间:2017-04-02 08:55 | 阅读:124092 | 评论:0 | 标签:安全治理

骗子网站面面观之冒充公检法诈骗网站

       有一天老王接到自称”张警官”的电话,告知老王他的信用卡涉嫌洗钱,”张警官”对老王的个人情况掌握的一清二楚。“张警官”告诉老王他已经上了专案通缉令了。      不信?看看!网站上有!老王打开网址,输入了案件编号。老王看到“中华人民共和国最高人民检察院”的网站,还专门提示了“谨防假冒高检院门户网站实施网络诈骗”。老王心想,这肯定是真的咯!其实这都是骗子精心制作的仿冒网站。 难怪老王会相信,让我们看看真正的高检院网站:风格太像,真假难辨。假网站多了飘窗,其他几乎一个模子刻下来的。老王听了电话那边的指示,点击了“犯罪通缉追查系统”,输入了案件编号和自己的身份证号,乖乖啊,真的有自己的通缉令!老王惊呆了…其实这样的假通缉令还有很多种…形形色色,但稍有常识就
发布时间:2016-11-28 22:45 | 阅读:165743 | 评论:0 | 标签:安全治理

从甲方眼里看“世纪佳缘”与白帽子之争

2016年6月,北京夏日炎炎骄阳似火,中国网络安全大会和WOT2016企业安全大会正在京如火如荼之际,“世纪佳缘”的事件也在网上快速发酵,引来圈内外无数的观点和口水之争。之前已有关于这个话题的无数文章,有支持白帽子无辜的,有说厂商不讲道义的,有说平台失职的,各方隔空喊话好不热闹。不过迄今为止貌似甲方的声音甚是微弱,本文就想从甲方的角度来谈谈如何看待这个问题,也希望能够让大家换位思考一下。一、你是谁?当一起安全事件出现时,一个负责任的甲方安全团队的心路历程大概是这样的:1.卧槽,又出漏洞了。2.尼玛,谁爆的,最坏的后果是什么。3.怎么快速止损和修复。4.以后怎么预防。5.这事出了,对公司品牌有什么影响,对公司的安全形象有什么影响。请大家注意第2条,这条和今天的话题关联很大,
发布时间:2016-07-21 02:55 | 阅读:121703 | 评论:0 | 标签:安全治理 安全实务

从“0”到“1”:如何开始企业的信息安全治理

随着各类信息安全事件发生频率的不断升高,企业的老板们也都产生了一个朴素的想法,要加强信息安全治理,保护企业的各类经营、生产信息,保护企业的业务。但是对于如何建立起一套科学、高效的信息安全治理体系,却是无从下手。 企业的信息安全治理,从0到1主要分为三个阶段,本文主要介绍下这三个阶段的主要任务,并简单介绍下从1到正无穷的工作目标。   第一阶段——“点” “信息安全”是一个非常庞杂的范畴,任何一个安全域的疏漏都可能导致企业的信息安全受到破坏。网络安全和IT系统安全是信息安全众多安全域中的一部分,也仅仅是一部分。一个完善的信息安全治理体系会涉及到运维、IT、行政、人事、法务和各个业务部门。
发布时间:2015-12-02 13:55 | 阅读:101751 | 评论:0 | 标签:安全治理 ISMS 信息安全实务 信息安全治理

信息资产的“管”与“控”

安全圈子从来不缺少话题,网络安全、大数据安全、云安全、安全攻防、安全监控…… 近期与几个新进入安全行业的新朋友交流,大家有着共同的困扰,信息安全实务中到底要干什么。   在企业里信息安全到底要干什么?这个问题可能是很多在安全行业里做了很多年的朋友都想不明白或者没有认真想过的问题。就像有的朋友问我的,信息安全要管理终端安全、要负责网络安全、要盯着物理安全、要注意研发安全、要关注合作方安全……总感觉各个方面不小心都会影响信息安全,那么信息安全是要把这些方面都管起来吗?   要回答这个问题,我们要回归到信息安全的本质问题,什么是信息安全?可能很多人都会回答,信息安全就是信息的C.I.A属性之类。
发布时间:2015-11-27 13:15 | 阅读:80722 | 评论:0 | 标签:安全治理 ISMS 信息安全 信息资产 实务 治理

安全,是云基础设施的核心竞争力之一

始料不及的是AWS re:Invent 2015居然在朋友圈刷屏,而Gartner Symposium却没什么动静。云计算领域最受瞩目的AWS大会已经是产业标杆,每年会上发布的新服务也是各大厂商竞相模仿和追赶的对象。这种大会都是各看各的热闹和门道,而对于笔者来说,最大的变化是,AWS果然开始做安全了。 我一直认为,安全,继运维之后,会是云基础设施服务商的核心竞争热点。因为基础安全任务具有很明显的运维特征,是云用户的广泛需求,亦能发挥云计算种种节省成本提高效率等等优势。 然而这个观点在国内似乎并不招人喜欢。你一个做基础设施的不安分守己,安全你做得好吗?出了问题你承担得起吗?前阵子国内某某云在帮用户做安全上出了点小问题,一时间口诛笔伐铺天盖地。估计其安全团队必然受到了巨大的来自业务部门的压力
发布时间:2015-10-11 03:45 | 阅读:88604 | 评论:0 | 标签:安全方案 安全治理

提升数据治理水平和风险管控能力

本月为美国国家网络安全意识月,不料1日和2日刚开始两天就已经接连爆出两个严重数据泄漏事例。信用记录和消费者数据提供商Experian于10月1日披露,约1500万曾申请T-Mobile融资服务的消费者数据被泄漏,包括社保号、驾照号、护照号等。10月2日,Scottrade宣布其收到联邦执法机构通知,发现有460万客户信息被盗取。 可以预见的是,这两宗大规模数据泄漏事件,不仅会给公司带来高额罚款以及后续处理成本,信息安全管理者必然需要承担责任,很有可能被迫辞职。Experian将为所有数据泄露的用户提供两年免费的信用监测作为补偿。数据安全事件,已经是导致CISO责任离职的最主要原因。 调查显示,客户数据、知识产权、和经营分析数据是CISO普遍认为风险最高的敏感数据。CISO应立即着手提升数
发布时间:2015-10-08 15:05 | 阅读:115417 | 评论:0 | 标签:安全方案 安全治理 data breach data classification data governance da

信息安全治理的成本

根据普华永道发布的《2015年全球信息安全状况事件调查》中的数据,2014年,网络信息安全事件导致中国大陆与香港企业平均财务损失激增33%。而仅在中国大陆与香港地区,失窃的知识产权或者商业机密的价值已经远超10亿美元。 毋庸置疑的是,信息的安全性,已经成为企业运营中一个不可忽视的风险来源。对于信息安全的重要性,规模以上企业的经营者都应该有着清醒的认识。 为了提升企业信息的安全性,企业持续大量的投入资源进行信息安全风险防范,雇佣大批的安全人员,不断购买大量最新的安全产品,发布大堆的安全制度。 举个例子,公司A为了避免自己的员工泄露公司的商业秘密,部署了终端外设的管控系统,对员工的外设使用情况进行监管。 随后发现,员工除了使用U盘拷贝,还可以通过网络外发公司的资料。于是公司继续部
发布时间:2015-10-04 20:05 | 阅读:102736 | 评论:0 | 标签:安全治理 信息安全 实务 成本 治理

布式前置机器学习在威胁情报中的应用

在ISC 2015威胁情报分论坛中使用的幻灯片。内容有点超前,目标受众群很小。以业务和风险为导向,总感觉行业内总是讲得不够。受演讲时间所限,后半部分没有展开。没有讲解,字面背后的内容恐怕要自己揣摩。关于恶意域名和DGA等内容,可参照之前分享的在阿里安全峰会上使用的幻灯片,有很多详细实例。
发布时间:2015-10-01 01:05 | 阅读:116689 | 评论:0 | 标签:安全威胁情报 安全治理

关于企业信息安全治理实务中业务和安全关系的思考(续):责任与义务

       上一篇文章在《关于企业信息安全治理实务中业务和安全关系的思考》里分析了业务和安全的关系,安全应该是保障业务,支撑业务而非是简单粗暴的限制业务。        然而在信息安全治理的实务中,安全部门和业务部门(包括IT运维部门)的责任和义务却往往很难界定。当出现安全事件、事故时,企业管理层往往第一反应就是安全部门失职,从而导致安全部门承担了绝大部分的板子,而业务部门却依然感受不到安全的压力。长此以往,企业的安全治理无法实现合力,而出现事故后的各种争吵,又将导致安全部门和业务部门的直接对立,对于整个企业的安全发展而言,这种情形无疑是非常不利的。因此,理清安全部门和业务部门在安全上的责任,应当是一个企业安全治理实务中
发布时间:2015-09-08 21:25 | 阅读:119303 | 评论:0 | 标签:安全治理 信息安全 实务 治理

威胁防御水平的四个阶段

节选两张图自笔者《智慧安全 – 应对数字商业的安全风险挑战》幻灯片,关于应对高级威胁的企业防御新体系架构的设计,希望与正在思考类似题目的同志们探讨。本来还打算多写几句阐述,后来想到看得懂的自然不用解释,就懒得动笔了。以后会有机会看到整套幻灯片并和笔者交流。 威胁防御现在市面五花八门琳琅满目的技术和产品,各种厂商的各有重点的自我吹嘘,甲方需要一个框架体系审视自己所处的位置,理解厂商可以提供的能力,总结自身最关注的风险,结合自己的实际能力,考虑投资回报率,以制定下一步行动计划。   安全厂商的产品都可以找到对应位置,而每个企业到达了哪个阶段也可准确评估。成本和难度自下而上增加。能够达到的企业数量越向上越少。当然并不是说只有完成了下层工作才可以做上层。但是效果却不是说做了金
发布时间:2015-09-06 10:45 | 阅读:99253 | 评论:0 | 标签:安全治理

关于企业信息安全治理实务中业务和安全关系的思考

进入九月的第一天,阿里云就给了广大安全圈子的同仁们一个茶余饭后的大谈资。一时间众说纷纭,各种评论不绝于耳。   今天看到的一篇文章《由此次阿里云事件谈粗暴的安全防护手段》从一个不同的角度讨论了阿里云安全防护中存在的几个问题,让人耳目一新。   由此也引出了一个一直以来国内信息安全实务中隐藏的比较深的问题:业务和安全,孰大?   眼下国家对于网络和信息安全的重视程度不断上升,习大大亲自摇旗,整个安全行业看似欣欣向荣。但是在企业信息安全治理的实务操作中,存在的却往往是两种极端。   一种最为普遍情况是信息安全治理工作在企业管理中被划归到IT治理的框架之下,姥姥不疼舅舅不爱的,甚是可怜。   另一种情况就
发布时间:2015-09-04 14:45 | 阅读:238986 | 评论:0 | 标签:安全治理 信息安全实务

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云