记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

信息安全在哪里都一样

人们把信息安全分为管理和技术,工程可以归入管理与技术;把追求的目标分为合规和实效。我国的等级保护体系适用于各行各业,但是许多行业的行政监管部门基于行业的风险特征又从宏观上发布了一系列的监管标准,这些标准关注效果而不是过程。面对如此之多的合规监控,信息安全管理者往往忧心忡忡,焦虑不安,生怕在认证或监管中被发现缺陷而留下劣迹。实际上,信息安全管理围绕三个基本点展开即可,它们是原理、标准和实践。原理居首,因为标准制定从来没有违背原理的,实践在绝大多数情况下是现有原理与标准指导下的活动。管理者与其以监管为中心不如以原理为中心,去构建分层次的、弹性的信息安全体系。而且,这个体系应当是一套而不是多套。分层次的体系是由宏观、抽象的描述向微观、具体的描述自顶向下的递进体系。越往上越稳定,那是具有普适性的;越往下越弹性,那是满足
发布时间:2017-09-03 17:55 | 阅读:82145 | 评论:0 | 标签:牛闻牛评 信息安全体系 安全管理 监管

安全人员应急响应工具箱

*本文原创作者:Shun,本文属FreeBuf原创奖励计划,未经许可禁止转载 本文旨在帮助安全分析师和DFIR团队更好的完成工作,现整理了一些现在比较流行的安全事件应急响应工具和资源列表。 工具集 书籍 社区 磁盘镜像创建工具 证据收集 应急管理 Linux 发行版 Linux 证据收集 日志分析工具 内存分析工具 内存镜像工具 OSX 证据收集 其他工具 Playbooks 进程 Dump 工具 沙盒 / 逆向工具 时间线工具 视频 Windows 证据收集 IR 工具收集 工具集 Belkasoft Evidence Center – 该工具包通过分析硬件驱动、驱动镜像、内存转储、iOS、黑莓与安卓系统备份、UFED、JTAG 与 chip-off 转储来快速从多个源提取数字证据 CimSw
发布时间:2017-06-22 21:45 | 阅读:132135 | 评论:0 | 标签:安全管理 工具 安全事件应急响应 安全分析师 工具箱

你会把安全控制权交由第三方外包吗?

较早几年,把一些重要网络和系统服务资产进行外包安全管理几乎不敢想像,但现在,面对每天频繁多变的网络攻击,很多公司认为,这种方式更能有效减少安全风险。这种把安全控制权完全交由第三方来管理的手段可不可行?我们随着Freebuf来听听各位专家的观点。 对于公司采用安全外包管理的前提,很多厂商企业表示这取决于公司的人员配备水平。如果公司内部缺乏相应的专业技能,或是因成立安全管理团队而缺乏预算资金的中小企业,可以采用这种方式。因此,在面对数据窃取和BYOD(员工携带自己设备办公)的风险担忧时,与安全管理服务提供商(安全外包服务商,MSSP)的合作成为使然。 各路专家观点:企业内部安全团队 VS 安全外包服务商(MSSP)如何选择? Alertsec公司CEO Ebba Blitz表示,安全管理服务商MSSP由各类IT安
发布时间:2017-06-06 16:40 | 阅读:91761 | 评论:0 | 标签:企业安全 安全管理 MSSP

快速识别重要威胁:威胁情报与SIEM的结合

ThreatConnect是威胁情报代表性企业之一,著名的钻石模型理论提出者。ThreatConnect近期发布了一份报告,讲述企业如何通过威胁情报平台来增强SIEM/SOC的安全能力,以便更全面的理解威胁、消除误报,形成主动、智能的防御体系。小编带您一起具体了解下这份报告的内容。 1. 从SIEM的本质出发,它是用来做什么的?有哪些局限? 安全信息与事件管理系统(SIEM)在国内我们通常更倾向于称之为安全运营中心(以下简称SOC),主要用于发现整个企业中的趋势和态势,从多种事件和具有上下文信息的数据源中收集和分析安全事件, SIEM支持威胁检测和安全事件响应——即:一个界面可以连接所有数据。大多数企业使用SIEM来收集日志数据,并将安全事件与多个系统(入侵检测设备,防火墙等)内部安全日志和事件数据相关联。它是
发布时间:2017-04-19 15:55 | 阅读:95103 | 评论:0 | 标签:企业安全 安全管理

匡恩网络助力常德市烟草公司构建六重安全保障

随着“数字烟草”的发展,客户通过网络向省烟草公司订货成为新常态,物流配送借助网络技术的发展成为了常德烟草公司的整体业务流程核心,物流分拣系统成为订单处理和数据保护的关键。匡恩网络在工控安全领域“精耕细作”,已成为烟草行业工控网络安全防护体系的领军企业,在给常德市烟草公司建设安全技术防护体系时,凭借多年的经验为烟厂信息安全保驾护航。 掌握基础数据、发现问题隐患、应用技术标准是做好安全管理工作的三项重点内容。匡恩网络在为常德市烟草公司建设安全技术防护系统之前用了大量的时间进行基础调研、梳理系统需求、整理管理流程,力求安全技术防护系统与安全生产标准化规范有机融合,在提升管理效率和管理质量上下功夫。 匡恩网络与常德市烟草公司相关负责人通过对常德市烟草公司进行实地调研、业务梳理、资产与网络结构整理后,为该公司工控网络建
发布时间:2017-04-08 01:35 | 阅读:66425 | 评论:0 | 标签:厂商供稿 匡恩网络 安全管理 工控网络 烟草公司

次世代SIEM?IBM眼中的SOAPA

安全信息和事件管理(SIEM)产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件中收集安全日志数据,并进行分析和报告。有些SIEM还可以试图阻止它们检测到正在进行的攻击,这可能帮助阻止破坏或者限制成功攻击可能造成的损坏。但是这段时间SIEM似乎遇到了强有力的挑战,现在的市场在推一种名叫SOAPA的概念,有些人说它会取代SIEM,果真如此吗?《SOAPA来临,SIEM时代终结?》 如今,市场正在逐渐地往SOAPA偏移,IBM对Resilient System以及Splunk对Caspida的收购就是对这个趋势最好的见证。此外,McAfee也开始将自己的工具和生态伙伴与SOAPA技术集成起来,以及进行一些相关的收购来填补架构方面的欠缺。 在本次针对IBM 安全部总经理Marc van
发布时间:2017-03-28 03:00 | 阅读:82201 | 评论:0 | 标签:企业安全 安全管理 SOAPA

企业安全建设之主机级资产管理与分析

*原创作者:兜哥,本文属Freebuf原创奖励计划,未经许可禁止转载 前言 通常认为企业安全视角的资产包括网络级、应用级、主机级。本文重点讲解如何利用开源软件获取主机级资产以及入侵检测和主机审计。网络级、应用级请看下文。 企业安全视角的主机级资产 主机级资产重点关注的是进程、网络连接、账户等主机层面或者说OS级别的信息。 需求 我认为搜集主机级资产主要是达到两个目的: 事中的入侵检测 事后的审计与事故排查 数据搜集 主机级数据的搜集可以使用开源软件osquery。osquery是Facebook开源的一款基于SQL的操作系统检测和监控框架,目前它只实现了本地的数据搜集以及SQL交互式查询,没有实现数据的统一上传和集中存储分析,所以我们可以基于它来开发。 安装 osquery支持操作系统较为丰富,常见的l
发布时间:2017-03-14 19:10 | 阅读:88774 | 评论:0 | 标签:企业安全 安全管理 资产管理与分析

企业承受的攻击面扩大,安全应该考虑网络层以外的东西

威胁企业安全的新技术频出,相关负责人应采用更全面的企业风险管理方法。 数十年以来,企业和组织都将其安全工作的重心放在网络边界防御,以及如何加强服务器、计算机和网络设备的安全性。随着软件定义网络的普及,攻击面不断扩大,企业需要跳出网络层,并考虑以下问题:边界被打破,攻击面扩大,现有的企业安全模式为什么会因此失效?企业应采取哪些措施,应对快速变化的安全威胁? 由于需要保护的攻击面急剧扩大,并将继续扩大,欲攻克网络安全问题,企业需要打一场硬仗。过去,企业做好网络层和端点保护就足够了。但现在,各种应用、云服务和移动设备越来越多,企业面对的攻击面也急剧扩大。 这一点在最近一份调查中得到了证实。《全球风险管理调查》(Global Risk Management Survey)发现,如今84%的网络攻击针对的是应用层,而非
发布时间:2017-02-26 16:50 | 阅读:82495 | 评论:0 | 标签:企业安全 安全管理 应用层安全

企业邮件安全防护经验总结

I. 邮件是网络攻击的首要突破口 邮件作为企业(特别是传统和大型企业)的主要沟通工具关键程度日益提升,同时安全问题也日益益突出。邮件协议缺乏认证和安全鉴别机制,因此天然具备防追踪和高性价比的特性,邮件已经成为电信诈骗、勒索软件攻击的主要途径。目前大众普遍认为邮件安全就是钓鱼攻击(phishing),其实邮件安全的领域很广,本文基于工作中的知识与大家多维度分享一下。 首先介绍四种邮件仿冒技术 a. 仿冒发件人别名-难度指数* 利用邮件账号的别名字段属性,使用公用邮箱(比如Gmail)仿冒他人账号,此类仿冒邮件占比最高,同时因为实际发件人地址真实存在,可以进行交互式诈骗。 Example From: Steve Jobs <sjobs@banana.com>(而不是sjobs@a
发布时间:2017-02-26 00:15 | 阅读:185805 | 评论:0 | 标签:企业安全 安全管理

【RSA 2017专题】成为高水平CISO的5大秘密,将在RSA揭晓

高水平的CISO具备什么样的能力?他们的能力如何评估?IANS Research开发的CISO影响力(CISO Impact)模型,也许可以揭示成功的CISO背后的秘密。 CISO影响力模型简介 CISO影响力模型,是IANS在2014年开发的一个研究框架,用以调查研究高效的信息安全团队。IANS基于CISO影响力模型的上万个数据点,在2015年推出了CISO影响力模型2.0。 这个模型聚焦CISO的两大基本能力:技术能力和组织参与度。其中,技术能力包含8个领域,分别是配置与数据保护、软件与供应商安全、访问控制、安全意识及培训、分析与检测、防御、事件响应、恢复;组织参与度包含7个因素,分别是掌握资产相关事实、让业务主管承担风险责任、将信息安全融入关键流程、将信息安全作为业务运行、建设一支高技术高业务能力团队、
发布时间:2017-02-17 00:40 | 阅读:92074 | 评论:0 | 标签:企业安全 安全管理 CISO

企业安全建设之自建准入系统

*本文原创作者:兜哥,本文属FreeBuf原创奖励计划,未经许可禁止转载 本文介绍了下自建准入系统的经历,该系统在某大型互联网公司稳定运行了5年。 准入系统简介 网络准入控制 (NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,企业可以只允许合法的、值得信任的设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。 亡羊补牢 互联网公司除了美国上市基本就没有安全合规压力,一切以业务发展和工作效率为第一驱动力,所以费钱费人力的安全的建设主要依赖事件驱动,我们上准入前就遇到这么几个倒霉事: 办公网大量PC杀毒被员工卸载,又没及时打补丁,结果中了当时都觉得非常low的arp病毒,几层办公区网断了,影响了小一千RD开发。 愤青小员
发布时间:2017-02-15 15:25 | 阅读:168797 | 评论:0 | 标签:企业安全 安全管理 NAC 准入控制

有了漏洞扫描器,如何用好?一点不成熟的小总结

*本文原创作者:德约杲杲,本文属FreeBuf原创奖励计划,未经许可禁止转载 昨天晚上做梦,梦见不知道在之前还是现在的哪家公司,跟同事老板谈hc,说到,当前最大的问题是,人力问题,是人力不够。只有人力解决了,这个team才能运转下去。我就问,那你们团队是做啥的呢?他说做扫描器和漏洞运营。梦里就开始回想在以前公司中,各种方法有效的效率提高和人力节省措施,我就回了一句,人力当然重要,不然事情做不起来,同时在有一定人力的情况下,方法更重要。接着,就开始就扫描器的使用高谈阔论了起来。 啥?扫描器不就一个工具么?有几个人不会用? 这里就讲一讲在甲方互联网公司,扫描器在具体实践中的用法,个人浅见,欢迎交流分享……头次发文,不知道会被喷到多惨…… 一、扫描器哪里来? 以前就职的两家公司里,黑盒扫描器都是自研,白盒扫
发布时间:2017-02-09 10:10 | 阅读:104021 | 评论:0 | 标签:企业安全 安全管理 观点 扫描器 扫描 漏洞

互联网企业安全建设之路:规划篇

*本文作者:SecSky,文章属FreeBuf原创奖励计划,未经许可不得转载 新年伊始,我决定写一篇关于互联网企业安全建设的文章。一来是把自己之前做过的和目前正在做的一些事情以及想法总结一下,二来是希望可以帮助对互联网企业安全建设感兴趣或是有这方面需求的朋友。 整篇文章分为三大部分: 一、互联网企业为什么要做安全 二、互联网企业需要什么样的安全 三、互联网企业如何做好安全 这也是我在企业安全建设过程中给自己提出和不断思考的问题。首先,我尝试通过第一个问题来剖析互联网企业都面临哪些安全威胁和安全挑战;然后挖掘出互联网企业的安全需求和安全目标;最终依据这些安全需求和安全目标来制定契合企业自身业务特性的安全建设规划。 OK,下面开始进入正题,我们先来谈谈今天第一个话题。 一、互联网企业为什么要做安全 从外部环境来看
发布时间:2017-02-08 17:35 | 阅读:93073 | 评论:0 | 标签:企业安全 安全管理

安全管理该重视“社交关系”了,白名单也许是最佳方案

在防火墙设置中,implicit deny和explicit allow是两种核心的信息安全基础观念。但随着规模和复杂度的逐步扩大,我们发现我们需要允许的东西比我们要拒绝的东西要少得多得多。 这种对所有东西说“不”,除非我们知道它无害的规则在很多新的技术中都有应用,比如应用程序白名单、七层防火墙(WAF)、自适应认证等。我们的科技采用了新科技,但是我们在社交关系中却没有——随着攻击者越来越倾向于使用基于社交网络、社工技术,显然我们需要修改我们的行为方式,在处理与他人的社交关系时也需要采用白名单。 内部信任 就像我们有可信的内部网络和内部系统,我们同样应该找一些内部团队作为我们信息的可信来源。如果不能把他们当作可信来源,可以参考我们当今科技是如何解决这一问题的。我们并不会经常拒绝连接。对于那些可
发布时间:2017-02-08 01:00 | 阅读:94546 | 评论:0 | 标签:安全管理 观点

基于开源程序漏洞的攻击在2017年将增长20%

现在,无论是商业软件还是程序员自行开发的小程序,开源代码已经变得越来越普遍了,而开源似乎也已经成为了一种趋势。但需要注意的是,Black Duck软件公司的研究人员根据他们对开源项目所收集到的统计数据预测到,基于开源软件漏洞的网络攻击活动数量在2017年将增长20%。 Black Duck软件公司的安全策略副总裁Mike Pittenger表示,商业软件项目的免费版本数量已经超过了50%甚至更多,而开源软件产品所占比重从2011年的3%增长到了现在的33%。平均每一款商业软件都会使用超过100个开源组件,而且三分之二的商业应用代码中已知是存在安全漏洞的。 最糟糕的是,买家和用户通常都没有办法知道他们所购买的产品使用了哪些开源组件。一般来说,公司在这一方面做的都不是很到位,有些公司可能会给客户提供一份产品组件清
发布时间:2017-02-05 23:15 | 阅读:91653 | 评论:0 | 标签:企业安全 安全报告 安全管理 开源漏洞 漏洞

对话信息共享与分析中心(ISAC)CEO:网络安全威胁信息共享的新挑战

近些年来,人们一直都在讨论网络安全信息共享的重要性。毕竟,只有少数组织可以在没有互联网的环境下工作,而几乎没有任何一个组织可以在没有外界帮助的情况下了解当前所有的网络威胁。 很多公司的首席信息安全官也发现,如果与行业内的其他公司共享网络安全方面的信息,他们就可以同归对比各自的安全策略和实践方式来找出自身在安全保护方面的短处,并提升安全机制的成熟度。但是,共享信息的过程并没有我们想象中的那么顺利。 信息共享重要性正得以体现 很多组织在共享网络安全方面的信息时通常会非常的警惕,尤其是在与政府部门合作的时候。他们之所以会表现出如此高的警惕性,一方面是因为与外界共享这些安全信息将很有可能对自身的安全产生负面影响,另一方面是这些信息将会损害公司在消费者心中的形象,甚至还会影响公司股票价格。 然而近年来,信息共享
发布时间:2017-01-26 14:30 | 阅读:97271 | 评论:0 | 标签:安全管理 威胁情报共享

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云