记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

删库背后,是权限管控的缺失

“删库”事件过去了,微盟原计划28号恢复商家服务,这事儿就算渐渐淡出了人们的视野,如今又好巧不巧被创始人的魔幻舆论推得一浪更比一浪高。 观众吃瓜一时爽,企业也纷纷顺着热点蹭上来,踩着别人的错误往上爬,还能花样踢腿加劈叉。整个安全圈一片喜气洋洋。 实际上大家彼此心知肚明,这次事件只需要最简单的双人复核就能避免,多一次打扰,少亏12亿。那么为什么最初级的操作也做不到呢? 一、原因分析篇 有人指出这次“删库”原因是微盟没有使用堡垒机,仅仅如此吗? 爱因斯坦说,问题往往不会在它发生的那个层面得到解决。 现在很多互联网公司对自己的技术非常有信心,为了节省成本,会选择基于开源软件自主研发安全产品。但在设计产品和管理产品的过程中,难免缺乏专业经验。 专业的人做专业的事。脱离钱去谈安全,就有可能丢了**还套不着狼。 “删库”这
发布时间:2020-03-07 11:49 | 阅读:27884 | 评论:0 | 标签:安全管理 删库 微盟 权限管控

疫情下个人数据安全和工作机制的思考

2019年12月武汉爆发了“新冠”病毒引发的疫情,病毒引起发烧、咳嗽等症状,具备“人传人”可能且暂无特效药,有人因此丢掉生命。正逢中国春节的到来,2020年武汉春运终有500万人离开,“人传人”从而引发疫情蔓延。1月25日中央成立应对疫情工作领导小组,全国各地疫情防控全面展开,我们都坚信在党中央的领导下防疫战役终能取得胜利。 有史以来人员出入最少,社区管理最严的春节与“新冠”疫情同时到来了。大家都能感觉到社区联防工作的效果非常好,各单位的工作协同前所未有的高效,这是必须点赞的,也为祖国上下同心和强大的执行力感到自豪。 我算专业做安全工作的,应该属于最早防控疫情的一拨人。整个春节就没闲着,各种工作和要求都要落实,事关国家安全责无旁贷,防控疫情更是应尽义务。工作了30多天,支持5类
发布时间:2020-02-26 08:46 | 阅读:27401 | 评论:0 | 标签:安全管理 工作机制 数据安全 疫情

初识《关键信息基础设施网络安全保护基本要求》:基于等保,高于等保

写在前边 等保2.0刚刚实施不久,接踵而来的是《关键信息基础设施网络安全保护基本要求》。当前网络安全无论是技术还是国家战略,都需要我们持续关注并加强管理力度(请大家挺住,后边的标准还多呢)。打算开一个有关关保的系列,也不能算解读吧,毕竟还没有实施和实践,因此系列就暂定为《关保笔记》。目的就是给运维、管理人员一点思路,初步去理解关保,知道如何满足关保要求,如果配合企业和监管做好关键信息基础设施的网络安全保护工作。本篇作为开篇概述,后续更新将会以《关保笔记》(二)、(三)…为标题。 正文 背景 2017年是我国关键信息基础设施(Critical Information Infrastructure,CII)保护工作取得显著进展的一年。《网络安全法》、《国家网络空间
发布时间:2020-02-24 08:06 | 阅读:29118 | 评论:0 | 标签:安全管理 关键信息基础设施 等保 网络安全

这些知识点你都了解了吗?CISSP-D2:资产安全

内容概述 资产安全知识域涵盖信息和信息资产在其生命周期中的安全保护,包括恰当的收集、分类、处置以及控制措施的选择和使用。本知识域的重要概念包括数据的所有权、隐私、数据安全控制和相关密码学的应用。安全和风险管理知识域包含了许多基本的信息安全概念、原则以及信息安全管理相关活动和方法。 资产安全知识域在CISSP CBK中包括(源自于:CBK5): 一、资产安全概念 数据管理必须遵循一套广泛适用于组织的原则和程序。完善的数据策略可以指导组织仅仅收集所需的信息、确保这些信息安全,并且在不需要的时候安全的销毁它们。 在许多大型组织中,数据治理委员会负责监督数据策略,并概述了不同职能利益相关方的角色和职责。组织应确定如何管理重要数据的创建、转换和使用。以上这些描述了数据治理。 数据质量涉及数据的完整性和可靠性。在衡量数据质
发布时间:2020-02-11 14:09 | 阅读:20288 | 评论:0 | 标签:安全管理 CISSP CISSP-D2 资产安全

信息安全在哪里都一样

人们把信息安全分为管理和技术,工程可以归入管理与技术;把追求的目标分为合规和实效。我国的等级保护体系适用于各行各业,但是许多行业的行政监管部门基于行业的风险特征又从宏观上发布了一系列的监管标准,这些标准关注效果而不是过程。面对如此之多的合规监控,信息安全管理者往往忧心忡忡,焦虑不安,生怕在认证或监管中被发现缺陷而留下劣迹。实际上,信息安全管理围绕三个基本点展开即可,它们是原理、标准和实践。原理居首,因为标准制定从来没有违背原理的,实践在绝大多数情况下是现有原理与标准指导下的活动。管理者与其以监管为中心不如以原理为中心,去构建分层次的、弹性的信息安全体系。而且,这个体系应当是一套而不是多套。分层次的体系是由宏观、抽象的描述向微观、具体的描述自顶向下的递进体系。越往上越稳定,那是具有普适性的;越往下越弹性,那是满足
发布时间:2017-09-03 17:55 | 阅读:171806 | 评论:0 | 标签:牛闻牛评 信息安全体系 安全管理 监管

安全人员应急响应工具箱

*本文原创作者:Shun,本文属FreeBuf原创奖励计划,未经许可禁止转载 本文旨在帮助安全分析师和DFIR团队更好的完成工作,现整理了一些现在比较流行的安全事件应急响应工具和资源列表。 工具集 书籍 社区 磁盘镜像创建工具 证据收集 应急管理 Linux 发行版 Linux 证据收集 日志分析工具 内存分析工具 内存镜像工具 OSX 证据收集 其他工具 Playbooks 进程 Dump 工具 沙盒 / 逆向工具 时间线工具 视频 Windows 证据收集 IR 工具收集 工具集 Belkasoft Evidence Center – 该工具包通过分析硬件驱动、驱动镜像、内存转储、iOS、黑莓与安卓系统备份、UFED、JTAG 与 chip-off 转储来快速从多个源提取数字证据 CimSw
发布时间:2017-06-22 21:45 | 阅读:174803 | 评论:0 | 标签:安全管理 工具 安全事件应急响应 安全分析师 工具箱

你会把安全控制权交由第三方外包吗?

较早几年,把一些重要网络和系统服务资产进行外包安全管理几乎不敢想像,但现在,面对每天频繁多变的网络攻击,很多公司认为,这种方式更能有效减少安全风险。这种把安全控制权完全交由第三方来管理的手段可不可行?我们随着Freebuf来听听各位专家的观点。 对于公司采用安全外包管理的前提,很多厂商企业表示这取决于公司的人员配备水平。如果公司内部缺乏相应的专业技能,或是因成立安全管理团队而缺乏预算资金的中小企业,可以采用这种方式。因此,在面对数据窃取和BYOD(员工携带自己设备办公)的风险担忧时,与安全管理服务提供商(安全外包服务商,MSSP)的合作成为使然。 各路专家观点:企业内部安全团队 VS 安全外包服务商(MSSP)如何选择? Alertsec公司CEO Ebba Blitz表示,安全管理服务商MSSP由各类IT安
发布时间:2017-06-06 16:40 | 阅读:129882 | 评论:0 | 标签:企业安全 安全管理 MSSP

快速识别重要威胁:威胁情报与SIEM的结合

ThreatConnect是威胁情报代表性企业之一,著名的钻石模型理论提出者。ThreatConnect近期发布了一份报告,讲述企业如何通过威胁情报平台来增强SIEM/SOC的安全能力,以便更全面的理解威胁、消除误报,形成主动、智能的防御体系。小编带您一起具体了解下这份报告的内容。 1. 从SIEM的本质出发,它是用来做什么的?有哪些局限? 安全信息与事件管理系统(SIEM)在国内我们通常更倾向于称之为安全运营中心(以下简称SOC),主要用于发现整个企业中的趋势和态势,从多种事件和具有上下文信息的数据源中收集和分析安全事件, SIEM支持威胁检测和安全事件响应——即:一个界面可以连接所有数据。大多数企业使用SIEM来收集日志数据,并将安全事件与多个系统(入侵检测设备,防火墙等)内部安全日志和事件数据相关联。它是
发布时间:2017-04-19 15:55 | 阅读:128964 | 评论:0 | 标签:企业安全 安全管理

匡恩网络助力常德市烟草公司构建六重安全保障

随着“数字烟草”的发展,客户通过网络向省烟草公司订货成为新常态,物流配送借助网络技术的发展成为了常德烟草公司的整体业务流程核心,物流分拣系统成为订单处理和数据保护的关键。匡恩网络在工控安全领域“精耕细作”,已成为烟草行业工控网络安全防护体系的领军企业,在给常德市烟草公司建设安全技术防护体系时,凭借多年的经验为烟厂信息安全保驾护航。 掌握基础数据、发现问题隐患、应用技术标准是做好安全管理工作的三项重点内容。匡恩网络在为常德市烟草公司建设安全技术防护系统之前用了大量的时间进行基础调研、梳理系统需求、整理管理流程,力求安全技术防护系统与安全生产标准化规范有机融合,在提升管理效率和管理质量上下功夫。 匡恩网络与常德市烟草公司相关负责人通过对常德市烟草公司进行实地调研、业务梳理、资产与网络结构整理后,为该公司工控网络建
发布时间:2017-04-08 01:35 | 阅读:101520 | 评论:0 | 标签:厂商供稿 匡恩网络 安全管理 工控网络 烟草公司

次世代SIEM?IBM眼中的SOAPA

安全信息和事件管理(SIEM)产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件中收集安全日志数据,并进行分析和报告。有些SIEM还可以试图阻止它们检测到正在进行的攻击,这可能帮助阻止破坏或者限制成功攻击可能造成的损坏。但是这段时间SIEM似乎遇到了强有力的挑战,现在的市场在推一种名叫SOAPA的概念,有些人说它会取代SIEM,果真如此吗?《SOAPA来临,SIEM时代终结?》 如今,市场正在逐渐地往SOAPA偏移,IBM对Resilient System以及Splunk对Caspida的收购就是对这个趋势最好的见证。此外,McAfee也开始将自己的工具和生态伙伴与SOAPA技术集成起来,以及进行一些相关的收购来填补架构方面的欠缺。 在本次针对IBM 安全部总经理Marc van
发布时间:2017-03-28 03:00 | 阅读:112877 | 评论:0 | 标签:企业安全 安全管理 SOAPA

企业安全建设之主机级资产管理与分析

*原创作者:兜哥,本文属Freebuf原创奖励计划,未经许可禁止转载 前言 通常认为企业安全视角的资产包括网络级、应用级、主机级。本文重点讲解如何利用开源软件获取主机级资产以及入侵检测和主机审计。网络级、应用级请看下文。 企业安全视角的主机级资产 主机级资产重点关注的是进程、网络连接、账户等主机层面或者说OS级别的信息。 需求 我认为搜集主机级资产主要是达到两个目的: 事中的入侵检测 事后的审计与事故排查 数据搜集 主机级数据的搜集可以使用开源软件osquery。osquery是Facebook开源的一款基于SQL的操作系统检测和监控框架,目前它只实现了本地的数据搜集以及SQL交互式查询,没有实现数据的统一上传和集中存储分析,所以我们可以基于它来开发。 安装 osquery支持操作系统较为丰富,常见的l
发布时间:2017-03-14 19:10 | 阅读:117561 | 评论:0 | 标签:企业安全 安全管理 资产管理与分析

企业承受的攻击面扩大,安全应该考虑网络层以外的东西

威胁企业安全的新技术频出,相关负责人应采用更全面的企业风险管理方法。 数十年以来,企业和组织都将其安全工作的重心放在网络边界防御,以及如何加强服务器、计算机和网络设备的安全性。随着软件定义网络的普及,攻击面不断扩大,企业需要跳出网络层,并考虑以下问题:边界被打破,攻击面扩大,现有的企业安全模式为什么会因此失效?企业应采取哪些措施,应对快速变化的安全威胁? 由于需要保护的攻击面急剧扩大,并将继续扩大,欲攻克网络安全问题,企业需要打一场硬仗。过去,企业做好网络层和端点保护就足够了。但现在,各种应用、云服务和移动设备越来越多,企业面对的攻击面也急剧扩大。 这一点在最近一份调查中得到了证实。《全球风险管理调查》(Global Risk Management Survey)发现,如今84%的网络攻击针对的是应用层,而非
发布时间:2017-02-26 16:50 | 阅读:121959 | 评论:0 | 标签:企业安全 安全管理 应用层安全

企业邮件安全防护经验总结

I. 邮件是网络攻击的首要突破口 邮件作为企业(特别是传统和大型企业)的主要沟通工具关键程度日益提升,同时安全问题也日益益突出。邮件协议缺乏认证和安全鉴别机制,因此天然具备防追踪和高性价比的特性,邮件已经成为电信诈骗、勒索软件攻击的主要途径。目前大众普遍认为邮件安全就是钓鱼攻击(phishing),其实邮件安全的领域很广,本文基于工作中的知识与大家多维度分享一下。 首先介绍四种邮件仿冒技术 a. 仿冒发件人别名-难度指数* 利用邮件账号的别名字段属性,使用公用邮箱(比如Gmail)仿冒他人账号,此类仿冒邮件占比最高,同时因为实际发件人地址真实存在,可以进行交互式诈骗。 Example From: Steve Jobs <sjobs@banana.com>(而不是sjobs@a
发布时间:2017-02-26 00:15 | 阅读:306741 | 评论:0 | 标签:企业安全 安全管理

【RSA 2017专题】成为高水平CISO的5大秘密,将在RSA揭晓

高水平的CISO具备什么样的能力?他们的能力如何评估?IANS Research开发的CISO影响力(CISO Impact)模型,也许可以揭示成功的CISO背后的秘密。 CISO影响力模型简介 CISO影响力模型,是IANS在2014年开发的一个研究框架,用以调查研究高效的信息安全团队。IANS基于CISO影响力模型的上万个数据点,在2015年推出了CISO影响力模型2.0。 这个模型聚焦CISO的两大基本能力:技术能力和组织参与度。其中,技术能力包含8个领域,分别是配置与数据保护、软件与供应商安全、访问控制、安全意识及培训、分析与检测、防御、事件响应、恢复;组织参与度包含7个因素,分别是掌握资产相关事实、让业务主管承担风险责任、将信息安全融入关键流程、将信息安全作为业务运行、建设一支高技术高业务能力团队、
发布时间:2017-02-17 00:40 | 阅读:126327 | 评论:0 | 标签:企业安全 安全管理 CISO

企业安全建设之自建准入系统

*本文原创作者:兜哥,本文属FreeBuf原创奖励计划,未经许可禁止转载 本文介绍了下自建准入系统的经历,该系统在某大型互联网公司稳定运行了5年。 准入系统简介 网络准入控制 (NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,企业可以只允许合法的、值得信任的设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。 亡羊补牢 互联网公司除了美国上市基本就没有安全合规压力,一切以业务发展和工作效率为第一驱动力,所以费钱费人力的安全的建设主要依赖事件驱动,我们上准入前就遇到这么几个倒霉事: 办公网大量PC杀毒被员工卸载,又没及时打补丁,结果中了当时都觉得非常low的arp病毒,几层办公区网断了,影响了小一千RD开发。 愤青小员
发布时间:2017-02-15 15:25 | 阅读:257788 | 评论:0 | 标签:企业安全 安全管理 NAC 准入控制

有了漏洞扫描器,如何用好?一点不成熟的小总结

*本文原创作者:德约杲杲,本文属FreeBuf原创奖励计划,未经许可禁止转载 昨天晚上做梦,梦见不知道在之前还是现在的哪家公司,跟同事老板谈hc,说到,当前最大的问题是,人力问题,是人力不够。只有人力解决了,这个team才能运转下去。我就问,那你们团队是做啥的呢?他说做扫描器和漏洞运营。梦里就开始回想在以前公司中,各种方法有效的效率提高和人力节省措施,我就回了一句,人力当然重要,不然事情做不起来,同时在有一定人力的情况下,方法更重要。接着,就开始就扫描器的使用高谈阔论了起来。 啥?扫描器不就一个工具么?有几个人不会用? 这里就讲一讲在甲方互联网公司,扫描器在具体实践中的用法,个人浅见,欢迎交流分享……头次发文,不知道会被喷到多惨…… 一、扫描器哪里来? 以前就职的两家公司里,黑盒扫描器都是自研,白盒扫
发布时间:2017-02-09 10:10 | 阅读:140528 | 评论:0 | 标签:企业安全 安全管理 观点 扫描器 扫描 漏洞

公告

学习黑客技术,传播黑客文化

推广

工具

标签云