记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

下一代授权模型:基于属性的访问控制

尽管基于属性的访问控制(ABAC)前景光明,但决策者仍因某些误解而对其投资回报率(ROI)心存疑虑。技术发展日新月异,公司决策者和安全团队常迷惑于自己到底需要什么产品。进一步讲,他们想知道公司能从他们的投资中获得什么收益。与其他投资相同,公司企业在安全投资上也会寻求ROI。安全操作者需要理解每个新产品的优势,知道该产品帮助降低风险的机制。虽然Gartner预测,“到2020年,70%的企业将采用ABAC保护关键资产”,人们对企业到底能从ABAC中得到什么好处仍存有很多疑虑。虽然ABAC可能作为安全工具得到更广泛的应用,但只要对ROI的疑问存在,这一天就不会真的到来。ABAC是“下一代”授权模型,在结构化语言中使用属性作为构建基石来定义并实施访问控制,提供上下文相关的细粒度动态访问控制服务。企业ABAC技术使用场
发布时间:2017-08-14 23:35 | 阅读:85315 | 评论:0 | 标签:技术产品 ABAC 属性 授权模型 访问控制 误解

数据库防火墙风险大?那是你还不知道应用关联防护

近年来,作为高效而直接的数据库防御工事,数据库防火墙已被越来越多的用户关注,应用在关键系统的数据库安全防护中,以保护核心数据资产安全。要实现危险行为的过滤,数据库防火墙必需串联部署,才能形成数据库的安全屏障。这要求其既要发挥抵御威胁行为的功能,同时又不能影响正常的应用访问,造成业务中断。有人说:数据库防火墙风险大,一不小心你的应用就瘫痪了!真是这样吗?事实上,满足如此严苛要求的关键在于如何实现精准的应用关联防护,能够在不中断业务访问的基础上,精准定位威胁行为并拦截,从而达到精确而无副作用的防护效果。这也是一款数据库防火墙产品是否成熟可用的必要条件。语句拦截——奠定应用防护的基础通常来讲,数据库防火墙可以通过两种方式实现威胁防御:中断会话和语句拦截。中断会话直接切断应用与数据库的会话连接,这种方式粗暴简单,也最易
发布时间:2017-07-13 00:10 | 阅读:92404 | 评论:0 | 标签:技术产品 安全策略 安华金和 应用关联 数据库防火墙 细粒度 访问控制 防火墙

谷歌如何保护6万员工的设备安全

谷歌揭秘其分层访问模型实现,讲述其全球员工设备安全防护措施。 访问控制最简单的解决方案是二元的:网络访问要么放行,要么拒绝。这办法太粗糙了,无法适应现代商业文化中最大化用户生产力和创造性的需要。细粒度的访问控制,可以让用户在需要的时候访问需要的东西,是更适应现代商业的一种模式。 谷歌自己约6.1万人的全球员工身上,就用的是此类访问控制模型——分层访问( Tiered Access )。4月20号发布的一份白皮书(https://lp.google-mkto.com/rs/248-TPC-286/images/eBook%202%20-%20Tiered%20Access_v5%20-%20Google%20Cloud%20Branding.pdf)及博客文章中,谷歌解释,其创新之处在于,将多种不同设备连接到多
发布时间:2017-04-22 20:20 | 阅读:94492 | 评论:0 | 标签:术有专攻 BeyondCorp 分层访问 访问控制 谷歌

通过DIVA了解APP安全问题

导语 篇幅有些长,请使用目录品用。 目录 不安全日志输出 Insecure Logging 不安全的数据存储 Insecure Data Storage -Part1 Insecure Data Storage -Part2 Insecure Data Storage -Part3 Insecure Data Storage -Part4 硬编码 Hardcoding Issues -Part1 Hardcoding Issues -Part2 访问控制 Access Control lssues -Part 1 Access Control lssues -Part 2 Access Control lssues -Part 3 用户数据问题 Input Validati

五种手段抵御社会工程攻击

社会工程已成为75%普通黑客们的工具包,而对于成功的黑客,这个比例在90%以上。 ——约翰·迈克菲 突破防火墙很难;通过电话冒充技术支持很简单。动机满满的黑客,极少会从一开始就去尝试用技术手段攻击目标,他们更喜欢从人入手而不是去黑服务器。 显然,要解决社会工程问题,很大程度上应将重点放在培训上。太多的公司都遵循“犯错就炒鱿鱼,我们来告诉你你啥时候饭了错”的策略,但这并不能完全免除IT员工的责任。我们可以看看下列很容易就能实现的一些措施。 1. 合理的访问控制 一般情况下,自由地共享信息是件好事,但真的有必要让每个员工都有路由器管理员口令吗?而另一个极端,是连工作所需的资源都禁止访问,比如某科学家的办公环境防火墙甚至不让她访问“科学技术”类别。后一个案例中,该科学家认为是IT部门造成了这个麻烦,但从个人角色和所
发布时间:2017-01-11 01:30 | 阅读:116749 | 评论:0 | 标签:术有专攻 安全措施 社会工程 访问控制

典型案例丨如何从根源保障人社系统敏感数据安全防护

对于一个人口大国,任何关乎民生的事情都不是小事,因此,人社行业与其他政府机构虽同属政府职能部门却也有着其敏感的行业特殊性。在如今信息贩卖猖獗的背景下,巨量的公民社保数据蕴藏的价值不言而喻。不可否认的是,社保行业对信息安全的重视与日俱增,我们看到网络边界防护设备已成熟应用于人社系统,对于外部黑客的网络攻击能够从容应对,然而比信息技术更可怕的是人性的贪婪。 近年来,各类骗保事件频发,不法分子通过内外人员勾结,篡改社保、养老金申请资料非法获利,加之去年4月某漏洞平台爆出多地人社机构数据库高危漏洞,不难联想,现阶段人社系统核心数据的安全现状,已转变为:内忧大于外患。如何从根源保障人社系统数据库安全防护,安华金和提出防护思路。 随着人社系统业务种类的丰富,业务量逐渐增加,部分数据库开发、运维工作交由第三方公司承办。通过对
发布时间:2016-08-25 22:00 | 阅读:84866 | 评论:0 | 标签:技术产品 敏感数据 数据库安全 访问控制

没错 企业想提升安全防护需要HR的合作

安全漏洞不仅仅是技术问题,也是人的问题。若问及公司哪个部门需对数据安全负责,十有八九会得到“IT”这个回答。但专家指出,IT不应该独自担起这个责任,更好的安全需要与人力资源(HR)紧密合作。一个明显的例子,来自于今年2月26日美国联邦存款保险公司(FDIC)的一起数据泄露事件。当时一位即将离职的员工非故意地下载了4.4万条客户记录到U盘上,这些记录中包括了个人身份识别信息(PII)。官方称,幸运的是,未造成明显损失。该数据泄露发生在周五,公司的数据遗失保护软件在接下来的周一检测到了这起事件,FDIC立即联系离职雇员,而她也在第二天交回了数据。她同时签署了一份宣誓书,陈述自己并未利用或扩散过这些信息。FDIC指出,该前雇员有权访问这些数据。她只是无权将任何信息带回家。这事儿无独有偶。《华尔街日报》报道,1个月前F
发布时间:2016-07-12 03:50 | 阅读:80308 | 评论:0 | 标签:牛闻牛评 人力资源 企业安全 访问控制

术有专攻|谈一谈访问控制

说起访问控制,不同的人会有不同的理解。不过其最基本的解释,简单地讲,就是“限制对资源的访问”。然而,具体到我们各自的组织,要弄明白访问控制的实际意义,却远非说起来那么简单。对于有些人来讲,只需基于用户身份验证机制有选择性地授予用户对账户的访问即可;对于有些人来讲,只需厘清用户角色即可;对于有些人来讲,只需控制好访问的许可即可。但对于另外一些人来讲,可能就需要对虚拟局域网进行锁定,这已经超出了用户的范畴,而是机器与机器之间的交互问题。当然,还有很多的访问控制技术,并不是基于允许访问列表(即白名单)的访问控制,而是基于不允许访问列表(即黑名单)的访问控制,比如进行潜在流量过滤的WEB应用程序安全工具。综上所述,访问控制在IT组织可以说是无处不在,并且在很多情况下又各有不同。具体到“访问策略”,大多数的访问控制方法都
发布时间:2016-03-25 15:40 | 阅读:92832 | 评论:0 | 标签:术有专攻 访问控制 访问策略

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云