- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
FreeBuf甲方群 | 2020甲方安全总结&2021甲方安全建设预算
2、2020甲方安全关键词:一个人的安全。只能说很艰辛了。 3、2020年在一家初创公司做安全,一个人的部门,从零到一从无到有,一个关键词就是“从零开始”。 群伙伴回复 1、大意了哈哈哈哈哈哈 2、这种才是有安全意识的老板啊,哎 3、羡慕… 4、安全这个东西怎么看都是个无底洞 5、来自贫穷的凝视.JPG 6、是不是我们群最高的安全预算了? 7、还招人吗? 2、10年100万,着实有点寒酸了 3、咋一规划还做10年的,感觉2年就一变化了 4、我党也就五年计划五年计划地规划[捂脸] 5、100W连维保都勉强 @楼主回复:网络规模小,复杂度中等的企业,最近十年没有在网络安全上花过钱 (望诸君保护好自己啊) 【关键词:甲方企业安全意识问题】 1、安全内防很难,除非有领导支持,不然里外不是人,等着被骂。 2、安全必须自上而下,没有一帮老总站台,很难搞的。 企业网络安全意识培养真的hin重要! 【关键词:2021甲方安全建设规划方向】 1、我们的方向是培养自己的安全人员,搞安全培训,因为觉得安全厂商存在不足。 2、2021的重中之重还是演练保障。
39610编辑于 2023-04-26 - 来自专栏中国白客联盟
甲方安全建设-内网安全(IDS)
前言 之前的篇章讲解了甲方安全建设之日志采集-Elastic Agent、甲方安全建设之日志采集-记录Windows事件管理器日志、甲方安全建设之研发安全-SCA,本文将讲解内网安全的检测。 /configure文件,安装期间会提示各种包不存在,根据提供的命令补齐: yum install pcre2-devel yum --enablerepo=powertools install libyaml-devel /usr/local/bin/suricata -h /usr/local/bin/suricata: error while loading shared libraries: libhtp.so.2: : [root@www suricata-7.0.3]# sudo find / -name libhtp.so.2 /root/suricata-7.0.3/libhtp/htp/.libs/libhtp.so .2 sudo ldconfig [root@www suricata-7.0.3]# /usr/local/bin/suricata -h Suricata
79010编辑于 2024-04-19 - 来自专栏我的安全视界观
【企业安全】甲方眼里的安全测试
纵观互联网上公开的文章,专门介绍甲方安全测试的少之又少。入职甲方安全已将近一年又三个月,从甲方角度来做安全测试的流程和思路、痛处与难点也越加明晰。 但是在甲方,首先接触的便是测试环境,基本上所有的安全测试工作均在该环境。 2 安全测试流程 ---- 为了进一步说明甲乙方的安全测试工作差异,该部分将安全测试涉及到的流程进行列举。 乙方渗透测试流程 乙方工程师在获得用户渗透测试授权书后,可能将着手开始测试。 ? 甲方安全测试流程 甲方安全团队在收到业务方安全提测后,将先与提测方进行业务相关沟通(具体环境、功能等)并评估工作量,再进行测试,测试过程中一般都会进行多次沟通,对象包括对应开发、测试、产品甚至运维。 若有共鸣或其他想法与经验交流,请不吝赐教~ 往期回顾 【1】【安全测试】Android APP安全测试之敏感信息本地存储 【2】【渗透技巧】搜集SRC信息中的“技术活儿” 【3】【渗透技巧】浅谈常规渗透瓶颈
2.3K30发布于 2018-07-31 - 来自专栏中国白客联盟
甲方安全建设-DevSecOps SCA分析
前言 前文讲到了利用DependencyTrack对代码进行SCA分析,但是当时是通过手动上传BOM并在UI上进行展示查阅,对于安全左移DevSecOps来说,必然需要在应用编码、构建阶段就对其进行安全分析 ,如果发现安全风险则禁止构建和部署。 - branches 总结 本文讲解了利用DependencyTrack完成Devsecops中的SCA分析,保证了代码安全
47110编辑于 2024-05-21 - 来自专栏Bypass
甲方安全开源项目收集
前阵子,我发布了一份甲方安全开源清单,不少朋友帮忙反馈,得到了大大的补充,重新整理了一份项目清单。 https://github.com/jeffzh3ng/Fuxi-Scanner SeMF:企业内网安全管理平台,包含资产管理,漏洞管理,账号管理,知识库管、安全扫描自动化功能模块,可用于企业内部的安全管理 https://gitee.com/gy071089/SecurityManageFramwork 安全开发 rhizobia_J:JAVA安全SDK及编码规范。 https://www.kismetwireless.net/ SIEM/SOC OSSIM:开源安全信息管理系统,它是一个开源安全信息和事件的管理系统,集成了一系列的能够帮助管理员更好的进行计算机安全 https://github.com/thelinuxchoice/blackeye phishing:甲方网络钓鱼的安全实践。
3.8K51发布于 2019-07-30 - 来自专栏Cyber Security
【甲方安全建设】DevOps初体验
前言 临近春节,笔者经过半年北漂,期间辗转几家公司,同时也接触了几种不同岗位,也算对安全有了个初步的了解 目前在一家公司做安全开发相关实习,期间接触到一些比较有意思的技术,特此记录一下 之前写一些小的工具 data logging: driver: "json-file" options: max-size: "100m" max-file: "2" com.mysql:mysql-connector-j:jar:8.0.33: MySQL Connector/J artifacts moved to reverse-DNS compliant Maven 2+ data logging: driver: "json-file" options: max-size: "100m" max-file: "2" 据我目前的认识,应该是在DevOps流程中加入一些安全工具等因素,比如说: 使用SAST(静态分析安全测试):Fortify、AppScan DAST(动态分析安全测试):OWASP ZAP、Contrast
48210编辑于 2024-07-18 - 来自专栏中国白客联盟
甲方安全建设-利用AI大模型协助安全运营
## 技能 ### 技能 1: 安全问题解答 - 根据用户面临的安全问题,提供专业的解决方案。 - 执行全面的安全检查并采取相应的补救措施。 ### 技能 2: 恶意代码和数据包分析 - 分析用户提供的信息,进行威胁分析并给出专业的指导意见。 ### 技能 3: 安全性建议和修复代码供应 - 根据需要,给出个性化的安全建设方案和漏洞修复建议。 ### 技能 2: 用户需求的精确响应 - 针对用户的不同输入类型,您需要根据相应工作流的处理结果,以中文向用户反馈工作流的原始内容。 _lang=zh curl --location --request POST 'https://api.coze.com/open_api/v2/chat' --header 'Authorization
78610编辑于 2024-06-24 - 来自专栏FreeBuf
甲方安全中心建设:代码审计系统
* 本文作者:陌度,本文属FreeBuf原创奖励计划,未经许可禁止转载 纵观甲方的安全体系建设,最开始和最重要的那一部分就是代码安全。 甲方公司内部有很多项目,每个项目都由不同的开发人员进行开发,所以项目开发水平也是参差不齐,也就是说有很大可能产生漏洞(SQL注入,XSS,命令执行等)。 很多甲方公司公司无法将SDL彻底落地除了DevOps的频繁交付,还有就是安全工程师无法在短时间内对大量项目的源代码进行人工审计。 y redis-server unzip python3-pip wget vim git libffi-dev libssl-dev libjpeg8-dev zlib1g-dev libxml2- 2.项目扫描 我在设计要怎么拖取项目进行扫描的时候,想过要不要直接调取gitlab或者jenkins的接口,但是感觉这样太麻烦了,还不如干脆直接拉取项目。
2.5K21发布于 2018-07-31 - 来自专栏FreeBuf
安全从业者该去甲方还是乙方?
我大学毕业后直接进入绿盟工作,3年后入职甲方一直工作到现在。我可以跟大家聊聊甲方做安全和乙方做安全的区别,正如安全是动态的一样,甲乙方的工作和发展也是动态变化的,仅限于个人视角,供参考。 其实甲方和乙方的主要区别是你的职场角色不同。在乙方你是盈利人员(可为公司产生直接收益),在甲方你是后台职能人员(不对企业产生直接收益,但是保障企业的安全或合规建设、规避风险、确保业务安全运行)。 在甲方,一些安全服务会外包给乙方,比如扫描、渗透、基线核查、等保测评等,甲方负责做好项目管理和资源协调来即可。 四、晋升空间 安全岗在甲方晋升是比较难的,难在企业不需要一个安全总监或一个CISO。 如能要体现安全的价值,或让安全价值可视化,一定要制定可测量的安全目标,比如每年的安全事件不超过2起,攻击事件不超过10起,数据泄露不超过1起,勒索病毒0起等。
1.5K10发布于 2020-03-06 - 来自专栏数据安全架构与治理
甲方安全都有哪些黑科技?
在网络安全领域的甲方,也就是各种企业,往往实施了各种安全防护措施,以防止黑客入侵或内部泄密。除了常规的大家都知道的那些防护措施,还有没有什么值得一提的黑科技呢? 这就是红外对射,现在基本是甲方的数据机房的外围物理安全防护的标配。 一旦有人或动物闯入,就会启动警报。 (2)门禁 进入机房或重要房间,需要刷指纹(或虹膜)以验明正身。这个比较常见,就不贴图了。 (2)入侵可视化监测 在一张大公鸡地图上,攻击箭头嗖嗖的飞来飞去,就像这样: 在地图上看到实时的入侵行为,并对入侵者进行追踪定位。 (2)WAF 应用层的WAF(Web应用防火墙),帮助上线后的系统把常规的入侵尝试挡在门外。 数据安全与防泄密 ---- (1) 文档丢了也打不开 数字版权系统的引入,可以让文档只能在内网打开。 (2)拍照也能被发现 某高科技公司,在防泄密方面做得几乎天衣无缝,就连用手机(或相机)对着电脑屏幕拍照也能被发现(嘿嘿,天机不可泄露)。 当然,这些仅仅是甲方安全所涉及到的一部分。
38620编辑于 2022-06-02 - 来自专栏FreeBuf
话题讨论 | “传说中”的甲方安全
前言: 之前有人跟我说甲方的安全技术人员不如乙方。但是事实上我了解的却是多数“技术高超” 的乙方人员无法胜任甲方的工作,先别急着反驳 ,我们先来看看技术人员对比。 (当然也有部分乙方实在是不敢恭维,发现个漏洞,给个 “ 你懂得” 的描述,一个谁都看得懂,但是谁都不知道怎么做的修复方案,就走了,问题定位,具体整改方案都交给甲方安全人员了) 2. 当然,别担心,既然本文是写甲方安全技术的生存之道,那么就来说说,怎么生存在甲方。 第一关,关于未知领域的项目 想做安全,无论什么情况下,基础的安全技能都是必要的。最少要有自己擅长的技术。 2. 对外,安全动态关注 讲真,这个最不担心,毕竟安全圈就这么大,只要不是消息特别闭塞,翻一翻资料就全有了 。 3. 2.我们做了哪些投入,产生什么效果,做安全,通常会建议买许多安全设备,我们需要把这些设备的投入和所达到的效果进行一个量化对比,这个数据来源就是安全设备日志了,建立好模板,每次汇报导入数据就好了。
1.5K91发布于 2018-02-26 - 来自专栏中国白客联盟
甲方安全建设- Velociraptor初体验协助应急响应
前言 刷到顺丰安全发表关于Velociraptor的文章,提到可以用它实现数据的查询,在应急的时候起很大作用,再加上刷到Velociraptor的一个ppt,笔者觉得挺不错,就来体验下。 通过获取机器上的进程来判断 - 不可取,因此是一次性的,且进程可能在获取时不在运行 2.
1.3K20编辑于 2024-07-20 - 来自专栏FreeBuf
甲方安全之企业安全自动化工具SeMF分享
* 本文作者:FallenAngels,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言: 上一篇文章《“传说中”的甲方安全》发布已经半年的时间,文章结尾说开源自建的安全管理平台,但是一直跳票。 本平台旨在帮助安全人员少,业务线繁杂,周期巡检困难,自动化程度低的企业,更好的实现企业内部的安全管理。 2. 漏洞管理 这个模块就是身在甲方的我最需要的模块,也是这个平台的起点,(想当年,面对N多个业务系统,每次上百各安全漏洞,对每个漏洞修复跟进和复查 ,着实心累,好不容易修复了,研发给回滚了,都是泪啊),这个模块的话能看到当前所有资产的漏洞和相关信息 漏洞管理的话第二大亮点就是同步了CNVD漏洞库,目前的话同步了2万多条漏洞信息,可实现本地查询,当然,漏洞信息管理员是可以改的,效果图如下: ? 5.
1.3K40发布于 2018-07-30 - 来自专栏FreeBuf
FreeBuf甲方群话题讨论 | 聊聊企业API安全
安全和开放是互联网世界永恒的话题,其中API扮演着重要的的角色,API的安全可以说是开放与创新的前提。 本期话题就围绕企业的API安全展开相关讨论: 1.通过日常的工作接触,大家认为不安全的API往往有哪些特性? 2.随着近年来API爆发式增长,让企业的攻击面频频暴露,这是否意味着通过身份安全解决方案和API网关来进行限制的方法存在缺陷或不足?有无改进方法? 2.随着近年来API爆发式增长,让企业的攻击面频频暴露,这是否意味着通过身份安全解决方案和API网关来进行限制的方法存在缺陷或不足?有无改进方法? 2、JWT (JSON Web Token) 使用随机复杂的密钥 (JWT Secret) 以增加暴力破解的难度。不要在请求体中直接提取数据, 要对数据进行加密 (HS256 或 RS256)。
60740编辑于 2022-04-12 - 来自专栏FreeBuf
应用安全与数据安全的工作边界在哪;甲方如何管控对乙方的授权 | FB甲方群话题讨论
▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 224 期来了! FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。 本期话题抢先看 1. 站在安全部门角度(非合规),在参与公司个人信息合规管理体系建设中理想的角色是怎么样的? 2. 大家能说说应用安全和数据安全的区别有哪些,这两者有具体的工作边界吗? 3. 作为甲方,如何实现对乙方运维团队授权的各类高级权限(如服务器、数据库root权限、安全设备权限)管控、审计,以防范违规或未授权操作? 话题一 站在安全部门角度(非合规),在参与公司个人信息合规管理体系建设中理想的角色是怎么样的? A1: 决策者或者第三方视角(旁观者)。 A2: 只提要求,别让落实。
1.8K30编辑于 2023-09-24 - 来自专栏FreeBuf
浅谈安全之应急响应 | FreeBuf甲方社群直播回顾
3月17日,集贤科技安全总监fooyii在FreeBuf甲方社群第十一场内部直播中担任主讲嘉宾,以“浅谈安全之应急响应”为主题进行分享,带大家系统的认识应急响应。 对此,fooyii表示可以分为5个步骤:1、判断整个数据泄露是否正常;2、评估数据泄露事件的影响;3、向监管部门通报数据泄露事件;4、向受影响的客户通报数据泄露事件,并提供相应的补救措施;5、对数据泄露事件进行跟踪和复盘 四、加入FreeBuf甲方社群 本期直播精彩回顾到此结束啦~此外,FreeBuf会定期开展不同的甲方社群直播,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧! 更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动? 【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部】 【如有疑问,也可扫描上方二维码添加小助手微信哦!】 精彩推荐
1.6K40编辑于 2023-04-06 - 来自专栏FreeBuf
聊聊“安全运营”实践之道 | FreeBuf甲方群话题讨论
2、安全运营主要还是发现问题,处理问题,形成闭环吧。以解决公司安全问题为最终目标,统筹各个环节。 讨论2:安全运营是一个长期且繁琐的工作,在向上汇报安全运营工作时,如何量化工作指标? 2、安全运营一步步做到自动化,落实到系统,后期就是增加准确率,减少出错率,解放人力。 FreeBuf甲方交流分享群 纯甲方:囊括金融、政府、运营商、医疗、互联网企业等多行业甲方安全从业人员,具备严格的入群审核机制,非甲方安全从业人员拒绝进群 真实有料:从甲方企业CSO到安全工程师,从安全方案应用到产品技术应用 ,社群定期组织相关主题话题讨论,共同交流最真实有趣有料的甲方安全建设经验 专属权益:一旦认证成为FreeBuf甲方会员,即可享受FreeBuf报告在线免费阅读权益,同时参与社群话题讨论便有机会获得FVIP
1.2K30发布于 2021-05-20 - 来自专栏数通
安全从业必看:选错就后悔!甲方乙方安全工作终极对比指南
最近,安全圈频繁讨论"甲方安全还是乙方安全"的话题。许多安全从业者在选择职业发展时都会遇到这个问题。究竟应该去阿里、腾讯这样的甲方做安全,还是选择绿盟、启明星辰这样的安全公司? 甲乙方的本质区别 身份定位: 甲方:在非安全业务公司做安全(如银行、互联网公司) 乙方:在安全业务公司做安全(如安全厂商、安全服务商) 工作范围: 甲方:服务对象局限于公司内部 乙方:服务对象面向所有客户 工作特点对比 工作内容: 甲方:全面性,需要覆盖多个安全方向 乙方:专注性,通常专精某个安全领域 技术深度: 甲方:广度优先,跟随业务发展 乙方:深度优先,专注技术突破 预算资源: 甲方:整体预算大 ,安全占比小 乙方:整体预算小,安全占比大 选择建议 适合选择甲方的人群: 喜欢全面发展 注重工作稳定性 期望参与完整安全体系建设 适合选择乙方的人群: 热爱技术钻研 喜欢接触不同客户 期望快速积累项目经验 要看具体公司 管理水平与甲乙方无关 技术能力不分甲乙方 发展建议 选择甲方还是乙方,关键要看: 个人发展诉求 技术兴趣方向 职业规划目标 工作环境偏好 你是甲方还是乙方安全从业者?
28100编辑于 2025-01-09 - 来自专栏FreeBuf
FreeBuf甲方群话题讨论 | 聊聊企业资产安全管理
本期话题就围绕企业资产安全管理展开相关讨论: 1.大家的企业资产安全管理目前做的如何?有碰到哪些痛点? 2.如果从数据安全运营角度,对资产识别,尤其是涉敏资产,以哪些方式进行识别效果较好? @浅尝辄止 主要是账外资产不好管理,账内的不用说了,安全措施都比较完备,至少心里有数;账外资产就麻烦多了,因为你自己也不知道,用账外资产的人又不关心安全,极易成为网络安全的盲点,这些账外资产的大部分网络安全措施都是薄弱甚至缺乏的 2.如果从数据安全运营角度,对资产识别,尤其是涉敏资产,以哪些方式进行识别效果较好?对其风险的评估应当从哪些方面入手? 考虑做好统一权限、密钥管理、防篡改技术、接口订阅管理、前端代码混淆等); 2.数字化办公安全(考虑文档加密、明暗水印、监控、文档分级分类、认证授权、零信任大框架等); 3.数据网关平台(需要有大数据部门主导建设人的统一数据作业通道 数据合规建设,二个方面: 1.通道安全(依托数据网关平台收紧作业通道,建立标准制度,统一审批,收紧授权人员等); 2.生命周期安全(采集、传输、存储、处理、销毁等)。
68050编辑于 2022-06-08 - 来自专栏FreeBuf
【高额稿费+专属福利】FreeBuf甲方安全征稿活动限时开启!
那么,借着这个机会,咱们一起来聊聊甲方安全的那些人,那些事~ 活动时间 2023 年 5 月 4 日—5 月 21 日 聚焦甲方安全 注意,本次征文投稿活动仅针对甲方安全内容,不限主题, 不限行业,从甲方企业安全视角出发,围绕甲方安全领域即可,诸如网安行业思考、甲方安全建设的坑、新技术落地实践、安全运营观点、企业安全管理、企业安全实践分享等,只要是甲方安全的内容,统统欢迎砸过来! 2、稿件未被采纳的作者,其稿件被推荐至各个子分类,亦可获得大量FreeBuf商城金币奖励,可在FreeBuf商城兑换视频门户网站会员、FreeBuf周边、书籍等好礼。 投稿规则 1、文章需要紧扣“甲方视角”,或者围绕甲方进行创作; 2、仅限个人原创文章投稿,可适当引用参考资料,切勿纯编译; 3、文章需在FreeBuf独家发布,请勿一稿多投; 4、文章不得含有明显推广内容 具体参与方式 1.进入FreeBuf网站,注册或登录账号; 2.点击首页顶部“创作中心”—“写文章”; 3.稿件完成后点击“立即发布”,在弹出的选项中完成相关设置后勾选“参与原创文章奖励计划”; 4.
4.9K30编辑于 2023-05-12
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号