- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
FreeBuf甲方群 | 2020甲方安全总结&2021甲方安全建设预算
FreeBuf甲方交流分享群 纯甲方:囊括金融、政府、运营商、医疗、互联网企业等多行业甲方安全从业人员,具备严格的入群审核机制,非甲方安全从业人员拒绝进群 真实有料:从甲方企业CSO到安全工程师,从安全方案应用到产品技术应用 群伙伴回复 1、大意了哈哈哈哈哈哈 2、这种才是有安全意识的老板啊,哎 3、羡慕… 4、安全这个东西怎么看都是个无底洞 5、来自贫穷的凝视.JPG 6、是不是我们群最高的安全预算了? 7、还招人吗? 2、10年100万,着实有点寒酸了 3、咋一规划还做10年的,感觉2年就一变化了 4、我党也就五年计划五年计划地规划[捂脸] 5、100W连维保都勉强 @楼主回复:网络规模小,复杂度中等的企业,最近十年没有在网络安全上花过钱 5、我们之前安全部的办公室是带独立门锁的,为了防止围殴。到我离职那天,估计很多人都没见过我们的面,因为都是远程BB,怕被打。 4、推安全不应该第一个想的是我不做安全会有什么不好的后果吗?然后才能反推加强安全建设。如果不做安全没有影响,那么本来要推安全就会很难。 5、安全做得好也可能出事,一点不做也可能不出事。
39610编辑于 2023-04-26 - 来自专栏中国白客联盟
甲方安全建设-内网安全(IDS)
前言 之前的篇章讲解了甲方安全建设之日志采集-Elastic Agent、甲方安全建设之日志采集-记录Windows事件管理器日志、甲方安全建设之研发安全-SCA,本文将讲解内网安全的检测。 bytes_toclient":2603,"start":"2024-02-24T23:52:37.244107+0800","end":"2024-02-24T23:52:42.689394+0800","age":5,
79010编辑于 2024-04-19 - 来自专栏我的安全视界观
【企业安全】甲方眼里的安全测试
纵观互联网上公开的文章,专门介绍甲方安全测试的少之又少。入职甲方安全已将近一年又三个月,从甲方角度来做安全测试的流程和思路、痛处与难点也越加明晰。 但是在甲方,首先接触的便是测试环境,基本上所有的安全测试工作均在该环境。 甲方安全测试流程 甲方安全团队在收到业务方安全提测后,将先与提测方进行业务相关沟通(具体环境、功能等)并评估工作量,再进行测试,测试过程中一般都会进行多次沟通,对象包括对应开发、测试、产品甚至运维。 5、安全测试风险 ---- 在甲方,安全测试的每个环境都可能存在风险,暴力破解、常规web漏洞扫描,也能导致安全部门背故障分。 ,实例发散思维突破 【4】【漏洞赏析】安全运维那些洞 【5】【漏洞赏析】安全业务那些洞 【6】【应急响应】redis未授权访问致远程植入挖矿脚本(防御篇) 【7】【应急响应】redis未授权访问致远程植入挖矿脚本
2.3K30发布于 2018-07-31 - 来自专栏中国白客联盟
甲方安全建设-DevSecOps SCA分析
前言 前文讲到了利用DependencyTrack对代码进行SCA分析,但是当时是通过手动上传BOM并在UI上进行展示查阅,对于安全左移DevSecOps来说,必然需要在应用编码、构建阶段就对其进行安全分析 ,如果发现安全风险则禁止构建和部署。 - branches 总结 本文讲解了利用DependencyTrack完成Devsecops中的SCA分析,保证了代码安全
47110编辑于 2024-05-21 - 来自专栏Bypass
甲方安全开源项目收集
前阵子,我发布了一份甲方安全开源清单,不少朋友帮忙反馈,得到了大大的补充,重新整理了一份项目清单。 https://github.com/jeffzh3ng/Fuxi-Scanner SeMF:企业内网安全管理平台,包含资产管理,漏洞管理,账号管理,知识库管、安全扫描自动化功能模块,可用于企业内部的安全管理 https://github.com/triaquae/CrazyEye gateone:一款使用HTML5技术编写的网页版SSH终端模拟器。 https://www.kismetwireless.net/ SIEM/SOC OSSIM:开源安全信息管理系统,它是一个开源安全信息和事件的管理系统,集成了一系列的能够帮助管理员更好的进行计算机安全 https://github.com/thelinuxchoice/blackeye phishing:甲方网络钓鱼的安全实践。
3.8K51发布于 2019-07-30 - 来自专栏Cyber Security
【甲方安全建设】DevOps初体验
前言 临近春节,笔者经过半年北漂,期间辗转几家公司,同时也接触了几种不同岗位,也算对安全有了个初步的了解 目前在一家公司做安全开发相关实习,期间接触到一些比较有意思的技术,特此记录一下 之前写一些小的工具 ,无论是Bash、Python还是Java,都是顶多几百行的工作量,感觉不到开发的魅力,也没有开发和安全相结合的感觉,后面在公司有机会写一下完整的系统,以及后续的部署发布,体验到了创造的魅力(增删改查 )啥的 当然这也要看运维大哥给不给加内存了 hah 最近又又又接触到了DevSecOps DevSecOps-安全赋能 顾名思义 就是在DevOps过程中贯穿了安全,近几年从DevOps演变而来的, 据我目前的认识,应该是在DevOps流程中加入一些安全工具等因素,比如说: 使用SAST(静态分析安全测试):Fortify、AppScan DAST(动态分析安全测试):OWASP ZAP、Contrast 由于接触的时间并不长,部分的内容了解的不多,留个白吧,后面有机会再补充 关于安全平台 这里还是介绍一下自己正在开发的安全平台️,目前只写了完整的两个功能 漏洞扫描 可能有老哥一眼出发现了什么猫腻~~
48210编辑于 2024-07-18 - 来自专栏中国白客联盟
甲方安全建设-利用AI大模型协助安全运营
AI帮我们完成如攻击payload分析、告警日志分析、IP威胁情报查询并自动封禁等安全运营工作。 接下来完成对日志进行解析的workflow,很简单,直接把日志丢给llm就行,然后定义好让llm返回什么: # 角色 你是一位资深的安全专家,专注于技术向导和安全问题解析。 ## 技能 ### 技能 1: 安全问题解答 - 根据用户面临的安全问题,提供专业的解决方案。 - 执行全面的安全检查并采取相应的补救措施。 ### 技能 3: 安全性建议和修复代码供应 - 根据需要,给出个性化的安全建设方案和漏洞修复建议。 ## 约束条件 - 只讨论与信息安全相关的问题。 - 努力保护用户的隐私和数据安全。 - 尽量减少行业术语,以用户易于理解的方式解释问题。
78710编辑于 2024-06-24 - 来自专栏FreeBuf
甲方安全中心建设:代码审计系统
* 本文作者:陌度,本文属FreeBuf原创奖励计划,未经许可禁止转载 纵观甲方的安全体系建设,最开始和最重要的那一部分就是代码安全。 甲方公司内部有很多项目,每个项目都由不同的开发人员进行开发,所以项目开发水平也是参差不齐,也就是说有很大可能产生漏洞(SQL注入,XSS,命令执行等)。 很多甲方公司公司无法将SDL彻底落地除了DevOps的频繁交付,还有就是安全工程师无法在短时间内对大量项目的源代码进行人工审计。 因为我是根据漏洞的标题+漏洞的项目+漏洞的文件名+漏洞的处于的行数进行生成一个MD5值,当你删除之后,下一次这个漏洞会再次生成,所以只能将这条记录隐藏。 禅道系统的设置:新建一个产品叫安全审计,在项目添加对应的git的项目,添加负责人= =讲真,这一部分要根据自身的业务做一个调整 ? ? ?
2.5K21发布于 2018-07-31 - 来自专栏FreeBuf
安全从业者该去甲方还是乙方?
——《哈姆雷特》 最近有很多安全从业者咨询我,去甲方做安全好还是去乙方做安全好,尤其是应届生或工作1-3年的安全从业者。其实这是一个不太好回答的问题,因为牵扯的因素太多,每个人的状况也不尽相同。 我大学毕业后直接进入绿盟工作,3年后入职甲方一直工作到现在。我可以跟大家聊聊甲方做安全和乙方做安全的区别,正如安全是动态的一样,甲乙方的工作和发展也是动态变化的,仅限于个人视角,供参考。 其实甲方和乙方的主要区别是你的职场角色不同。在乙方你是盈利人员(可为公司产生直接收益),在甲方你是后台职能人员(不对企业产生直接收益,但是保障企业的安全或合规建设、规避风险、确保业务安全运行)。 在甲方,一些安全服务会外包给乙方,比如扫描、渗透、基线核查、等保测评等,甲方负责做好项目管理和资源协调来即可。 四、晋升空间 安全岗在甲方晋升是比较难的,难在企业不需要一个安全总监或一个CISO。
1.5K10发布于 2020-03-06 - 来自专栏数据安全架构与治理
甲方安全都有哪些黑科技?
在网络安全领域的甲方,也就是各种企业,往往实施了各种安全防护措施,以防止黑客入侵或内部泄密。除了常规的大家都知道的那些防护措施,还有没有什么值得一提的黑科技呢? 这就是红外对射,现在基本是甲方的数据机房的外围物理安全防护的标配。 一旦有人或动物闯入,就会启动警报。 (2)门禁 进入机房或重要房间,需要刷指纹(或虹膜)以验明正身。这个比较常见,就不贴图了。 网络层安全 ---- (1)准入控制 有些公司,如果是访客的电脑,即使插入网线也访问不了内网。 数据安全与防泄密 ---- (1) 文档丢了也打不开 数字版权系统的引入,可以让文档只能在内网打开。 当然,这些仅仅是甲方安全所涉及到的一部分。 还有,安全管理、安全流程、情报分析、安全审计等等。
38620编辑于 2022-06-02 - 来自专栏FreeBuf
话题讨论 | “传说中”的甲方安全
前言: 之前有人跟我说甲方的安全技术人员不如乙方。但是事实上我了解的却是多数“技术高超” 的乙方人员无法胜任甲方的工作,先别急着反驳 ,我们先来看看技术人员对比。 应急响应 甲方安全技术头疼的事情之一,业务部门被攻击了,服务器中病毒了,新漏洞曝光了等等。 5. 当然,别担心,既然本文是写甲方安全技术的生存之道,那么就来说说,怎么生存在甲方。 第一关,关于未知领域的项目 想做安全,无论什么情况下,基础的安全技能都是必要的。最少要有自己擅长的技术。 5.写报告,到这里,你就可以写评测报告和整改建议了。然后开始应对对方无休止的 “ 困(基)难(础)”技术咨询。
1.5K91发布于 2018-02-26 - 来自专栏中国白客联盟
甲方安全建设- Velociraptor初体验协助应急响应
前言 刷到顺丰安全发表关于Velociraptor的文章,提到可以用它实现数据的查询,在应急的时候起很大作用,再加上刷到Velociraptor的一个ppt,笔者觉得挺不错,就来体验下。
1.3K20编辑于 2024-07-20 - 来自专栏FreeBuf
甲方安全之企业安全自动化工具SeMF分享
* 本文作者:FallenAngels,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言: 上一篇文章《“传说中”的甲方安全》发布已经半年的时间,文章结尾说开源自建的安全管理平台,但是一直跳票。 本平台旨在帮助安全人员少,业务线繁杂,周期巡检困难,自动化程度低的企业,更好的实现企业内部的安全管理。 资产管理 资产是安全管理的核心,看过好多企业安全管理的文章,基本上第一部分都是公司资产的梳理,确认需要管理的资产并进行资产分级。 漏洞管理 这个模块就是身在甲方的我最需要的模块,也是这个平台的起点,(想当年,面对N多个业务系统,每次上百各安全漏洞,对每个漏洞修复跟进和复查 ,着实心累,好不容易修复了,研发给回滚了,都是泪啊),这个模块的话能看到当前所有资产的漏洞和相关信息 5.
1.3K40发布于 2018-07-30 - 来自专栏FreeBuf
FreeBuf甲方群话题讨论 | 聊聊企业API安全
安全和开放是互联网世界永恒的话题,其中API扮演着重要的的角色,API的安全可以说是开放与创新的前提。 随着API成为越来越多企业访问数据和服务的接入口,由API漏洞引发的安全事件时有发生,不安全的API已成为网络攻击者的主要目标之一。 本期话题就围绕企业的API安全展开相关讨论: 1.通过日常的工作接触,大家认为不安全的API往往有哪些特性? 3.大家认为目前的API安全架构建设还存在哪些难点,有无自己的一些设计思路? (本文所有ID已做匿名处理) 1.通过日常的工作接触,大家认为不安全的API往往有哪些特性? 5、输入验证 使用与操作相符的 HTTP 操作函数, GET (读取), POST (创建), PUT (替换/更新) 以及 DELETE (删除记录), 如果请求的方法不适用于请求的资源则返回 405
60740编辑于 2022-04-12 - 来自专栏FreeBuf
应用安全与数据安全的工作边界在哪;甲方如何管控对乙方的授权 | FB甲方群话题讨论
▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 224 期来了! FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。 本期话题抢先看 1. 作为甲方,如何实现对乙方运维团队授权的各类高级权限(如服务器、数据库root权限、安全设备权限)管控、审计,以防范违规或未授权操作? A5: 个人信息保护政策的解读能力+协调沟通+推动落地+对接监管。 A6: 个人信息属于数据资产,结合数据安全提出管理策略。 A5: 这方式堡垒机就能搞了吧。 A6: 你可以理解为堡垒机的一种,只是更个性化了。 A7: 堡垒机好像控制不了Windows这块,可以通过Windows账号管理。
1.8K30编辑于 2023-09-24 - 来自专栏FreeBuf
浅谈安全之应急响应 | FreeBuf甲方社群直播回顾
3月17日,集贤科技安全总监fooyii在FreeBuf甲方社群第十一场内部直播中担任主讲嘉宾,以“浅谈安全之应急响应”为主题进行分享,带大家系统的认识应急响应。 对此,fooyii表示可以分为5个步骤:1、判断整个数据泄露是否正常;2、评估数据泄露事件的影响;3、向监管部门通报数据泄露事件;4、向受影响的客户通报数据泄露事件,并提供相应的补救措施;5、对数据泄露事件进行跟踪和复盘 四、加入FreeBuf甲方社群 本期直播精彩回顾到此结束啦~此外,FreeBuf会定期开展不同的甲方社群直播,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧! 更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动? 【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部】 【如有疑问,也可扫描上方二维码添加小助手微信哦!】 精彩推荐
1.6K40编辑于 2023-04-06 - 来自专栏FreeBuf
聊聊“安全运营”实践之道 | FreeBuf甲方群话题讨论
5、我感觉安全要达到一种地步,就是企业安全就像内裤,不能说保命,但缺少了是不是确实会心慌 6、安全运营与运维的差异:运维:我只干好我的工作,公司是否挣钱跟我无关,拿多少钱干多少活! 1、量化指标:(1)当前资产监控覆盖率; (2)当前资产基线安全合格率; (3)当前系统安全已知风险漏洞解决率;(4)每周最多攻击事件/首次发现攻击分析,是否调整当前防御手段;(5)每周防火墙流量分析。 4、难以度量指标,例如终端安全运营需要知道基础的终端数量信息等; 5、量化安全指标我觉得可以从这几个方面去考虑:(1)覆盖率:包括资产管理、流量管理、安全管理的覆盖情况,有没有未知资产或漏管资产;(2) FreeBuf甲方交流分享群 纯甲方:囊括金融、政府、运营商、医疗、互联网企业等多行业甲方安全从业人员,具备严格的入群审核机制,非甲方安全从业人员拒绝进群 真实有料:从甲方企业CSO到安全工程师,从安全方案应用到产品技术应用 ,社群定期组织相关主题话题讨论,共同交流最真实有趣有料的甲方安全建设经验 专属权益:一旦认证成为FreeBuf甲方会员,即可享受FreeBuf报告在线免费阅读权益,同时参与社群话题讨论便有机会获得FVIP
1.2K30发布于 2021-05-20 - 来自专栏数通
安全从业必看:选错就后悔!甲方乙方安全工作终极对比指南
最近,安全圈频繁讨论"甲方安全还是乙方安全"的话题。许多安全从业者在选择职业发展时都会遇到这个问题。究竟应该去阿里、腾讯这样的甲方做安全,还是选择绿盟、启明星辰这样的安全公司? 甲乙方的本质区别 身份定位: 甲方:在非安全业务公司做安全(如银行、互联网公司) 乙方:在安全业务公司做安全(如安全厂商、安全服务商) 工作范围: 甲方:服务对象局限于公司内部 乙方:服务对象面向所有客户 工作特点对比 工作内容: 甲方:全面性,需要覆盖多个安全方向 乙方:专注性,通常专精某个安全领域 技术深度: 甲方:广度优先,跟随业务发展 乙方:深度优先,专注技术突破 预算资源: 甲方:整体预算大 ,安全占比小 乙方:整体预算小,安全占比大 选择建议 适合选择甲方的人群: 喜欢全面发展 注重工作稳定性 期望参与完整安全体系建设 适合选择乙方的人群: 热爱技术钻研 喜欢接触不同客户 期望快速积累项目经验 要看具体公司 管理水平与甲乙方无关 技术能力不分甲乙方 发展建议 选择甲方还是乙方,关键要看: 个人发展诉求 技术兴趣方向 职业规划目标 工作环境偏好 你是甲方还是乙方安全从业者?
28100编辑于 2025-01-09 - 来自专栏FreeBuf
FreeBuf甲方群话题讨论 | 聊聊企业资产安全管理
面对现今资产高度数字化、威胁隐患越来越多的网络环境,越发庞大的资产,安全性也显得越发脆弱,维护好企业资产安全面临着较大挑战。 本期话题就围绕企业资产安全管理展开相关讨论: 1.大家的企业资产安全管理目前做的如何?有碰到哪些痛点? 2.如果从数据安全运营角度,对资产识别,尤其是涉敏资产,以哪些方式进行识别效果较好? @浅尝辄止 主要是账外资产不好管理,账内的不用说了,安全措施都比较完备,至少心里有数;账外资产就麻烦多了,因为你自己也不知道,用账外资产的人又不关心安全,极易成为网络安全的盲点,这些账外资产的大部分网络安全措施都是薄弱甚至缺乏的 数据架构建设:是实现数据安全的前提,分为三大块考虑: 1.API网关互联网数据安全(目的是不被外网轻易爬走数据。 区别与网络安全,可能数据安全在数据防泄露、防勒索破坏、加密保护、访问控制等方面有特别关注的因素。 本期精彩观点到此结束啦~
68050编辑于 2022-06-08 - 来自专栏Seebug漏洞平台
404星链计划 | 精选 10 个甲方开源安全工具
本期精选10个甲方开源安全工具 以下项目均收录于知道创宇404实验室星链计划 排名按Github star 01 dperf 作者:Benjamin 开发语言:C github star:3.2k https 国内多个知名安全厂商用dperf测试其防火墙。知名开源四层负载均衡DPVS在用dperf做性能测试,发布性能测试报告。 03 linglong 作者:awake1t 开发语言:Golang github star:1.5k https://github.com/awake1t/linglong linglong是一款甲方资产巡航扫描系统 08 murphysec 作者:墨菲安全 开发语言:Golang github star:988 https://github.com/murphysecurity/murphysec 墨菲安全专注于软件供应链安全 ,murphysec 是墨菲安全的 CLI 工具,用于在命令行检测指定目录代码的依赖安全问题,也可以基于 CLI 工具实现在 CI 流程的检测。
64820编辑于 2023-08-21
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号