- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
FreeBuf甲方群 | 2020甲方安全总结&2021甲方安全建设预算
FreeBuf甲方交流分享群 纯甲方:囊括金融、政府、运营商、医疗、互联网企业等多行业甲方安全从业人员,具备严格的入群审核机制,非甲方安全从业人员拒绝进群 真实有料:从甲方企业CSO到安全工程师,从安全方案应用到产品技术应用 那么今天,我们想和大家一起聊聊安全行业甲方从业者的2020和即将到来的2021。 【关键词:甲方安全2020总结】 1、今年没啥可吐槽的,演练成果远超想象,主要的吐槽点大概就是部分关系户厂商了。 FreeBuf总结:10年规划的甲方,确实是第一次见到。也侧面体现了甲方安全人的不容易啊! 安全产品同业推荐、 安全产品使用经验分享、 甲方安全工作的种种趣事、囧事 以及甲方安全人的踩坑、避雷分享… 以上内容及往期讨论可在FreeBuf甲方群文件中查看哦! 看到这里,如果你也是甲方安全从业人员: 如何加入FreeBuf甲方会员? 如何畅享FreeBuf甲方专属权益? 如何进入FreeBuf甲方群? FreeBuf甲方专属线下活动参加?
38710编辑于 2023-04-26 - 来自专栏中国白客联盟
甲方安全建设-内网安全(IDS)
前言 之前的篇章讲解了甲方安全建设之日志采集-Elastic Agent、甲方安全建设之日志采集-记录Windows事件管理器日志、甲方安全建设之研发安全-SCA,本文将讲解内网安全的检测。
70710编辑于 2024-04-19 - 来自专栏我的安全视界观
【企业安全】甲方眼里的安全测试
纵观互联网上公开的文章,专门介绍甲方安全测试的少之又少。入职甲方安全已将近一年又三个月,从甲方角度来做安全测试的流程和思路、痛处与难点也越加明晰。 尤其是最近几年以来,越来越被甲方应用安全所看重,不少公司也都在筹划、实施或践行着这整套软件安全流程,都希望能落地生根。 ? 但是在甲方,首先接触的便是测试环境,基本上所有的安全测试工作均在该环境。 甲方安全测试流程 甲方安全团队在收到业务方安全提测后,将先与提测方进行业务相关沟通(具体环境、功能等)并评估工作量,再进行测试,测试过程中一般都会进行多次沟通,对象包括对应开发、测试、产品甚至运维。 5、安全测试风险 ---- 在甲方,安全测试的每个环境都可能存在风险,暴力破解、常规web漏洞扫描,也能导致安全部门背故障分。
2.2K30发布于 2018-07-31 - 来自专栏中国白客联盟
甲方安全建设-DevSecOps SCA分析
前言 前文讲到了利用DependencyTrack对代码进行SCA分析,但是当时是通过手动上传BOM并在UI上进行展示查阅,对于安全左移DevSecOps来说,必然需要在应用编码、构建阶段就对其进行安全分析 ,如果发现安全风险则禁止构建和部署。 - branches 总结 本文讲解了利用DependencyTrack完成Devsecops中的SCA分析,保证了代码安全
45010编辑于 2024-05-21 - 来自专栏Bypass
甲方安全开源项目收集
前阵子,我发布了一份甲方安全开源清单,不少朋友帮忙反馈,得到了大大的补充,重新整理了一份项目清单。 https://github.com/jeffzh3ng/Fuxi-Scanner SeMF:企业内网安全管理平台,包含资产管理,漏洞管理,账号管理,知识库管、安全扫描自动化功能模块,可用于企业内部的安全管理 https://gitee.com/gy071089/SecurityManageFramwork 安全开发 rhizobia_J:JAVA安全SDK及编码规范。 https://www.kismetwireless.net/ SIEM/SOC OSSIM:开源安全信息管理系统,它是一个开源安全信息和事件的管理系统,集成了一系列的能够帮助管理员更好的进行计算机安全 https://github.com/thelinuxchoice/blackeye phishing:甲方网络钓鱼的安全实践。
3.8K51发布于 2019-07-30 - 来自专栏Cyber Security
【甲方安全建设】DevOps初体验
前言 临近春节,笔者经过半年北漂,期间辗转几家公司,同时也接触了几种不同岗位,也算对安全有了个初步的了解 目前在一家公司做安全开发相关实习,期间接触到一些比较有意思的技术,特此记录一下 之前写一些小的工具 ,无论是Bash、Python还是Java,都是顶多几百行的工作量,感觉不到开发的魅力,也没有开发和安全相结合的感觉,后面在公司有机会写一下完整的系统,以及后续的部署发布,体验到了创造的魅力(增删改查 )啥的 当然这也要看运维大哥给不给加内存了 hah 最近又又又接触到了DevSecOps DevSecOps-安全赋能 顾名思义 就是在DevOps过程中贯穿了安全,近几年从DevOps演变而来的, 据我目前的认识,应该是在DevOps流程中加入一些安全工具等因素,比如说: 使用SAST(静态分析安全测试):Fortify、AppScan DAST(动态分析安全测试):OWASP ZAP、Contrast 由于接触的时间并不长,部分的内容了解的不多,留个白吧,后面有机会再补充 关于安全平台 这里还是介绍一下自己正在开发的安全平台️,目前只写了完整的两个功能 漏洞扫描 可能有老哥一眼出发现了什么猫腻~~
45610编辑于 2024-07-18 - 来自专栏中国白客联盟
甲方安全建设-利用AI大模型协助安全运营
AI帮我们完成如攻击payload分析、告警日志分析、IP威胁情报查询并自动封禁等安全运营工作。 接下来完成对日志进行解析的workflow,很简单,直接把日志丢给llm就行,然后定义好让llm返回什么: # 角色 你是一位资深的安全专家,专注于技术向导和安全问题解析。 ## 技能 ### 技能 1: 安全问题解答 - 根据用户面临的安全问题,提供专业的解决方案。 - 执行全面的安全检查并采取相应的补救措施。 ### 技能 3: 安全性建议和修复代码供应 - 根据需要,给出个性化的安全建设方案和漏洞修复建议。 ## 约束条件 - 只讨论与信息安全相关的问题。 - 努力保护用户的隐私和数据安全。 - 尽量减少行业术语,以用户易于理解的方式解释问题。
74110编辑于 2024-06-24 - 来自专栏FreeBuf
甲方安全中心建设:代码审计系统
* 本文作者:陌度,本文属FreeBuf原创奖励计划,未经许可禁止转载 纵观甲方的安全体系建设,最开始和最重要的那一部分就是代码安全。 甲方公司内部有很多项目,每个项目都由不同的开发人员进行开发,所以项目开发水平也是参差不齐,也就是说有很大可能产生漏洞(SQL注入,XSS,命令执行等)。 很多甲方公司公司无法将SDL彻底落地除了DevOps的频繁交付,还有就是安全工程师无法在短时间内对大量项目的源代码进行人工审计。 因为假如由于这个漏洞出现的安全问题,一追踪发现是开发没有根据禅道的记录去修改,于是就可以杀开发祭天,nice,逃过一劫。但是正确的态度还是要跟开发撕,撕到这个问题被解决。 禅道系统的设置:新建一个产品叫安全审计,在项目添加对应的git的项目,添加负责人= =讲真,这一部分要根据自身的业务做一个调整 ? ? ?
2.5K21发布于 2018-07-31 - 来自专栏FreeBuf
安全从业者该去甲方还是乙方?
——《哈姆雷特》 最近有很多安全从业者咨询我,去甲方做安全好还是去乙方做安全好,尤其是应届生或工作1-3年的安全从业者。其实这是一个不太好回答的问题,因为牵扯的因素太多,每个人的状况也不尽相同。 我大学毕业后直接进入绿盟工作,3年后入职甲方一直工作到现在。我可以跟大家聊聊甲方做安全和乙方做安全的区别,正如安全是动态的一样,甲乙方的工作和发展也是动态变化的,仅限于个人视角,供参考。 其实甲方和乙方的主要区别是你的职场角色不同。在乙方你是盈利人员(可为公司产生直接收益),在甲方你是后台职能人员(不对企业产生直接收益,但是保障企业的安全或合规建设、规避风险、确保业务安全运行)。 在甲方,一些安全服务会外包给乙方,比如扫描、渗透、基线核查、等保测评等,甲方负责做好项目管理和资源协调来即可。 四、晋升空间 安全岗在甲方晋升是比较难的,难在企业不需要一个安全总监或一个CISO。
1.5K10发布于 2020-03-06 - 来自专栏数据安全架构与治理
甲方安全都有哪些黑科技?
在网络安全领域的甲方,也就是各种企业,往往实施了各种安全防护措施,以防止黑客入侵或内部泄密。除了常规的大家都知道的那些防护措施,还有没有什么值得一提的黑科技呢? 这就是红外对射,现在基本是甲方的数据机房的外围物理安全防护的标配。 一旦有人或动物闯入,就会启动警报。 (2)门禁 进入机房或重要房间,需要刷指纹(或虹膜)以验明正身。这个比较常见,就不贴图了。 网络层安全 ---- (1)准入控制 有些公司,如果是访客的电脑,即使插入网线也访问不了内网。 数据安全与防泄密 ---- (1) 文档丢了也打不开 数字版权系统的引入,可以让文档只能在内网打开。 当然,这些仅仅是甲方安全所涉及到的一部分。 还有,安全管理、安全流程、情报分析、安全审计等等。
38220编辑于 2022-06-02 - 来自专栏FreeBuf
话题讨论 | “传说中”的甲方安全
前言: 之前有人跟我说甲方的安全技术人员不如乙方。但是事实上我了解的却是多数“技术高超” 的乙方人员无法胜任甲方的工作,先别急着反驳 ,我们先来看看技术人员对比。 安全评估: 甲方安全人员比较少,需要的是全能型技术人员,web评估,移动应用评估,物联网产品评测甚至是公司购买产品的评估。相应的,技能熟练度要求相对较低。 应急响应 甲方安全技术头疼的事情之一,业务部门被攻击了,服务器中病毒了,新漏洞曝光了等等。 工作汇报 身在甲方,安全怎么体现价值,工作汇报是重中之重,绝不含糊,你辛辛苦苦付出那么多,没问题理所应当,有问题就是你的锅。 当然,别担心,既然本文是写甲方安全技术的生存之道,那么就来说说,怎么生存在甲方。 第一关,关于未知领域的项目 想做安全,无论什么情况下,基础的安全技能都是必要的。最少要有自己擅长的技术。
1.5K91发布于 2018-02-26 - 来自专栏中国白客联盟
甲方安全建设- Velociraptor初体验协助应急响应
前言 刷到顺丰安全发表关于Velociraptor的文章,提到可以用它实现数据的查询,在应急的时候起很大作用,再加上刷到Velociraptor的一个ppt,笔者觉得挺不错,就来体验下。
1.3K20编辑于 2024-07-20 - 来自专栏FreeBuf
甲方安全之企业安全自动化工具SeMF分享
* 本文作者:FallenAngels,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言: 上一篇文章《“传说中”的甲方安全》发布已经半年的时间,文章结尾说开源自建的安全管理平台,但是一直跳票。 ,可用于企业内部的安全管理制度落地。 本平台旨在帮助安全人员少,业务线繁杂,周期巡检困难,自动化程度低的企业,更好的实现企业内部的安全管理。 资产管理 资产是安全管理的核心,看过好多企业安全管理的文章,基本上第一部分都是公司资产的梳理,确认需要管理的资产并进行资产分级。 漏洞管理 这个模块就是身在甲方的我最需要的模块,也是这个平台的起点,(想当年,面对N多个业务系统,每次上百各安全漏洞,对每个漏洞修复跟进和复查 ,着实心累,好不容易修复了,研发给回滚了,都是泪啊),这个模块的话能看到当前所有资产的漏洞和相关信息
1.3K40发布于 2018-07-30 - 来自专栏FreeBuf
FreeBuf甲方群话题讨论 | 聊聊企业API安全
安全和开放是互联网世界永恒的话题,其中API扮演着重要的的角色,API的安全可以说是开放与创新的前提。 随着API成为越来越多企业访问数据和服务的接入口,由API漏洞引发的安全事件时有发生,不安全的API已成为网络攻击者的主要目标之一。 本期话题就围绕企业的API安全展开相关讨论: 1.通过日常的工作接触,大家认为不安全的API往往有哪些特性? 3.大家认为目前的API安全架构建设还存在哪些难点,有无自己的一些设计思路? (本文所有ID已做匿名处理) 1.通过日常的工作接触,大家认为不安全的API往往有哪些特性? 3.大家认为目前的API安全架构建设还存在哪些难点,有无自己的一些设计思路?
60440编辑于 2022-04-12 - 来自专栏FreeBuf
应用安全与数据安全的工作边界在哪;甲方如何管控对乙方的授权 | FB甲方群话题讨论
▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 224 期来了! FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。 本期话题抢先看 1. 作为甲方,如何实现对乙方运维团队授权的各类高级权限(如服务器、数据库root权限、安全设备权限)管控、审计,以防范违规或未授权操作? 话题二 作为甲方,如何实现对乙方运维团队授权的各类高级权限(如服务器、数据库root权限、安全设备权限)管控、审计,以防范违规或未授权操作? A1: 这只能人盯人,高危命令禁止,敏感操作授权。 在关于甲方实现对乙方运维团队授权的高级权限管控措施讨论中,大家认为使用堡垒机或类似的中间件来代替直接连接设备,禁止高危命令和敏感操作以及授权特定组件来执行操作,同样,这也需要签订协议并划定必要的约束措施
1.6K30编辑于 2023-09-24 - 来自专栏FreeBuf
浅谈安全之应急响应 | FreeBuf甲方社群直播回顾
网络安全是一个变化、复杂的可持续过程,而应急响应则是这个过程中不可或缺的一环。无论如何稳固的安全体系,都需要思考一个问题,当安全防线被攻破了怎么办? 网络安全事件层出不穷、事件危害损失巨大。 合格的网络安全应急响应将成为企业应对网络安全攻击的最后一道防线,也是企业安全的最终保障,才能更好地起到防护的作用。 3月17日,集贤科技安全总监fooyii在FreeBuf甲方社群第十一场内部直播中担任主讲嘉宾,以“浅谈安全之应急响应”为主题进行分享,带大家系统的认识应急响应。 四、加入FreeBuf甲方社群 本期直播精彩回顾到此结束啦~此外,FreeBuf会定期开展不同的甲方社群直播,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧! 更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?
1.6K40编辑于 2023-04-06 - 来自专栏FreeBuf
聊聊“安全运营”实践之道 | FreeBuf甲方群话题讨论
关键词:安全运营 @FreeBuf 企业要做好安全建设,自研或者采购一些安全产品,引入一些安全解决方案,是远远不够的。这些只是手段,真正的诉求应该是解决企业的安全风险。 4、我认为对于企业安全运营来说,基于企业战略发展规划、监管机构要求、客户合同安全需求、公司风险评估结果等,制定信息安全目标及安全策略,通过PDCA的方式,逐渐将各类安全风险降到可接受的程度,实现安全目标的过程 重在不断循环整个过程,将公司安全风险、安全需求、安全目标、安全策略等,做到可量化、可执行、可管理。 FreeBuf甲方交流分享群 纯甲方:囊括金融、政府、运营商、医疗、互联网企业等多行业甲方安全从业人员,具备严格的入群审核机制,非甲方安全从业人员拒绝进群 真实有料:从甲方企业CSO到安全工程师,从安全方案应用到产品技术应用 ,社群定期组织相关主题话题讨论,共同交流最真实有趣有料的甲方安全建设经验 专属权益:一旦认证成为FreeBuf甲方会员,即可享受FreeBuf报告在线免费阅读权益,同时参与社群话题讨论便有机会获得FVIP
1.2K30发布于 2021-05-20 - 来自专栏数通
安全从业必看:选错就后悔!甲方乙方安全工作终极对比指南
最近,安全圈频繁讨论"甲方安全还是乙方安全"的话题。许多安全从业者在选择职业发展时都会遇到这个问题。究竟应该去阿里、腾讯这样的甲方做安全,还是选择绿盟、启明星辰这样的安全公司? 甲乙方的本质区别 身份定位: 甲方:在非安全业务公司做安全(如银行、互联网公司) 乙方:在安全业务公司做安全(如安全厂商、安全服务商) 工作范围: 甲方:服务对象局限于公司内部 乙方:服务对象面向所有客户 工作特点对比 工作内容: 甲方:全面性,需要覆盖多个安全方向 乙方:专注性,通常专精某个安全领域 技术深度: 甲方:广度优先,跟随业务发展 乙方:深度优先,专注技术突破 预算资源: 甲方:整体预算大 ,安全占比小 乙方:整体预算小,安全占比大 选择建议 适合选择甲方的人群: 喜欢全面发展 注重工作稳定性 期望参与完整安全体系建设 适合选择乙方的人群: 热爱技术钻研 喜欢接触不同客户 期望快速积累项目经验 要看具体公司 管理水平与甲乙方无关 技术能力不分甲乙方 发展建议 选择甲方还是乙方,关键要看: 个人发展诉求 技术兴趣方向 职业规划目标 工作环境偏好 你是甲方还是乙方安全从业者?
25500编辑于 2025-01-09 - 来自专栏FreeBuf
FreeBuf甲方群话题讨论 | 聊聊企业资产安全管理
面对现今资产高度数字化、威胁隐患越来越多的网络环境,越发庞大的资产,安全性也显得越发脆弱,维护好企业资产安全面临着较大挑战。 本期话题就围绕企业资产安全管理展开相关讨论: 1.大家的企业资产安全管理目前做的如何?有碰到哪些痛点? 2.如果从数据安全运营角度,对资产识别,尤其是涉敏资产,以哪些方式进行识别效果较好? @浅尝辄止 主要是账外资产不好管理,账内的不用说了,安全措施都比较完备,至少心里有数;账外资产就麻烦多了,因为你自己也不知道,用账外资产的人又不关心安全,极易成为网络安全的盲点,这些账外资产的大部分网络安全措施都是薄弱甚至缺乏的 数据架构建设:是实现数据安全的前提,分为三大块考虑: 1.API网关互联网数据安全(目的是不被外网轻易爬走数据。 区别与网络安全,可能数据安全在数据防泄露、防勒索破坏、加密保护、访问控制等方面有特别关注的因素。 本期精彩观点到此结束啦~
67650编辑于 2022-06-08 - 来自专栏Seebug漏洞平台
404星链计划 | 精选 10 个甲方开源安全工具
本期精选10个甲方开源安全工具 以下项目均收录于知道创宇404实验室星链计划 排名按Github star 01 dperf 作者:Benjamin 开发语言:C github star:3.2k https 国内多个知名安全厂商用dperf测试其防火墙。知名开源四层负载均衡DPVS在用dperf做性能测试,发布性能测试报告。 03 linglong 作者:awake1t 开发语言:Golang github star:1.5k https://github.com/awake1t/linglong linglong是一款甲方资产巡航扫描系统 08 murphysec 作者:墨菲安全 开发语言:Golang github star:988 https://github.com/murphysecurity/murphysec 墨菲安全专注于软件供应链安全 ,murphysec 是墨菲安全的 CLI 工具,用于在命令行检测指定目录代码的依赖安全问题,也可以基于 CLI 工具实现在 CI 流程的检测。
62820编辑于 2023-08-21
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号