README
工具
本文最后修改时间:2019-03-03 20:02

团队/企业

__ENI__ on 2017-05-26:

axindeng 提问: 如何才能快速有效地建立起一个企业的安全体系,并且良好地推动呢? 问题问的有点泛,正如我现在毫无思路一样?希望能指点迷津。谢谢

嗯,很泛,但不是不能回答。以我们的经验,要快速,建议把运维工作做好,运维职责里加上安全运维。比如:及时补丁,端口出入策略,用户权限策略,备份/灾备策略。

还有第三方安全服务引入,比如渗透测试,防御相关系统的合理使用。

最后,及时关注这个安全/黑客圈子的动态!

这就快了。然后再不断迭代优化。

...

__kf230__: 有本书可以读下~互联网企业安全高级指南 __余弦@ATToT__ replies to __kf230__: 确实,感谢互动 __axindeng__ replies to __kf230__: 谢谢推荐

...


__ENI__ on 2017-05-27:

蛮吉 提问: 国内网络安全做的好的是哪家公司,有专门以网络安全为基因的上市公司吗,能评价一下水平吗

安全全景图: 安全全景图

可以看看国内安全真是百花齐放。

...

__余弦@ATToT__: 还可以参考这个: [中国网络安全厂商、等保测评单位、安全培训机构大全(2017最新版)](http://mp.weixin.qq.com/s/-q4TBhaTsBpulf5mhGSurw)

...


__余弦@ATToT__ on 2017-06-01:

匿名用户 提问: 您好,我想请教下,风险评估团队的kpi应该如何考核才能激发团队的主动性,发挥团队的战斗力?

貌似安全评估不好象研发一样能按模块考核,而且安全评估本身就比研发写代码困难得多。

请余总赐教

建议还是目标导向去评估,这类团队的目标导向说直白就是客户满意度,技术在这里的比例真不高。

也许不应该用那些“技术才是王道”的人。


__余弦@ATToT__ on 2017-06-06:

深蓝 提问: 你好,我一直在从事linux系统版本开发,也在知道做过运维,也接触了解很多政府的项目,关于安全,我反而觉得除了提供安全的机制,更重要的是如何引导用户提升安全的意识,不然没有自我的安全管理理念,一切都是空谈,另外除了web安全,在IT基础架构上还有那些更好的提升方式?

你的想法是对的。

然后看看这个:从Google白皮书看企业安全最佳实践

从Google白皮书看企业安全最佳实践


__余弦@ATToT__ on 2017-06-07:

慕风 提问: 余弦大大,我们学校没有信息安全专业,之前也没有相关的社团或者兴趣小组,这一块的整体实力都很弱。 我大一,上学期加入了一个由大二学长组成的新兴的网络安全小组,但差不多都是小白,我凭着一个小菜的实力就成了副组长。 暑假要带着大家一起学习,但我清楚自己的水平,感觉压力很大,不过动力也十足。 我想从这一届起能在学校把这一块儿做好,但没有经验,不知道后期该怎么安排,我现在只能想到带着大家一起学习,然后打打ctf,争取拿奖,有点名气,才好继续发展,然后呢,我就有些迷茫了。感觉ctf只能是暂时性的。 而且大家都不积极,平时群里基本没动静,没有学习氛围。 恳请大大指点一下方向,也传授一下关于带队的一些经验。

关于 CTF,可以看我前面的回答。

团队不积极,无所谓,不用试图去照顾一个不积极的人,以后毕业了,海阔天空,各有千秋。看远点,不要因为这个迷茫。

至于带队经验,首先记住一句话:兵熊熊一个,将熊熊一窝。如果你自己不够强悍,怎么带队?


__ENI__ on 2017-06-12:

axindeng 提问: 作为一个团队leader,如何管理好本团队的文档,同时不会被泄露的风险呢?

难,根本还是在于团队里不要出现人品恶劣的人,如果是因为被黑而泄露,另当别论。

建议是:做好意识与责任强调,如果泄露需要担负什么什么责任。


__余弦@ATToT__ on 2017-06-17:

匿名用户 提问: 我想问的是,一个好的安全团队,健康的安全团队应该是怎么样的呢?从分工,分享知识到团队协作我都想了解。我现在的情况是在一个小公司4,5个做渗透这块的小伙伴,一直处在一个好像自己做自己的事情的状态,配合度很低,然后没有感觉到共同进步的那种感觉和氛围。而且大家水平都差不多,一般般这样。我虽然没在安全团队待过,但是我也知道现在这种状态有点浪费时间的感觉,还是和自己在家做渗透是一个样子。我想请教一下,要怎么样才能把团队提升起来呢?要怎么样才会有那种健康成长的感觉呢。🙏🙏谢谢

几个点:

  1. 首先得有个不错的 Leader,“兵熊熊一个,将熊熊一窝”,这个 Leader 技术水平要很高,经验要很丰富,否则怎么带动这支作战队伍?当然如果技术不那么高也可以,只是要服人吧?都是要么以武服人,要么以德服人,武不行,德总得让大家知道跟着他干,有肉吃。

  2. 这 4/5 人小团队,大家技能必须是有互补的,渗透领域要的技能那么多(看看之前发的“洛马七步杀”),大家技能互补了,自然能协作起来。

  3. 氛围这东西,有时候真看人,比如你说大家水平都差不多,一般般这样,那么大家有没有愿意一起去学习一起去交流,主动的,而不是被动的,如果团队里有那种需要被动推进的人,还是开掉吧,这种人并不是真的适合这个活。因为现在,真的不缺主动干活的人。


__余弦@ATToT__ on 2017-07-03:

吕土金 提问: 弦好,请安。请教一事不懂,看到某支付企业招人,岗位是安全系统开发,负责安全监控和安全风险评估。什么是安全系统开发?风险评估怎么做?没有接触过支付圈子,请您明示。也请各位懂行的给讲讲,谢谢!

好吧,这个我不算了解,有了解的同学可以互动下。我的理解是因为支付是非常需要做风险控制的,因为和钱有关,那么一定需要一套完整成熟系统或体系来监控异常,评估风险级别,然后指导采取行动,比如阻止、警报等。这些至少包括:合法用户的账号安全、资金安全,还包括“撸羊毛”风险,比如会有大量“非法”的注册用户,来自大量黑号注册的,对这个支付平台相关业务进行大规模刷单。

由于我没从事这个行业,但多少了解些,算是皮毛吧,更多的留给这个行业的人来互动。

...

__酷陈__: 支付🐶路过,感觉岗位从文字看应该是找安全平台建设与监控响应,以及对一些安全事件的处置评估,因为支付机构受人行监管,有很多合规要求。当然也可能会涉及风控,不过支付机构有专门的风控部门,是偏业务的 __余弦@ATToT__ replies to __酷陈__: 嗯 很多合规要求。 __酷陈__ replies to __余弦@ATToT__: 业务又要打插边球,又要快,常导致不安全,所以要评估有啥办法可以既合规又不影响人行技术检查还能保证一定的安全。啊呸,哪有这么好的是记得告诉我😂😂😂 __吕土金__ replies to __酷陈__: 监控平台的响应包括什么?例如大量黑账号注册,或者支付频率不正常,或者支付地点可疑等等?请讲讲你在单位都做啥,好吗?给我们普及一下,谢了😍 __酷陈__ replies to __吕土金__: 你说的这些大多都在风控规则里面由风控部门通过系统监控 __吕土金__ replies to __酷陈__: 略懂。似乎这家单位招的是监控系统运维,最好懂点编程,可以修理系统的人。 __酷陈__ replies to __吕土金__: 那估计是类似zabbix这类开源监控系统的二次开发? __快看这是一只野生的自然卷__: 曾经从事网银与手机银行系统的安全/风险评估,所以提供些参考,对支付系统进行安全评估,可以参考《网上银行系统信息安全通用规范》以及《电子银行安全评估指引》,根据里面的评估内容, 结合人行《非金融机构支付服务管理办法》 制定自己的评估标准,考虑到是安全系统开发,猜测应该是将相关的风险指标整合进安全监控系统,soc一类的,或者业务安全监控,反洗钱,异常交易等,两个领域差异较大,后者很少接触。 (第一次回答好紧张,怎么表情这么少😨) __余弦@ATToT__ replies to __快看这是一只野生的自然卷__: 哈哈 谢谢参与互动

...


__余弦@ATToT__ on 2017-11-04:

薛中良 提问: 余弦你好,请问如果自己想要在公司内部开始做源代码安全扫描的话,应该如何着手比较合适?行业是否有靠谱的开源或免费的工具?了解下网上虽然有几个免费的源代码安全检测服务,但是是针对开源项目,自己公司内部的源代码可能不太合适放到网上去。

开源免费毕竟比不上商业,作者靠什么吃饭?思考好这个问题。可以考虑引入那些口碑不错的商业级工具,比如 Fortify。也不是说开源免费没帮助,平衡好就行。还可以了解下 Findbugs。