安全管理

安全管理 SDL.vs.入侵检测,源头和末端选哪头

SDL.vs.入侵检测,源头和末端选哪头

在安全领域,安全开发过程SDL和入侵检测完全是两件事,似乎是两个不能拿来直接比较的东西。 之所以硬是把两个东西放在一起比较是基于以下的命题:手中资源恒定的情况下,投入在SDL上更有效,还是投入在入侵检测上回报更高。在《互联网企业安全高级指南》中提过对于安全负责人来说,整个决策都是基于投资回报的。 (注:安全负责人不等于安全管理岗位,后者跟产品经理一样只是一个岗位名称,而前者至...
安全管理 选择在不同的维度做防御

选择在不同的维度做防御

选择在不同的维度做防御 攻击的方法千千万万,封堵同一个安全风险的防御方法往往不止一种,如何选择性价比最高的手段是甲方安全从业者需要权衡的。 技术实现维度场景 在纵深防御的概念中企业安全架构是层层设防,层层过滤的,常见漏洞如果要利用成功需要突破几层限制,所以退一步对防御者而言有选择在某一层或某几层去设防和封堵的便利,比如SQL注入,治本的方法当然是代码写对,治标的方法WAF过滤,...
安全管理 如何衡量企业安全的效果

如何衡量企业安全的效果

在老池的粉丝群做了次分享,谈了谈几个基本的问题,分享到这里。 企业该如何做安全? 在早些年,我最早在阿里做安全的时候,遇到的最大的挑战,就是讲不清楚安全的价值。我想这可能依然是今天大多数CSO所面临的难题。 安全这个东西很微妙,不像业务可以用销售额和用户数来衡量,也不像运维可以用稳定性指标(比如故障数)来衡量,也不像研发可以用bug数、服务器台数(体现成本和性能)、扩展性、专利...
安全管理 浅析大规模DDOS防御架构-应对T级攻防

浅析大规模DDOS防御架构-应对T级攻防

导读 DDOS分类 在讲防御之前简单介绍一下各类攻击,因为DDOS是一类攻击而并不是一种攻击,并且DDOS的防御是一个可以做到相对自动化但做不到绝对自动化的过程,很多演进的攻击方式自动化不一定能识别,还是需要进一步的专家肉眼判断。 网络层攻击 SYN-FLOOD 利用TCP建立连接时3次握手的“漏洞”,通过原始套接字发送源地址虚假的SYN报文,使目标主机永远无法完成3次握手,...
安全管理 互联网企业安全建设(一)

互联网企业安全建设(一)

安全行业的第三流派-CSOs 目前在大多数行业后加入者的眼中“二进制”和“脚本”流派广为人知,虽然他们是安全行业的主力军,但除了微观对抗之外安全是一个很大的工程,比如企业安全管理,我把他们归入安全行里的第三流派-CSOs,加了s跟scriptkids一样表示他们是一个群体,这个群体从生态链的顶端链接着绝大多数从业者和安全厂商。 企业安全是不是发现漏洞然后修漏洞,再设置一下防火墙...
安全管理 如何推动安全策略

如何推动安全策略

建立一支安全团队 注: 这个题目有一个上下文,就是在我写的企业安全系列里,只针对去互联网公司建立甲方安全团队,不适用于其他场景 如果要去一家公司领衔安全建设,第一个问题就是如何建立安全团队。上面提到不同的公司状况对应的安全建设需求是不一样的,需要的安全团队也是不一样的,所以我按不同的场景来深入这个问题。 在目前国内的市场中,BAT这种公司基本是不需要你去组团队的,对安全负责人有...

不容错过

友情链接

合作伙伴