基于主动防御能力,建设安全运营中心的一点思考
未来越来越多的组织,会改变以往盲目进行安全建设的风格,转而更加关注网络安全所带来的实际效果,并会有越来越多的人开始考虑安全建设的本质。那么,安全建设的根本目标是什么呢?
我认为在2.0时代,安全建设的目标有两个,一个是解决传统安全所不能解决的问题,也就是提高主动安全防御能力;另外一个就是让安全工作变得更方便,安全工作变得更有效率,提高整体安全运营的能力。
乙方视角的安全防御15年
又是一年岁末年初,2018年对信息安全从业者来说是不平静的一年,无论是国家、企业和个人或多或少都能感受到安全威胁给我们带来的阵阵寒意,具体发生了什么文末会有彩蛋。
乙方视角的安全防御15年沧海桑田,看风险评估在这十五年间的变化与演进
风险评估应该算是安全服务、安全咨询,最为重要的一个组成部分,相信大部分人对它都有着难以割舍的情感。所以,今天就来聊一聊风险评估,那个曾经在安全行业里大红大紫,现在却没多少人太Care的风险评估。
本文以时间顺序,来总结一下风险评估发展的各个阶段,以及它在各时期所发挥的作用。由于各阶段时间上重叠,精确时间没办法一一考证,所以,时间只是作为一个阶段发展大致参考。
802.1X的故事
似乎是大家都不再提802.1X的话题了,我不禁回忆起曾经参与过的那几个项目,这里回忆一下,并不想鼓吹什么技术方向,仅想把自己踩过的那些坑回忆一下。
802.1X的故事The Productization of “Zero Trust”
While there have been many “Zero Trust” products and solutions in the market, I would like to say that the evolution is still in early stage, and I personally believe the security world would be significantly different in 5-10 years, with “Zero Trust” solutions finally dominating the market.
The Productization of “Zero Trust”浅谈BeyondCorp(二)-标准化是办公网安全的基石
我将办公网安全全貌划分成三大部分本篇为基础能力,算是对上一篇的一部分前置条件的补充;第二大部分我称之为横向拓展,设计监控与运营(SOC)、网络准入、文档安全、设备管理、终端检测&响应(EDR)、数据防泄漏(DLP)以及一部分认为在建设中后期才需要做的事情;最后一部分称之为温饱之外,主要是阐述一些可以集成提供的IT服务能力,近期应该会紧随发出下一篇。
浅谈BeyondCorp(二)-标准化是办公网安全的基石CSO怎么做(11)2018年系列收尾兼回答几个问题
这个“CSO怎么做”的系列,到这一章算是收个尾。我一直在琢磨这几个问题:信息安全市场到底是甲方引领,还是乙方引领驱动?为什么国内很多安全产品、长期以来没有适应国内科技创新型企业的需求?
CSO怎么做(11)2018年系列收尾兼回答几个问题商业银行数据安全保护体系建设思路
商业银行数据保护是一个系统工程,需要多方面的协调与配合,既涉及到组织架构的调整,也有技术手段的增加,管理策略补充,更需要长期的进行人员教育与培训。
商业银行数据安全保护体系建设思路CSO怎么做(10)物理安全怎么做
人员安全之意识教育在我很久之前就写过了,而作为信息安全最基础的一环—-物理安全也必不可少。
CSO怎么做(10)物理安全怎么做浅谈敏捷开发模式下银行业金融机构开源软件引入风险及管控举措
不管是直接使用开源技术,还是购买开源技术的商业软件都需要考虑开源技术带来的风险,只不过是规避开源技术风险的责任主体不同。 金融机构在使用或引入开源软件或代码时,除了需要考虑开源或许可证兼容风险、违约或其他法律风险、以及数据安全或隐私风险这些开源软件本身所带来的风险外,还要考虑监管合规风险等行业特定风险。
浅谈敏捷开发模式下银行业金融机构开源软件引入风险及管控举措洋葱式信息安全观察:网络威胁情报面面观
搞清楚网络威胁情报是什么和有什么,才能让我们避免陷入片面的威胁情报观。
洋葱式信息安全观察:网络威胁情报面面观浅谈网络攻防中的战术对抗
本文之所以跳出技术谈战术,一方面是基于客观的攻防形式,另一方面也是考虑到紧缺的安全资源。安全投入不足,缺乏人员、技术和资金,是企业安全的常态化问题。网络安全攻防对抗是相对复杂的系统性问题,守方的牌永远不够打。通过对战术的研究和思考,可以将牌在正确的时机打到正确的地方,有助于将有限资源发挥最大化作用。
浅谈网络攻防中的战术对抗互联网企业安全建设思考与实践
互联网企业安全建设之路任重而道远,包含的内容实在是非常的多和广,绝非一篇文章、一次分享能够说的清楚。由于本人能力有限,文中肯定有一些不足之处,欢迎大家一起探讨,共同进步。
互联网企业安全建设思考与实践CSO怎么做(9)信息安全审计应该如何开展?
这一章就来说说如何开展信息安全审计工作。
CSO怎么做(9)信息安全审计应该如何开展?Gartner 2018年十大安全项目详解
2018年“十大安全技术”换成了“十大安全项目”,所为何故?我个人的理解:今年“十大安全项目”的叫法更加符合客户视角,而且更加强调对客户而言具有很高优先级的技术。也就是说,也许有些项目涉及的技术不一定是最新最酷的技术,但对客户而言是特别有助于降低安全风险的技术。如此一来,十大安全项目考察的技术点就要比十大安全技术更广泛,更加客户视角。
Gartner 2018年十大安全项目详解浅谈BeyondCorp(一)-受管设备与分层访问
在今年不同的安全会议中大家都开始宣讲一种之前国内关注不多的模式-零信任架构概念,在全球领域内该概念下实践较为前沿的是Google BeyondCorp项目。我目前所在的团队一直在各细分领域学习并对标Google&Amazon等厂的优秀安全架构方案,并有幸参与、设计公司的零信任架构项目并去实践落地,也会在不涉密的情况下持续分享一些我的拙见。
浅谈BeyondCorp(一)-受管设备与分层访问漫谈互联网公司移动安全体系的探索与实践
在互联网企业移动端业务发展到一定规模后,移动安全方向所输出的解决方案也需要更加贴合到保障公司业务的层面上,而非将自身及团队局限在传统意义的攻防对抗困境中。所以,在将上文所述的移动安全基础组件上线完毕后,我们除了在已有领域的深耕之外,会持续进行一些与业务紧密贴合安全方向的探索,分享从更多角度出发,在更多领域业务安全保障经验。
漫谈互联网公司移动安全体系的探索与实践洋葱式信息安全观察:网络威胁情报分享实践一瞥
PEST是Political, Economic, Social and Technological的缩写,指的是指政治、经济、社会和技术,常用于宏观环境分析。
洋葱式信息安全观察:网络威胁情报分享实践一瞥洋葱式信息安全观察:“网络杀链”的B面!
在威胁标准首发后笔者写了一篇随笔,吕毅先生给与的积极反馈,同时提醒笔者可以写一下钻石模型,同时提到“网络杀链”,而笔者也早有就“网络杀链”模型发表些个人观点的想法,以此文对吕毅先生表示答谢。同时写在B面(BSides)沙龙在中国举行活动之前,借B面(BSides)之意。
洋葱式信息安全观察:“网络杀链”的B面!安全村文集 – 第二辑
独立思考,协奏成章
安全村文集 – 第二辑