互联网企业安全高级指南读书笔记之甲方安全建设方法论

最新推荐文章于 2024-07-26 11:29:45 发布
最新推荐文章于 2024-07-26 11:29:45 发布
阅读量2k 收藏 4
点赞数
分类专栏: 读书笔记 互联网企业安全高级指南读书笔记 文章标签: 互联网企业安全高级指南 读书笔记 甲方安全建设
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tan6600/article/details/79784428
版权
本文是《互联网企业安全高级指南》读书笔记,重点讨论甲方安全建设的初期准备、安全策略推动、风险管理和应急响应等,强调安全应与业务协同发展,避免简单对立,并提出跨时间轴场景的防御策略。
摘要由CSDN通过智能技术生成

初期三件事

  • 事前的安全基线
  • 事中的监控能力
  • 事后的应急响应

其实做攻防和研发安全产品完全是两码事,存在巨大的鸿沟,如果拿做攻防的团队直接去做安全工具开发,恐怕挫折会比较多,即便有些研究员擅长做底层的东西,但对于高并发生产环境的服务器工具而言,还是有很大的门槛。另一方面做攻防和做研发的思路也截然不同,此时其实是在交付产品而不是在树立安全机制,所以往往要分拆团队,另外招人

如何推动安全策略

公司层面

推动安全策略必须是在组织中自上而下的,先跟高层达成一致,形成共同语言,对安全建设要付出的成本和收益形成基本认知,这个成本不只是安全团队的人力成本和所用的IDC资源,还包括安全建设的管理成本,流程可能会变长,发布链条会比过去更长,有些产品可能会停顿整改安全,安全特性的开发可能会占用正常的功能迭代周期。程序员可能会站起来说安全是束缚,这些都是需要跟各产品线老大达成一致的,他们要认同做安全这件事的价值,你也要尽可能的提供轻便的方法不影响业务的速度

战术层面

很多时候我认为甲方安全团队思路受限的地方在于:总是把安全放在研发和运维的对立面上,认为天生就是有冲突的。

其实有些问题处理的好,真正让人感到你提的建议很专业,研发和运维人员不仅会接受,而且会认为自己掌握了更好的编码技能或者安全配置技能而产生正向的驱动力

程序员鼓励师是一种实施层面的权宜之计,同时反映出安全行业比较缺少既懂技术且情商又高的人

安全需要向业务妥协吗?

安全建设

最低0.47元/天 解锁文章
PolluxAvenger
关注
专栏目录
网络安全(黑客技术)—2024自学手册
TDJYGC的博客
04-24 865
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
互联网企业安全高级指南》笔记 —— By Kun_Sigma(2)
06-21
互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 --最好的
企业网络信息安全建设方法论
Phoebe201415的博客
02-12 481
企业网络信息安全建设,是一个不断改进完善的过程(PDCA过程)。 下面基于作者(_U2_)的工作实践,探讨一下信息安全建设方面的依据、方法论和交付成果。 一、依据 企业网络信息安全建设的主要依据有: (1)企业的信息安全策略和安全态势,且安全策略随着安全态势与产业环境的变化而变化; (2)来自管理层、业务部门的需求和期望; (3)安全技术标准、规范; (4)风险评估的结果...
网络安全应急响应实施过程_在互联网安全事件应急响应预案中,以下哪个步骤是最后执行的__网络应急预案应包括哪些内容
最新发布
weixin_57514792的博客
07-26 592
网络安全应急响应实施过程
读书笔记:《互联网企业安全高级指南》知识梳理
Lee_Natuo的博客
03-21 1117
互联网企业安全高级指南读书笔记1-5
weixin_30421809的博客
08-06 135
这本书一上市就买了,但一直没有系统的总结下其中的知识点。 最近抽时间仔细读并总结下。 非常认可书评里微步在线CEO薛锋的点评:   互联网安全从业者最大的挑战并非技术,而是如何建立正确的行业格局观,并且能够与业务团队、安全团队管理层、公司管理层简历良好的沟通机制,取得信任和支持。 甲方安全不是简单的找漏洞修漏洞这么简单。 趁周末有时间,以思维脑图的形式总结了下,第一章第二章略过了,讲一...
互联网企业安全高级指南读书笔记(3)
zhalang8324的博客
05-07 317
第八章 入侵感知体系主机入侵检测1.开源:OSSECMIG:救火利器OSquery:有一定IDC规模,有一定安全开发能力,对入侵检测有基于大数据理解的公司2.自研:架构设计:            行业法规需求            基础安全需求            企业自身的特殊安全风险需求            运维体系\网络环境适应Agent功能模块:            基线安全   ...
PMP2021项目管理知识学习笔记合集.pdf
02-14
### PMP2021项目管理知识...无论是传统的项目管理还是新兴的敏捷方法论,都在不断地发展和完善之中。对于想要通过PMP认证考试的人来说,理解这些基础知识至关重要,同时还需要通过实战演练来提升自己解决问题的能力。
研究生项目狗自救指南
Bulander的博客
04-22 852
首先要搞清楚的是项目对一个研究生意味着什么。项目对我们的影响,绝不仅仅是时间上的占用,更关键的是会对我们的心理造成多方面的极大压力。
不断进化的721学习法则 | 学习和成长的侧重点
shl_telnetcode的博客
08-23 1630
不断进化的721学习法则 | 学习和成长的侧重点
互联网企业安全高级指南读书笔记之基础安全措施
不急不躁
04-02 774
互联网服务安全域抽象示例 虚线部分代表安全域的边界,把不同的业务(垂直纵向)以及分层的服务(水平横向)切开,只在南北向的 API 调用上保留最小权限的访问控制,在东西向如无系统调用关系则彼此隔离 生成网络和办公网络 生产网络的 SSH 22 端口在前端防火墙或交换机上默认阻止访问 远程访问(运维连接)通过 VPN 或专线连接到机房生产网络 通过生产网络的内网而非外网登录各服务器或自...
互联网企业安全高级指南读书笔记之大规模纵深防御体系设计与实现
不急不躁
04-10 1210
设计方案 数据流视角 服务器视角 IDC 视角 逻辑攻防视角 场景裁剪 应对规模 自研 HIDS、RASP 都是奢侈品,可以用 OSSEC、OSquery 等产品代替 网络分光可以用扫描器+ Web 日志分析代替 SQL 审计可以在 CGI 层解决 业务类型 如果业务流量中中大部分都是 HTTP 类型的,那么应该重点投入 WAF、R...
互联网企业安全高级指南读书笔记安全的组织
不急不躁
03-31 281
级别高的人估计还是挖不动的,能挖动的主要就是骨干那一层的人,通常你需要容忍他们业务上有深度但不一定面面俱到,很可能情商和管理能力也差强人意,不过能解决问题就行,面面俱到的人才毕竟还是太贵了 Leader 的跨组织沟通能力应该比较高,不是安全策略提的正确就一定会被人接受 单纯攻防型的人在前期培养比较快,但当安全团队随着公司规模和业务快速成长时,思维过于单点的人可能会出现“瓶颈”,安全建设实际上是...
互联网企业安全高级指南读书笔记安全大环境与背景
不急不躁
03-31 640
技术很重要,但攻防只解决了一半问题,安全的工程化以及体系化的安全架构设计能力是业内普遍的软肋,多数人不擅此道 大多数乙方安全公司的顾问或者工程师其实都没有企业安全管理的真正经验,虽不能把这些直接等价于纸上谈兵,不过确实是乙方的软肋 产品线安全里,一切都会更进一步,不只是像互联网企业那样关注入侵检测、漏洞扫描等,而是从设计和威胁建模的角度去看整体和细节的安全 不想当将军的士兵不是好士兵,虽然有...
互联网企业安全高级指南读书笔记之入侵感知体系
不急不躁
04-08 1214
主机入侵检测 开源 HIDS OSSEC、Mozilla InvestiGator 和 OSquery OSSEC 是典型的 B/S 架构,通常一个 Server 集群最多配置 2000 台 agent 接入。在此基础上,OSSEC 也支持在开发插件、采集数据、解析/检测规则三个方面的功能扩展 Mozilla InvestiGator 具备了现代 HIDS 架构的雏形,但是整体上 MI...
互联网企业安全高级指南读书笔记之漏洞扫描
不急不躁
04-13 949
漏洞扫描的种类 按漏洞类型分类 ACL 扫描 ACL 扫描用来按一定的周期监视公司服务器及网络的 ACL 的,其作用如下: 安全部分可以根据扫描报告整改暴露在公网中的高危服务 某些应用发现新漏洞时,可以快速从数据库中查询对应服务与版本,报到业务部门修复 ACL 扫描周期至少一天一次: 服务器数量较少,直接用 nmap 扫描,扫描结果直接存放到数据库中 服务器数量很多,用 ...
甲方安全工作二三事
c0c0cf的专栏
09-25 2205
观点:保证基础设施安全的情况下,甲方安全是需要围绕着业务开展的,一切需要为业务服务,脱离业务去做安全是脱离企业竞争原则的,安全越贴近业务越好。 熟悉组织架构 1、熟悉组织架构,因为在甲方大多数工作是需要业务方配合的。了解一个业务线适合的安全接口人,最好对安全感兴趣并且对该业务线产品非常熟悉的人。快速了解公司的一些安全产品,每个产品提供怎么样场景的安全服务,向业务推广。 2、熟悉安
甲方安全防御体系建设的随笔
weixin_33955681的博客
04-05 463
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值