将每件事做得更好
⾹港⾦融管理局(“⾦管局”)于 2020 年 11 ⽉发布了⽹络弹性评估框架 (C-RAF) 2.0,此后,持牌银⾏、有限制牌照银⾏和接受存款公司将⾄少接受⼀次此评估流程,并为下⼀轮 C-RAF 测试做准备。 固有风险评估(低/中/高):以明确的,反映银行营运价值、类型、体积及复杂性的标准作基础,评估银行总体网络风险。 网络成熟度评估 (基础/中等/高等):根据在每一个成熟度等级下的管控要求,从7个关键网络领域全面评估银行的管控方案。认可机构应根据固有风险评估的结果决定目标网络成熟度,然后进行成熟度评估。认可机构也应基于所鉴定的差距,分析、概括、以及决定改进行动在路线图的优先次序。 情报主导的网络攻击模拟测试(Intelligence-led Cyber Attack Simulation...
深度参与的书正式出版了!以前每次和大家分享,因为时间、保密等原因都不够深入或全面。于是我们将数十人多年安全建设的精华经验,毫无保留的都写进这本书里。可能文字不够优美,但内容很有质量。来到支付宝后,很多书中的经验都有明显助力,希望对安全同行能有一些微小的帮助。
特别不容易,前前后后接近两年时间,在工作已经都特别忙的情况下,大家晚上还是会参与闭关甚至周末花时间编写。没有经济利益,纯粹用爱发电。
可通过各大电商平台购买。
在面对高等级威胁,且自身业务高度复杂且体量巨大时,需要重新审视现有的安全体系的有效性。充分考虑安全体系完备性,从理论和技术层面加强安全体系面对真实威胁防御效果,以避免关键单点风险失控导致整体崩溃。以原生安全范式(NbSP零越范式和OVTP可溯范式)为指导,基于安全平行切面为基础,构建可信纵深防御体系。在网络安全常规0day防御和数据安全敏感数据泄露这两个重要且困难的场景中的最新实践。
Log4j2是一个广泛使用的Java日志框架,允许开发者通过简单的方式记录日志。该漏洞被标识为CVE-2021-44228,通常称为“Log4Shell”,通用漏洞评分系统 (CVSS) 评分为 10,其影响范围极广泛且能造成严重后果,是有史以来最危险的漏洞之一。 Log4j2主要有两个模块log4j-api和log4j-core,log4j-api是公共接口模块,主要用来定义日志的格式。log4j-core是核心实现模块,提供具体的日志记录功能。log4j-core依赖log4j-api。Log4j 1.x在2015年停止了维护,提到的Log4j默认指2.x版本。 漏洞产生的核心原因在于记录日志中提供了JNDI功能,如果日志内容中存在JNDI LDAP,Log4j会连接该服务器并下载恶意对象,通过反射机制来实例化该对象并调用其方法。 <dependencies>...
最近看了几个GitHub Pull Request相关的漏洞,觉得有点意思,能侧面反应当前业界对于业务逻辑风险的一些现状,记录分享出来。 GitHub Pull Request风险之逻辑实现不一致 正常情况下,我们在GitHub给某个开源项目A提交一个Pull Request时,会有一个“Allow edits by maintainers”的选项且默认选中。这个选项的主要作用是让项目A(Base Repository)的维护者可以有权限修改被我Fork后的项目(Head Repository)分支。 另外可以发现,无需拥有项目Base Repository或Head Repository权限即可随意创建Pull Request,限制了Head Repository必须是fork自Base Repository。 那么有没有可能把我自己的公开仓库作为Base...
将每件事做得更好