网络安全无止界

安全无止界

从行业角度来看,网络安全对于大部分企业来说是奢侈的,多数企业仅能够投入有限的资源进行建设。由于攻防不对等以及威胁对抗技术的持续升级,导致我们无法使用一套固有的方案去长期应对所有风险,因此获得业界最新的安全理念、安全架构、安全技术以及安全实践对于提升网络安全防御水位至关重要。然而,在当前这并不是很容易实现,虽然能看到大量的安全书籍、安全分享,但都是单点的、细节的以及不及时的。对于多数企业来说,核心安全技术很难被公开。但我认为安全不应该是封闭的,不应该依靠神秘感去打造高端形象,应该是开放共享的,并持续保持迭代优化。只有如此,才能让我们立于不败之地。这就是推动我投入时间精力维护这个站点的初衷,希望能让安全知识普惠,让每一个从业者都能低成本获得最新的安全知识。

通过Security PPT学习了上万份各个企业、安全会议的专家们分享的安全经验,以及从各类安全书籍、白皮书以及与各个专家的探讨交流,并结合自己多年在网络安全方面积累的经验。沉淀一份网络安全知识。包括从面试、安全团队管理到安全体系建设的方方面面的实践经验。

安全知识应该是结构化并持续更新的,而非是一篇篇固定时间点的文章。但结构化的内容依赖于一篇篇单点内容的累积,因此在这里我会持续积累单点内容,逐渐完善全貌。

网络安全面试指南

如何打造一个有战斗力的安全团队

内容以安全团队管理软技能为主

  • 如何获得老板对网络安全的资源支持
    • 基于企业行业特性,分析威胁、挑战与应对
  • 明确团队目标与职责
    • CSO、CISO与CTO以及CEO的关系
  • 设立合理的网络安全组织架构
    • 正确认识网络安全、数据安全与信息安全
  • 招聘与解聘
    • 如何招聘网络安全人才
    • 如何辞退
  • 目标设定与跟进
  • 总结、绩效、激励与晋升
    • 如何向老板汇报安全的进展、风险与成果
    • 如何沟通绩效
    • 如何晋升
    • 正确看待工资、奖金、红包、股票以及晋升
    • 如果35岁还没有晋升到管理层怎么办?
  • 团队氛围
    • 如何形成好的安全氛围
    • 持续培训与教育
    • 工具和技术
    • 如何打造有影响力的安全团队

真实威胁分析

真实发生过的安全入侵、数据泄漏等事件以及一些有意思漏洞

  • 网络安全入侵导致的数据泄漏、勒索等真实事件
    • 2010,震网;极光行动(Operation Aurora);
    • 2012,LinkdIn数据泄漏
    • 2013,斯诺登;Yahoo数据泄漏;Target数据泄漏;Adobe数据泄漏;
    • 2014,Sony Picture数据泄漏;JP Morgan Chase数据泄漏;eBay数据泄漏;The Regin Platform;
    • 2015,反击安全公司Hacking Team
    • 2016,方程式组织(The Equation Group)数据泄漏;如何在网络上抢银行:开曼国家银行入侵启示;Uber数据泄漏;Adult Friend Finder数据泄漏;
    • 2017,Equifax遭入侵导致1.47亿用户数据泄露的安全分析;WannaCry勒索软件攻击;Vault 7/8;
    • 2018,Facebook数据大规模收集和滥用;Under Armour MyFitnessPal数据泄漏;Marriott数据泄漏;
    • 2019,Capital One数据泄漏;WhatsApp被NSO Group入侵;
    • 2020,SolarWinds供应链攻击;Twitter钓鱼事件;
    • 2021,Colonial Pipeline勒索软件攻击;
    • 2023,三角测量行动;Lockbit勒索软件攻击;
  • 不符合网络安全相关的法律法规导致被处罚的案例
    • TODO
  • 一些有意思的漏洞利用
  • 一些危害极大的漏洞
    • Log4Shell(CVE-2021-44228)、Stuxnet(CVE-2010-2568)、WannaCry(CVE-2017-0145)、NotPetya(CVE-2017-0147)、Stuts2 RCE(CVE-2017-5638)、Cloudbleed(CVE-2017-8817)
    • Heartbleed(CVE-2014-0160)、Shellshock(CVE-2014-6271)、POODLE(CVE-2014-3566)、KRACK(CVE-2017-13077)、Zip Slip(CVE-2018-5002)、Dirty COW(CVE-2016-5195)
    • EternalBlue(CVE-2017-0144)、SQL Slammer(CVE-2003-0352)、BlueKeep(CVE-2019-0708)、ZeroLogon(CVE-2020-1472)、SMBGhost(CVE-2020-0796)、ProxyShell(CVE-2021-34473/34523/31207/34474)
    • Meltdown(CVE-2017-5754)、Spectre(CVE-2017-5715)

基于实战效果的网络安全体系建设

  • 网络安全理念
    • 安全的道法术
    • 正确认识攻守双方优劣势
    • 一些的安全理念:最小特权、边界防护、零信任、防御纵深、默认安全、内生安全、风险管理、预防检测与响应、MITRE ATT&CK、安全意识与培训、数据保密性完整性和可用性、安全平行切面
  • 网络安全法律法规以及标准
    • 国内
      • 法律:国家安全法、网络安全法、数据安全法、个人信息保护法、密码法
      • 办法、条例与规定:网络产品安全漏洞管理规定、互联网信息服务算法推荐管理规定、网络安全事件报告管理办法、关键信息基础设施安全保护条例、网络安全审查办法、互联网信息服务管理办法、
      • 认证与测评
    • 国外:GDPR、CISA、PCI-DSS
  • 网络安全的标准体系
    • ISO 27000系列解读;NIST Cybersecurity Framework解读;SOC2解读;TOGAF;SABSA;OSA;
  • 安全体系
    • 一些典型行业的网络安全架构
    • 网络安全与现实世界中的物理安全、生物安全、军事安全异同
    • 安全体系的演进与未来猜想
  • 低成本的攻击防御水位
  • 基于行业、业务资产识别面临的威胁情况
  • 如何在网络安全领域不战而屈人之兵
  • 安全意识提升
  • 安全资产
  • 最小化攻击面
  • 最小化信任域
  • 防火墙和边界防护
  • 身份和访问管理
    • 统一SSO与权限体系
    • MFA
    • 尽量减少特权并分离特权
  • 移动端与IOT安全
  • 应用程序安全
    • 威胁建模
    • 从SDLC到默认安全
    • SAST、IAST与DAST,下一步是什么?
    • 通用安全套件(权限、脱敏、水印、漏洞修复等)
    • 一些行之有效的全局能力(全站HTTPS、Security Header、SESSION HTTP Only)
    • 硬编码密钥
    • 浅谈几种数据库加密方式的优劣势
    • 研发安全检查项DevSecChecklist
  • 基础设施安全
  • 物理安全
  • 供应链安全
    • 软件供应链安全:三方软件组件安全性;三方非标软件安全性;
    • 硬件供应链
    • 外包与服务商
  • 漏洞发现
  • 漏洞处置
    • 如何避免安全工程师成为漏洞催修工程师
  • 威胁感知与响应
    • 一些常见人机识别的技术
    • 攻击行为分析的常见方法
    • 如何实现7×24小时告警处置
    • 一些常见反制攻击者的思路
    • 如何通过网络ID溯源到真人
  • 实战检验
  • 灾难恢复与业务连续性
  • 基于数字化的安全运营体系
  • 威胁情报

演讲

  • 2023/11/27,上海,EISS2023(企业信息安全峰会),基于原生安全范式构建可信纵深防御体系
  • 2022/08/19,上海,BDIE2022(亚太银行数字化创新峰会),银行数字化转型安全挑战应对探索
  • 2019/11/22,上海,EISS2019(企业信息安全峰会),关于云安全的一些思考·圆桌
  • 2019/10/22,成都,INSEC World(世界信息安全大会),互联网银行安全建设实践
  • 2019/05/29,上海,2019补天白帽大会,关基的攻防演练和安全体系建设·圆桌
  • 2019/03/22,上海,2019首席信息安全官年会,人机识别的最新实践
  • 2018/11/30,上海,EISS2018(企业信息安全峰会),蘑菇街人机识别体系实践
  • 2018/09/19,西安,SSC2018,一种去除密码的安全实践
  • 2018/01/26,杭州,安全+沙龙,GitHub敏感信息泄露监控
  • 2017/11/24,上海,EISS2017(企业信息安全峰会),企业安全架构实践
  • 2017/04/16,北京,QCon2017(全球软件开发大会),企业静态代码扫描

出版物

《网络安全面试指南》

网络安全面试指南

多年来筛选了数以千计的简历,为什么很多人连面试机会都没有?参与了数以百计应聘者的面试,为何如此多的人没有通过最终面试?在面试过程中,能力固然重要,但我也见过许多能力不亚于已经入职同事的人却未能成功应聘。那么,如何才能在面试中顺利通过呢?

本指南旨在为网络信息安全领域从业者提供一份全面的面试指南。我将从行业、企业和从业者的角度来介绍当前情况,分享面试和招聘经验。指南将围绕各个细分安全领域的体系、实用且高质量的题库和思路提示展开,以便你能够更加全面系统地理解和吸收各种经验。


金融级IT架构-数字银行的云原生架构解密

《金融级IT架构:数字银行的云原生架构解密》

网商银行技术团队出品

蚂蚁集团IDC-安全平行切面白皮书

《安全平行切面:数字数代的原生安全架构》

蚂蚁集团安全团队出品

《数字银行可信纵深防御》

网商银行安全团队出品

《数字银行安全体系构建》

网商银行安全团队出品

网络安全无止界

最新内容

订阅本站最新内容

Loading