人文创业 安全运营

企业安全:为何总有修不完的漏洞?

发表于6月前 | 作者: seay

0
        前不久我在朋友圈转发了一个名叫《內建安全的软件开发》的文章, 整个文章读下来,作者要表达的意思是开发和安全要更加紧密的配合,安全越早介入产品的研发过程越好,这样才能更快的对安全问题进行响应。理想的情况下非常好,但并不适用于所有企业,企业安全一定不同阶段做不同的事情,大致分为四个阶段。     第一个阶段属于救火阶段,安全团队规模......

安全运营 渗透测试

企业安全痛点之员工行为难管控(三)

发表于6月前 | 作者: seay

1
累计到昨天的文章说到员工行为难管控的以下六个体现点。 1、滥用云笔记及网盘。 2、将公司代码存储在Github、oschina、Bitbucket等。 3、员工企业邮箱与外部个人账号密码一致。 4、在邮件、QQ、钉钉等沟通工具中直接发送密码。 5、随意打开陌生人发送的文件或链接 6、内部系统设置弱口令或默认密码不更改。     今天继续新增三个,讲到的这些风险点,几乎每种都能将国内大部分企业强奸N遍,这......

安全运营 渗透测试

企业安全:员工行为难管控(二)

发表于6月前 | 作者: seay

1
 昨天的文章说到员工行为难管控的以下三个体现点,受到很多甲方安全运营者的赞同。 1、滥用云笔记及网盘 2、将公司代码存储在Github、oschina、Bitbucket等。 3、员工企业邮箱与外部个人账号密码一致。   除了这些,我们在人员安全检测服务过程中还发现很多这方面的问题,今天接着把这些问题一一列出来,以便于我们后面说明怎么解决,案例中讲到的所有故事都是绝对真实。 4、在邮件、QQ、钉钉......

渗透测试 科普专线

企业安全:员工行为难管控(一)

发表于6月前 | 作者: seay

0
    近期想讲一些我看到企业安全最严重威胁和运营痛点,不出意外,这会是一个系列,里面讲到的所有观点和案例,都是通过实践而来,会基本覆盖我的核心安全观。每天只写1000字左右,没写完的痛点拆开写,文章后面附上一张我们给客户的安全意识墙面小贴士。     以往,不管是安全甲方还是乙方,安全工作都是围绕应用跟操作系统去做,比如WAF、IPS、SDL等,解决的都是系统跟应用的问题......

渗透测试 科普专线

11
  人员安全是目前企业安全最难做的一块,没有之一,这方面没有人写过专业的文章,而目前所有的企业都存在这方面的问题,比如员工把服务器和后台密码直接明文保存在云笔记和网盘中,员工企业邮箱密码跟外部个人密码一致等等,通常我们在入侵的时候只要在微博搜索一个目标公司的员工,拿到常用密码后登陆邮箱,然后在通讯录和邮件中收集其他技术岗位员工的联系方式,最后登录他们的邮箱和云笔记等去......

安全运营 科普专线

安全运营:弱口令,企业安全的坟墓

发表于3年前 | 作者: seay

4
   从今年起一直在关注企业安全,包括一些运维安全、开发安全以及企业安全运营,这会是我以后的方向。我一直回避“黑客”这个词,也从来不把这两个字说到自己身上,虽然现在的工作很大一部分是授权入侵各种大小企业,尝试拿到最敏感的数据,我入侵过无数大大小小的企业内网,甚至一些巨型上市企业,可以把渗透做的非常细。但是我对自己的评价一直都是安全工程师。在安全领域,无非就是攻和防,......