安全运营概述
安全运营概述
- 概述
- 安全运营的工作
- 对内安全运营工作
- 对外安全运营工作
- 品牌建设
概述
安全是一个过程,安全是靠运营出来的,公司会不断的有新业务的变更,新产品的发布,新版本的升级,技术架构的升级,底层系统的升级,网络设备的升级
要想持续的保障公司的安全,只能靠运营,有一家电商公司,他遭遇的安全问题更多的来自于羊毛党刷单撞库等问题,但是随着业务的发展,该公司也做起了支付业务,那么就会引入新的安全风险,比如洗钱盗刷,这些问题除了在技术和业务上进行升级之外,还需要在安全运营上进行跟进,引入新的对抗手段,才能对付来自黑产和灰产的威胁
安全是一个过程,所以安全只有跑起来才能保证跟随最新的安全态势,不会造成刻舟求剑的笑话,因为安全是一个永远变化的过程,今天是安全的系统,明天就不一定安全了;比如说在现在的计算机能力之下,一个八位的随机的密码需要爆破的时间是100年,但是几年之后,摩尔定律将计算机的运营能力提高了10000倍,也就是说,暴力破解八位随机数的密码的时间将缩短到3.65天之内,那么这个密码将不再安全
安全运营贯穿在整个安全体系中,安全运营需要让端口扫描、漏洞扫描、代码白盒扫描等发现方式,变成一种周期性的任务,内部流程持续不断的修正和改进才能符合产品的研发和运营,在外部不断的发生变化的过程当中,我们需要不断的进行沟通和合作,以应对黑产的攻击
安全运营的工作
安全运营可以通过漏洞扫描、渗透测试、代码审计等方式发现系统中已知的安全问题,再通过设计安全的方案,实施安全的措施来解决这些问题,比如入侵检测系统、web应用防火墙、防DDOS设备等一系列防御工作,他们可以防患于未然,也可以在事后进行快速反应
SDL流程可以从源头上降低风险,提升产品的安全质量
我们平时要加强安全意识的宣贯,在发生安全事件的时候,要第一时间以事件为驱动,事件驱动是一个非常有用的手段,所以我们一定要抓住这个时间窗口,很多时候一些安全事件能够成为我们推动安全流程的一个契机
对内安全运营工作
安全运营工作主要可以分为对外工作和对内工作两部分,这两部分,我们两手都要抓,两手都要硬,两头走路才能保证安全运营走的更稳
70%以上的安全问题是由内部引起的,所以做好内部运营工作,也是整个安全运营工作的核心之一
安全扫描就像我们定期体检一样,能够及时的发现我们防护体系上面的漏洞,当然安全扫描也可以根据场景分成不同的类型,对于服务器的扫描,常用端口的扫描,我们需要每天都扫,而全端口的扫描,我们可以是一周或者两周扫一次,对于新上线的业务或者重大的新功能上线,上线前需要做一个即时的扫描,而对于新爆发的零日漏洞,我们需要进行专项的扫描,通过这一系列扫描活动的结合,我们能够针对不同的业务和场景来保障业务的安全性
做为一名安全工作者,需要关注业内重大的安全事件和漏洞,每天早上需要看一些订阅的邮件,看一些知名的安全微博或者公众号,并且及时的对发布的一些新漏洞或者新事件进行一个影响的评估,为了评估漏洞对公司的影响,需要提前对公司的资产和相关的系统信息做一个了解,比如,公司有多少的服务器和网络设备,什么系统型号和版本的,公司有多少应用,使用了什么开源组件或者第三方的库,同时我们也需要一些管理流程和技术上的手段来辅助我们进行评估,例如前面提到的扫描器资产管理系统等等,在评估完成之后,就需要提前部署防御手段,类似waf这样的虚拟补丁是比较常见的方法,解决方案的实施往往比较复杂,需要进行严格的测试和验证,所以需要防御方案来争取这个缓冲的时间,尤其是对一些0 day漏洞,在exp出来之后,补丁往往没有出来,这个时候风险非常之大
我们需要指定一套应急响应的流程来应对各种突发的安全事件,比如,著名的心脏出血漏洞爆发的时候,整个互联网上大量的主机沦陷,这个时候就要用到我们的应急响应流程了。应急响应团队在第一时间收到相关信息之后进行评估。采取补救措施,就能防止事态的恶化和扩散,及时的进行事件复盘以及对流程进行修正,这样整个流程就能按照pdca的方法,不断的演进,从而使外界条件的变化能够适应我们的一个流程,上线之后的安全监控,入侵检测和紧急事件响应,这里可以使用开源的或者安全厂商提供的工具来进行实施部署,当攻击发生时,首先要保护好安全事件的现场,以便于后续的安全分析和取证,其次要以最快的速度处理故障,流程能简单尽量简单,应急响应小组的成员一定是最了解公司业务架构的人
对外安全运营工作
对外沟通的渠道有很多,包括新浪的微博,微信的公众号,客服QQ,客服电话,客服网站系统等等。这些途径有助于建立和用户之间的联系,给用户普及安全知识,为用户解决安全问题,如果有标准的安全流程,可以在用户中树立良好的安全口碑,防止用户碰到一些问题就直接在媒体上进行吐槽,这样很容易影响一个企业和产品的口碑
安全是一个圈,想要真正做好安全,必须要融入这个圈子,学习这个圈子的文化,了解著名的安全公司和安全圈子以及安全大牛,紧跟着安全圈子的最新动向,积极的回应圈子对企业安全工作的各种意见和建议,是一项长期和重要的工作,现在每年都会有各类大大小小的安全会议和沙龙,适当的选择参加一些这些活动,不仅能够了解到最新的技术动态和其它企业的一些实践经验,还可以认识到更多的圈内人物,加快融入圈子的速度,合作也是现在一种大趋势,随着黑产越来越成熟,黑产会对各个企业进行攻击,他们所使用的手法、工具、链条,都有很多重合的地方,只有大家协同合作才能对抗黑产,同时在合作的过程中能够更快的融入圈子,安全也需要品牌建设,随着企业对安全的越来越重视,包括我们的政府、个人对自己的信息安全和国家的信息安全越来越重视,安全的品牌价值越来越高
品牌建设
首先我们可以参加各类安全会议,最好是有团队成员能够分享自己的团队研究成果和实践经验,来体现团队的安全性和专业性,然后可以举办各类安全会议,这也是非常常见的方式,安全会议可以根据公司对安全的战略定位来确定等级,可以举办一些小型的线下安全沙龙闭门研讨会,也可以举办规模较大的会议,安全会议本身也需要品牌进行背书,打造安全产品是一种成本比较高的方式,这个投入比较大,一般需要跟公司的布局和战略相结合
现在安全实验室也越来越多,安全实验室更多的偏向于漏洞挖掘和底层以及前沿技术的一些研究,可以帮助公司在业界占领安全制高点。竖起大旗,汇聚人气,也可以为公司安全的人才储备上进行一些孵化
相关文章:
安全运营概述
安全运营概述 概述安全运营的工作对内安全运营工作对外安全运营工作品牌建设 概述 安全是一个过程,安全是靠运营出来的,公司会不断的有新业务的变更,新产品的发布,新版本的升级,技术架构的升级,底层系统的…...
spring-cloud和spring-cloud-alibaba的关系
首先Spring Cloud 是什么? Spring Cloud是一系列框架的有序集合,它利用Spring Boot的开发便利性巧妙地简化了分布式系统基础设施的开发。Spring Cloud提供了微服务架构开发所需的多种组件和工具,如服务发现注册、配置中心、消息总线、负载均…...
持续集成06--Jenkins构建触发器
前言 在持续集成(CI)的实践中,构建触发器是自动化流程中不可或缺的一环。它决定了何时启动构建过程,从而确保代码变更能够及时地得到验证和反馈。Jenkins,作为业界领先的CI/CD工具,提供了多种构建触发器选项…...
根据视图矩阵, 恢复相机的世界空间的位置
根据视图矩阵, 恢复相机的世界空间的位置 一、方法1 glsl 实现: // 从本地局部坐标系(相机空间) 到 世界空间的旋转变换 mat3 getLocal2WorldRotation() {mat3 world2localRotation mat3(viewMatrix[0].xyz,viewMatrix[1].xyz,viewMatrix[2].xyz);return inverse(world2loca…...
使用pytest-playwright截图和录制视频并添加到Allure报告
一、依赖环境 python, version==3.9.5 pytest-playwright, version==0.5.1 allure-pytest, version==2.13.5 pytest, version==6.2.5 allure, version==2.22.0pytest-playwright支持如下命令行参数: Playwright:--browser={chromium,firefox,webkit}Browser engine which …...
pytorch GPU cuda 使用 报错 整理
GPU 使用、报错整理 1. 使用指定GPU(单卡)1.1 方法1:os.environ[CUDA_VISIBLE_DEVICES]1.2 方法2:torch.device(cuda:2)1.3 报错1:RuntimeError: CUDA error: invalid device ordinal CUDA kernel errors might be asy…...
python + Pytest + requests 的接口自动化步骤
pythonpytestrequestallureyaml接口自动化测试项目实战 开发环境准备 1. jdk 下载 Java官网下载地址:http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html 安装: https://blog.csdn.net/VA_AV/article/details/138…...
基于若依的ruoyi-nbcio流程管理系统修正自定义业务表单的回写bug
更多ruoyi-nbcio功能请看演示系统 gitee源代码地址 前后端代码: https://gitee.com/nbacheng/ruoyi-nbcio 演示地址:RuoYi-Nbcio后台管理系统 http://218.75.87.38:9666/ 更多nbcio-boot功能请看演示系统 gitee源代码地址 后端代码: h…...
GD32 MCU上电跌落导致启动异常如何解决
大家是否碰到过MCU上电过程中存在电源波动或者电压跌落导致MCU启动异常的问题?本视频将会为大家讲解可能的原因以及解决方法: GD32 MCU上下电复位波形如下图所示,上电过程中如果存在吃电的模块,比如wifi模块/4G模块/开启某块电路…...
安防视频监控/视频汇聚EasyCVR平台浏览器http可以播放,https不能播放,如何解决?
安防视频监控/视频集中存储/云存储/磁盘阵列EasyCVR平台基于云边端一体化架构,兼容性强、支持多协议接入,包括国标GB/T 28181协议、部标JT808、GA/T 1400协议、RTMP、RTSP/Onvif协议、海康Ehome、海康SDK、大华SDK、华为SDK、宇视SDK、乐橙SDK、萤石云SD…...
rust + python+ libtorch
1: 环境,ubuntu 1.1 rust : rust-1.79.0 (在官方下载linux版本后,解压文件夹,内部有个install的sh文件,可安装) 安装成功测试:cargo --version 1.2 python3.10 (直接使用apt install pytho…...
ts检验-变量的类型不会包含 undefined的几种处理方法
文章目录 1. 确认索引是否存在2. 使用非空断言(Non-null assertion)3. 使用默认值4. 类型断言(Type Assertion)综合示例 import { AxiosPromise } from axios;type ApiFunction (params: any) > AxiosPromise<any>;type…...
springboot 集成minio,启动报错
springboot 集成 minio 8.5.10 报错 *************************** APPLICATION FAILED TO START *************************** Description: An attempt was made to call a method that does not exist. The attempt was made from the following location: io.minio.S3Base.…...
bignumber.js库,解决前端小数精度问题
bignumber.js 是一个 JavaScript 库,用于执行任意精度的十进制运算,特别适合处理大数字和需要高精度运算的情况。以下是一些 bignumber.js 库中的常用方法及其简要解释: 初始化 首先,你需要安装 bignumber.js 库: n…...
Java爬虫安全策略:防止TikTok音频抓取过程中的请求被拦截
摘要 在当今互联网时代,数据采集已成为获取信息的重要手段。然而,随着反爬虫技术的不断进步,爬虫开发者面临着越来越多的挑战。本文将探讨Java爬虫在抓取TikTok音频时的安全策略,包括如何防止请求被拦截,以及如何提高…...
)
通过手机控制家用电器的一个程序的设计(一)
一、概述 设计一款安卓平台上的家庭智能控制软件,通过语音识别指令控制家用电器。该软件结合离线语音识别技术、红外线和WIFI通讯技术,实现对家电的智能控制,如开关机、调温度、调频道等操作。 二、主要功能模块 离线语音识别模块 功能&…...
批量提取PDF指定区域内容到 Excel , 根据PDF文件第一行文字来自动重命名v1.3-附思路和代码实现
本次文章更新内容,图片以及扫描的PDF也可以支持批量提取指定区域内容了,主要是通过截图指定区域,然后使用OCR来识别该区域的文字来实现的,所以精度可能会有点不够,但是如果是数字的话,问题不大;…...
【持续集成_05课_Linux部署SonarQube及结合开发项目部署】
一、Linux下安装SonarQube 1、安装sonarQube 前置条件:sonarQube不能使用root账号进行启动,所以需要创建普通用户及 其用户组 1)创建组 2)添加用户、组名、密码 3)CMD上传qube文件-不能传到home路径下哦 4)…...
人像视频预处理【时间裁剪+画面裁切+调整帧率】
在视频处理中,cut(裁剪)、crop(画面裁切)和fps(帧率调整)这三个操作的顺序安排对最终的视频质量和效率有重要影响。以下是一种推荐的顺序和理由,旨在提高效率和减少错误:…...
SpringBoot+HttpClient实现文件上传下载
服务端:SpringBoot Controller package com.liliwei.controller;import java.io.File; import java.io.FileInputStream; import java.io.IOException;import javax.servlet.http.HttpServletResponse;import org.springframework.http.HttpHeaders; import org.s…...
云启出海,智联未来|阿里云网络「企业出海」系列客户沙龙上海站圆满落地
借阿里云中企出海大会的东风,以**「云启出海,智联未来|打造安全可靠的出海云网络引擎」为主题的阿里云企业出海客户沙龙云网络&安全专场于5.28日下午在上海顺利举办,现场吸引了来自携程、小红书、米哈游、哔哩哔哩、波克城市、…...
3.3.1_1 检错编码(奇偶校验码)
从这节课开始,我们会探讨数据链路层的差错控制功能,差错控制功能的主要目标是要发现并且解决一个帧内部的位错误,我们需要使用特殊的编码技术去发现帧内部的位错误,当我们发现位错误之后,通常来说有两种解决方案。第一…...
visual studio 2022更改主题为深色
visual studio 2022更改主题为深色 点击visual studio 上方的 工具-> 选项 在选项窗口中,选择 环境 -> 常规 ,将其中的颜色主题改成深色 点击确定,更改完成...
系统设计 --- MongoDB亿级数据查询优化策略
系统设计 --- MongoDB亿级数据查询分表策略 背景Solution --- 分表 背景 使用audit log实现Audi Trail功能 Audit Trail范围: 六个月数据量: 每秒5-7条audi log,共计7千万 – 1亿条数据需要实现全文检索按照时间倒序因为license问题,不能使用ELK只能使用…...
Nuxt.js 中的路由配置详解
Nuxt.js 通过其内置的路由系统简化了应用的路由配置,使得开发者可以轻松地管理页面导航和 URL 结构。路由配置主要涉及页面组件的组织、动态路由的设置以及路由元信息的配置。 自动路由生成 Nuxt.js 会根据 pages 目录下的文件结构自动生成路由配置。每个文件都会对…...
苍穹外卖--缓存菜品
1.问题说明 用户端小程序展示的菜品数据都是通过查询数据库获得,如果用户端访问量比较大,数据库访问压力随之增大 2.实现思路 通过Redis来缓存菜品数据,减少数据库查询操作。 缓存逻辑分析: ①每个分类下的菜品保持一份缓存数据…...
今日学习:Spring线程池|并发修改异常|链路丢失|登录续期|VIP过期策略|数值类缓存
文章目录 优雅版线程池ThreadPoolTaskExecutor和ThreadPoolTaskExecutor的装饰器并发修改异常并发修改异常简介实现机制设计原因及意义 使用线程池造成的链路丢失问题线程池导致的链路丢失问题发生原因 常见解决方法更好的解决方法设计精妙之处 登录续期登录续期常见实现方式特…...
代理篇12|深入理解 Vite中的Proxy接口代理配置
在前端开发中,常常会遇到 跨域请求接口 的情况。为了解决这个问题,Vite 和 Webpack 都提供了 proxy 代理功能,用于将本地开发请求转发到后端服务器。 什么是代理(proxy)? 代理是在开发过程中,前端项目通过开发服务器,将指定的请求“转发”到真实的后端服务器,从而绕…...
Unsafe Fileupload篇补充-木马的详细教程与木马分享(中国蚁剑方式)
在之前的皮卡丘靶场第九期Unsafe Fileupload篇中我们学习了木马的原理并且学了一个简单的木马文件 本期内容是为了更好的为大家解释木马(服务器方面的)的原理,连接,以及各种木马及连接工具的分享 文件木马:https://w…...
七、数据库的完整性
七、数据库的完整性 主要内容 7.1 数据库的完整性概述 7.2 实体完整性 7.3 参照完整性 7.4 用户定义的完整性 7.5 触发器 7.6 SQL Server中数据库完整性的实现 7.7 小结 7.1 数据库的完整性概述 数据库完整性的含义 正确性 指数据的合法性 有效性 指数据是否属于所定…...