群话题 | 本期关键词:安全意识培训,安全运营的人力分配,安全与研发运维岗位的磨合,安全工作价值货币化……

  • A+
所属分类:安全文章

群话题 | 本期关键词:安全意识培训,安全运营的人力分配,安全与研发运维岗位的磨合,安全工作价值货币化……

群话题 | 本期关键词:安全意识培训,安全运营的人力分配,安全与研发运维岗位的磨合,安全工作价值货币化……


金融业企业安全建设实践群

第80期1228-0103


上周群里共有 184 群友参与讨论

19 个话题分为以下5类

安全管理:6 个

安全技术:7个

求文档:2 个

产品推荐:3 个

行业思考:1 个


群话题 | 本期关键词:安全意识培训,安全运营的人力分配,安全与研发运维岗位的磨合,安全工作价值货币化……


【安全管理】


1、最近入职30多位海外留学生,大部分属于业务部门,准备给做安全培训,有没比较好的侧重点?准备了以下:1.国内相关信息安全法律法规等。2.国内互联网安全常规防护措施;3.业务与安全的关系和安全意识;4.业务侧数据安全治理;大佬们有没补充的?


2、有哪些给客户上了虚拟号的企业呀,说说实施中的关键点和困难点。


3、安全运营真的要投人才行。人力消耗也要看信息基础建设的好不好。我们初期4个人,每天大家干到11 12点问题都解决不完。那个时候没制度没流程没自动化,只能堆人力。干了一年,流程自动化建立起来后,基本一个人就能运营下来了,剩下三个人今年去做服务器资产运营了。


4、有安全研发能力的企业在推动安全上有很多优势,也更好与业务结合。就拿检测这个事情来说,我觉得大部分厂商的标准产品都有通用的问题,就是标品设计的场景并不是甲方真正需要的场景。


5、请教各位大佬一个问题,最近因为自身无法复现漏洞的问题,导致请开发兄弟修复时频频受阻。在web安全这块,想达到基本的漏洞复现能力,有什么经验可以传授吗?如果复现了,直接说明问题或者证实可利用,开发那边的配合度高很多,或者换种方式来说这个问题,因为自己搞不清楚,请开发修多少没底气,但每个都复现成本有点高。


6、甲方的安全部还是不能太过强势,除非承担起兜底的责任,否则还是要尽量想办法迎合业务发展诉求,开渠修路,疏堵并用。但如果老板啥资源都不给,那另说。我看大多数企业的安全部,也就是监管被迫设置的一个标配,把监管红线守好就可以了。要把安全发展好,首先得业务上去,为了更大规模的扩张和品牌影响,才有可能给安全资源。我发现很多安全专家一开始信心满满的加入企业,干了一段时间后激情被磨灭,普遍就这个状态:老板你说了算,你说干什么我就干什么。


【安全技术】


1、入侵数据集,怎么收集呢?大佬们,有啥想法和指导?这边想做个大数据或者人工智能这块的分析。做几套算法出来,需要数据集。


2、请教下各位:企业内网,在设计SDN时,如何考虑安全部分的设计?


3、大佬们对安全监控拿内网全流量的事情怎么看,一般采取哪些措施呢?如果涉及敏感数据,在传输中未加密,其实也是个隐患。


4、请教一下各位有经验的大佬,发现CC攻击源是一些比较有规律的ADSL IP,整网段整网段的那种,一般会是僵尸,还是实际参与人?


5、问一个问题:防病毒agent部署率达到要求的阈值设置多少合适?比如80%,90%,还是必须追求达到100%呢?


6、大家的准入和终端管理系统有没有不是同一家厂商的?采用哪种准入技术,802.1X?


7、参数注入漏洞 深信服SSL VPN产品的某接口中url参数存在注入漏洞,攻击者通过该漏洞可以植入webshell,并获取SSL VPN设备控制权限。先确认自己受不受影响吧,另外还是敲警钟,别有侥幸心理,演习必出事。对安全设备也要做监控。


【求文档】


1、师傅们,有没有,对公司或者分公司直属单位,网络安全竞赛方面相关的工作要求或者管理办法,需要写个条例,相关的参考文章?


2、各位业界大佬,求点内网安全防护的建设方案参考参考


群话题 | 本期关键词:安全意识培训,安全运营的人力分配,安全与研发运维岗位的磨合,安全工作价值货币化……


【产品推荐】


1、有什么很好的适用性很强的准入软件或者方案么?我们这没用AD,有自己开发的SSO系统

2、大家有没有用过北信源的准入网关?效果咋样?

3、问问群里大佬们,DevSecOps哪家实践得比较好呀?


【行业思考】


1、hw是竞赛吗?hw应该属于国家重保活动,貌似算不上竞赛。不少人都跟我吐槽过,ctf打得好,经费多,跟年终评优也挂钩了,他们是特么的业务部门啊,已经快变成政治任务了


------------------------------------------------------------------------------


群话题 | 本期关键词:安全意识培训,安全运营的人力分配,安全与研发运维岗位的磨合,安全工作价值货币化……


企业安全建设实践群

第7期1228-0103


上周群里共有 153 群友参与讨论

20 个话题分为以下5类

安全管理:6 个

安全技术:2  个

求文档:6 个

产品推荐:4 个

行业思考:2 个


群话题 | 本期关键词:安全意识培训,安全运营的人力分配,安全与研发运维岗位的磨合,安全工作价值货币化……


【安全管理】


1、想问下大家,安全工作年底最头痛的事情是什么?


2、那么hw对大家做预算的正面影响大吗?是不是有了hw,要资源会更有抓手?


3、关于培训,我觉得一定要重视管理层和领导层的安全培训,只进行员工层培训是不够的,比方说董事长有没有参加培训并完成了培训考核。第二个要有深入的技术层面的安全培训,要让一线人员知道应该怎么做,如何做,做成什么样子。关键是怎样让开发自己动起来…毕竟安全人员数量和开发人员是严重不对等的


4、安全工作如何做到有闪光点,平常工作领导眼里都是没啥感觉的


5、一般企业安全人员配比是怎样的?研发人员2000人,运维20人,安全理论上多少人?


6、一般安全都放到什么组织架构中?单独成部门的多吗?


【安全技术】


1、想问下大家都是怎么解决sql注入问题的?代码层怎么约束研发?有比较好的解决方案么.... 头疼。数据被偷,老大非劈了我,想着搞着组件啥的,包装下方法,不知道有没有谁家已经实现的?


2、请教一下,各位现在在devsecops自动化流程中对三方依赖安全性做检测的时候,阻断标准是什么?比如紧急多少个,高危多少个这种。依据是什么呢?


【求文档】


1、说到代码这个层面,想请教下大佬们,有没有涉及源代码安全管理的政策或者法律法规之类的线索?


2、哪位大佬有针对第三方SDK安全评估的要求吗?


3、求“研发运营一体化(devops)能力成熟度模型 第6部分:安全及风险管理”


4、各位大神,求数据脱敏的产品或技术介绍


5、《保险业密码应用实施方案》大佬们,谁有这个哈


6、请问哪位大佬手里有这个 DSMM 评估工具检查表?


群话题 | 本期关键词:安全意识培训,安全运营的人力分配,安全与研发运维岗位的磨合,安全工作价值货币化……


【产品推荐】


1、字节跳动安全团队开源自研HIDS——AgentSmith-HIDS,AgentSmith-HIDS Agent/Driver 会长期维护更新;后续会陆续开源AgentSmith-HIDS Server/服务发现模块。

2、咨询下,国内哪家公司做APP加固以及风险评估比较专业的?

3、请问一下,针对码云有开源的监控软件么?

4、数据安全方面的认证,有推荐的不?


【行业思考】


1、发现的安全风险、漏洞,与止损的金额如何换算?有做过的嘛?汇报的时候提现为公司止损了**万的经济损失肯定比发现**漏洞来的直接。


2、上云以后运维也可以兼做安全了,两个层面理解:

(1)安全产品标准化了,配置就好。

(2)上云后,安全产品太标准化了,很多东西拿不到,甲方安全可以做的空间不大。说个简单的,抗DDoS,要是甲方自己做,还得分析下攻击类型。要用两大厂商的了,不买额外的套餐,连攻击类型都不知道,只知道来一波流量了。


---------------------------------------------------------------------------------------------------------------


新栏目#群话题


【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送(每周五晚)。根据话题整理的群周报完整版,每周会上传知识星球,方便大家查阅。


往期


群话题 | 本期关键词:供应链安全管控,运营商流量清洗服务,安装准入和桌管的阻力,企业SRC的搭建托管……


群话题 | 本期关键词:关注信创安全,Google部分服务宕机,SolarWinds,标准解读,安全合规工作……


群话题 | 本期关键词:防内鬼数据泄露、国家红蓝对抗拉动产业发展、安全价值的呈现、零信任的歧义……


如何进群?

如何下载群周报完整版?

请见下图:


群话题 | 本期关键词:安全意识培训,安全运营的人力分配,安全与研发运维岗位的磨合,安全工作价值货币化……


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: