群话题 | 本期关键词:人脸识别的安全风险、个人敏感数据的权责划分、找到兼顾便捷与安全的平衡点、EDR、安全与运维的相处之道……

  • A+
所属分类:安全闲碎


金融业企业安全建设实践群

第89期0315-0321


上周群里共有 151 位群友参与讨论

11 个话题分为以下5类

安全管理:1 个

安全技术:2 个

求文档:3 个

产品推荐:0 个

行业思考:5 个



【安全管理】


1、聂君:《从“复盘”到“复仇”,谈如何正确的复盘》:安全运营有一个很重要的环节:闭环。如何从“复盘”到“复仇”,实现问题闭环?复盘一般意味着防守方被找到了安全问题,“复仇”是指同类问题不会再犯。我们鼓励通过复盘分析,确定事件的根本原因,找到最终解决方案,并落地执行,防止此类事件再次发生,实现完美“复仇”。文中用了三个案例来讲,这样就容易理解正确的复盘方法,然后再用正确的复盘方法,复盘了两个场景。这是极简提炼后的展示,实际工作中,会比这个复盘复杂很多,而且由于问题类型不同,复盘的侧重点也不同,会有所取舍。这就是实践->提炼->实践的反复过程。


【安全技术】


1、求咨询一个问题,开户流程中加活体检测,人脸数据本地能不能保存?

2、云,特别是云原生确实把很多事情变复杂了,云原生久了后,大部分人会对底层无知、依赖少部分人和机构复杂的运作底层平台。


【求文档】


1、咨询一下各位 在涉及金融付费层面 有相关法律法规必须先实名认证在付费续费之类的要求么?
2、《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》这个评估有最佳实践吗?找什么机构或者公司来评估啊,抄个作业
3、各位大佬,咨询个问题,有监管要求,数据的磁带要异地备份吗?


【产品推荐】


无。


【行业思考】


1、315 安全专场。人脸识别营销这个事,其实真的有啥问题吗?如果不是用人脸识别,而是找个人来认人记录,跟以前饭馆里的店小二认熟脸客人一样,这有错吗?

2、用户行为产生的数据,归属权到底是用户自己还是归商业公司?

3、隐私除了我们搞安全的,大众看的真没那么重要。

4、没有组织架构和业务架构的渗透分析都是没有灵魂的渗透。

5、同时提供用户便捷贴心服务和保证隐私还是比较难的。今天打开银行app,提醒你还信用卡,一些人觉得方便,一些人觉得你在背后悄悄分析我,窥探我的个人隐私。和安全一样,这个尺度如何把握也是一门艺术。


------------------------------------------------------------------------------



企业安全建设实践群

第14期0315-0321


上周群里共有 140 位群友参与讨论

18 个话题分为以下5类

安全管理:6 个

安全技术:8 个

求文档:3 个

产品推荐:1 个

行业思考:0 个



【安全管理】


1、请教各位如何向上沟通的技巧啊,在IT资源紧张,人力有限的背景下,我们提出几个hw前自查方案,比如:外网黑盒、测试环境灰盒、内网等等,如何帮助管理层去决策使用哪种方案呢?我能想的比如:预期排名?公司受关注程度?

2、各位大佬,请教一个问题,理论上安全和信息科技各个板块相互融合,但是工作中也应该有工作界限,管的太多有意见,管的太少被认为不作为,如何有效的界定工作界限?有没有相关的规范或者制度?

3、请教一下大佬,sdl实施,怎么体现工作结果,除了漏洞数外?

4、请问各位老总,关于员工保密意识这块大家有什么合理化建议,可以加强和落地的方式.?

5、单位内部运维和安全似乎是分开运作,没有拧成一股绳,运维难道不知道重要数据不允许外发吗?桌面工作的标准化,和IT、安全的对接还是很重要的,很多问题都发生在职责跨界的地方,类似还有flash player什么的

6、安全本质上是一种可能性,当和业务发生冲突时,有些可以让步有些不能让步有些可以折中。做安全的前提是更好的服务业务,完善业务的属性,公司性质不同,我赞成不能纯粹为了技术而技术,如果站在领导更高的角度,会有不同的看法和风景。公司性质不同,重视程度不一样,符合公司情况更重要。当然,作为技术部门,该做的该坚持的也要尽职尽责。


【安全技术】


1、请教下各位专家,我有一个业务如果放在云上,安全会从哪些方面考虑,请给些指导!

2、请教各位大佬,有做过 系统安全画像 的吗?主要从哪些维度,怎么统计落地呢?

3、想问问各位大佬,风险评估中做资产收集这一块, 大家是如何保证收集的信息是全的呢?我的思路:1.从组织架构出发 2.了解各组的业务内容、业务流程、使用的信息系统 (这样就全了么?)

4、各位大佬,记得在银行app或网银里,在设置新口令的时候通常会有口令强弱判断的提示,强、中、弱的背后具体的判断规则有么?除了口令的长度、字符种类等复杂度要求,以及不能连续几位同一数字或字符的要求等,具体如何设置这样的口令强弱判断标准呢?

5、聂君:《从“复盘”到“复仇”,谈如何正确的复盘》我在文中用了三个案例来讲,这样就容易理解正确的复盘方法,然后再用正确的复盘方法,复盘了两个场景。这是极简提炼后的展示,实际工作中,会比这个复盘复杂很多,而且由于问题类型不同,复盘的侧重点也不同,会有所取舍。这就是实践->提炼->实践的反复过程。案例2我们遇到过类似的,在计划任务里跑powershell无文件落地,杀软几乎不奏效。

6、我们用了某公司的EDR 的产品,怎么感觉达不到我要的效果,Linux平台,还有最新的操作系统,产品的支持的不是特别好,问下是行业里面的都一样的效果,还是我们选择的产品没有选择好,请给个建议!

7、对于内网穿透软件, 各位有什么好的防范措施吗?

8、大佬们,人脸信息在传输和存储时有哪些安全保护措施可以做啊?


【求文档】


1、有没有近几年的网络安全威胁统计数据之类的啊?

2、大家谁有基础三层网络安全架构图啊?不是拓扑示意图,麻烦分享下,谢谢

3、请问红蓝攻防的对应技术产品/人员/响应措施如果结合常见攻击场景的话,有无攻防全景图参考?


【产品推荐】


1、打听一下有没有谁家代理Yubikey硬件key的,另外还有配套的一个软件叫rcDevs,如果有知道的,麻烦单独告诉我一下,不要破坏了群规,谢谢啦!


【行业思考】


无。


---------------------------------------------------------------------------------------------------------------


#群话题


【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送(每周五晚)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。


往期群话题


群话题 | 本期关键词:数据安全治理、安全是否需要做PR、github 监控及处置、HW前向上沟通的技巧、商业扫描系统误报率……


群话题 | 本期关键词:规划与预算,向上汇报的技巧,蓝军红军蓝队红队的区别,众测还是src……


群话题 | 本期关键词:安全意识培训,安全运营的人力分配,安全与研发运维岗位的磨合,安全工作价值货币化……


群话题 | 本期关键词:供应链安全管控,运营商流量清洗服务,安装准入和桌管的阻力,企业SRC的搭建托管……


群话题 | 本期关键词:关注信创安全,Google部分服务宕机,SolarWinds,标准解读,安全合规工作……


如何进群?

如何下载群周报完整版?

请见下图:



本文始发于微信公众号(君哥的体历):群话题 | 本期关键词:人脸识别的安全风险、个人敏感数据的权责划分、找到兼顾便捷与安全的平衡点、EDR、安全与运维的相处之道……

发表评论