金融业企业安全建设实践群
第81期0104-0110
上周群里共有 138 位群友参与讨论
32 个话题分为以下5类
安全管理:6 个
安全技术:10个
求文档:5 个
产品推荐:8 个
行业思考:3 个
【安全管理】
1、是规划决定预算,还是预算框内规划?年度规划其实就是向上管理的最系统、全面的体现;规划目的不单单是要资源一个目的,更是“灌输”和未来几年铺垫。安全规划最大的靠山是监管合规,但你不能老拿合规讲事,否则每年的检查你是咋过的啊?建议先看公司的战略规划和业务规划,围绕的他们的规划去做安全保障和支持。
2、大佬们你们应用的换版变更或者上线是每周固定时间做吗?每周做几次?
3、想在群里问问各位大佬,给公司领导(多部门)汇报体现目前或者本年度安全工作的衡量指标,能从哪些方面体现,类似安全指数,来体现公司目前的安全水平。目前的想法是搞一个多维雷达图,标注我们目前处于什么位置,但这个怎么衡量,感觉就拍脑袋了,没有啥依据。选择相对成熟的标准或者实践可以预防,比如数据安全领域,就用dsmm,17个domain有演进评估 至于说“信息安全”,太大,分成网络 开发 数据 几个粗略的方向,每个方向都有mm支撑,故事就讲圆了
4、话说大佬们,安全这个行业职业生涯发展规划大家有木有啊,一般都是咋样的一个岗位的变化?比如什么安全工程师高级安全工程师接着又到什么什么最后是首席安全官?有没有一些稍微权威一点的发展规划总结?
5、app采集隐私这块 如果app不是对客,但是也是面向部分人员使用的(比如管理访客 外包人员等等),这块也是需要强制在app上明示协议同意的吗?
6、话说在日常防御发现了攻击反制目标获取了目标shell,算不算违反网络安全法,入侵计算机?
【安全技术】
1、各位,APP隐私保护要求提供注销功能,但对于小程序这一类的应用,浏览信息的时候需要登录,只是信息浏览的小程序,还需要获取微信手机号作为登录凭证,这一类也没有隐私政策声明,也算是收集个人隐私数据,也没有注销功能,这一类该如何处理?
2、移动终端应该参照什么安全基线方可接入内网?
3、epd和guest区别在哪里?
4、各位大佬,网络非法跨网或跨区接入、非法外连的检查,有没有工具或者方法啊?
5、大家收集外部漏洞情报都有哪些方式?
6、昨天src收到一个语雀的笔记,一个运营人员记录很多后台系统的密码,针对这种信息泄露,除了安全意识培训,有什么方法发现?
7、问个问题,你怎么知道全网有多少有特权账号的地方?我翻遍资料,没找到能用技术手段回答这个问题的
8、问个数据库审计的问题,你们ORACLE的审计开啥功能,我们测试了一下,在测试数据库上只开了用户登录和语句执行记录,日志量巨大,半个月就160G+
9、网闸都不算物理隔离了?网闸分两种,一种是假的,TCP/IP可以通的,当然不能算。一种是IP不通的,只能传送文件的,可以算。
10、卡号 这类加密保存 怎么索引呢?
【求文档】
1、各位大佬 请教一下 登录用户的浏览记录,点击操作这一类的数据,在哪个规范性文件中有说明和安全要求?
2、哪位大佬有安全运营周报的模板呀,发我们学习一下
3、大佬,iam平台配合sso的用户权限管控有相关资料实践文章之类的吗?
4、谁有介绍hw的ppt材料?
5、各位有没有接口数据安全相关的相关资料/规范,可供做个参考呀
【产品推荐】
1、大家有sdk或api的渗透测试工具可以分享一下吗?
2、各位大佬,有比较好的文件打标的方案吗?
3、联软测过终端ocr吗,来的人说终端ocr对资源没要求,表示很怀疑
4、说到app,大佬们都做了什么渠道监控或者仿冒app又或者钓鱼之类那些东西吗?貌似近几年监管评级经常会要这些材料
5、有类似solarwinds的网管软件吗?
6、分享个信息安全知识库,可以根据标签来搜索最新的资料:https://vipread.com/
7、问下大家,网闸国内有没有好用的产品?用得多吗?
8、监控暗网有什么好一点的渠道吗?
【行业思考】
1、我前期听到的说法是:蓝军=红队=red team=攻击方
2、国外怎么看HW的,不知道大佬们有了解这方面情况吗?
3、《"中国交通银行"被入侵》我们查过了,早上那个我们行的数据是假的。谣言一张嘴,辟谣跑断腿。充其量是“消息”,但是添油加醋说中国交通银行被攻击,导致,这别说不是情报,就是造谣了。7000阅读,安全圈子不大,搞娱乐搞流量的是搞不久的。
------------------------------------------------------------------------------
企业安全建设实践群
第8期0104-0110
上周群里共有 121 位群友参与讨论
18 个话题分为以下5类
安全管理:6 个
安全技术:4 个
求文档:1 个
产品推荐:5 个
行业思考:2 个
【安全管理】
1、甲方自己搞渗透,不如弄个众测更靠谱,然后整一套漏洞管理平台,走流程发工单。内部安全渗透还是必要的,发现风险是一回事,在内部梳理风险推动漏洞闭环才是重要的一环。
2、自己想搞SRC的话,大佬们有什么建议呢?有常规奖励政策的src,如果不做专门活动推广运营,实际效果怎么样?
3、很多金融企业漏洞管理平台都没有,漏洞修复流程都还没有走顺,一下子搞SRC有点超前,金融企业跟互联网巨头们还是不少差距的。
4、大家内部漏洞平台是自己建一个,让别人参与进来呢?还是直接用开发的bug管理平台呢?
5、请问内部项目源代码被员工发布到网上(比如git,csdn之类),如何处理呀?员工已经删了,但是还有其他人fork了,fork的这个人联系不到
6、真要搞破坏,在座各位安全人员有人家运维人员专业?真要杜绝,建议要求所有变更在制定地点完成,2人以上汇同操作。三权分立就是为了要杜绝这类风险,但是三权分立在落地中执行的并不是很彻底,根本原因是成本,时间成本,人力成本等。
【安全技术】
1、【请教】 大佬们,最近写材料卡住了,准入到底能解决什么实际问题,没有准入有哪些风险和痛点,有没有实际案例?写了一版领导说太虚,请大佬们赐教!
2、请教各位大佬,dns劫持的风险性有多高,有这方面的数据分析报告吗?
3、咨询下大家对互联网高危服务端口是怎么定义的,又是如何做监控以及推进访问控制措施的?
4、《链家程序员删除公司数据 被判7年》其实大多数公司的运维人员都是root权限的,堡垒机命令控制不得不上啊,如果说在系统层把rm重命名了,这样方式可以防范?
【求文档】
1、PCI DSS 对于加密 有什么算法要求,比如AES 256 ,而不是AES 128?
【产品推荐】
1、大家有sdk或api的渗透测试工具可以分享一下吗?
2、各位大佬,请问现在有国内厂商生产类似还原精灵的软件吗?在网上查了一遍,基本就Deep Freeze冰点还原、ShadowDefender这些国外公司有,国内以前的如易速还原找不到了,或者有没用过哪些国产还原卡比较靠谱的?
3、有类似solarwinds的网管软件吗?
4、各位专家,“IT部门是否能够做到对涉敏人员的电脑就保存的敏感信息进行定期扫描,做出清理提示,并对逾期保存的信息直接清除?”这个能力,都是用什么产品或如何实现的?
5、各位老师,大家有用splunk?这个能不能监控服务端口?
【行业思考】
1、各位大佬,没有对于安全部门的价值能够量化的一些指标,具体带来了什么好处,而不是“减少风险”这种泛泛的描述。
2、明天关注下交行股价就明白了。
---------------------------------------------------------------------------------------------------------------
新栏目#群话题
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送(每周五晚)。根据话题整理的群周报完整版,每周会上传知识星球,方便大家查阅。
往期:
群话题 | 本期关键词:安全意识培训,安全运营的人力分配,安全与研发运维岗位的磨合,安全工作价值货币化……
群话题 | 本期关键词:供应链安全管控,运营商流量清洗服务,安装准入和桌管的阻力,企业SRC的搭建托管……
群话题 | 本期关键词:关注信创安全,Google部分服务宕机,SolarWinds,标准解读,安全合规工作……
群话题 | 本期关键词:防内鬼数据泄露、国家红蓝对抗拉动产业发展、安全价值的呈现、零信任的歧义……
如何进群?
如何下载群周报完整版?
请见下图:
本文始发于微信公众号(君哥的体历):群话题 | 本期关键词:规划与预算,向上汇报的技巧,蓝军红军蓝队红队的区别,众测还是src……
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论