诸子云 | 话题:在两国交战期,如何在复杂的网络攻击中保障业务的顺畅?
两年间,安在采编“诸子云”社群日常交流(各会员群内脑力碰撞)之精华,出品“微话题”栏目,两年多时间里,先后整理上千次讨论,汇整数百个热点话题,发布数十期文章,涉及企业网络安全最佳实践方方面面、角角落落。与此同时,我们还以月为单位,把所有经过整理的讨论内容归档到诸子云知识星球,让微话题可沉淀、能检索,成为可持续输出价值的甲方“新鲜事儿”。
我们诚挚欢迎更多朋友进入到诸子星球,参与话题讨论。
本期“微话题”,我们从“诸子云”社群里选取了五个引发热议的小话题为读者们予以呈现,分别为:“外购的软件从哪些方面做安全评估?”、“以下哪一项代表运营风险在企业内得到有效管理的最佳指标?”、“某员工在服务器上发现一个可疑文件。此员工认为该文件是病毒并联系了信息安全经理。第一步应该做什么?”、“在两国交战期,如何在复杂的网络攻击中保障业务的顺畅?”、“怎么看待SOAR的核心难点是SIR而不是SOA?”
外购的软件从哪些方面做安全评估?
观点1:
第三方组件代码报告、安全报告、登录入口是否有双因素
观点2:
我尝试回答一下这个问题。我认为,首先要知道你为什么要做安全评估、想解决什么问题,才能回答好这个问题。
1、架构和设计
(1)模块和架构层次
(2)内外部调用和被调用关系
(3)权限管理模型
(4)根据系统预计部署位置,分析暴露面管理
(5)操作记录和日志
(6)业务流、数据流的脆弱性分析
2、部署和实施
(1)技术栈
(2)组件和供应链
(3)代码实现
(4)架构和设计中覆盖的点
(5)软件在部署、实施、试运行环节中可能引入什么脆弱性
3、运维和运营
(1)系统如何运维,是否有什么风险
(2)围绕系统的运营是如何开展的(比如账号、权限开通和关闭,比如数据导入导出),是否有什么风险?
观点3:
领以我的经验,最容易被遗漏的是:
1. 软件在部署、实施、试运行环节中可能引入什么脆弱性;
2. 软件在运维和运营过程中可能存在什么风险。
观点4:
外购软件往往就是引入一个黑盒,不知道里面有什么。很多时候是没有代码。引入这样一个软件之前,可以从哪些方面去评估他的安全性,可以采用哪些办法来落地。我想这个问题应该很多企业也面临,需要有一套有效的解决方案
观点5:
观点6:
之前写了个模板。
以下哪一项代表运营风险在企业内得到有效管理的最佳指标?
A. 经过测试的业务持续计划/灾难恢复计划
B. 员工更加及时地报告事故
C. 风险管理的教育程度
D. 高级管理层对风险进行定期审查
观点1:
正确答案:A
解释:
A. 经过测试的业务持续计划/灾难恢复计划是运营风险在企业内得到有效管理的最佳指标。
B. 员工报告事故是一个指标,但不是最佳选择,因为它取决于员工的认知。
C. 风险管理的教育程度不是正确答案,因为它不一定表明风险在企业内得到有效管理。风险管理教育水平高将有助于但并不一定意味着风险得到有效管理。
D. 高级管理层对风险进行定期审查不是正确答案,因为它不一定表明风险在企业内得到有效管理。高级管理层的参与将有极大帮助,但并不一定意味着风险得到有效管理。
观点2:
基础设施层一直都是重灾区,不过幸存者偏差没有太多人出来吆喝。我刚参加工作那会,UPS总故障。
观点3:
UPS这种设备的架构,是不是就类似一个板子上跑个简化的操作系统?
观点4:
类似嵌入式工控
某员工在服务器上发现一个可疑文件。此员工认为该文件是病毒并联系了信息安全经理。第一步应该做什么?
A. 遏制该文件。
B. 删除该文件。
C. 验证该文件是否是恶意文件。
D. 向管理层报告可疑文件。
观点1:
正确答案:C
解释:
A. 遏制是事故应对周期中的下一个步骤。
B. 在确定删除操作是安全的之后,删除该文件可以作为遏制流程的一部分。
C. 事故应对的第一步应是验证该文件是否是恶意文件。
D. 向管理层报告是事故处理周期中稍后进行的步骤,并且视政策情况而定,但它不会在验证或常规遏制操作之前进行。
观点2:
A先控制影响面再验证。
观点3:
步骤先验证还是先遏制来着?
观点4:
不先遏制再分析?
观点5:
可能是有用的文件关系生产关键
观点3:
我想的是先隔离,这么一想如果是关键文件隔离会出问题的。
观点4:
经过管控区了,先隔离再验核酸。
在两国交战期,如何在复杂的网络攻击中保障业务的顺畅?
观点1:
此前,俄罗斯相关部门多次进行过互联网断网测试并取得成功。俄罗斯认为,在社交媒体影响力和网络攻击日益增加的背景下,建立“主权互联网”是必不可少的举措。
观点2:
你这个怎么说呢 如果你是身处国家战略行业,也就是国家网络战首选波及的行业。国家会有相关指导出来。如果不是这个行业,大概率你做一个看客。
观点3:
因为跟传统战争一个道理,就看你的地理位置是否有战略价值,都没价值那为啥去攻占呢?
观点4:
网络攻击资源也是有限的。
怎么看待SOAR的核心难点是SIR而不是SOA?
观点1:
能辨别的事件是否都基本有解决办法。
观点2:
SIR不是SOAR的难点,是整个安全运营的难点。工具永远都只能当工具看,策略永远是团队和人的事。SOAR只是工具。 个人观点,不一定对。
观点3:
如果硬要分,SIR 也应该是SOC的难点,而不是SOAR的。
观点4:
SIR不止是SOAR的难点
观点5:
S 的英文全称是什么?situation ? senerio ?
观点6:
sir,安全事件响应
观点7:
security inicident reaction
观点8:
incident response,难点是如何生成有效的incident,目前看多数是弱关联,是关联
观点9:
加入人工智能分析 ?
观点10:
是呢,所以我理解,这个环节还需要人工介入
观点9:
归根结底,安全专家的经验是最重要的,但专家成本又高,有经验的也少
观点10:
SOC、SIEM、SOAR这几年都开始聚焦在检测响应,去解决安全事件,而非大而全的领域,大包大揽解决不了问题
如果你是甲方业者,还未加入诸子云,别犹豫,赶紧联系,诸子云作为国内目前最大也最为活跃的网络安全甲方社群,一定是你最佳选择。
更多话题在诸子云知识星球有归档,想了解甲方日常所想?想理解甲方工作之痛?想掌握甲方真实需求?赶紧加入这个开放的“宝藏”。
另外,本星球已开通“分享有赏”,20%分享奖励,以当前价格计,您只需引荐5位付费新星友,您就完全赚回“门票”支出了。
如果你是厂商,想拥有更多传播和对接价值?赶紧加入安在企业服务计划,成为安在企业会员吧!
推荐阅读
齐心抗疫 与你同在 
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注KnowSafe微信公众号随时掌握互联网精彩
- Lemon8再次APP Store霸榜,或作为TikTok在美国的替代方案
- 诸子笔会2022 | 杨文斌:企业安全建设之“查漏补缺”
- 【程序员的趣味生活】程序员是如何交接项目的?
- 聚骁友,庆周年|不负此刻热爱,开启未来科技探索之旅
- 历史上的今天:AT&T 成立;全球最大分布式计算项目正式停止;家酿俱乐部首次会议
- “霸道黑客改了我的大纲”,嫌作者写得太烂,粉丝盗号写两万字新剧情
- 苹果发布安全更新,修复已被利用的0day漏洞
- 次世代的职场人,你需要这样一台移动PC!
- 诸子云 | 7.17深圳数据安全与数字化转型专题研讨会
- 披着“智慧”外衣的停车场,明目张胆泄露隐私
- 用户注册账号提示“不安全”?你应该需要SSL证书了
- 为什么EV SSL证书那么贵?Geotrust的EV SSL证书怎么样
