myh0st 发布的文章

安全人才分布的各个阶段


今天我们来聊一聊与互联网安全相关的各个阶段,对于从事互联网行业的人来说,互联网安全或多或少都听过,但是最终从事这个行业的人少之又少,很大的一部分原因是因为学习的过程枯燥乏味,安全威胁是动态变化的,需要不断的学习,更重要的是,无论做甲方还是乙方,成就感很低,除了安全行业中直接对抗的技术参与者(比如:渗透测试、红蓝对抗)能够享受对抗的快感以外,其他的参与者很难长期兴趣满满的做一些看不到效果的事情,所以能够一直坚持在一线从事安全相关工作是非常值得尊敬的。

从我自己的理解来看,信安之路上有参与者,以外有旁观者,旁观者居多,参与者中分很多个阶段,比如:对安全有一定的认知、下决心从事安全行业、努力提升技术能力、思考安全的价值体现、做对整个安全行业有帮助的事情,下面就来聊聊各个阶段的思考。


如何成为安全圈的武林高手


前面聊了一下安全的价值和意义,最后来聊一下安全的学习之路吧,这个聊完基本上吹牛逼的文章就结束了,后面要专心研究研究技术,写写技术方面的文章了,毕竟技术是实实在在的,而吹牛逼的东西都是比较虚的,需要有一定的资历才可以完全理解,引起共鸣,这是一年多的工作学习的经验总结,虽说不能登啥大雅之堂,但是也是自己的心得体会,不具有权威性,仅供参考。

为了更好的吹牛逼,我会结合武侠类的电视中从一个菜逼摇身一变变成武林高手的过程来说。我们经常在电视中看到小说的主人公,从小被欺负,一直梦想着拥有强大的能力进行抵抗,往往在最落魄的时候会出现一些转机,比如:获得一本武林秘籍、一个素未谋面的前辈发现你骨骼惊奇收你为徒,从此在练武的路上越走越远,最终成为一代武林高手。


安全是什么,来自哪里,去向何方


今天我们来聊聊安全的起源,任何事物的产生都是因为有需求的存在,存在即合理(忘了出自哪里了),安全和不安全是一种状态的表现,而不是存在的主体,脱离主体,安全一点意义都没有,比如:人身安全,脱离人身还有什么安全可言;网络安全,脱离网络也不存在什么安全可言。

理解安全的起源,在我们作为安全负责人时能够更好的理解工作的价值,以及如何把握这个度,做到什么样的安全程度,达到一个平衡,做到最优。


企业安全相关记录


企业安全

资产安全需要考虑的问题

  1. 内网中重要资产在哪里?
  2. 内网有多少系统可以访问这些资产?
  3. 这些系统是否做过全面的安全检测?是否有统一的登录鉴权
  4. 这些系统的登录和操作日志是否有日志记录和分析?
  5. 内网中有多少开放的API?
  6. 这些API是否有统一的安全的鉴权?
  7. 这些API的调用是否记录日志?分析?
  8. 员工统一登陆账号是否有集中的风险监控?