来自 资讯 2021-10-12 01:12 的文章

香港高防ip_高防cdn服务器_秒解封

香港高防ip_高防cdn服务器_秒解封

所以,我们从RSAC 2015回来了!我们的头脑里充满了新的信息,我们的销售团队有很多新的联系要跟进,我们的袋子里装满了无用的赠品:)。除了在一些令人印象深刻的餐厅取得了绝对的烹饪成功,并在旧金山战争场享受了令人印象深刻的信念不再音乐会,我们还做了一些工作。和往常一样,这是一次有趣而富有成果的RSA会议。我们把注意力集中在应用程序安全性上,它有自己的专门方向,我们决定总结一些更有趣的谈话。其中,我们唯一的一个,玛蒂·西曼。构建应用程序安全程序的案例研究-Robb Reck–副总裁,CISO–Pulte Financial ServicesRobb提供了一个内部人士对实现应用程序安全程序所需过程的看法。最初,Robb描述了一些挑战,比如大型组织还没有得到关于Appsec有多重要的教育。此外,人们普遍认为安全解决方案是开发的障碍,美国高防服务器cdn加速,我们(Appsec行业)的工作是证明如何在应用程序开发过程中实现无摩擦安全性。管理层和员工的支持使Appsec计划进程得以推进。这可以通过分配任务来实现,这些任务可以为不同的角色创造动机。员工可以被指派为安全倡导者角色,并负责项目的实施和实施。初级员工可以将此视为向前迈进的一种方式,而高级员工则可以将此视为学习新事物的一种选择。中层管理者可以将此视为为为分配的冠军定义清晰有效的目标的一种选择。必须优先考虑Appsec程序。你不可能一次做完所有的事。实施必须循序渐进。此外,应制定明确的衡量标准,以证明该计划的有效性。表明安全事件正在减少,组织声誉正在提高(利用市场营销宣传组织的安全意识,并将其作为业务区分点)将SAST集成到公司的SDLC中,并将DAST工具作为最后一道防线。常见的障碍包括这样一个事实,即人们认为安全性总是会影响基础设施,以前的技术经验不好,法规遵从性没有责任感,而且前面还有一个漫长的过程。关键要点:1实现管理层和员工的认同-为团队提供机会,为公司带来明显优势。2一步一个脚印地实施应用程序安全性——允许组织成长为过程,而不是一次就把它丢给团队。三。采用合适的合作伙伴来提供培训和解决方案–这些方案必须具有灵活性和可扩展性4招募团队中聪明的男男女女成为冠军——需要学习新东西的高级开发人员,或者有动力在组织内前进的年轻人。完整的幻灯片可从以下位置获得:https://www.rsaconference.com/writable/presentations/file_upload/asd-ro2-a-case-study-in-building-an-appsec-program-0-60-in-12-months.pdf黑客游戏:所有蜜罐之母——Maty Siman——CTO兼创始人——Checkmarx切克马克思的(checkmarx.com网站)创始人兼首席技术官Maty Siman上台讨论了应用程序安全性的一个最重要方面。开发者教育。一种叫做黑客游戏的教育游戏(网站)Checkmarx在线发布,允许开发人员和应用程序安全专业人员测试他们的漏洞检测技能。在谈话中,马蒂介绍了切克马克思一次实现几个目标的过程:i、 创造一个能吸引开发者的工具。通过游戏化,Checkmarx在最初的24小时内成功地让3.5万名用户在不同的级别上玩游戏,或者与他们自己对抗,或者挑战他们的朋友二。了解更多有关黑客技术的信息。"在构建黑客游戏(GoH)时,我们知道黑客将是第一个迎接挑战的人。我们也知道他们会试图入侵我们,所以我们给他们开门让他们进来。"我们创造了自己的蜜罐,"玛蒂·西曼说。Maty分享了攻击者使用的黑客技术的例子,对于每一种技术,观众都清楚地了解了如何在开发阶段从理论和实践上正确地处理这些技术。三、了解开发者的安全编码意识和熟悉程度。通过使用近10万名参与者的统计数据,Checkmarx可以生成显示安全编码意识水平和行业教育需求的统计数据。(Maty还描述了Chekmarx使用节点.js在开发游戏时,以及如何确保避免暴露在代码中的漏洞中。完整的幻灯片可从以下位置获得:关键要点:5确保你的应用程序的开发计划是安全的6教育你的开发人员,让他们编写安全的代码7使用游戏化来实现收养?8不要想当然地认为新的编码语言框架是安全的 确保物联网安全:利用OWASP IoT Top 10项目绘制物联网攻击表面区域-Daniel Miessler,惠普公司业务负责人Daniel首先介绍了物联网的未来主义观点。他使用的术语是"通用Daemonization",linux自动检测防御cc,这实际上意味着我们使用的每个日常工具都会有某种API在上面运行。讨论围绕着通过接收和传输数据到设备(东西)来塑造和配置我们周围的环境。你的手表会发现你的身体在颤抖,并指示空调增加加热。然而,问题是,正如丹尼尔所说的那样,我们仍然没有考虑过去20年的安全问题。"我们已经有了网络安全、应用程序安全、移动安全和云安全导致物联网,不幸的是,当我们进入新的领域时,我们往往会重新开始。"。物联网的问题是,这些产品都有这些安全问题,但是现在实施这些产品的行业并不是安全专家,而是这个行业的新来者。Daniel提到他们在物联网行业的工具上进行的测试,比如家用电器、电视、恒温器和其他。结果令人震惊。在某些情况下,100%的被测设备没有实施基本的安全措施。例如,10个家庭安全系统中有10个设置了123456的默认密码,ddos攻击防御论文,无需更改。在其他情况下,没有配置帐户锁定设置,暴力是一个简单的任务。软件更新(如果可用)可以通过安全的FTP连接进行访问,而无需对更新进行签名。Daniel和他的团队目前正在为物联网创建OWASP前10名名单,因为他们无法在业内找到任何其他标准(https://www.owasp.org/index.php/owasp_Internet_of峎Things_Top_Ten_项目)。完整的幻灯片可从以下位置获得:https://www.rsaconference.com/writable/presentations/file_upload/asd-t10-securing-the-internet-of-things-mapping-iot-attack-surface-areas-with-the-owasp-iot-top-10-project.pdf关键要点9物联网将在短期内大幅增长,并将对所有行业产生影响10我们没有从过去的经验中吸取教训——由于缺乏行业安全经验,15m宽带能防御ddos吗,公司也在犯同样的错误11目前没有一个物联网安全标准为基本的安全缺陷提供了肥沃的土壤 CISO对与董事会讨论网络安全的看法——Chris Wysopal,Veracode联合创始人兼CTOCISO不再仅仅是公司的安全专家。他们的责任涵盖了组织的各个方面。因此,现在被称为CISO的技术安全专家是时候学会如何与管理层高管和董事会成员沟通了。管理层越来越意识到安全事件对组织成功甚至个人职业前途的潜在业务影响。他们希望并需要成为安全方面决策过程的一部分,但是他们缺乏经验和知识。CISO必须开始像商业领袖一样思考。SaaS应用程序引入了新的业务线,这些业务线需要敏感的安全方法,云加速ddos防御,同时还要考虑法规遵从性、法律和公共关系方面的问题。克里斯说,CISO不会有超过15分钟的时间来介绍组织的安全状况和需要。提供的数据必须清晰明了。没有技术交流或大量图表,没有缩写(XSS、DDoS等),使用数字和TCO/ROI数字。让董事会成员对infosec项目的期望值进行阐述,并确保董事会知道100%的安全性不是一个可行的目标。会上提到的另一个重要问题是介绍被违反的类似组织及其对它们的影响。董事会成员不明白支持这项计划会带来什么风险。关键要点:12由于安全漏洞导致公司亏损爆发后,CISOs的地位发生了变化13CISO现在必须建立安全策略,而不仅仅是解决具体问题14与董事会成员的良好沟通是CISO成功的关键。这是通过较少的技术数据和更多的财务和业务影响数据来实现的。 接受锉刀的实用建议-一种新的防御方式惠普副总裁兼总经理Jason Fortify,Tyler Shields高级分析师Forrester,Steve Dyer首席技术专家惠普企业安全产品研究主管,Joe Sechman,HP安全研究部软件安全研究部主任运行时应用程序自我保护(RASP)保证了对生产应用程序的保护—无需更改代码