来自 安全 2021-09-07 13:05 的文章

高防IP_奇乐高防服务器_3天试用

高防IP_奇乐高防服务器_3天试用

随着网络安全经理的角色从传统的"看门人"转变为更具普遍性、全公司范围的安全促进者,网络安全经理的概念也在不断演变。本月我们的嘉宾Zane Lackey是世界上最重要的白帽黑客之一,著有《移动应用程序安全》和《黑客曝光:Web 2.0》等书籍。目前,Lackey是Web应用程序保护平台Signal Sciences的联合创始人和CSO,同时也是Internet Bug咨询委员会的成员悬赏计划和开放技术基金。尽管正在创建新的基础设施、服务和应用程序,但诸如端点的安全性故障或缺乏双因素身份验证系统等简单的事情仍然是全球攻击的头条新闻。采访开始时,我们回忆了赞恩做白帽黑客的日子。熊猫安全:您使用什么技术来检测漏洞并暴露威胁以避免攻击?回到我那沉闷的日子,那是很久以前的事了,我最常找的就是系统设计中的假设。然后我会寻找可能违反这些假设的方法。在防御方面,我以这种心态思考如何授权开发团队和DevOps团队。这是我学到的最大的教训之一——从白帽子、安全咨询、沉闷的事情到成为CISO和建立安全组织,真正的重点是如何让工程团队尽可能多地了解生产中发生的事情。PS:像Internet Bug Bounty这样的程序如何帮助解决已发现的漏洞?发现缺陷后,你会怎么做?我知道最近Bug Bounty程序有一些变化,所以我不想说任何不正确的地方,但是我认为从过去运行了多个Bug Bounty之后,重要的是努力与进来的研究人员建立良好的沟通。因为很多时候,你会得到一个部分的报告或者不包含重现问题所需的所有信息。因此,能够说"嘿,这是我们需要的五点信息,所以我们可以将这些信息传递给相关的服务团队或应用程序团队",这可以帮助双方进行沟通。同时,试着和研究人员沟通,这样对他们来说不仅仅是一个黑匣子。努力做到双方都尽可能的透明——这才是真正给研究人员和与他们合作的组织带来良好的缺陷奖励体验的原因。我想任何一个运行过缺陷奖励计划的人都会习惯于看到各种各样的东西。你可以看到从你不知道的系统到几乎每种类型的漏洞,甚至是你认为你没有的漏洞。所以我非常相信这些项目的价值,我认为它们很好地补充了pentesting。将两者结合起来确实可以帮助大多数安全程序。我之所以喜欢Bug Bounty程序和Pentest的结合,是因为它可以让你的Pentest专注于非常具体的领域,而不是在他们没有时间的时候让他们测试所有的东西。所以你可以利用你的缺陷奖励来尝试获得非常广泛的覆盖范围,你也可以使用你的pentest尝试获得非常集中和具体的覆盖范围。注:NHS最近雇佣了白帽黑客来识别网络威胁。你认为在当今的组织中,道德黑客是避免违规行为和加强防御不可或缺的吗?对于每一个组织,你需要考虑人们是如何攻击你的系统的。所以白帽黑客,沉闷,和臭虫奖励,ddos防御哪个好,这些都是其中的一部分。它们不是故事的全部,但它们是其中的一部分。你不想仅仅为了合规性而做安全性,或者只是想检查一下不同的防御措施。我要求人们在尝试构建安全程序时,首先要考虑的是:攻击者如何真正攻击我的组织?并用它来推动你的防御计划。这就是红队合作,4层cc防御,白帽黑客,臭虫奖励,以及所有这些测试你的系统的方法可以是一个非常强大的反馈循环。因为当你的系统受到攻击时,它们会显示出"这就是他们去的地方",这可以集中你的防御。所以我非常相信平衡进攻和防守,用一个来指导另一个,而不是孤立地去做一个。PS:如何实现DevOps以使公司更安全?我真的相信拥抱DevOps和拥抱云可以让你更安全。原因是,在任何开发方法中,仍然会有漏洞。所以一旦你意识到这一点,逻辑上的结论是,让你反应最快的开发技术是最安全的。在瀑布式的旧模型中,应用程序的变化非常缓慢,问题是没有办法快速做出反应。所以这就是为什么DevOps、Cloud和向敏捷的转变实际上可以让我们更安全。PS:我们能从Equifax这样通过web应用程序漏洞发生的大规模数据泄露中学到什么?我想说,从我们每天看到的违规行为中,有两件事值得我们学习。一是99%的情况下,ddos攻击如何进行防御,它们都是非常常见的现成的东西——没有修补的东西,防御大量DDOS攻击的能力,弱密码,端点上的恶意软件等等。所以回到前面的评论,我鼓励所有组织不要去想"疯狂的,国家资助的零日,这是一个疯狂的复杂的日子",但更重要的是:如何覆盖端点上的恶意软件?如何对所有帐户进行双因素身份验证?如何在web应用程序层获得覆盖率?因为我认为另一个教训,我们都刚刚开始看到的漏洞,但我们已经看到在过去几年的战壕,是历史上的安全风险是在基础设施层和网络层,所以我们一直认为防火墙和ids之类的东西可以减轻它。但是在过去的几年里,风险已经转移到了应用程序层,并转移到了端点。因此,了解你的风险所在是我们作为一个行业现在应该学习的第一大出租人,跨越我们已经看到的漏洞。附言:你认为公司会为GDPR做好准备吗?他们需要做些什么来遵守法规并保护他们的数据?对于任何一个新的合规制度,人们都会对它产生很大的担忧,因为还没有人确切地确定它是什么样子。因此,我认为一开始会有点模糊,然后你会看到产品和服务的出现来帮助它,你会看到一个更清楚的画面,20g每秒ddos防御,什么是审计人员真正在寻找,什么是真正需要采取的一部分。安全性和法规遵从性是两个独立的部分,有时会重叠在一起。因此,保护您的数据,而不仅仅是遵守某些东西,您必须问:我如何保护我的端点?如何在应用层保护我的web应用程序、api和其他东西?因为这两个桶是我最大的风险所在。因此,您应该关注这些问题,对端点上的恶意软件进行有效控制,尽可能多地使用双因素身份验证,然后获得应用层的覆盖率、可见性和保护。PS:就应用程序安全性而言,您更喜欢从内部编程实现安全性,还是更喜欢从外部保护它?答案是两者兼而有之。对于保护应用程序,如何有效地做到这一点,就是要考虑如何在开发周期中尽可能多地消除bug,但同时也要认识到漏洞总是存在的。所以,你要把这一点与代码的可视性和防御结合起来,而不仅仅是在代码失效后扫描bug,然后在互联网上实时地忽略它。我认为这是过去10多年来SDLC的一个重大失败。我在这些做得很好的组织中看到的最大的共同点是他们试图在生产前消除缺陷,他们认识到总会有漏洞,所以他们真的投入巨资来了解这些服务在生产中是如何受到攻击的,并利用这一点来实现这一点直接向开发团队和DevOps团队自己提供可见性,这样他们就可以使用这些信息自助服务,而不必依赖安全团队来维护他们正在构建的服务。