问:求教一下大佬,安全运营中大家是如何处理例外,非常是高级技术人员的除外造成 的安全
运营空缺?
答:我理解是高级技术人员的安全隐患大家不促进?不不不,我们都是要促进他修补的。
问:问个有关安全运营人员配置的难题,经营是否偏产品思维多一些,这儿技术性和管理方法该
怎么配置呢?
怎么配置呢?
答:不一定,系统软件经营应该是安全生产技术+数据统计分析多一点,可是假如你的是内容运
营,那便是商品层面要多一些。
营,那便是商品层面要多一些。
问:1、在人力资源不足的状况下,怎样深入分析不断经营?2、每一个新项目发布后经营必须跟
别的部门联动才可以促使,这里边有没有比较好的玩法效仿?
别的部门联动才可以促使,这里边有没有比较好的玩法效仿?
答:假如人力不足,你也就尽可能让经营工作中自动化技术,例如尽可能由程序流程来分析数据
,非常非常异常的才由人看,提高效率。此外便是一些年久新项目能够退出,例如前边我提及的
镜像劫持检测系统,由于如今早已已不是基本矛盾,大家早已退出;2、这一沒有好的方法,跟
她们合作吧。
,非常非常异常的才由人看,提高效率。此外便是一些年久新项目能够退出,例如前边我提及的
镜像劫持检测系统,由于如今早已已不是基本矛盾,大家早已退出;2、这一沒有好的方法,跟
她们合作吧。
问:那一天bcs当场我实际上就有一个难题想问宇总,今日这个问题仍然想问SINE,便是分母
要怎么定义,大伙儿很喜欢定普及率,资源发觉率,系统漏洞整顿率,代码覆盖率,分母如何
定,怎么检查?
要怎么定义,大伙儿很喜欢定普及率,资源发觉率,系统漏洞整顿率,代码覆盖率,分母如何
定,怎么检查?
答:每一个要自身去定,大家定病毒防护安裝率的分母,改了14稿才感觉就行了。
问:我想问一下进攻沉定后的数据信息怎样经营呢?
答:也是相近的方式呀,开展互联网运营剖析,招骋有关专业技能的人来做,这类进攻数据信
息里边有很多藏宝,或许就掩藏了0d答y。
息里边有很多藏宝,或许就掩藏了0d答y。
问:看SINE的演说就可以发觉,不明白挖地洞的人是没法做经营的……
答:各有千秋,不明白挖地洞的人也是有优点,例如他能够不容易局限性传统式的挖地洞工作经
验,通常有新的构思;大家精英团队也是有挖地洞技术性相对性弱一些,可是呢对数据统计分
析优化算法很熟练的朋友,就要他做UEB答实体模型,实际效果毫无疑问比挖地洞的人强。
验,通常有新的构思;大家精英团队也是有挖地洞技术性相对性弱一些,可是呢对数据统计分
析优化算法很熟练的朋友,就要他做UEB答实体模型,实际效果毫无疑问比挖地洞的人强。
问:标准提升的难题,能讲下技巧吗?
答:规则优化那个真的是要具体问题具体分析的,我觉得,首先你选择的数据就要适合做这件
事,选对了数据,规则做起来本身是不难的。举个例子:你想做黑客恶意命令执行的模型,黑
客执行了一个 id ,你就想告警,那么黑客执行的id,和好人执行的id,到底区别是什么?首先
要找到的是真正有区别的地方。比如,黑客是在php webshell或者java RCE环境下执行的id,
所以父进程是不是不同?如果采集的字段里都没有父进程的字符串信息,仅仅是有ppid一个数
字,那你很难做出 php派生的 id 和 好人的 id的区别。而且一个字段往往是不够的,这个id上
下文的一些数据,这个机器所属的业务历史上有没有出现过,在这一个session(切片)期间
,除了id,还执行了别的什么?最后你会发现单命令可能就是很难告警的,但是一些特别的进
程(php、java)派生的进程,业务历史上很少出现,而且上下文里还同时出现一些其他psne
tstat之类的命令,一看就是有人不熟悉环境在探测,最终才得到一个你想要的模型。
事,选对了数据,规则做起来本身是不难的。举个例子:你想做黑客恶意命令执行的模型,黑
客执行了一个 id ,你就想告警,那么黑客执行的id,和好人执行的id,到底区别是什么?首先
要找到的是真正有区别的地方。比如,黑客是在php webshell或者java RCE环境下执行的id,
所以父进程是不是不同?如果采集的字段里都没有父进程的字符串信息,仅仅是有ppid一个数
字,那你很难做出 php派生的 id 和 好人的 id的区别。而且一个字段往往是不够的,这个id上
下文的一些数据,这个机器所属的业务历史上有没有出现过,在这一个session(切片)期间
,除了id,还执行了别的什么?最后你会发现单命令可能就是很难告警的,但是一些特别的进
程(php、java)派生的进程,业务历史上很少出现,而且上下文里还同时出现一些其他psne
tstat之类的命令,一看就是有人不熟悉环境在探测,最终才得到一个你想要的模型。
