DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

防ddos攻击_免备案高防vps_零误杀

05-03 CC防护

防ddos攻击_免备案高防vps_零误杀

编者按:这是与布隆伯格工业集团(bloombergindustry Group)产品和基础设施安全主管布莱恩•巴蒂(bryanbatty)的四部分谈话的第三部分。在第二部分中,他谈到了管道和SBOM。在本节中,Bryan解释了正在进行的实验,怎么选择ddos防御大小,并解释了如何衡量成功计划的成功。"如果我们能够降低这些值,我们最终将花费更少的时间来纠正安全漏洞,而将更多的时间用于集成应用程序的安全结构。"—Bryan Batty从惊喜中学习马克·米勒。你最近学到了什么让你感到惊讶?布莱恩·巴蒂。哦,天哪。我第一次当上了父亲。有些事情我会说,"哇,谁知道我能做到?"但我强烈认为你的问题与技术有关。首都一号的黑客攻击令我吃惊。该行是云技术引入的领导者,也是安全问题的先驱。当我看到这些,我已经非常震惊。马克·米勒。您的团队是否考虑过这是否会对贵公司产生任何影响?布莱恩·巴蒂。噢,我想在这个行业里有话要说的人都会考虑一下,当然是任何一家技术公司。我们在这里关注的是不同的加密方法,我们知道我们目前在云计算方面还不是很先进。但我们走的是正确的道路。在过去的一年半里,我们取得了很大的进步。Capital One黑客攻击发生在我们介绍阶段的开始。我们很早就没有被迫检查成千上万的S3存储桶来看看到底发生了什么。我们目前正在进行开发。因此,这是一个很好的机会,我们可以回顾一下我们目前的程序。空间邻近性实验马克·米勒。你的团队今年在做什么?你想达到什么目的?巴蒂·布莱恩。我在前面提到过让安全专家和开发人员聚集在一起的实验。这是我们现在正在取得重大进展的一个领域。马克·米勒。在同一个房间里?在同一张桌子上?布莱恩·巴蒂。是的,同样的冲刺会议。但他们不一定要在sprint或backlog中24小时不停地参加sprint或backlog的复习。我们希望安全专家与开发人员合作,甚至可能执行一些代码检查。我不确定所有的安全专家都会同意。我也不确定所有的主要开发人员都会同意这一点。但我想将来我可以给员工分配不同的角色。在我以前工作的一家公司,我们尝试过。我是DevOps团队的成员。我知道这是反模式,但事实就是这样。反模式是我们有一个独立的DevOps团队。实际上,51ddos攻击防御,我们是一个运营团队,基础设施就是代码。开发人员在生产环境中发布了这些函数。有一些开发人员转投了我们的团队。这就是我们成为开发团队的原因。所以有一定的旋转。这是一个很好的实验,但实际上效果不太好。因为人们做他们想做的事是有原因的。他们想专心工作。一个Ruby开发者想要成为一个Ruby开发者。这样的开发人员不一定对通话信息感兴趣。同样的情况也适用于安全专家和AppSec员工。也许是阴茎测试。我来到这个地区是因为我是一个开发人员。我更像是一名防守队员而不是一名突击队员。我是一个开发者,后来成了一名后卫。我想我比其他人更容易进入这个角色。但是,我经历了很多阻力。衡量什么有效马克·米勒。当谈到在开发中考虑安全方面时,我总是试图找到合适的基准。归根结底,必须始终有可能向公司证明,提出的解决方案比迄今为止所做的更好。你用什么样的尺度来说某件事有效?我什么时候才能知道我的团队是否成功地处理了安全问题?布莱恩·巴蒂。我们才刚刚开始掌握解决弱点所需的平均时间。我们现在得到了初步结果。我想我们从2019年第一季度末就开始衡量了。现在,我们慢慢地看到平均需要多长时间才能修复安全漏洞。我们真的可以加快速度。我们可以看到安全罚单何时被分配给一个团队。所以我可以直接向这个团队讲话,让他们知道他们已经为此工作了很长时间。如果我们能更快地消除安全漏洞。这将使我们有更多的时间从一开始就将安全元素集成到应用程序中。马克·米勒。你下班后怎么测量?如果你把每件事都做对了,下列无法防御ddos,你就不需要再返工了。例如,可能是这样:一个已知的弱点是故意内置的(无论是在代码内部还是外部)。然后这个程序会被其他人审查,然后他意识到事情从一开始就很糟糕。这是弱点报告的一部分。但是开发人员更关注于将下一个特性或功能集成到这个应用程序中。从安全的角度看:这次审查的重点是什么?这种消除弱点的尝试?布莱恩·巴蒂。有一些重叠。我们工作的时候可能已经有弱点了。但这也可能是对弱点的新发现。完全不是一个跟进。这只是你必须做的事情,因为没有人知道这是一个弱点。如果开发人员编写了高质量的代码,就不需要一个关心应用程序安全的团队。另一方面,它就像一个套圈。我是诺西。安全知识和相关技能在整个公司传播。如果有安全小组的话,他们就没什么事可做了。这是反模式。这种事情有时会以非常自然的方式发展。一些开发人员的工作做得很好,我当然不想给他们的荣誉。我当然不会惩罚一个非常关注安全性但仍希望继续发挥自己作用的开发人员。如果我们要一起成功工作,你得让我来帮你。合作的人让我的工作轻松多了。他们正在开发伟大的应用程序。我的任务是监视过程并继续提供信息。在我的公司,我们的开发团队在安全方面具有不同的能力水平。我的一个团队看过我们的工具一次,然后说:"嘿,这看起来不错。"我每周看一次。当一个关键部件出现时,我会得到警告,但事实几乎从来都不是这样。我得花更多的时间和其他球队在一起。有必要传授更多关于安全的知识。让人们对此产生更大的意识。承认竞争目标布莱恩·巴蒂。如果根本没有AppSec团队,那将是一件非常非常糟糕的事情。最后谁来处理?开发商?其目的是开发功能。他想取悦他的上司,得到他的赞许,发布功能。这个主管或经理的目标是周转。他试图获得市场份额,并希望摆脱竞争对手,以不断提高公司的声誉。安全一点也不重要。但说到声誉…我们离它越来越近了。因为如果有安全漏洞,局域网ddos攻击防御,那是个好名字。这对公司来说很重要,因为它不想在当时陷入像资本金一样的境地。当时银行在头版,到处都是。与Equifax相似。因此,必须至少有一个人的唯一任务是维护安全和监测这方面的进展。当然,ddos防御设置udplinux,如果开发团队自己能够处理安全问题并为此付出真正的努力,这是一件很好的事情。但这不是他们的首要任务之一。马克·米勒。他们不会为此得到报酬的。布莱恩·巴蒂。是的,没错。补偿总是第一位的。他们在年底发工资。您可能需要检查一个人在一年内修复了多少安全漏洞。还有什么安全漏洞。这并不总是关于人群。为了衡量安全努力的价值,这不仅是填补了多少空白的问题,而且至少这将是一个开始。可能吧

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/67561.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8954466访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X