DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

香港高防ip_cdn高防和安全证书一样_新用户优惠

06-28 DDOS防御

香港高防ip_cdn高防和安全证书一样_新用户优惠

既然《黑帽美国》和《DEF CON》已经结束了,就可以对会议和演讲活动进行一些反思。我参与会议审查和提交过程已经有相当一段时间了。在那个时候,已经有很多例子,有人提交了一个好的谈话,它得到接受,他们的公司让他们拉。这种情况不仅让会议工作人员感到沮丧,也让最初提交演讲稿的人感到沮丧。

从不那么极端的角度来看,我看到许多演讲稿都是由不被允许说出自己工作地点的人做的。他们还必须休假并支付费用。太丢人了。

为什么会这样?原因并不总是显而易见的,但它往往表明了一种过时的想法,即在安全会议上发言会带来的风险。也可能有一个健康剂量的不理解的好处混合在一起。

与一些亮点,我希望提供一些好处和消除一些神话。我的目的是为您与组织的这些谈话提供一些可靠的谈话要点。

发言的好处

如果您是一名安全主管,认为会议很有价值,那么您已经了解了演讲的价值。然而,有些公司却看不到好处。但这些很可能不是安全公司。如果你有任何疑问,如果我告诉你,你的员工在会议上发言,无论是从认知角度还是从招聘角度,都能让你在竞争中领先一步呢?

这里有一些好处:

员工保留率/士气/生活质量

员工更有可能留在支持他们的公司。拒绝演讲可能意味着你失去了好人。从事比日常工作更重要的工作是一种满足感。

招聘工具/差异化因素

未来的员工希望与聪明人一起工作,完成"酷"的工作。他们能找到的最好方法之一就是通过会议活动。我们都知道我们所做的不是每件事都很有魅力,但是知道有有趣的机会参与进来,并且目前的研究可能会成为未来员工的一个很好的区别因素。

客户信心

客户会认为你有经验丰富的人,而且你会认真对待安全问题。即使研究指出你过去做得不太好,它也会让你产生信心,相信你会继续积极主动并做出改进。

信息共享/更好的服务/社区支持

你向行业和同行发出了一个强烈的信号,表明你愿意通过分享知识成为社区的一部分。这使得其他组织也更有可能分享。以身作则。

展示专业知识

在会议上发言和分享你的经验是非常有益的。这不仅在专业上是一个档次,而且和同龄人分享感觉很好。向行业、同行和客户展示你的积极性。

对未知的恐惧

考虑到好处,为什么有些公司不让员工发言?在我看来,这归结为恐惧。让我把它分成三个主要方面。

不必要的注意披露政策

不必要的关注

多年来,不必要的关注一直是我最常听到的借口。公司认为,如果他们的员工在会议上发言,就会把目标锁定在他们身上,并邀请攻击者试图让他们出现。我有一些消息要告诉你;你的公司很可能已经是目标了。

现在的漏洞是值得的。因此,如果一个攻击者坐在一个0天,他们不太可能燃烧它来表明你有人在一个会议上发言的观点。

如果你担心因为公开演讲而提升你在攻击者的雷达上的位置,这很大程度上归结为演讲者如何呈现内容。如果主持人声称自己是周围最聪明的人,并说他们的组织"牢不可破",那么这无疑会招致一些负面的关注。如果演讲者只是分享一些经验并试图进一步交谈,那么这很少是一个问题。

披露

内部披露

在某些情况下,可能会害怕披露敏感的内部信息或内部流程。也许公司觉得攻击者可以利用这些信息来制定更准确的攻击方案。

你的员工应该足够聪明,知道哪些内容在内部是敏感的,ddos防御优点,而不是泄露。毕竟,你没有意识到这一点吗?如果有任何疑问,你可以在提交之前查看内容,ddos攻击种类和防御方法,而不是全盘否认。

在披露方面,我认为也有一点不想显得"愚蠢"。安全问题可能很难解决(在某些情况下甚至是简单的问题),很多人只是想弄清楚。有些人可能会担心他们的客户认为他们不在一起,但我在我的职业生涯中学到的一件事是,客户喜欢尽职尽责。

我们在安全社区的信息共享方面确实存在问题,因为它没有进一步的限制。经验教训、攻击和情报信息以及风险缓解等信息可能对整个社区有所帮助。份额越大,我们就越富裕。

外部披露

另一方面,这可能是来自一个供应商的压力,要求他们进行负责任的披露。我见过一些公司推最后期限,试图阻止人们在会议上展示他们的发现。

健康负责的信息披露促使供应商确保他们在履行自己的职责。如果你给一个供应商60到90天的时间,那就太公平了。在这一点上,当涉及到负责任的披露时,你已经履行了你的义务,你应该通过披露来支持这一过程的继续。

政策

在你的组织深处的某个地方,是一项古老的政策,规定人们不能在会议上发言。这项政策自创立以来一直没有更新过,因为公司里的每件事都更重要。

我想我们都同意,为了政策而制定的政策是不好的。该政策的意图可能已经失去(或与前两点有关),当你问起它时,默认的答案是,"好吧,这就是它一直以来的样子。"

不要把该政策视为一个固定的对象。也许它从未改变的原因是没有一个冠军来解决它的问题。如果这个政策是必要的,用新的流程来调整它,在这里有一定的回顾(希望不是痛苦和冗长)。

当你不能说话的时候

在这个帖子里,我已经讲到了为什么你应该让别人说话。您可能想知道是否存在不支持会议演示的情况。不幸的是,这个问题的答案是肯定的。

首先想到的情况是是否有保密协议或某些条款和条件禁止披露。这应该是显而易见的,但如果你有一个保密协议,禁止披露的细节,维盟DDOS自动防御,那么你必须遵守它。请记住,cc防御规则,有些公司可能会使用"T"和"C"来阻止信息披露,请参阅谷歌"零号项目"中的"漏洞披露冒险"。

也可能有其他情况,例如泄露您的知识产权或破坏业务关系。我要说的是,这些都是高度情境化的,应该是相当明显的。没有任何一个是好的理由来创建一个不允许人们出席的笼统声明。

行动呼吁

如果你是一个安全领导人,希望这会软化你在安全会议上发言的立场。如果你赞成,但是你上面的人反对,或者存在与策略相关的问题,那么现在就开始围绕这个主题添加一些清晰的内容。以利益为导向,尽最大努力消除任何神话或旧信仰。这也许不容易,但从长远来看,这是值得的。成为公司需要你成为的变革代理人

如果你觉得这篇文章有趣,你可能也会对这篇文章"成功提交Infosec会议的关键"

作者最近发表的文章Nathan Hamiel Kudelski Security网络安全研究主管Nathan Hamiel是Kudelski Security网络安全研究主管,一家国际安全公司,为企业和公共部门客户提供创新和定制的解决方案。内森在创新集团工作,为公司定义未来的服务和产品。作为一名专注于软件安全的安全资深人士,他用了近20年的职业生涯帮助世界各地的客户解决复杂的安全挑战。Nathan曾在全球安全活动上发表过他的研究成果,包括Black Hat、DEF CON、HOPE、ShmooCon、SecTor、ToorCon和许多其他活动。他还是黑帽评审委员会的成员,阿里云云盾防御ddos,在那里他对研究进行评估,以纳入世界各地的各种会议。Nathan Hamiel的最新帖子(见所有)来自十多年远程工作的提示-2020年3月25日人们不关心网络安全-2019年3月7日让你的人在安全会议上发言-2018年8月30日

FacebookTwitterEmail分享

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/70439.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9317320访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X