MENU

应用

构筑局部优势——浅谈应用安全「全局视野」建设

写在前面

如果将大中型企业的信息安全比作一座城池,那么,外部攻击者相当于城外汹涌而来,四面围困的『十万大军』,企业安全团队的安全建设工作就相当于要在这个城墙参差不齐且四处是豁口的大城外构筑一条防线,将这些攻击者牢牢挡在门外。
但是,外部攻击者数量庞大,源源不绝,只要找到一处薄弱点,就可长驱直入,而安全团队人力捉襟见肘,不仅要将防线建设的「滴水不漏」,还要时刻注意「内鬼」、「间谍」,这从一开始就是一场不对等的对抗。
面对这样的态势,防守方应该如何着手呢?借用军事理论的思想,在战略上,相对弱势的防守方应该集中力量,争取在每一个局部占据绝对优势,保证每一个具体战役的胜利。

这样,在全体上,我们是劣势(就数量来说),但在每一个局部上,在每一个具体战役上,我们是绝对的优势,这就保证了战役的胜利。随着时间的推移,我们就将在全体上转变为优势,直到歼灭一切敌人。
——《十大军事原则》

那么,具体到企业安全建设,应该怎样取得局部优势呢?
不难想到,对于企业安全团队,他们最大的优势是内部信息的透明。身处企业内部,能方便地知道总共有哪些域名,知道每个应用有哪些接口,分别对应了什么参数,知道所有的机器上都跑着什么进程,开放了什么端口服务,知道中间件、研发框架、三方依赖的具体情况等等,基于这样的信息差,企业安全可以将自己处于劣势的总人力用来提升最薄弱的地方。
但是,「能方便地知道」不代表已经知道,「信息透明」不代表获取到了信息。获取信息、消化信息,构建局部优势,打造企业安全「全局视野」,也是一个浩大的工程。本文将从这一主题入手,以「全局视野」为目标,理一理各类安全能力的演进思路。

Read More

个人云服务架构升级实践

最近杂七杂八自己部署了好些应用,分布在几台机器上,分别管理各自的 HTTPS 证书、Nginx 配置非常繁琐,有些机器上装了 VeryNginx 当 WAF 用,有些机器又没装,显得很杂乱,决定改一下架构。

Read More

为革命,保护视力

本来是想买个 2K 144 Hz 的显示器来打游戏的,看到 JD 上有一款 AOC 的显示器,点了一下 4K 的版本,发现 4K 的居然只比 2K 的贵 100 块,瞬间决定以后要好好学习,还打什么游戏,立马点了下单,就此开启了曲折的 4 天。。。

Read More

2019终于可以吹一下Notion了

大概是18年初 Notion 冷启动搞活动的时候注册的,当时是邀请到20个注册用户就送永久的无限Block,都不用自己去搞邮箱薅羊毛,直接往 V2EX 贴下链接,一晚上就有大把网友助攻。

但是当时Notion还是处于比较初级的阶段,基本上只有笔记的功能,支持部分的markdown语法,还不支持表格,账号弄好后一直没有用过。最近看到好几个人在求购当时的无限Block账户,又回去看了看Notion,发现更新了许多有意思的功能,基本可以替换掉原来的印象笔记,于是断断续续花了一个月迁移过来,越用越觉得值得吹一下。

Read More

浙江电信获取IPv6

看到许多人都是运营商开始慢慢下发 IPv6 了,想起来刚买好路由器的时候就有次试过 IPv6 的功能,当时 IP 是获取到了,但是访问非常慢,效果很差,这次看大家都说,应该是已经开始推进了。

Read More

sspanel 魔改版搭建与节点中转加速 CSGO

之前的 ss-bash 虽然也挺好用,也很轻量,但不方便搞端口转发,也不适合我继续当奸商,所以就顺手花了一晚上搭了原版的 sspanel,用了两天,也在校内小小推广了一波,发现这个系统不支持支付接入,无奈又换用 sspanel 魔改版,断断续续折腾了两天,结果悲剧的发现魔改版是支持支付接入,但是。。。个人账户必须调用第三方免签约的服务,而这些服务。。。算了。。。我的事业还没开始呢。。。

网上所有的魔改版的教程都过时了,作者新添加了一些功能,导致以前的方法不对,写一写我自己踩的坑吧。

Read More

几个好看的 Typecho 主题

Typecho 已经好久都没更新了,不知道官方的插件中心和主题中心什么时候能出,现在找一个好看点的主题真是难啊。

Mirages

也就是现在在用的主题,收费,不过代码高亮、数学公式等功能齐全,效果也很好看,挺划算的。

Read More