Articles

• 浅谈甲方基础安全建设 - 如何构建可度量的入侵检测（风险感知）体系

  0x01 背景

  过往工作中有时会出现这样的困惑，甲方的入侵检测做了很多年，当传统的安全产品建设看似“成熟”之后，还是各种原因导致没有检出的case，那么问题到底出在哪儿？应该怎么建设？恰巧上周五大家也在讨论这件事，简单谈谈我的看法，权当一家之言，希望对你有帮助。

• 浅谈甲方基础安全建设- 外采WAF落地相关实践经验

  背景

  在大多数情况下，“安全”是一个形容词，安全对企业来说最大的价值是保驾护航。
  保驾护航这一目标具体到执行方法层面，则是风险管理。

  假设给一家企业的安全打分，满分是100分，那么他的安全分 结合外部/内部环境变化也会不断浮动。
  在上述背景下，风险管理细化的要怎么做？拆开看：风险 + 管理。知道有什么风险，通过一系列建设/活动，降低该风险的影响。
  如何评价风险管理做的好不好？ 理想一点量化看，安全分 = 100分 - 风险1影响 - 风险2影响 - 风险N影响。

  对于大部分公司来说，由于业务形态、IT基础设施大同小异，面临的风险也会近似。
  因此在企业安全建设过程中，可复用的风险解决方案、以及落地经验我认为是较为宝贵的，值得和同行交流，查漏补缺。

• 关于反弹shell检测的简单思考

  反弹shell的本质是把bash/zsh等进程的 0 1 2 输入输出重定向到远程socket，由socket中获取输入，重定向 标准输出（1）和错误输出（2）到socket。定位到这个本质后，检测的思路也就有了。本文简单说一下几种检测方法。同样，由于进程通信的复杂性，bash进程的输入输出可能是一个pipe，本文也简单讨论一下这种情况的检测思路。