自2023年4月起,“诸子笔会2023第一季”正式拉开帷幕。10位专家作者组成新一届“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取万元高额奖金以为,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会2023年4月回顾及盘点。
4月主题:读书会:我读过的专业书
在累计21天的征文星球打卡中,10位笔会专家共计打卡199次。信息安全工作的类别有很多,10位专家站在各自视角,针对不同的安全领域展开了分析,并分享了相关领域的专业书籍。与此同时,部分专家还对如何选择、如何阅读以及如何检验阅读成果的方式方法展开了细致的讨论和分享。
►通过阅读《DevSecOps敏捷安全》书籍关于开源安全治理方面的内容解读,总结提炼个人在开源安全治理方面的实践经验,希望可以为企业开展开源安全治理提供指导思路。信息收集和资产管理是安全工作的第一要素,开源软件资产信息备案至关重要。由于开源资产的信息数量庞大,需要建立自动化备案机制提升管理效率,在业务侧应用探针或插件来完成开源资产的自动化采集,对业务系统中开源软件资产的特征信息进行有效提取,主要包括开源软件名称、版本、使用组织等信息,形成标准化的开源资产信息清单。
►网络安全的核心是攻防对抗,因此我们有必要读一些关于漏洞和攻防类的书籍,比如大家都很熟悉的《黑客大曝光》(Stuart McClure等著、赵军等译)。本书从1999年发布第一版,被奉为安全届的“武林秘籍”,作者以“知己知彼”的视角让读者了解黑客的世界,了解黑客的思考和行动。本书以黑客攻击的过程展开各章节的内容,包括踩点、扫描、查点、访问、攻击终端主机、基础设施、应用程序和数据。Metasploit可谓是渗透神器,首本中文原创Metasploit渗透测试著作是《Metasploit渗透测试魔鬼训练营》,清华大学的诸葛建伟等著。Metasploit具备强大功能和集成渗透测试能力,本书从实践出发带读者完成一次渗透测试之旅,包括初识Metasploit、搭建环境、搜集情报、web渗透、网络服务渗透攻击、客户端渗透攻击、社会工程、移动环境渗透、夺旗竞赛实战。《黑客攻防技术宝典》第二版,Dafydd Stuttard、Marcus Pinto著,石华耀译,出版于2012年,也是比较经典的攻防类技术书籍,介绍了Web渗透测试的方法,全面地介绍了如何利用各类Web安全漏洞。
►作为安全从业者,会遇到很多问题。其中有一个“知己知彼”的问题,一直是安全建设比较棘手的存在,那就是企业的安全建设目前处于行业的什么水平?能否对我们企业的网络安全能力做一个可量化的评估?为了更好地解决这个疑惑,我开始阅读《网络安全能力成熟度模型:原理与实践》,毕竟知己知彼,方能百战不怠。该书是2021年9月机械工业出版社出版的图书,作者是资深的网络安全专家林宝晶、钱钱、翟少君。简单来说,这是一本教企业如何利用网络安全能力成熟度模型评估企业网络安全能力并系统性构建网络安全防御体系的著作。在该书中,作者结合自己20多年在各大网络安全公司的从业经验,运用软件开发成熟度模型理论,对国内外主流的网络安全框架进行分析,总结出了一套科学的网络安全能力成熟度模型。从合规、风险、数据、溯源等阶段推进网络安全战略、组织、管理、技术、运营等方面的设计与建设,旨在为企业的网络安全规划和建设提供参考和帮助。
►《身份攻击向量》一书便是通过深入分析身份访问管理的各类风险,以及攻击人员可以利用的技术,帮助企业建立最佳身份安全实践。零信任安全架构将网络防御的边界缩小到单个或更小的资源组,基于不信任原则,需要时刻对接入系统的人、设备进行验证,并在资源访问时进行授权确认。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从“网络中心化”走向“身份中心化”,其本质诉求是以身份为中心进行访问控制。为了实现细粒度的权限控制,以身份账号包括属性、角色、组和动态组作为对授权策略的依据,并按位置和时间确定访问权限。授权可以在文件、页面或对象级别上进行。通过身份访问管理,可以更容易地打造零信任安全架构,身份更是零信任成熟度模型的五大支柱之一(详见美国网络安全和基础设施安全局(CISA)发布《零信任成熟度模型》第二版)。
►《API安全技术与实践》是一本针对IT技术人员的API安全知识和技术实战方面的案例讲解书籍。随着互联网技术的发展,API已经成为现代应用开发中不可或缺的一部分。然而,随着API的广泛应用,API安全问题也日益严重。本书的目的就是帮助IT技术人员了解API安全基本概况、API安全漏洞、API安全设计以及API生命周期安全管理等内容,从而更好地保障企业和用户的信息安全。全书由基础篇、设计篇、治理篇三个部分组成,讲述API安全的基本概况、API安全漏洞、API安全设计以及API生命周期安全管理等内容。经过精读,本文主题选取治理篇中API生命周期安全管理,从单点的安全功能设计到全生命周期SDL安全模型的使用,将基础篇和设计篇涉及的基础知识进行总结和整理。
►很荣幸第一时间拿到主编邓宏老师题跋的新书《数字化商业模式》,这也是第一本基于EXIN数字化转型理论的中文版数字化转型指南。但遗憾之处是,笔者本可以作为一名参与者为《数字化商业模式》提供基于物业行业数字化转型的案例,但却由于种种的机缘,最终仅能作为一名旁观者见证这本书从雏形策划、内容规划到成文出版的过程。对于数字化转型的方法论、模型众说纷纭,邓宏老师一直专注于数字化转型的蓝海破冰事业,将自己多年理论与实践经验作为总结,于不同产业在数字化转型浪潮带来的VUCA时代的探索,展现了数字化商业模式可借鉴和学习的实践参考。
►看着从作者手上亲手拿到的《CSO进阶之路-从安全工程师到首席安全官》这本书,看着扉页上面清晰的作者签名,高兴和兴奋之余我就迫不及待地品读起来。似乎像拿到了通往CSO的钥匙一般,脑子里回想着高中毕业后的那个暑假,过得充实而又快乐。通过这本书接触到形形色色的人,看到并聆听各个行业的大咖大佬们分享在公司管理、行业布局、产品营销中的各种分享,梦想着自己有一天也能站在那里,不断地输出自己的经验并成为一个优秀的人。继续翻看这本书,拿在手里沉甸甸的,它被誉为“网络安全从业人员升职宝典”,是来自不同行业的几位资深网络安全专家,结合和累积了各自十余年工作经验的呕心之作,可以说全面剖析了首席安全官成长的关键路径和实操操作实践。那么作为读者,我们是否能够按照书上所述,成为一个真正意义上CSO呢?为了回答这个问题,我将自己一晃将近十几年的职场生涯结合当前工作的经验,同时带着前言中告诉我的4个问题,一头扎进了这段“进阶之路”……►2021年,我与安在、诸子云同仁们共同编写的《CSO进阶之路:从安全工程师到首席安全官》出版。转眼来到2023年,在过去的两年中,信息科技和网络安全领域经历了许多变化,这些变化不仅影响了企业自身的安全状况,更体现在信息科学和网络安全领域的技术。CSO往往有更高的责任感和风险意识,对于CSO来说,保护企业的网络安全是一项重要的责任。CSO需要具备高度的责任感和风险意识,能够及时发现和应对网络安全事件,保护企业的网络安全。网络安全的变化和对CSO要求的变化是相互关联的,随着网络安全的变化,对CSO的要求也在不断提高。未来,网络安全将继续发生变化,对CSO的要求还将更加提高。因此,CSO需要不断学习和提高自己的技术水平和管理能力,以应对未来的挑战。
►为什么要读专业书,这是首先需要回答的问题。知识来源的丰富性,带来选择的误区,不同的知识源,对个人知识体系的架构构建有着至关重要的作用,对于学科的体系化入门,个人推崇学位课程的系统化学习,我在软件工程、心理学、法学、金融学、管理学领域,基本上是通过硕士或博士课程完成的,对一个学科达成一个整体性的概念体系,避免失之偏颇。从严谨的角度来说,知识结构的升级,应该通过学术论文的阅读来掌握前沿的研究,是持续深入该领域的捷径,当然,当下的学术论文泥沙俱下,选择、挑选还是需要顶级期刊基础上具备相应的识别力,不过这只是从严谨的角度来说。从实用的角度,读专业书就是一个专业的路径了,既可以是某一细分领域的深入著述,也可以是近一段时间的总结与概述。尤其是网络和信息安全领域,知识更新更快,时不时地进行系统性的阅读,是一个保持知识结构更新的好习惯,我在2022年共阅读了《隐私即信任》《身份攻击向量》《AttCK威胁猎杀实战》《红蓝攻防》《云原生安全:攻防实践与体系构建》《内生安全》《API安全技术与实战》《网络安全成熟度模型:原理与实践》《Att&CK框架实践指南》9本并写了6篇书评。►在进行专业书籍的阅读前,你首先需要有一个明确的学习计划,它应该包含以下几个方面:1.确定学习目标,明确你学这个要干什么,知道学完后你能习得什么新技能;
2.制定学习计划,给自己先制定一个月的短期计划,太长的计划容易让你放弃,太短的计划容易让你产生目标达成的错觉;
3.选择学习资源,这是非常讲究的一步,我的建议是关注目标领域的大牛,多听多看,入门就看大牛的著作,能帮你少走不少弯路;
4.安排学习时间,我不太建议把时间设置的太死,更多的还是应该根据个人的真实情况单独制定,原则是利用碎片化时间看看这个是什么,然后利用相对完整的周末思考为什么的问题,我发现这样学习的方法对我还是比较有效的;
5.检查学习进度,每周做一个小结,这样你就有了3次机会去修正你的学习目标,最后一周进行学习总结,是继续深入学习还是去做别的事情。
本月共发出10篇以“读书会:我读过的专业书”为主题的专家文章,在此附上链接,供诸位参考。根据征文活动规则,综合每日打卡、投稿及文章阅读量折合积分后,现将参与者总积分表公示↓
在此恭喜杨文斌以73分夺得第一,获得诸子笔会2023的4月月奖,奖金1000元!同时所有发表征文的笔会专家也都将获得200元稿费。
还没有评论,来说两句吧...