运维有小邓

  在当前数据安全威胁日益加剧的时代，无论是来自企业内部还是外部，您都需要采取积极主动的态度。政府方面也希望出于公民数据安全的考虑，确保对企业的IT操作进行监管。为了实现这一目标，政府或主管法定机构发布了关于企业IT操作的法规。通过遵守这些法规，您不仅满足了法定要求，还增强了企业的安全性，使其达到了外界认可的水平。 IT合规 一个值得关注的问题是各种法定机构不断发布的合规法规数量不断增加。已经有萨班斯-奥克斯法案（SOX）、支付卡行业（PCI）、健康保险可移植性与责任法案（HIPAA）、格兰姆-利奇-布莱利法案（GLBA）等等。此外还有加利福尼亚州参议院第1386号法案、联邦信息安全管理法案（FISMA）和SCADA安全最佳实践等。每一项 合规法规 都将规定其自己的一套报告，需要提交给IT审计员。那么，对于预算有限的中小型企业来说，如何应对不断增长的合规法规需求是一个重要问题。 合规性法规 理想的解决方案是生成针对每种合规法规的自定义报告集，以便作为预先构建的套餐供使用。但自定义报告集需要耗费时间，并需要涉及软件开发人员进行应用程序的开发和更改。这可能是不太理想的，因为每次引入新的法规时，都需要进行自定义操作。您可以寻找一种应用程序，允许您根据新合规法规的要求来自定义已有的报告集。此外，您可以选择微调或修剪现有合规性报告的报告集。此外，您可能会认为最好定期自动生成报告，而无需手动干预。 合规性报表 ManageEngine考虑到这些问题，提供了解决方案。 EventLog Analyzer  5允许您创建一套适用于新合规法规的报告。这一增值功能减轻了每次需要新的合规性报告时进行自定义的负担。这一过程非常迅速，可由系统管理员完成。EventLog Analyzer 5的另一个功能是允许自定义已有合规性报告的报告集。这是另一项增值功能，可确保您仅提交所需的报告，删除不需要的报告，或添加新的所需报告。您无需担心法规的细微变化。此外，EventLog Analyzer 5还允许您定期自动生成 合规性报告 ，无需手动干预。 EventLog Analyzer 这只是EventLog Analyzer 5提供的一些功能之一，该工具旨在简化合规性需求的满足。如果您想亲自尝试，请从这里下载。完整功能的试用版可提供为期30天的免费试用。

  随着组织迅速转向云端以利用云计算的优势，包括 SIEM （安全信息与事件管理）在内的服务也正在向云端迁移。事实上，SIEM即服务正在迅速崭露头角，成为传统的本地SIEM解决方案的替代品。在Gartner的《采用SaaS SIEM前需回答的10个问题》报告中，他们预测到2023年，80%的SIEM解决方案将通过云端提供能力。 SIEM 那么，什么是云端SIEM，它与本地SIEM有何不同？组织如何受益于部署它？本博客旨在回答这些问题。 什么是云端SIEM解决方案？ 云端SIEM解决方案，也被称为云原生SIEM，是托管在云中的SIEM解决方案。与传统SIEM一样，它可以执行所有SIEM功能，如管理和 存储日志 、监视网络流量、检测和解决网络安全事件，以及证明合规性，但全部来自云端。与本地SIEM解决方案相比，云端SIEM解决方案提供了更大的灵活性、易于访问以及更快的价值实现，用于管理本地和云环境的 网络安全和合规性 。 SIEM解决方案 以下是云端SIEM解决方案相对于本地SIEM解决方案的五个优势，可帮助您评估云端SIEM是否能满足您组织的需求。 1) 快速且易于开始 您是否知道超过40%的SIEM部署*需要超过三个月的时间才能完成？ 跨所有组织，云端SIEM解决方案的最大优势之一是更快的设置。无需装运、安装和复杂的配置过程，组织可以比传统SIEM更快地开始看到云端SIEM的价值。 使用ManageEngine的 Log360 Cloud ，您只需创建一个帐户并在网络设备上配置代理。如果您希望监视您的AWS环境，您需要设置一个云帐户。就是这样！ Log360 Cloud 2) 与云端SIEM解决方案不同，本地SIEM解决方案需要高端硬件资源 SIEM解决方案需要大量的功能和存储内存，因此需要高端计算机来托管本地SIEM解决方案，以确保主机计算机能够处理SIEM操作。尽管这对于较大的组织可能不是问题，但对于预算有限的较小组织来说，这可能是SIEM部署的主要障碍。 云端SIEM解决方案通过在云中托管解决方案来解决了这个问题。用户只需支付日志存储费用。 网络安全 3) 您可以扩展网络架构，而无需担心日志容量 由于SIEM解决方案通过收集网络日志数据来运行，因此它将每天处理大量的日志数据。对于本地解决方案来说，难以容纳日志容量的突然增加是一个问题。当您的组织考虑扩展...

  在过去几个月里，人们因各种原因一直在使用 ChatGPT 。虽然结果并不完美，但无疑令人印象深刻。它在重复和耗时任务上的实用性尤为明显。然而，人们对自己的工作安全感到担忧，这妨碍了他们充分利用ChatGPT的能力。 ChatGPT 如果你是一名开发者，很可能会遇到类似这样的博客文章，提出诸如“开发者将失去工作吗？”、“ChatGPT会取代软件开发工作吗？”、“ChatGPT即将接管低代码行业吗？”的问题。与其争论谁做得更好——ChatGPT还是开发者——本文将提出方法，让你探索将两者最好的特点结合在一起的潜在优势。 (1) 代码生成 凭借其自然语言处理能力，ChatGPT对开发者非常有帮助，因为它能理解并解释他们的请求，并提供相关的代码片段。这个功能对于那些可以节省大量时间的重复任务和样板代码非常有利。此外，它有助于生成复杂的代码以构建完整的模块，而不仅仅是基本函数。这使得编程语言或框架的新手能够快速学习，而无需投入大量时间理解基础知识，对初学者编程者而言是有价值的辅助工具。 代码生成 (2)  测试自动化 ChatGPT理解标准、提示中要求的输出，并将它们转化为具有预期结果的不同输入序列。因此，它有助于自动化编写测试用例的整个过程，减少了人为错误，并节省了时间。它可以迅速生成用于验证符合要求的测试用例，例如要求8位字符密码。 它还有能力分析要求并将其转化为执行的确切步骤，从而有效生成测试场景，提高了准确性。测试人员可以指定需要使用电子邮件或用户名的用户友好登录。 测试自动化 此外，聊天机器人可以利用ChatGPT构建准确的测试场景和用例。将聊天机器人与ChatGPT集成可以增强对话流程，对于非技术用户以交互和提供输入方式参与测试过程非常有帮助。 (3) 文件生成 ChatGPT生成文档的能力有助于开发者节省大量时间，用于准备其代码的详尽文档。开发者可以向ChatGPT提供代码片段，并指示它生成概述功能、输入、输出和其他相关细节的文档。此外，ChatGPT可以为整个模块生成文档，提供了对代码的全面了解。 文件生成 (4) 缺陷跟踪 ChatGPT简化了调试的过程。ChatGPT不同于传统的复杂且需要编程语言专业知识的调试工具，因为它适用于各个级别的开发者。开发者只需输入有关错误或异常的精确提示，ChatGPT将提供建议和潜在解决方案。因此，调试...

  回到20世纪，网络攻击更难实施，因为大多数计算机没有联网，互联网并不普及，只有少数人群可以访问计算机，更重要的是，没有足够的动机来进行攻击。 访问控制政策 而今天，情况完全不同。在糟糕的数据收集和迟缓的数据隐私实践的交汇点，有很多钱可以从窃取数据或制造服务中断中获利。事实上，来自马里兰大学的一份报告指出，全球平均每39秒就会发生一次新的 网络攻击 。而大多数组织只是在赶着赶在网络犯罪分子之前堵住漏洞，而他们应该考虑更好的方法来保护他们的财产。在这方面的第一步应该是建立一个良好的访问控制政策。 网络犯罪 一、什么是访问控制？ 访问控制确定谁被允许进入组织的网络以及一旦他们进入后谁可以访问什么数据。它设置了访问级别和权限或限制的层次结构，以便只有授权人员可以访问敏感信息。 访问控制 用一个类比，如果你的公司就像一个夜总会，访问控制就是保镖。它在门口检查身份证，确保它们不是假的，然后才允许人们进入。一旦他们进来了，它在夜总会内部设置了额外的权限。例如，VIP区可能需要一个单独的子列表；厨房员工可能需要进入侧门；收银机只能信任一些高级员工；等等。根据你需要保护的程度，复杂性呈指数级增加。创建和管理如此广泛的访问要求是访问控制政策的工作。 二、为什么访问控制对你的组织至关重要？ 通过实施访问控制措施，组织可以保护敏感或机密数据，防止未经授权的访问、修改或披露；遵守法律和法规要求；减轻内部威胁的风险。访问控制措施还可以通过监控和记录访问尝试和操作来增强问责制和调查。 数据泄露 三、访问控制类型 在组织中实施成功的访问控制政策之前，你需要了解市场上不同模型的类型。以下每个模型都满足特定的需求。 1)强制访问控制（MAC）：只有当数据的安全标签与用户的安全标签匹配时，才允许访问。如果用户具有最高机密级别的安全标签，他们可以访问最高机密信息。这在军事和情报机构等高度受限制的环境中效果最佳。 2)基于角色的访问控制（RBAC）：该模型基于最小权限原则，即用户只能访问与其工作职能相关的数据。这对大型组织最有用，因为单独分配访问权限可能会具有挑战性。拥有相同角色的每个员工可以一次性被授予或拒绝访问权限。 3)自主访问控制（DAC）：数据所有者可以根据自己的自主权定义访问策略并根据自己的自主权授予或限制访问权限。这对于小规模组织最有用，因为用户之间的信任水平较高。 4)基于属性的...

  根据 Malwarebytes Labs 的一份报告，百分之二十的IT企业在疫情期间因远程工作人员的疏漏而遭受重要 数据泄露事件 。选择允许员工远程办公有其利弊，其中主要的弊端是未预期的安全漏洞。这些漏洞更有可能是由于员工的无知引起的，而不是网络或系统故障。 Malwarebytes Labs “在疯狂作死和安全之间选择，用户每次都会选择疯狂作死。” ——Edward Felten，普林斯顿大学信息技术政策中心主任 作为管理员，您如何确保公司网络安全？您可能会说：“我们已经通过 MFA 为所有用户身份进行了安全验证。我们的员工必须在访问工作设备之前使用多个验证器进行 身份验证 。” 这是一个明智的决策。与许多公司一样，您已经走出了额外的一步，以解决和消除身份盗用的可能性。但是，如果涉及到线下用户，那么可能存在您没有考虑到的漏洞。 网络安全 您的安全措施是否考虑到线下远程员工？ 与在办公室工作的员工相比，远程员工更频繁地离线。也就是说，由于连接问题，他们可能与MFA服务器或企业网络断开连接。那么，当远程用户处于脱机状态时，MFA会发生什么情况？绕过MFA或封锁机器访问对他们来说是不可想象的，同时仍然要保证安全性和生产力。幸运的是，有一种方法可以在您的远程工作者脱机时执行MFA。 MFA 确保您的线下远程办公团队的安全 ManageEngine  ADSelfService Plus  提供线下MFA，允许用户在未连接到MFA服务器或企业网络时执行机器登录的MFA。管理员可以为用户配置一个或多个MFA验证器，以便用户在线时可以预先注册这些验证器，以便能够执行线下MFA。 身份验证 最后，要强调在当前远程工作环境下，保护公司的网络安全至关重要。根据 Malwarebytes Labs 的最新报告，远程工作带来的风险不容忽视，但通过采用适当的安全措施，我们可以在确保员工的便利性的同时，有效地应对潜在的威胁。 管理团队需要不断审视并更新安全策略，以确保包括线下远程员工在内的所有员工都受到充分的保护。这需要综合使用各种工具和技术，包括多因素认证（MFA），以确保数据和系统的安全性。 在当前的数字时代，安全性不仅仅是一个选项，而是一项必需。通过投资于适当的安全解决方案，我们可以保护企业免受潜在的风险和威胁。ManageEngine ADSelfSe...

  DNS服务器是AD环境中不可或缺的一部分。使用DNS服务器可以完成一些简单但关键的活动，如 身份验证 、查找计算机和识别域控制器。 DSN 但攻击者知道DNS中存在许多可以利用的漏洞。而且，他们通常已经了解了这些漏洞。在本博客中，您将了解到攻击者如何滥用以下内容： DNS缓存 DNS区域传输协议 一、通过滥用DNS缓存攻击AD DNS缓存是客户端使用的DNS查询的本地存储库。当客户端请求资源时，比如example.com，DNS服务器会通过名称解析器的帮助将请求的域名解析为其相应的IP地址。DNS缓存通过将解析后的值存储在内存中以进行快速检索来加速此过程。对于重复的查询，DNS服务器将搜索并返回缓存中存储的IP地址值，从而减少了响应时间。 AD域攻击 攻击者经常尝试操纵DNS缓存记录，以将合法的IP地址替换为恶意IP地址，以获取敏感信息的访问权限。 即使是初学者也可以在十分钟内发起缓存污染攻击。如何做到的？在这个点播研讨会中，一个网站在几分钟内伪造并解析为恶意站点。 执行此攻击所需的攻击向量： 1)伪造合法站点 2)使用Kali Linux及其工具箱执行ARP缓存污染以伪造DNS 如果您观看了研讨会，您会发现DNS欺骗已经存在很长时间了。但是，我们可以主动采取行动。为了防止DNS攻击、检测恶意DNS活动并确保AD基础设施的安全性， SIEM解决方案 可以提供帮助。 SIEM工具可以帮助跟踪和监视DNS更改。它还可以在DNS层面实时通知您有关恶意活动，以帮助您应对这些威胁，或者至少限制攻击造成的损害。 SIEM 二、DNS的区域传输漏洞 DNS中针对DNS的最简单但危险的攻击之一是利用AXFR协议。DNS中用于从一个DNS服务器复制记录到另一个DNS服务器的区域传输机制使用AXFR协议。复制DNS区域的原因是即使主DNS服务器发生故障，也要确保业务连续性。 AXFR协议的DNS记录查询是一个简单的、单行的dig命令： $ dig axfr zonetransfer.me @<domain name> AXFR协议不需要身份验证。如果您的DNS服务器未正确配置，任何客户端都可以滥用区域传输协议，并创建整个区域的副本。为防止这种情况发生，关键是将您的DNS服务器配置为只信任知名IP地址。您可以列出受信任的名称服务器的IP地址，以仅允许这些IP地址进...