运维有小邓

  在当前数据安全威胁日益加剧的时代，无论是来自企业内部还是外部，您都需要采取积极主动的态度。政府方面也希望出于公民数据安全的考虑，确保对企业的IT操作进行监管。为了实现这一目标，政府或主管法定机构发布了关于企业IT操作的法规。通过遵守这些法规，您不仅满足了法定要求，还增强了企业的安全性，使其达到了外界认可的水平。 IT合规 一个值得关注的问题是各种法定机构不断发布的合规法规数量不断增加。已经有萨班斯-奥克斯法案（SOX）、支付卡行业（PCI）、健康保险可移植性与责任法案（HIPAA）、格兰姆-利奇-布莱利法案（GLBA）等等。此外还有加利福尼亚州参议院第1386号法案、联邦信息安全管理法案（FISMA）和SCADA安全最佳实践等。每一项合规法规都将规定其自己的一套报告，需要提交给IT审计员。那么，对于预算有限的中小型企业来说，如何应对不断增长的合规法规需求是一个重要问题。 合规性法规 理想的解决方案是生成针对每种合规法规的自定义报告集，以便作为预先构建的套餐供使用。但自定义报告集需要耗费时间，并需要涉及软件开发人员进行应用程序的开发和更改。这可能是不太理想的，因为每次引入新的法规时，都需要进行自定义操作。您可以寻找一种应用程序，允许您根据新合规法规的要求来自定义已有的报告集。此外，您可以选择微调或修剪现有合规性报告的报告集。此外，您可能会认为最好定期自动生成报告，而无需手动干预。 合规性报表 ManageEngine考虑到这些问题，提供了解决方案。EventLog Analyzer 5允许您创建一套适用于新合规法规的报告。这一增值功能减轻了每次需要新的合规性报告时进行自定义的负担。这一过程非常迅速，可由系统管理员完成。EventLog Analyzer 5的另一个功能是允许自定义已有合规性报告的报告集。这是另一项增值功能，可确保您仅提交所需的报告，删除不需要的报告，或添加新的所需报告。您无需担心法规的细微变化。此外，EventLog Analyzer 5还允许您定期自动生成 合规性报告 ，无需手动干预。 EventLog Analyzer 这只是 EventLog Analyzer  5提供的一些功能之一，该工具旨在简化合规性需求的满足。如果您想亲自尝试，请从这里下载。完整功能的试用版可提供为期30天的免费试用。

  在当前数据安全威胁日益加剧的时代，无论是来自企业内部还是外部，您都需要采取积极主动的态度。政府方面也希望出于公民数据安全的考虑，确保对企业的IT操作进行监管。为了实现这一目标，政府或主管法定机构发布了关于企业IT操作的法规。通过遵守这些法规，您不仅满足了法定要求，还增强了企业的安全性，使其达到了外界认可的水平。 IT合规 一个值得关注的问题是各种法定机构不断发布的合规法规数量不断增加。已经有萨班斯-奥克斯法案（SOX）、支付卡行业（PCI）、健康保险可移植性与责任法案（HIPAA）、格兰姆-利奇-布莱利法案（GLBA）等等。此外还有加利福尼亚州参议院第1386号法案、联邦信息安全管理法案（FISMA）和SCADA安全最佳实践等。每一项 合规法规 都将规定其自己的一套报告，需要提交给IT审计员。那么，对于预算有限的中小型企业来说，如何应对不断增长的合规法规需求是一个重要问题。 合规性法规 理想的解决方案是生成针对每种合规法规的自定义报告集，以便作为预先构建的套餐供使用。但自定义报告集需要耗费时间，并需要涉及软件开发人员进行应用程序的开发和更改。这可能是不太理想的，因为每次引入新的法规时，都需要进行自定义操作。您可以寻找一种应用程序，允许您根据新合规法规的要求来自定义已有的报告集。此外，您可以选择微调或修剪现有合规性报告的报告集。此外，您可能会认为最好定期自动生成报告，而无需手动干预。 合规性报表 ManageEngine考虑到这些问题，提供了解决方案。 EventLog Analyzer  5允许您创建一套适用于新合规法规的报告。这一增值功能减轻了每次需要新的合规性报告时进行自定义的负担。这一过程非常迅速，可由系统管理员完成。EventLog Analyzer 5的另一个功能是允许自定义已有合规性报告的报告集。这是另一项增值功能，可确保您仅提交所需的报告，删除不需要的报告，或添加新的所需报告。您无需担心法规的细微变化。此外，EventLog Analyzer 5还允许您定期自动生成 合规性报告 ，无需手动干预。 EventLog Analyzer 这只是EventLog Analyzer 5提供的一些功能之一，该工具旨在简化合规性需求的满足。如果您想亲自尝试，请从这里下载。完整功能的试用版可提供为期30天的免费试用。

  随着组织迅速转向云端以利用云计算的优势，包括 SIEM （安全信息与事件管理）在内的服务也正在向云端迁移。事实上，SIEM即服务正在迅速崭露头角，成为传统的本地SIEM解决方案的替代品。在Gartner的《采用SaaS SIEM前需回答的10个问题》报告中，他们预测到2023年，80%的SIEM解决方案将通过云端提供能力。 SIEM 那么，什么是云端SIEM，它与本地SIEM有何不同？组织如何受益于部署它？本博客旨在回答这些问题。 什么是云端SIEM解决方案？ 云端SIEM解决方案，也被称为云原生SIEM，是托管在云中的SIEM解决方案。与传统SIEM一样，它可以执行所有SIEM功能，如管理和 存储日志 、监视网络流量、检测和解决网络安全事件，以及证明合规性，但全部来自云端。与本地SIEM解决方案相比，云端SIEM解决方案提供了更大的灵活性、易于访问以及更快的价值实现，用于管理本地和云环境的 网络安全和合规性 。 SIEM解决方案 以下是云端SIEM解决方案相对于本地SIEM解决方案的五个优势，可帮助您评估云端SIEM是否能满足您组织的需求。 1) 快速且易于开始 您是否知道超过40%的SIEM部署*需要超过三个月的时间才能完成？ 跨所有组织，云端SIEM解决方案的最大优势之一是更快的设置。无需装运、安装和复杂的配置过程，组织可以比传统SIEM更快地开始看到云端SIEM的价值。 使用ManageEngine的 Log360 Cloud ，您只需创建一个帐户并在网络设备上配置代理。如果您希望监视您的AWS环境，您需要设置一个云帐户。就是这样！ Log360 Cloud 2) 与云端SIEM解决方案不同，本地SIEM解决方案需要高端硬件资源 SIEM解决方案需要大量的功能和存储内存，因此需要高端计算机来托管本地SIEM解决方案，以确保主机计算机能够处理SIEM操作。尽管这对于较大的组织可能不是问题，但对于预算有限的较小组织来说，这可能是SIEM部署的主要障碍。 云端SIEM解决方案通过在云中托管解决方案来解决了这个问题。用户只需支付日志存储费用。 网络安全 3) 您可以扩展网络架构，而无需担心日志容量 由于SIEM解决方案通过收集网络日志数据来运行，因此它将每天处理大量的日志数据。对于本地解决方案来说，难以容纳日志容量的突然增加是一个问题。当您的组织考虑扩展...

  在过去几个月里，人们因各种原因一直在使用 ChatGPT 。虽然结果并不完美，但无疑令人印象深刻。它在重复和耗时任务上的实用性尤为明显。然而，人们对自己的工作安全感到担忧，这妨碍了他们充分利用ChatGPT的能力。 ChatGPT 如果你是一名开发者，很可能会遇到类似这样的博客文章，提出诸如“开发者将失去工作吗？”、“ChatGPT会取代软件开发工作吗？”、“ChatGPT即将接管低代码行业吗？”的问题。与其争论谁做得更好——ChatGPT还是开发者——本文将提出方法，让你探索将两者最好的特点结合在一起的潜在优势。 (1) 代码生成 凭借其自然语言处理能力，ChatGPT对开发者非常有帮助，因为它能理解并解释他们的请求，并提供相关的代码片段。这个功能对于那些可以节省大量时间的重复任务和样板代码非常有利。此外，它有助于生成复杂的代码以构建完整的模块，而不仅仅是基本函数。这使得编程语言或框架的新手能够快速学习，而无需投入大量时间理解基础知识，对初学者编程者而言是有价值的辅助工具。 代码生成 (2)  测试自动化 ChatGPT理解标准、提示中要求的输出，并将它们转化为具有预期结果的不同输入序列。因此，它有助于自动化编写测试用例的整个过程，减少了人为错误，并节省了时间。它可以迅速生成用于验证符合要求的测试用例，例如要求8位字符密码。 它还有能力分析要求并将其转化为执行的确切步骤，从而有效生成测试场景，提高了准确性。测试人员可以指定需要使用电子邮件或用户名的用户友好登录。 测试自动化 此外，聊天机器人可以利用ChatGPT构建准确的测试场景和用例。将聊天机器人与ChatGPT集成可以增强对话流程，对于非技术用户以交互和提供输入方式参与测试过程非常有帮助。 (3) 文件生成 ChatGPT生成文档的能力有助于开发者节省大量时间，用于准备其代码的详尽文档。开发者可以向ChatGPT提供代码片段，并指示它生成概述功能、输入、输出和其他相关细节的文档。此外，ChatGPT可以为整个模块生成文档，提供了对代码的全面了解。 文件生成 (4) 缺陷跟踪 ChatGPT简化了调试的过程。ChatGPT不同于传统的复杂且需要编程语言专业知识的调试工具，因为它适用于各个级别的开发者。开发者只需输入有关错误或异常的精确提示，ChatGPT将提供建议和潜在解决方案。因此，调试...

  回到20世纪，网络攻击更难实施，因为大多数计算机没有联网，互联网并不普及，只有少数人群可以访问计算机，更重要的是，没有足够的动机来进行攻击。 访问控制政策 而今天，情况完全不同。在糟糕的数据收集和迟缓的数据隐私实践的交汇点，有很多钱可以从窃取数据或制造服务中断中获利。事实上，来自马里兰大学的一份报告指出，全球平均每39秒就会发生一次新的 网络攻击 。而大多数组织只是在赶着赶在网络犯罪分子之前堵住漏洞，而他们应该考虑更好的方法来保护他们的财产。在这方面的第一步应该是建立一个良好的访问控制政策。 网络犯罪 一、什么是访问控制？ 访问控制确定谁被允许进入组织的网络以及一旦他们进入后谁可以访问什么数据。它设置了访问级别和权限或限制的层次结构，以便只有授权人员可以访问敏感信息。 访问控制 用一个类比，如果你的公司就像一个夜总会，访问控制就是保镖。它在门口检查身份证，确保它们不是假的，然后才允许人们进入。一旦他们进来了，它在夜总会内部设置了额外的权限。例如，VIP区可能需要一个单独的子列表；厨房员工可能需要进入侧门；收银机只能信任一些高级员工；等等。根据你需要保护的程度，复杂性呈指数级增加。创建和管理如此广泛的访问要求是访问控制政策的工作。 二、为什么访问控制对你的组织至关重要？ 通过实施访问控制措施，组织可以保护敏感或机密数据，防止未经授权的访问、修改或披露；遵守法律和法规要求；减轻内部威胁的风险。访问控制措施还可以通过监控和记录访问尝试和操作来增强问责制和调查。 数据泄露 三、访问控制类型 在组织中实施成功的访问控制政策之前，你需要了解市场上不同模型的类型。以下每个模型都满足特定的需求。 1)强制访问控制（MAC）：只有当数据的安全标签与用户的安全标签匹配时，才允许访问。如果用户具有最高机密级别的安全标签，他们可以访问最高机密信息。这在军事和情报机构等高度受限制的环境中效果最佳。 2)基于角色的访问控制（RBAC）：该模型基于最小权限原则，即用户只能访问与其工作职能相关的数据。这对大型组织最有用，因为单独分配访问权限可能会具有挑战性。拥有相同角色的每个员工可以一次性被授予或拒绝访问权限。 3)自主访问控制（DAC）：数据所有者可以根据自己的自主权定义访问策略并根据自己的自主权授予或限制访问权限。这对于小规模组织最有用，因为用户之间的信任水平较高。 4)基于属性的...

  根据 Malwarebytes Labs 的一份报告，百分之二十的IT企业在疫情期间因远程工作人员的疏漏而遭受重要 数据泄露事件 。选择允许员工远程办公有其利弊，其中主要的弊端是未预期的安全漏洞。这些漏洞更有可能是由于员工的无知引起的，而不是网络或系统故障。 Malwarebytes Labs “在疯狂作死和安全之间选择，用户每次都会选择疯狂作死。” ——Edward Felten，普林斯顿大学信息技术政策中心主任 作为管理员，您如何确保公司网络安全？您可能会说：“我们已经通过 MFA 为所有用户身份进行了安全验证。我们的员工必须在访问工作设备之前使用多个验证器进行 身份验证 。” 这是一个明智的决策。与许多公司一样，您已经走出了额外的一步，以解决和消除身份盗用的可能性。但是，如果涉及到线下用户，那么可能存在您没有考虑到的漏洞。 网络安全 您的安全措施是否考虑到线下远程员工？ 与在办公室工作的员工相比，远程员工更频繁地离线。也就是说，由于连接问题，他们可能与MFA服务器或企业网络断开连接。那么，当远程用户处于脱机状态时，MFA会发生什么情况？绕过MFA或封锁机器访问对他们来说是不可想象的，同时仍然要保证安全性和生产力。幸运的是，有一种方法可以在您的远程工作者脱机时执行MFA。 MFA 确保您的线下远程办公团队的安全 ManageEngine  ADSelfService Plus  提供线下MFA，允许用户在未连接到MFA服务器或企业网络时执行机器登录的MFA。管理员可以为用户配置一个或多个MFA验证器，以便用户在线时可以预先注册这些验证器，以便能够执行线下MFA。 身份验证 最后，要强调在当前远程工作环境下，保护公司的网络安全至关重要。根据 Malwarebytes Labs 的最新报告，远程工作带来的风险不容忽视，但通过采用适当的安全措施，我们可以在确保员工的便利性的同时，有效地应对潜在的威胁。 管理团队需要不断审视并更新安全策略，以确保包括线下远程员工在内的所有员工都受到充分的保护。这需要综合使用各种工具和技术，包括多因素认证（MFA），以确保数据和系统的安全性。 在当前的数字时代，安全性不仅仅是一个选项，而是一项必需。通过投资于适当的安全解决方案，我们可以保护企业免受潜在的风险和威胁。ManageEngine ADSelfSe...

  DNS服务器是AD环境中不可或缺的一部分。使用DNS服务器可以完成一些简单但关键的活动，如 身份验证 、查找计算机和识别域控制器。 DSN 但攻击者知道DNS中存在许多可以利用的漏洞。而且，他们通常已经了解了这些漏洞。在本博客中，您将了解到攻击者如何滥用以下内容： DNS缓存 DNS区域传输协议 一、通过滥用DNS缓存攻击AD DNS缓存是客户端使用的DNS查询的本地存储库。当客户端请求资源时，比如example.com，DNS服务器会通过名称解析器的帮助将请求的域名解析为其相应的IP地址。DNS缓存通过将解析后的值存储在内存中以进行快速检索来加速此过程。对于重复的查询，DNS服务器将搜索并返回缓存中存储的IP地址值，从而减少了响应时间。 AD域攻击 攻击者经常尝试操纵DNS缓存记录，以将合法的IP地址替换为恶意IP地址，以获取敏感信息的访问权限。 即使是初学者也可以在十分钟内发起缓存污染攻击。如何做到的？在这个点播研讨会中，一个网站在几分钟内伪造并解析为恶意站点。 执行此攻击所需的攻击向量： 1)伪造合法站点 2)使用Kali Linux及其工具箱执行ARP缓存污染以伪造DNS 如果您观看了研讨会，您会发现DNS欺骗已经存在很长时间了。但是，我们可以主动采取行动。为了防止DNS攻击、检测恶意DNS活动并确保AD基础设施的安全性， SIEM解决方案 可以提供帮助。 SIEM工具可以帮助跟踪和监视DNS更改。它还可以在DNS层面实时通知您有关恶意活动，以帮助您应对这些威胁，或者至少限制攻击造成的损害。 SIEM 二、DNS的区域传输漏洞 DNS中针对DNS的最简单但危险的攻击之一是利用AXFR协议。DNS中用于从一个DNS服务器复制记录到另一个DNS服务器的区域传输机制使用AXFR协议。复制DNS区域的原因是即使主DNS服务器发生故障，也要确保业务连续性。 AXFR协议的DNS记录查询是一个简单的、单行的dig命令： $ dig axfr zonetransfer.me @<domain name> AXFR协议不需要身份验证。如果您的DNS服务器未正确配置，任何客户端都可以滥用区域传输协议，并创建整个区域的副本。为防止这种情况发生，关键是将您的DNS服务器配置为只信任知名IP地址。您可以列出受信任的名称服务器的IP地址，以仅允许这些IP地址进...

  随着今年过半，我们需要评估并了解不断崛起的网络威胁复杂性，这些威胁正在改变我们的数字景观。 从破坏性的 网络钓鱼攻 击到利用人工智能的威胁，印度的网络犯罪正在升级。然而，在高调的数据泄露事件风暴中，我们看到了政府机构、企业和个人采取积极措施，显示出我们数字堡垒的韧性。在本文中，我们将探讨塑造印度网络安全发展轨迹的关键事件、趋势和举措。让我们深入了解！ 网络钓鱼 一、印度网络安全的现状 进入2023年的中点，印度的网络安全格局正在迅速发展，以应对不断增加的网络威胁。自2022年末以来，印度政府机构遭受网络攻击急剧增加，包括印度医学科学研究所-德里服务器的显着入侵。这引发了内政部的更多努力，该部门正在加大为预计网络犯罪激增而进行的官员网络取证培训力度。除了通常的网络钓鱼攻击，网络犯罪分子现在还利用人工智能技术，赋予那些技术水平有限的人使用自然语言处理工具创建恶意软件的能力。 印度网络安全 为了应对这些挑战，印度电子和信息技术部采取了积极的策略，提出了一项规定，要求社交媒体平台删除被印度新闻局事实核查部门标记为虚假的内容。为了进一步加强该领域，2023年网络安全预算得到提高，分配了6.25亿卢比用于网络安全项目和印度计算机应急响应团队（CERT-In）。 然而，网络安全斗争并不止于此。统一支付接口（通常称为UPI）的复杂性增加，这是印度国家支付公司的软件，与数据泄露的激增强调了网络犯罪的不断演变。黑客正在提升他们的技术水平，有些人甚至从尼日利亚的建立的网络犯罪网络中获取高级诈骗技术培训，然后在印度开展活动。 二、印度 网络安全 面临的挑战：今年的关键事件 在2023年上半年，印度经历了一些关键的网络安全事件，从金融诈骗到数据泄露。这些事件突显了网络防御策略的重要性。 奥里萨经济犯罪调查组织逮捕了60名涉及各种金融骗局的诈骗犯，包括在线诈骗，共计损失10亿卢比。姬路合作银行成为7.79亿卢比的网络欺诈的受害者，突显了银行业需要更强网络安全的紧迫性。 在另一起事件中，卫生与家庭福利部遭受了一次重大数据泄露。据称，一个臭名昭著的黑客组织名为“凤凰”，入侵了卫生管理信息系统，危及全国各地医院的敏感数据。与此同时，一起骗局瞄准了印度投资者，利用加密货币日益流行的趋势。虚假平台引诱毫无戒备的投资者分享了超过10亿卢比的资金，突显了在加密货币领域加强投资者意识的必要性。 这...

  网络安全行业具有高度的活力，始终能够将最新和最优秀的技术融入其系统中。这背后有两个主要原因：首先，网络攻击不断演化，因此组织需要拥有先进技术以便检测复杂的攻击；其次，许多组织的网络架构非常复杂。 网络安全 在过去的几年中，打造健康安全的网络环境已经成为各种规模的企业的首要任务。随着网络攻击不断演变，对于安全工具如 SIEM 的投资也大幅增加。现在，随着其他行业开始将人工智能引入其系统，网络安全专业人员正在评估预测人工智能是否能在网络安全中发挥作用。要回答这个问题，我们需要了解SIEM的当前状态。 SIEM 一、SIEM的当前状况 自2005年首次提出SIEM概念以来，他也发生了多次演变。第一代SIEM（传统SIEM）主要是将日志管理和事件管理系统的功能结合起来。这使得安全团队能够从单一控制台查看网络中不同的活动。 第二代SIEM引入了一定的数据处理能力。它能够管理大量历史数据并将相关事件进行关联。此外，它还包括威胁情报功能，有助于发现威胁，并将其猎杀在萌芽中。 第三代，或称为下一代SIEM，具备扩展的威胁检测和响应功能。它还配备了SOAR功能，能够监视和保护云环境。此外，AI和ML支持的 UEBA 功能使内部威胁检测更加容易。 现在，云SIEM和基于云的 SIEM解决方案 也逐渐兴起。云SIEM解决方案部署在私有云上，而云原生SIEM解决方案则是在云中本地构建，并设计成服务运行。 这些SIEM的功能演变表明，该行业一直在不断采纳最新技术，以提高对威胁的检测和防御能力。 人工智能 二、人工智能为SIEM行业带来的益处 作为机器学习的高级形式，人工智能使用算法分析大量数据并将事件。这项技术可以在安全事件发生之前发现潜在的威胁，因此在打击网络犯罪方面具有强大的潜力。 人工智能为SIEM行业带来的益处 三、以下是预测性人工智能为SIEM行业带来的五种益处。 1) 提高威胁检测和事件响应效率：威胁检测和事件响应是SIEM的核心功能之一。人工智能通过处理大量数据并立即识别威胁来增强事件处理效率。它还可以通过触发 工作流程来自动化响应 ，以减轻攻击的影响。 2) 积极的网络安全方法：预测性人工智能帮助组织在安全事件发生之前检测网络威胁。这种积极的网络安全方法有助于组织减小攻击的影响。 3) 先进的趋势和模式分析：通过分析大量数据，预测性人工智能能够预测网络中的活动趋势...

  自从“身份是新的边界”这句格言问世以来，公司已经开始扩展他们的能力和运营，超越了基于本地、办公室基础设施的范围。采用云原生技术意味着组织正在寻求扩大传统工作流程，而无需投入时间和资源来建立物理数据中心和其他硬件基础设施。 身份验证 然而，从本地到云的过渡可以分阶段进行，因为该过程必须确保现有的本地工作负载完全优化为云生态系统。在组织从本地迁移到云的情况下，混合IT充当了一个可行的过渡环境，可以容纳在两种环境中兼容的工作负载。 混合IT基础设施 一、什么是混合IT基础设施？ 混合IT指的是一个数字环境，包括本地基础设施，例如 Active Directory 和LDAP等目录服务，以及云应用程序和系统，例如Azure AD。在数字转型过程中，组织可以选择混合IT环境以获得以下好处： 1) 进行数据分类和工作负载放置的便利性。 2) 减少大规模数据迁移产生的开销。 3) 增强数据隐私和加密控制。 4) 在完全转向基于云的架构之前，教育员工云基础工作流程。 Active Directory 二、混合IT基础设施的安全挑战 尽管混合IT基础设施提供了一些好处，但也伴随着一定的安全和能力差距。作为一个复合环境，混合IT面临着缺乏统一性的固有问题，从而引发了各种挑战，包括： 1) 流程的重复：当管理员需要管理跨越多个环境运行的用户时，可能会导致员工工作的冗余。例如，管理员可能需要在本地AD、Azure AD、Google Workspace和Microsoft 365环境中创建用户帐户，这可能变得繁琐甚至错误。 2) 重复的凭据：作为混合IT环境中重复执行的流程的副作用，用户倾向于在他们的混合组织中为多个本地和云应用程序使用相同的凭据。重复的凭据是暴力攻击的入口。 3) 低可见性：由于手头有多个数据来源，IT和SOC团队必须在多个应用程序和信息孤岛之间切换，以识别异常事件和审计用户活动。这需要手动筛选大量数据，影响到发现时间的均值(MTTD)，并为网络攻击中的恶意行为者提供更多时间。 4) 错误的合规性报告：当涉及合规性审计的文件记录时，对于组织来说，实施跨平台监控和报告功能至关重要。没有这些功能，合规性报告不仅将成为一项痛苦的过程，还会存在不准确的风险。 5) 孤立的备份和恢...