Source: http://www.businesswire.com/portal/site/google/?ndmViewId=news_view&newsId=20090727005415&newsLang=en

转贴几个图：

Source: http://ow.ly/15ID8J

Just to summarize the attack:

1. HC accessed Gmail for a Twitter employee by using the password recovery feature that sends a reset link to a secondary email. In this case the secondary email was an expired Hotmail account, he simply registered it, clicked the link and reset the password. Gmail was then owned.
2. HC then read emails to guess what the original Gmail password was successfully and reset the password so the Twitter employee would not notice the account had changed.
3. HC then used the same password to access the employee’s Twitter email on Google Apps for your domain, getting access to a gold mine of sensitive company information from emails and, particularly, email attachments.
4. HC then used this information along with additional password guesses and resets to take control of other Twitter employee personal and work emails.
5. HC then used the same username/password combinations and password reset features to access AT&T, MobileMe, Amazon and iTunes, among other services. A security hole in iTunes gave HC access to full credit card information in clear text. HC now also had control of Twitter’s domain names at GoDaddy.
6. Even at this point, Twitter had absolutely no idea they had been compromised.

Source: http://tech.163.com/09/0721/02/5ENC43OK000915BF.html

不管处在哪种商业环境下，企业都不能丧失核心的文化和价值观。企业不应口袋里钱很紧，就减少员工福利，让员工受到伤害。因为，这也许能在短期内帮助公司维持正常运营，但对公司长期发展不利。

在商业环境变化前，公司的管理者应有敏锐的意识，并做出及时调整。

谷歌全球有40多个工程研究院，员工根据兴趣爱好进行研发，这样不可避免产生重复。调整后，谷歌的每个工程师被按照搜索、图片、视频和手机等不同领域进行 划分，归类到相应部门，密切配合，协同研发。这样不仅可以保障员工继续按照兴趣和特长研发产品，还可以避免资源的重复利用，提高开发效率。

首先，管理者不能太短视。不能因为没有资金紧张，随意把项目都砍掉。等到别的公司把这个项目做起来，又匆匆上马，但为时已晚。其次，管理者要有原则。一切基于数字说话，不能拍脑袋。根据公司的战略使命和方向，做客观的排序，一定把战略性的内容保留下来。

凡事都可以做最坏的打算，置之死地而后生，然后积极去争取每个机会，哪怕是1%的机会。最后，争取到，最好。争取不到，也不要沮丧。

要相信任何困难都可以渡过，后悔和担心是最不需要做的事情。一件事情已经发生，弥补来不及，不要后悔，要想从这个事情，学到什么。不要再想错误。多想一分钟，都是浪费生命。担心，也是一样没有必要。

遇到危机时，员工很需要看到领导的表现。领导一定要有自控能力，不能心慌或者沮丧，要有足够的自信。但自信不是演戏，需要沟通。谷歌遇到危机时，通常会开员工大会，或者通过邮件沟通，避免猜测。

中国的网民和手机用户数量都是全球最大，但和美国有不一样的成长性。在娱乐、通信、社交和电子商务等互联网四大分支领域中，由于网民中国比较年轻，娱乐、通信和社交等领域发展迅速，唯一相对落后的是电子商务领域。

中国网民的价值还没有充分挖掘出来。中国网民的饱和度是美国的1/3，中国网民人均消费是美国的1/10—1/15，这也就意味着存在50-60倍的差距。同时，由于美国本身也在增长，这也意味着中国公司的发展空间会很大。

创新企业要想想用户最需要的东西和可能寻找的应用开发，不要在乎第一年是否赚钱。

Source: http://tech.163.com/09/0721/02/5ENC5S2G000915BF.html

摘录

企业随时都可能陷入危机，不一定在经济危机期间。唐骏认为：企业始终都要有危机感。

过去三十年，中国人主要消费大众消费品，解决温饱问题。下一步，中国将向豪华奢侈的消费发展。车，要更舒适，更人性化，电视不仅要看到图像，还要更高的画质、音质，更轻更簿。实现这些，需要高新技术。在消费向豪华奢侈升级时，高科技产品将进入更新换代的阶段。除了通讯、电子产品外，大家将会更关注健康长寿。生物医药面临巨大的机会。此外，新能源、新材料，随着中国制造升级，也面临着巨大的机会。中国成为全球消费中心，有巨大的现实意义，有巨大的商业想象空间。

面对竞争，中国企业可通过两种方式致胜，一靠自主创新，二是引进技术，消化吸收再创新。

从全球来看，高新技术产业主要分为IT、生物医药、新材料、新能源四大类。

美国是原创型技术创新，这种技术创新投入大，风险高，当然，回报也大。日本不同，主要是模仿美国的技术，在美国的原创技术做应用创新，集成创新。

零售业的利润来自管理、运营，像毛巾拧水。

看经济是不是见底，可从三个维度分析，消费、投资、出口。

产品经理12条

1、PM首先是用户
2、站在用户角度看待问题
3、用户体验是一个完整的过程
4、追求效果，不做没用的东西
5、发现需求，而不是创造需求
6、决定不做什么，往往比决定做什么更重要
7、用户是很难被教育的，要迎合用户，而不是改变用户
8、关注最大多数用户，在关键点上超越竞争对手，快速上线，在实践中不断改进
9、给用户稳定的体验预期
10、如果不确定该怎么做，就先学别人是怎么做的
11、把用户当作傻瓜，不要让用户思考和选择，替用户预先想好
12、不要给用户不想要的东西，任何没用的东西对用户都是一种伤害


人才的选用育留

1、选人

    * 所有人在相同起跑线上
    * 以文取人：用户感觉，方法论，网络熟悉度
    * 喜欢和投入
    * 往前看几年
    * 价值观认同
    * 宁缺勿滥

2、用人和育人

    * 充分授权，目标管理
    * 平等，试错，总结
    * 助理比经理更懂，经理比总监更懂
    * 向下分享，尽量避免单线汇报
    * 坦诚务实，实事求是
    * 持续的自我否定。最终结论是靠发现更多不足来找到，而不是推销观点。
    * 以用户需求为导向：有需求，有优势，有利益
    * 发现者，不是创造者
    * 严谨追求客观公正

3、留人

    * 公司愿景、工作空间、个人待遇
    * 成就感，产品的意义
    * 学习与成长
    * 愉快的环境
    * 赏罚分明

Source: http://www.forrester.com/rb/Research/wave%26trade%3B_enterprise_governance%2C_risk%2C_and_compliance_platforms%2C/q/id/47911/t/2

Forrester在7月1日的一份最新报告中强调了GRC企业平台（即governance，risk management，and compliance——治理、风险管理及法规遵从）的重要性。Forrester提到了过去十年一些大牌公司的失败教训，认为GRC软件具有明确的价值主张，并指出了这个新兴行业的佼佼者。

本次研究公开提出了一个问题：企业是否会认为GRC软件是迫切之需？恐惧也许是一项重要的刺激因素，但GRC平台尚未证明它们是企业获得成功的IT必需品。

什么是GRC？

治理、风险管理及法规遵从平台的工作是将一系列广泛而复杂的企业任务从面化简为点。

本质上说，作为一种技术解决方案，它们要跟踪公司治理项目，管理已知和潜在的企业风险，并遵从法规要求。所有这些平台都集合了不同程度的工作流程管理、数据可视化、内容管理，以及报告相关的绩效指标。

领头先锋

Forrester回顾了14家企业GRC平台的开发商，AXENTIS、BWise、MetricStream、OpenPages和Thomson Reuters是他们眼里的佼佼者。

你也许会感到惊奇，像SAP这样的企业软件巨头却比不过那些规模小得多的厂商。但GRC市场正处于上升期，年轻而灵活的公司是完全可以打败那些在这个领域起步较晚的大公司。

集成的治理、风险管理及法规遵从平台提供了处理企业事务的新方式。Forrester曾在一份报告中预测，GRC将在今年“成就非凡”。从目前来看，凭借着降低风险、提高总体效率、方便制定战略决策的卖点，GRC市场的领先者已经得到了一大批客户。

但与其说GRC平台是一种作用关键的企业工具，还不如说它是一种专为大公司应对动荡市场而提供的产品。数目与日俱增的GRC厂商无疑已经表现出了它们的价值，但它们还无法证明GRC平台是各大公司紧缩银根时期的必备之宝。【译言翻译】

FIRST 21届年会在日本京都召开。演讲者与题目参见http://conference.first.org/program/listspeakers.aspx
演讲题目基本都与Incident Response相结合。

关键词：大网安全与异常、网页挂马检测、打击僵尸网络、蜜网、立法、Cyber安全、网络犯罪、DNS劫持、DNS滥用、日志审计、应急响应团队IRT、安全设计与安全系统、SCADA、入侵分析、预警系统、DoS、信息泄漏、漏洞挖掘、Mashup&Social Media

预警：预警系统、蜜网
防护：安全设计与安全系统、漏洞挖掘
检测：大网安全与异常、网页挂马检测、DNS劫持、DNS滥用、日志审计、入侵分析、信息泄漏、DoS
响应：打击僵尸网络、应急响应团队IRT
Cyber安全、网络犯罪、立法、SCADA、Mashup&Social Media


[CNCERT/CC]
A CASE STUDY OF WIDE-SCALE NETWORK ANOMALIES RESPONSE
Chinese Hacker Community and Culture, Underground Malware Industry
Network Security Assistance to the Beijing Olympic Games

[TWCERT/CC]
Malicious Webpage Detection

[JPCERT/CC]
Anti-bot Countermeasures in Japan

[CERT-EE & CERT-GE]
Analysis of the DDoS Attacks on Georgia & Estonia

[GOVERT.NL]
NM SIG: Monitoring & Analyzing Client-side Attacks

[CyberSecurity Malaysia]
Handling Incidents from Honeynet Data

[National Police Agency of Japan]
The incident response and the law enforcement

[National Information Security Center, Cabinet Office Japan]
Information Security Management and Economic Crisis

[West Japan Railway Company (JR West)]
The Great Hanshin-Awaji Earthquake

[Federal Office for Information Security (BSI, Germany)]
Internet Analysis System (IAS) - Module of the German IT Early Warning System

[INTERPOL]
INTERPOL Initiatives to Enhance Cyber Security

[Team Cymru]
Show Me The Evil - A Graphical Look at Online Crime

[Anti-Phishing Working Group]
The State of Phishing/Fraud and Efforts To Deliver Forensic Tools & Resources for ECrime Fighters

[ICANN]
Establishing Collaborative Response to Abuse of the Domain Name System

[BT]
Reconceptualizing Security
Security and the Future Generation
Deriving information from raw data: making business decisions with logs

[NTT]
CSIRT Modeling Architecture

[Deutsche Telekom AG]
Windows Memory Forensics with Volatility

[KPN-CERT]
When worlds collide: Understanding telco fraud in a VoIP world

[SAIC]
Mashup Security & Incident Response Considerations
Architecting Systems of Systems for Response
Content: The Next Generation of Incident Response

[Microsoft]
Comprehensive Response: A Bird's Eye View of Microsoft Critical Security Update MS08-067

[IBM]
SCADA Security - Who Is Really In Control of Our Control Systems?
Creating an End-to-End Identity Management Architecture
Extrapolated Thinking for Sarbanes-Oxley: Factoring Incident Response

[Siemens AG]
0x221b - Finding Traces of System Compromise

[McAfee]
In the cloud Security
Threat response - doing the right thing first time!

[Cisco]
Missing Clues: How to Prevent Critical Gaps in Your Security Monitoring
Emerging Threats and Attack Trends

[Arbor Networks]
Attacks Against the Cloud: Combating Denial-of-Service
Update on Carrier Infrastructure Security Attacks

[Atos Origin]
Olympics Information Security: Real Time Risk Management

[La Caixa]
Anti-Phishing Working Group and the Internet Policy Committee
"The Threat of Banking Trojans: Detection, Forensics, and Response." (Insights from a Bank CSIRT)

[VeriSign]
On-Line Fraud Prevention and Detection -- Multiple Layers of Security

[iDefense-VeriSign]
Explaining the Regional and National Character of Cyber Security Environments
Attacker Illusions: Finding the Real "Who" and "Why"
Proactively blacklisting Fast-Flux domains and IP addresses  

[Open Systems AG]
Closing the Gap between Policy Creation and Enforcement

[Davidoff & Lake Missoula Group]
Proprietary Data Leaks: Response and Recovery

[PRESECURE Consulting GmbH]
Information Security Exchange Formats and Standards

[DFN-CERT Services GmbH]
Contradictions in current european security policy

[The Network Security Blog]
Using Social Media in Incident Response

[PanMedia]
Recapturing the Wheel – Media Perspectives on Crisis and Recovery

[ESR/RNP]
New Developments on Brazilian Phishing Malware

[Amirkabir University of Technology]
How to handle Domain Hijacking Incidents
Effective Software Vulnerability Discovery within a Time Constraint

[National University of Singapore]
To be or not to be -- An Incident Recovery case study

[Spinlock Technologies]
Information security one character at a time

[National Institute of Standards and Technology]
Measuring the Root Cause of Incidents

[SecureLogix]
Incident Response for Voice Services

[Information Technology-promotion Agency (IPA)]
Proposal of MyJVN for Security Information Exchange infrastructure

[KRvW Associates, LLC]
The essential role of the CSIRT in secure software development