总体看了一遍，记录几点。

ISO 31000 是一个风险管理指南，不是用来做认证的。标准正文24页。

标准主要讲了三部分：原则、框架、流程

术语部分对风险、事件、后果、可能性、风险管理、管理风险、策略、风险喜好等做了说明和区分，写的非常清晰，篇幅较多，共7页。建议多阅读几遍。

原则部分强调：风险管理要为企业创造价值、保护价值；风险管理是组织管理体系的一部分；风险管理是决策的一部分；风险管理要考虑到人和文化的因素。

框架部分与ISMS思路基本类似，设计、落实、监控、改进，突出了几点：理解企业的环境、责任、融入企业流程、资源、沟通与报告。

流程部分强调几点：建立内外环境、定义风险标准。

总体上，标准写的很容易懂，与其他风险评估标准不同的是更加侧重与企业管理体系的融合和企业环境的考虑。作为一个结构化的思考框架，很多地方值得学习和参考。

开发、讲授课程是一件很不容易的事情，最大的难点在于选择讲什么、怎么讲。所以必须花费很多的时间进行全盘思考、精心设计，开发课程类似编剧，讲授课程如同演出。

开发课程需要时间会比较长，但实际上很多都是赶鸭子上架，不到最后关头是拿不出来的，这里不去分析时间管理的问题。开发课程遵循的原则是“信、达、雅”，讲义上所有数据、图片、引用都应该有来源，这样既显得严谨又能让听众信服，还能指引延伸阅读。文字要流畅，能用短语的就不要用长句，除非特别引用，否则最好不要出现大段的文字。错别字连篇、分不清“的、地、得”、词不达意、逻辑混乱，这些都要不得。初次文字完成后，一定要舍得砍，越砍越精炼。雅，更多是布局上的考虑，能够引起视觉注意的有大小、颜色、方向，该大的字不能吝啬，该小的字要保证坐在后排要看得清，如果你在讲授过程中发现后排的人一直低头，首先想到的是不是字太小了。颜色要和谐搭配，但不能变成花脸。方向在一定程度上能暗示趋势，比如上升或下降。在图片的旁边要有简要解释，不能让人一头雾水。

 除了形式，内容编排更要精心设计，要逻辑清晰、边界明显、上下连贯、重点突出。课程是让学员在有限的时间内熟悉、理解、掌握知识点，不要搞成味同嚼蜡。

 功夫在诗外，讲授课程不是读本子。美国钢铁公司创始人安德鲁·卡内基说：“我相信，在任何一个领域要想获得卓越的成功，自己必须精通于斯”。也就是说，讲课的人一定是这门课程的专家（或深谙多年），否则讲课效果会大打折扣。他们都具有旁征博引、深入浅出的能力，看问题深刻，讲出来简单。在讲授过程中，重要知识点一定要花时间花力气讲清楚，不要怕重复，只有多重复几遍学员才能有更多理解。讲课的目的是为了讲明白，而不是讲完。

 要想本子写好讲好，日常需要多积累、多揣摩、多练习、多尝试。当你看到乔布斯在台上完美的演出时，你应该想到其实那个本子被砍了无数次、那个演出被练了无数遍。

Source: http://www.physorg.com/news176138448.html

The National Cybersecurity and Communications Integration Center (NCCIC) brings together various government organizations responsible for protecting cyber networks and infrastructure and private sector partners.

"This will be a 24/7, 365-day-a-year facility to improve our national efforts to prepare and respond to threats and incidents affecting critical information technology and communications infrastructure," Napolitano said.

She said the NCCIC will serve as the "central repository" for the cyber protection efforts of the civilian side of the federal government and its private sector partners.

Attending the ribbon-cutting ceremony for the NCCIC was the head of the US military's "cyber command," Lieutenant General Keith Alexander, director of the super-secret National Security Agency (NSA).

The high-security new NCCIC facility is located in an Arlington, Virginia, office building and includes a long narrow room dominated by giant wall-mounted video screens displaying maps and threat data. Facing the screens are dozens of computer work stations with multiple screens.

"Securing America's cyber infrastructure requires a coordinated and flexible system to detect threats and communicate protective measures to our federal, state, local, and private sector partners and the public," Napolitano said.

"Consolidating our cyber and communications operations centers within the NCCIC will enhance our ability to effectively mitigate risks and respond to threats," she added.

NCCIC combines two Homeland Security operational organizations: the US Computer Emergency Readiness Team (US-CERT) and the National Coordinating Center for Telecommunications (NCC).

US-CERT is a public-private partnership aimed to protecting and defending cyber infrastructure while the NCC is the operational arm of the National Communications System.

NCCIC will also integrate the National Cybersecurity Center (NCSC), which coordinates operations among the six largest federal cyber centers.

Napolitano, whose department has received the green light to hire up to 1,000 cybersecurity experts over the next three years, stressed the private sector participation in the NCCIC, noting they will have "offices in the same space."

US-CERT currently partners with a number of private sector companies such as telecommunications firms and others in monitoring cyber threats.

The opening of the NCCIC was the culmination of what has been dubbed "National Cybersecurity Awareness Month."

No single agency is currently charged with ensuring government information technology security and lawmakers have called for creating a powerful national cybersecurity advisor reporting directly to the president.

President Barack Obama has made cybersecurity a top priority and announced in May that he would name a "cyber czar" to defend against criminal, espionage and hacker attacks on US government and private computer networks.

Obama has not yet named the "cyber czar" but the 2010 Homeland Security Act that he signed on Wednesday included 397 million dollars for cybersecurity.

US government websites come under attack on a daily basis, according to the Department of Homeland Security, with the threats ranging from teenage hackers to criminal gangs to foreign governments.

(c) 2009 AFP


对于国内来说，情况就稍微复杂点了。

Source: http://tech.163.com/09/1027/08/5MK9H9LO000915BE.html

摘录一些。

打乱华为按工作年限、资历进行工号排序的做法，让自己“淹没”在华为10万雄兵之中，是任正非兑现自己在1998年提出的华为未来十年要实现“淡化企业家个人色彩，强化公司职业化管理”目标的最具符号意义的佐证。

任正非率队走访美国各大跨国公司，遍访了惠普、IBM、朗讯等IT巨头，并最终将目光锁定在IBM身上，以“削足适履”的精神，以及前后十年、超过十亿元的学费为代价，向IBM学习美国式的管理模式，从而为此后的国际化扩张之旅，提前进行了血液和灵魂的改造。

华为2008年已实现合同销售额233亿美元，实际销售额183.29亿美元，72％的收益来自于海外。

华为真正走向国际化的首站——俄罗斯市场，斩获的第一个合同仅仅只是几块电源，总额为38美金。此后一场亚洲金融危机紧随而至，更是冰封了华为试图将俄罗斯市场作为国际化开局的脚步。

我们没有像朗讯等公司那样雄厚的基础研究，即便我们的产品先进也是暂时的，不趁着短暂的领先尽快抢占一些市场，加大投入来巩固和延长我们的先进，一点点领先的优势会稍纵即逝。

海外市场不相信机会主义。

从1995年在俄罗斯建立办事处，1996年首度参加俄罗斯电信展，到1997年在当地建立合资公司“贝托”，直至经历1998年金融危机、2001年全球经济危机过程中的等待、蛰伏，并且持续加大投入，俄罗斯开拓样本只是华为每一个海外站点历程的缩影。

多年以来，任正非一直在思索着，如何在急速的扩军中，打造一支既骁勇善战，又兼具全球眼光和职业化运作经验的一流国际之师。

抓住机会窗的时间差，一边打仗（抢市场），一边练兵（管理变革），这成为华为早期国际化的显要特点。

尊重人才。不迁就人才。把聪明人规范起来。

Source: http://tech.163.com/09/0916/09/5JASSM81000915BF.html

摘录一些。

中国泛海董事长卢志强

泛海未来就做房地产、金融、资源三大产业。综合投资，作为中国泛海非常重要的一项业务方向。

把传统的资产进行梳理，区分哪些是战略投资、哪些是产业投资。

经过十几年长期的积累，基本上联想把泛海看透了，泛海也把联想看透了；柳总把我看透了，我也把柳总看透了。

交朋友，我是非常优秀的人，比做丈夫要优秀得多！这是我爱人说的。

第一，我办企业的目标跟柳总有所不同。柳总是一定要把联想做成伟大的企业。我就希望把泛海办成一流的企业。比如说中国的地产公司，一流的企业不是1家、2家，可能是10家、20家，我希望泛海是其中之一。

泛海的文化是容人的，大家关注到泛海高管变动很少，相对来讲比其它的企业给的钱也少。我小时候看中国的古典名著比较多，尤其是《水浒》给我的印象十分深刻：108个大将有很好的分工，有很好的分配制度，大碗喝酒、大块吃肉，用到商道上未必不是一件好事。

人要讲情、讲义、讲理、讲法。如果一个人不讲情、不讲义，我想大家都要敬而远之了。用在商道上，无非就是你的利益多一点、我少一点。其实想来，吃小亏真的 占大便宜，能够容人、能够让利会得到大家的尊重。与联想的这次合作，我想我们泛海的精神起到了作用！否则柳总是什么人啊！他看问题入木三分。我想他不会轻易选择一个伙伴。

Source: http://tech.163.com/09/0908/10/5IMBNJAE000915BD.html

摘录一些。

除了可预见的东西方管理文化冲突等常见跨境并购整合陷阱对执行力的损耗，他还得应对挑剔的媒体、敌意的西方意识形态环境、国际化的董事会以及亟待注入士气和明确方向的员工。

联想仍在追求“彻头彻尾”的国际化：不只是把产品更多的卖向海外市场，更要接受国际化的资本、治理结构和管理团队的检验。

“慢”是客户的一个抱怨焦点，因为订单供应不上的情况经常出现。客户的一个订单可能涉及到不同的零配件需求，这些需求会按既定流程提到产品部门、采购部门和质量部门，以确定采购和生产周期，最终给客户答复交货时间。让来自中国的联想高管奇怪的是，整个过程耗时甚长且没有确定的“截止点”。更让中国高管沮丧的是，按照过去的意识形态，谁都没必要为此承担责任—从销售到产品和供应链的各个环节，都认为自己尽了本职工作，而他们的负责人，亦是平行的架构，没有一个人在从头到尾的进行统筹规划。

裁员比例最大的是第10级员工，这部分员工正是真正干活的。而节省下来的费用也很容易就被从外部高薪聘请的高管所抵消。

联想的质控人员可以骄傲地宣称苹果等竞争对手的产品无法达到自己的测试标准，但在消费市场，重要的乃是将产品及时投放市场。

据联想内部人士评价，Cuong Do甚为聪明，他能拿出一堆漂亮的图表来阐释战略，却很少关心执行细节；他热衷于通过并购和商务合作等手段让联想实现增长，在公司内部却很少听见他的声音。当阿梅里奥得知员工抱怨最多的是不清楚公司战略是什么时，他感到震惊。

这种沟通并不仅是单向度的灌输，自下而上的反馈也非常重要。杨元庆出现在公司各种规模的会议上，并不知疲倦地飞往全球各地市场向员工和客户沟通联想的新战略方向。联想的内网专门建立了一个“向元庆提问”的栏目收集底层员工的意见，并及时给出反馈。

无论是在内部，还是在市场以及合作伙伴中，一个公司的CEO调整不可避免会引起混乱。元庆用非常简单易于理解的方式在公司内外沟通我们的新战略方向。我们在非常短的时间内几乎是无缝地避免了混乱的发生。

与前任用很多表来解释战略不同，杨元庆最终形成的战略只有一张表。“每次开会，那张表都放在第一页拿出来。后来做到开会不用看里面的字，大家看颜色就知道代表什么。

Think产品贴近消费者的尝试正在显示其效果。研究发现，平均每个人按Del键和Esc键超过700次，远高于其他功能键的使用频率。人们在用这两个键的时候，会感觉是完成了一件大事，有一种痛快感。联想在今年6月发布T400S笔记本电脑上，将这两个键都放大了1倍。

网络战就是一群“斯文人进行的不可告人勾当”。
Source: http://tech.qq.com/a/20090814/000130.htm

1. 网络窃密：攻破互联网或侵入内部网，窃取个人隐私、单位或国家机密，有时也收集大量基础数据，为将来开展其它行动做准备。
2. 攻击网页：篡改对方单位、政府机构网页或设法阻止访问，这样做一般来说实际危害不大，但对被攻击者的声望和威信是个打击。
3. 网络宣传：通过互联网、手机等手段广泛散布对自己有利的真假消息，操纵舆论，影响士气。
4. 拒绝服务：近期发生的多起事件都属这类，通过分布式攻击，让服务器资源不足，造成大片断网。
5. 关键点破坏：通过病毒攻击、电磁干扰、实际火力打击等把对方网络中关键性的服务器、转接设备、卫星等破坏掉，从而使整个系统瘫痪。
6. 公共服务破坏：对发达城市严重依赖网络管理的供水、供电、交通信号、通信等系统发起网络攻击，造成管线、网络的瘫痪，制造城市混乱。
7. 硬件潜伏破坏：通过大的IT产品厂商或特工把藏有破坏程序的硬件当成正常硬件出售或安装到敌方枢纽部，战时摇控启动攻击。据说美国在1991年海湾战争中就利用预先掉包的打印机芯片作怪，使伊拉克防空系统错乱失去了应有战斗力。

Source: http://www.boonbox.net/csi/cyber-security-informer-19-5-09.htm

Cyber security tips from Sauder School Dean, Daniel F. Muzyka, from his recent column in the Globe and Mail include:

• Make sure security awareness exists and is maintained. Realize that users are generally rational actors: Give them incentives for good behaviour.【保持有安全意识】
• Keep up with the technology. New hardware offers new solutions, including fingerprint readers that secure laptops.【跟踪新技术】
• Remember the human element. People often avoid doing this because they worry, ironically enough, that it will harm their computer. It shouldn't be this way. Organizationally, patches can be supported by understanding them, testing them, and disseminating them efficiently and quietly with help available for those with difficulties.【不要忽视人的因素】
• Don't collect data you don't need: You can't lose it if you don't have it.【最小权限】

Sauder School Associate Professor of Management Information Systems Hasan Cavusoglu offers the following advice for companies looking to improve their security:

• Cyber security awareness ust be presented in creative ways to get attention. Don't just give rules, because rules get broken. They have to understand what they do is also affecting themselves. For instance, employees should be made aware that their promotions and bonuses will depend in part on how they’re handling information security. Money is very tangible and a very effective way to change behavior.【要让他们知道，做的事情对自身的影响】
  
• Make employees aware with literature about cyber crime and the legal consequences. Employees will know that if they are caught violating cyber security, they will get into trouble. Organizations should use these "carrot and stick" tactics at same time. 【要让他们知道，什么是合法的什么是犯罪的】
  

Source: http://www.businesswire.com/portal/site/google/?ndmViewId=news_view&newsId=20090727005415&newsLang=en

转贴几个图：

Source: http://ow.ly/15ID8J

Just to summarize the attack:

1. HC accessed Gmail for a Twitter employee by using the password recovery feature that sends a reset link to a secondary email. In this case the secondary email was an expired Hotmail account, he simply registered it, clicked the link and reset the password. Gmail was then owned.
2. HC then read emails to guess what the original Gmail password was successfully and reset the password so the Twitter employee would not notice the account had changed.
3. HC then used the same password to access the employee’s Twitter email on Google Apps for your domain, getting access to a gold mine of sensitive company information from emails and, particularly, email attachments.
4. HC then used this information along with additional password guesses and resets to take control of other Twitter employee personal and work emails.
5. HC then used the same username/password combinations and password reset features to access AT&T, MobileMe, Amazon and iTunes, among other services. A security hole in iTunes gave HC access to full credit card information in clear text. HC now also had control of Twitter’s domain names at GoDaddy.
6. Even at this point, Twitter had absolutely no idea they had been compromised.

Source: http://tech.163.com/09/0721/02/5ENC43OK000915BF.html

不管处在哪种商业环境下，企业都不能丧失核心的文化和价值观。企业不应口袋里钱很紧，就减少员工福利，让员工受到伤害。因为，这也许能在短期内帮助公司维持正常运营，但对公司长期发展不利。

在商业环境变化前，公司的管理者应有敏锐的意识，并做出及时调整。

谷歌全球有40多个工程研究院，员工根据兴趣爱好进行研发，这样不可避免产生重复。调整后，谷歌的每个工程师被按照搜索、图片、视频和手机等不同领域进行 划分，归类到相应部门，密切配合，协同研发。这样不仅可以保障员工继续按照兴趣和特长研发产品，还可以避免资源的重复利用，提高开发效率。

首先，管理者不能太短视。不能因为没有资金紧张，随意把项目都砍掉。等到别的公司把这个项目做起来，又匆匆上马，但为时已晚。其次，管理者要有原则。一切基于数字说话，不能拍脑袋。根据公司的战略使命和方向，做客观的排序，一定把战略性的内容保留下来。

凡事都可以做最坏的打算，置之死地而后生，然后积极去争取每个机会，哪怕是1%的机会。最后，争取到，最好。争取不到，也不要沮丧。

要相信任何困难都可以渡过，后悔和担心是最不需要做的事情。一件事情已经发生，弥补来不及，不要后悔，要想从这个事情，学到什么。不要再想错误。多想一分钟，都是浪费生命。担心，也是一样没有必要。

遇到危机时，员工很需要看到领导的表现。领导一定要有自控能力，不能心慌或者沮丧，要有足够的自信。但自信不是演戏，需要沟通。谷歌遇到危机时，通常会开员工大会，或者通过邮件沟通，避免猜测。

中国的网民和手机用户数量都是全球最大，但和美国有不一样的成长性。在娱乐、通信、社交和电子商务等互联网四大分支领域中，由于网民中国比较年轻，娱乐、通信和社交等领域发展迅速，唯一相对落后的是电子商务领域。

中国网民的价值还没有充分挖掘出来。中国网民的饱和度是美国的1/3，中国网民人均消费是美国的1/10—1/15，这也就意味着存在50-60倍的差距。同时，由于美国本身也在增长，这也意味着中国公司的发展空间会很大。

创新企业要想想用户最需要的东西和可能寻找的应用开发，不要在乎第一年是否赚钱。

Source: http://tech.163.com/09/0721/02/5ENC5S2G000915BF.html

摘录

企业随时都可能陷入危机，不一定在经济危机期间。唐骏认为：企业始终都要有危机感。

过去三十年，中国人主要消费大众消费品，解决温饱问题。下一步，中国将向豪华奢侈的消费发展。车，要更舒适，更人性化，电视不仅要看到图像，还要更高的画质、音质，更轻更簿。实现这些，需要高新技术。在消费向豪华奢侈升级时，高科技产品将进入更新换代的阶段。除了通讯、电子产品外，大家将会更关注健康长寿。生物医药面临巨大的机会。此外，新能源、新材料，随着中国制造升级，也面临着巨大的机会。中国成为全球消费中心，有巨大的现实意义，有巨大的商业想象空间。

面对竞争，中国企业可通过两种方式致胜，一靠自主创新，二是引进技术，消化吸收再创新。

从全球来看，高新技术产业主要分为IT、生物医药、新材料、新能源四大类。

美国是原创型技术创新，这种技术创新投入大，风险高，当然，回报也大。日本不同，主要是模仿美国的技术，在美国的原创技术做应用创新，集成创新。

零售业的利润来自管理、运营，像毛巾拧水。

看经济是不是见底，可从三个维度分析，消费、投资、出口。

产品经理12条

1、PM首先是用户
2、站在用户角度看待问题
3、用户体验是一个完整的过程
4、追求效果，不做没用的东西
5、发现需求，而不是创造需求
6、决定不做什么，往往比决定做什么更重要
7、用户是很难被教育的，要迎合用户，而不是改变用户
8、关注最大多数用户，在关键点上超越竞争对手，快速上线，在实践中不断改进
9、给用户稳定的体验预期
10、如果不确定该怎么做，就先学别人是怎么做的
11、把用户当作傻瓜，不要让用户思考和选择，替用户预先想好
12、不要给用户不想要的东西，任何没用的东西对用户都是一种伤害


人才的选用育留

1、选人

    * 所有人在相同起跑线上
    * 以文取人：用户感觉，方法论，网络熟悉度
    * 喜欢和投入
    * 往前看几年
    * 价值观认同
    * 宁缺勿滥

2、用人和育人

    * 充分授权，目标管理
    * 平等，试错，总结
    * 助理比经理更懂，经理比总监更懂
    * 向下分享，尽量避免单线汇报
    * 坦诚务实，实事求是
    * 持续的自我否定。最终结论是靠发现更多不足来找到，而不是推销观点。
    * 以用户需求为导向：有需求，有优势，有利益
    * 发现者，不是创造者
    * 严谨追求客观公正

3、留人

    * 公司愿景、工作空间、个人待遇
    * 成就感，产品的意义
    * 学习与成长
    * 愉快的环境
    * 赏罚分明

Source: http://www.forrester.com/rb/Research/wave%26trade%3B_enterprise_governance%2C_risk%2C_and_compliance_platforms%2C/q/id/47911/t/2

Forrester在7月1日的一份最新报告中强调了GRC企业平台（即governance，risk management，and compliance——治理、风险管理及法规遵从）的重要性。Forrester提到了过去十年一些大牌公司的失败教训，认为GRC软件具有明确的价值主张，并指出了这个新兴行业的佼佼者。

本次研究公开提出了一个问题：企业是否会认为GRC软件是迫切之需？恐惧也许是一项重要的刺激因素，但GRC平台尚未证明它们是企业获得成功的IT必需品。

什么是GRC？

治理、风险管理及法规遵从平台的工作是将一系列广泛而复杂的企业任务从面化简为点。

本质上说，作为一种技术解决方案，它们要跟踪公司治理项目，管理已知和潜在的企业风险，并遵从法规要求。所有这些平台都集合了不同程度的工作流程管理、数据可视化、内容管理，以及报告相关的绩效指标。

领头先锋

Forrester回顾了14家企业GRC平台的开发商，AXENTIS、BWise、MetricStream、OpenPages和Thomson Reuters是他们眼里的佼佼者。

你也许会感到惊奇，像SAP这样的企业软件巨头却比不过那些规模小得多的厂商。但GRC市场正处于上升期，年轻而灵活的公司是完全可以打败那些在这个领域起步较晚的大公司。

集成的治理、风险管理及法规遵从平台提供了处理企业事务的新方式。Forrester曾在一份报告中预测，GRC将在今年“成就非凡”。从目前来看，凭借着降低风险、提高总体效率、方便制定战略决策的卖点，GRC市场的领先者已经得到了一大批客户。

但与其说GRC平台是一种作用关键的企业工具，还不如说它是一种专为大公司应对动荡市场而提供的产品。数目与日俱增的GRC厂商无疑已经表现出了它们的价值，但它们还无法证明GRC平台是各大公司紧缩银根时期的必备之宝。【译言翻译】

FIRST 21届年会在日本京都召开。演讲者与题目参见http://conference.first.org/program/listspeakers.aspx
演讲题目基本都与Incident Response相结合。

关键词：大网安全与异常、网页挂马检测、打击僵尸网络、蜜网、立法、Cyber安全、网络犯罪、DNS劫持、DNS滥用、日志审计、应急响应团队IRT、安全设计与安全系统、SCADA、入侵分析、预警系统、DoS、信息泄漏、漏洞挖掘、Mashup&Social Media

预警：预警系统、蜜网
防护：安全设计与安全系统、漏洞挖掘
检测：大网安全与异常、网页挂马检测、DNS劫持、DNS滥用、日志审计、入侵分析、信息泄漏、DoS
响应：打击僵尸网络、应急响应团队IRT
Cyber安全、网络犯罪、立法、SCADA、Mashup&Social Media


[CNCERT/CC]
A CASE STUDY OF WIDE-SCALE NETWORK ANOMALIES RESPONSE
Chinese Hacker Community and Culture, Underground Malware Industry
Network Security Assistance to the Beijing Olympic Games

[TWCERT/CC]
Malicious Webpage Detection

[JPCERT/CC]
Anti-bot Countermeasures in Japan

[CERT-EE & CERT-GE]
Analysis of the DDoS Attacks on Georgia & Estonia

[GOVERT.NL]
NM SIG: Monitoring & Analyzing Client-side Attacks

[CyberSecurity Malaysia]
Handling Incidents from Honeynet Data

[National Police Agency of Japan]
The incident response and the law enforcement

[National Information Security Center, Cabinet Office Japan]
Information Security Management and Economic Crisis

[West Japan Railway Company (JR West)]
The Great Hanshin-Awaji Earthquake

[Federal Office for Information Security (BSI, Germany)]
Internet Analysis System (IAS) - Module of the German IT Early Warning System

[INTERPOL]
INTERPOL Initiatives to Enhance Cyber Security

[Team Cymru]
Show Me The Evil - A Graphical Look at Online Crime

[Anti-Phishing Working Group]
The State of Phishing/Fraud and Efforts To Deliver Forensic Tools & Resources for ECrime Fighters

[ICANN]
Establishing Collaborative Response to Abuse of the Domain Name System

[BT]
Reconceptualizing Security
Security and the Future Generation
Deriving information from raw data: making business decisions with logs

[NTT]
CSIRT Modeling Architecture

[Deutsche Telekom AG]
Windows Memory Forensics with Volatility

[KPN-CERT]
When worlds collide: Understanding telco fraud in a VoIP world

[SAIC]
Mashup Security & Incident Response Considerations
Architecting Systems of Systems for Response
Content: The Next Generation of Incident Response

[Microsoft]
Comprehensive Response: A Bird's Eye View of Microsoft Critical Security Update MS08-067

[IBM]
SCADA Security - Who Is Really In Control of Our Control Systems?
Creating an End-to-End Identity Management Architecture
Extrapolated Thinking for Sarbanes-Oxley: Factoring Incident Response

[Siemens AG]
0x221b - Finding Traces of System Compromise

[McAfee]
In the cloud Security
Threat response - doing the right thing first time!

[Cisco]
Missing Clues: How to Prevent Critical Gaps in Your Security Monitoring
Emerging Threats and Attack Trends

[Arbor Networks]
Attacks Against the Cloud: Combating Denial-of-Service
Update on Carrier Infrastructure Security Attacks

[Atos Origin]
Olympics Information Security: Real Time Risk Management

[La Caixa]
Anti-Phishing Working Group and the Internet Policy Committee
"The Threat of Banking Trojans: Detection, Forensics, and Response." (Insights from a Bank CSIRT)

[VeriSign]
On-Line Fraud Prevention and Detection -- Multiple Layers of Security

[iDefense-VeriSign]
Explaining the Regional and National Character of Cyber Security Environments
Attacker Illusions: Finding the Real "Who" and "Why"
Proactively blacklisting Fast-Flux domains and IP addresses  

[Open Systems AG]
Closing the Gap between Policy Creation and Enforcement

[Davidoff & Lake Missoula Group]
Proprietary Data Leaks: Response and Recovery

[PRESECURE Consulting GmbH]
Information Security Exchange Formats and Standards

[DFN-CERT Services GmbH]
Contradictions in current european security policy

[The Network Security Blog]
Using Social Media in Incident Response

[PanMedia]
Recapturing the Wheel – Media Perspectives on Crisis and Recovery

[ESR/RNP]
New Developments on Brazilian Phishing Malware

[Amirkabir University of Technology]
How to handle Domain Hijacking Incidents
Effective Software Vulnerability Discovery within a Time Constraint

[National University of Singapore]
To be or not to be -- An Incident Recovery case study

[Spinlock Technologies]
Information security one character at a time

[National Institute of Standards and Technology]
Measuring the Root Cause of Incidents

[SecureLogix]
Incident Response for Voice Services

[Information Technology-promotion Agency (IPA)]
Proposal of MyJVN for Security Information Exchange infrastructure

[KRvW Associates, LLC]
The essential role of the CSIRT in secure software development

新！ 及时知道最新的app security alert，请在twitter上follow @2sec

应用安全漏洞 [选录]
-------------------
2009-6

这个月有几个漏洞需要注意：HTTP Server DoS、phpmyadmin、Green Dam、Apple，Joomla很多的组件都有安全漏洞，所以还针对出现了Joomla Vuln Scanner。

Joomla com_bookflip (book_id) Remote SQL Injection Vulnerability    29-06-2009
Cpanel (lastvisit.html domain) Arbitrary File Disclosure Vuln (auth)    29-06-2009
Joomla Component com_php (id) Blind SQL Injection Vulnerability    29-06-2009
Joomla Component com_K2 <= 1.0.1b (category) SQL Injection Vuln    29-06-2009
WordPress Plugin DM Albums 1.9.2 Remote File Inclusion Vuln    29-06-2009
DM FileManager 3.9.4 Remote File Inclusion Vulnerability    29-06-2009
Joomla Component com_pinboard (task) SQL Injection Exploit    25-06-2009
Joomla Component com_pinboard Remote File Upload Vulnerability    24-06-2009
Joomla Component com_amocourse (catid) SQL Injection Vuln    24-06-2009
Zen Cart 1.3.8 Remote Code Execution Exploit    23-06-2009
Zen Cart 1.3.8 Remote SQL Execution Exploit    23-06-2009
Joomla Component com_tickets <= 2.1 (id) SQL Injection Vuln    22-06-2009
Elgg (XSS-CSRF-Change Password) Multiple Remote Vulnerabilities    22-06-2009
Multiple HTTP Server Low Bandwidth Denial of Service #2    22-06-2009
pmaPWN! - phpMyAdmin Code Injection RCE Scanner & Exploit    22-06-2009
Green Dam 3.17 URL Processing Buffer Overflow Exploit (meta)    16-06-2009
McAfee 3.6.0.608 naPolicyManager.dll ActiveX Arbitrary Data Write Vuln    16-06-2009
XOOPS <= 2.3.3 Remote File Disclosure Vulnerability (.htaccess)    16-06-2009
Apple QuickTime CRGN Atom Buffer Overflow PoC    15-06-2009
WordPress Plugin Photoracer 1.0 (id) SQL Injection Vulnerability    15-06-2009
Netgear DG632 Router Authentication Bypass Vulnerability    15-06-2009
Netgear DG632 Router Remote Denial of Service Vulnerability    15-06-2009
vBulletin Radio and TV Player Add-On HTML Injection Vulnerability    15-06-2009
Joomla Component com_jumi (fileid) Blind SQL Injection Exploit    15-06-2009
Apple QuickTime CRGN Atom Remote Overflow PoC    15-06-2009
Joomla Component com_ijoomla_rss Blind SQL Injection Exploit    15-06-2009
Apple Safari & Quicktime Denial of Service Vulnerability    15-06-2009
Joomla Component com_Projectfork 2.0.10 Local File Inclusion Vuln    15-06-2009
Apple QuickTime CRGN Atom Local Crash Exploit    15-06-2009
Green Dam 3.17 (URL) Remote Buffer Overflow Exploit (xp-sp2)    12-06-2009
Apple iTunes 8.1.1.10 (itms-itcp) Remote Buffer Overflow Exploit (win)    12-06-2009
WordPress Plugin FireStats <= 1.6.1(fs_javascript) RFI Vulnerability    12-06-2009
ModSecurity <= 2.5.9 (Core Rules <= 2.5-1.6.1) Filter Bypass Vuln    11-06-2009
Joomla Component com_realestatemanager 1.0 RFI Vulnerability    09-06-2009
Joomla Component com_vehiclemanager 1.0 RFI Vulnerability    09-06-2009
phpMyAdmin (-scripts-setup.php) PHP Code Injection Exploit    09-06-2009
Joomla Component Akobook 2.3 (gbid) SQL Injection Vulnerability    09-06-2009
Joomla Component com_media_library 1.5.3 RFI Vulnerability    09-06-2009
Joomla Component BookLibrary 1.5.2.4 Remote File Inclusion Vuln    09-06-2009
Joomla Component BookLibrary 1.5.2.4 Remote File Inclusion Vulnerability    09-06-2009
Apple Safari <= 3.2.x (XXE attack) Local File Theft Vulnerability    09-06-2009
Joomla Component com_portafolio (cid) SQL injection Vulnerability    08-06-2009
SAP GUI 6.4 ActiveX (Accept) Remote Buffer Overflow PoC    08-06-2009
Joomla Component MooFAQ (com_moofaq) LFI Vulnerability    08-06-2009
httpdx <= 0.8 FTP Server Delete-Get-Create Directories-Files Exploit    08-06-2009
Apple MACOS X xnu <= 1228.9.59 Local Kernel Root Exploit    08-06-2009
Joomla Component com_school 1.4 (classid) SQL Injection Vulnerability    08-06-2009
OpenSSL < 0.9.8i DTLS ChangeCipherSpec Remote DoS Exploit    04-06-2009
Joomla Component Seminar 1.28 (id) Blind SQL Injection Exploit    03-06-2009
Apple QuickTime Image Description Atom Sign Extension PoC    03-06-2009
Apple iTunes 8.1.1 (ITMS) Multiple Protocol Handler BOF Exploit (meta)    03-06-2009
Joomla Omilen Photo Gallery 0.5b Local File Inclusion Vulnerability    03-06-2009
Joomla Component com_mosres Multiple SQL Injection Vulnerabilities    03-06-2009
Joomla Component Joomlaequipment 2.0.4 (com_juser) SQL Injection    01-06-2009
Apache mod_dav - svn Remote Denial of Service Exploit    01-06-2009
Linksys WAG54G2 Web Management Console Arbitrary Command Exec    01-06-2009

Source: bugsearch.net

Media Player
产品好很重要，用户也很重要，但还要找到有力量的合作伙伴。
产品历程	Windows Media Player是微软自推出16位操作系统之后，就一直捆绑其中的多媒体播放机。在最新的几个版本中，已经发展成为一个完整的音乐管理软件，并加强了用户在互联网上的使用体验。它可以播放多种流行的文件类型，如：WMV、WMA、ASF、MP3、WAV、AVI、MPEG-1、MPEG-2、MIDI等，安装插件后还可以支持QuickTime电影文件以及网上较流行的RMVB视频文件。
症结	微软这一次敏感地注意到“内容”是吸引互联网用户的最佳手段之一，并希望借此推广微软自己的影音格式标准（主要是WMV）。不过，这家以操作系统起家的公司，显然缺乏苹果一样对时尚娱乐潮流的把握，也缺乏与非IT公司合作的能力，结果它没能像苹果网上音乐商店那样后来居上，被各大数字音乐内容提供商视为必不可少的销售平台。
主要竞争对手	iTunes/苹果公司 到2007年底，苹果已经控制了73.7%的零售数字音乐市场，销售了30多万首歌曲。另外，把线上线下都算上，iTunes也成为美国除百思买和沃尔玛之外的第三大音乐零售商。 Realplayer/RealNetWorks公司
试错法则	没有进行恰当的市场营销，忽视了产业生态链的建立。如果从一开始，微软就加紧推动与各大唱片公司的合作，以微软的影响力和资金规模，苹果iTunes还会拥有现在这样的地位吗？答案是很难说。

 

.NET
技术不是目的，保守或给自己的技术设置准入门槛，最终损失了用户。
产品历程	2002年3月，微软将.NET Framework推向市场，试图在互联网领域维系自己的霸业——就像它们在PC市场上所做到的一样。本质上，NET Framework是一种嵌入式的底层技术平台，它的最初目的，是为身处信息时代的各类用户、厂商提供可以进行无缝连接的软件产品和服务。在微软的设想中，电子商务公司、银行、信用卡公司、电信公司，以至互联网服务提供商、电子游戏开发商等，均可利用.net建立新的营业模式，为用户提供互联增值服务。但到了2009年5月，微软开始将这一架构的源代码交由那些接手的互联网社区进行后续开发，它消失在了微软的企业级产品线中。
症结	Java普及的最重要原因在于其“开放性”，它可在各种系统上运行，由此带动更多开发商提供越来越多的新产品和新应用。反观.NET Framework，却只能在基于微软自己的系统上运行。现在微软似乎已经开始意识到这一点。另一方面，微软也一直缺乏具体可执行的、用以“拉拢”产业链上下游的计划。
主要竞争对手	Java IBM WorkPlace
试错法则	不明白社会、时代变迁中的用户所需要的“开放性”。微软注意到了在互联网时代提供服务的重要性，但它过高估计了在“开放”成风的互联网领域，人们对于微软的依赖性。即使在2007年10月，微软宣布将.NET“开放源码”之后也是如此：声称源码 “不许自由修改、不许自由传播”等。

 

Wallop
盈利模式当然是重要的，但过早商业化可能损失的是发展做大的机会。
产品历程	在Facebook、MySpace横空出世的几年前，微软已经开始了对社交网络的研发。2004年11月，在微软研究院诞生的Wallop开始小规模测试，2006年4月，Wallop被微软分拆，成立的新公司得到两轮1300万美元风险投资的支持，微软占有股份，硅谷创业人士Karl Jacob担任CEO。2008年9月，仍处在测试阶段的Wallop结束了自己作为SNS的身份，网站被关闭。目前，Wallop是为 Facebook、Bebo等著名社交网站开发应用程序的公司。
症结	Wallop是一种颠覆性的尝试。首先，其全新Flash风格显得相当华丽而特别，它从一开始就坚定地认为“朋友邀请”是其发展用户的正确方式。同MySpace不同的是，Wallop拒绝将广告作为收入来源。网站以0.99到4.00美元的价格出售Flash动画、图片、游戏等，用户用它们来打造自己的个人网页。
主要竞争对手	Facebook和MySpace是社交网站领域的两大巨头，前者今年的注册用户数目已经超越2亿。
试错法则	Wallop大概把用户都看作了热爱美化自己“界面”的程序员，而忽略了对“2.0”来说真正重要的是用户互动。

 

IE6 & IE7
捆绑成就了IE，但靠“搭售”这种模式可能会让一个产品丧失主动性。
产品历程	在IE6和IE7大行其道的2001至2008年，微软IE浏览器的市场份额已从90%急遽跌落了二十多个百分点。2009年4月，IE浏览器的市场份额从3月份的66.82%下降到了66.1%，创下历史新低，而Firefox浏览器市场份额升至22.48%。分析人士甚至预测：2011年微软IE浏览器的市场份额将跌至50%以下。
症结	在IE6的地位尚未被撼动的时候，人们对网页浏览器的需求已经发生了变化：在线分享和播放视频、在线交友、电子商务以及网络上的互动日渐风靡。2004年崛起的Firefox抓住了微软打盹的机会。微软意识到Firefox的挑战之后迅速地宣判了IE6的死刑——但IE7仍未能解决一直困扰微软的兼容性和开放性问题。
主要竞争对手	Firefox：Mozilla基金会创建。2004年正式发布，此后5年之内蚕食了微软IE将近20%的市场份额。 Safari：苹果的浏览器，一直维持8%左右的市场份额。 Opera：市场份额不到1%，主要在手机浏览器领域。 Chrome：Google在2008年9月发布的浏览器产品，目前市场份额为1.5%。
试错法则	与操作系统的捆绑并不能保证IE在浏览器市场一劳永逸的地位。对互联网趋势的麻木与漠视使微软越来越难守住人们通往互联网世界的入口。而它在兼容性和开放性等问题上的迟缓反应也再次证明了软件行业的思维方式并不能适用于互联网。