记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

【RSA2018】利用人工智能和机器学习优化威胁检测和应急响应

阅读: 30从这几天RSA关于 人工智能AI 的报告分享来看,AI技术已经从之前的理论普及阶段转变成实际场景应用阶段。不少厂商的产品开始享受AI技术所带来的红利,利用AI来提高其产品的威胁检测和决策运维能力,不管是创新沙盒(Innovation SandBox) Top10公司,还是逐渐正式亮相的各大厂商展台,AI已是标配。这篇文章介绍了如何利用人工智能和机器学习优化威胁检测和应急响应,并分享了RSA大会上的AI实际安全场景应用产品,也介绍了绿盟科技利用AI技术的实际案例-全流量威胁分析平台TAM。推荐阅读:【RSA2018】人工智能AI——网络安全的拨云见日,还是新的幻梦银弹【RSA2018】创新沙盒 | BluVector Cortex 基于人工智能的高级威胁检测【视频】TechWorld2017热点回顾
发布时间:2018-04-20 15:05 | 阅读:188222 | 评论:0 | 标签:技术前沿 rsa2018 人工智能 威胁检测 应急响应 机器学习

网络安全事件应急预案出台 安全应急战已进入新阶段

为进一步健全公共互联网网络安全突发事件应急机制,提高公共互联网网络安全突发事件综合应对能力,近日,工业和信息化部对外公布印发《公共互联网网络安全突发事件应急预案》(以下简称《预案》),明确了事件分级、监测预警、应急处置、事后总结、预防与应急准备、保障措施等内容。对此,360公司首席安全官谭晓生表示,全球网络安全已经进入大安全时代,出台《预案》是顺应大安全时代的新威胁、大挑战的需要,能够有效加强国家网络安全保障体系的建设。作为中国最大的互联网安全公司,360在处置网络安全突发事件与建立应急机制方面拥有先进的技术和丰富的经验,今后我们也将一如既往地积极参与国家网络安全建设,为守护国家安全、社会安全贡献力量。网络安全战新趋势:由“严防死守”到“应急响应”万物互联的时代,机遇与挑战并行,便捷和风险共生。一组代码、一封邮
发布时间:2017-12-01 05:20 | 阅读:133072 | 评论:0 | 标签:厂商供稿 360 安全事件 应急响应 应急预案

【干货分享】应急响应案例分析与经验分享

阅读: 27网站首页图片被篡改;服务器被上传大量博彩文件,且rm -rf不能删除;服务器中了勒索病毒,文件被加密……出现以上情况如何应急?别着急,绿盟科技一线交付工程师手把手教你应急响应,快快来学习吧!应急响应准则:有迹可循,倒推分析攻击者:漏洞->攻击行为->攻击迹象应急人员:攻击迹象->攻击者->行为分析->定位漏洞文章目录案例一:网站首页图片被篡改案例二:服务器被上传大量博彩文件,且rm -rf不能删除案例三:服务器中了勒索病毒,文件被加密经验分享案例一:网站首页图片被篡改攻击者入侵成功后可能会对网站进行篡改,比如上传黑页、博彩页面、webshell等。从攻击者的心理分析,往往攻击者会是这些黑页、博彩页面或者webshell的首次访问者。1.首页头顶图片被篡改为z.JPG,发

vsftpd相关安全配置及日志分析

vsftpd是运维常用一个服务,vsftpd 2-2.3.4版本存在后门漏洞,可以进行远程命令执行,获取服务器权限等。 并且如果vsftpd配置不当,可能会导致匿名用户直接访问上传下载等,相关风险配置: 1,匿名用户相关配置 anonymous_enable=YES/NO(YES) 控制是否允许匿名用户登入,YES 为允许匿名登入,NO 为不允许。默认值为YES。 write_enable=YES/NO(YES) 是否允许登陆用户有写权限。属于全局设置,默认值为YES。 no_anon_password=YES/NO(NO) 若是启动这项功能,则使用匿名登入时,不会询问密码。默认值为NO。 ftp_username=ftp 定义匿名登入的使用者名称。默认值为ftp。 anon_root=/var/ftp 使用匿
发布时间:2017-08-03 01:40 | 阅读:93052 | 评论:0 | 标签:Linux/Unix 系统加固 vsftpd安全配置 vsftpd日志分析 vsftpd漏洞 应急响应 日志分析

《安全运维工程师成长手册》学习笔记

前言 (0)“识人面相” 明确自身位置、技术能力、以及希望达到的高度。物以类聚,人以群分;选对团队,跟准人,才能在这”恶劣”的环境中生存下去。 这一部分的内容是从黄登老师的自身经历出发,先介绍了他的职业生涯,然后为我们讲解了他在安全一线和安全企业里的经验,我只是个本科生,所以主要的感觉还是听故事多一些。下面几句话比较有趣: 安全工作需要彼此的信任感 未来的饼永远没有现在的饭香 安全行业是很现实的东西。网络安全不是一个人能掌控的,需要团队。 主体 接着来到本次课程的核心部分,四个安全运维的核心技能点介绍: (1)渗透测试与漏洞挖掘 安全运维工程师有别于运维工程师的最大差别就是拥有攻防技能 而依仗攻防对抗的思维来构建企业安全体系, 也是安全建设中不可或缺的一部分;开头的内容听下来,我大概理解到安全产业大致有甲乙黑三
发布时间:2017-02-09 02:00 | 阅读:123987 | 评论:0 | 标签:术有专攻 安全牛课堂 安全监控 安全运维 应急响应 渗透测试

如何正确响应安全事件?

在当今这个信息技术高度发达的时代,每一个组织和机构都要时刻准备着与信息安全威胁作斗争。在这场没有硝烟的信息化战争中,企业或组织不应该孤身奋战,而是应该与某些安全技术合作,以共同应对日趋复杂的安全风险。这将关系到自身网络系统的完整性,所以其重要性不言而喻。 你可能会认为,你们公司已经部署了应对计算机病毒、硬件故障和数据泄漏等安全事件的应急方案。但你要知道的是,你迟早会遇到一些意想不到的安全事件,这是任何企业或组织都无法避免的。当这类事件发生之后,我们应该怎样去正确地处理这些安全应急事件呢? 我们应该做好充足的准备,每一个企业和组织都应该根据自身特点来评估和处理这些安全事件。需要提醒大家的是,为了正确地响应安全威胁事件,则很有可能要迫使企业改变当前所采用的网络技术或工作方式,不过为了信息的安全,这样的“牺牲”还是
发布时间:2016-12-03 11:05 | 阅读:106645 | 评论:0 | 标签:安全管理 观点 安全事件 应急响应

域名劫持事件发生后的应急响应策略

Morphus实验室讲述了这样一个故事,在某周六的早上,你作为一家大公司的CSO(首席安全官),突然开始收到了雪片般飞来的消息。他们告诉你有游客在访问了你公司的网址后,浏览到了各种恶意内容。 这听起来像是公司网站出现了混乱,其实可能发生了更严重的的事情。当你深入研究后会发现,公司整个域名都被黑客劫持了,他们试图从你们客户那里窃取数据并且传播恶意代码。在本文中,我们会详细介绍针对上述场景的应急响应方案。另外,这一威胁对信息安全策略和安全布局的颠覆,我们可以用一些简单的方法进行缓解。 DNS基础知识 为了更好地理解到底发生了什么,我们需要了解一些DNS的基本概念。 DNS即域名系统,是互联网能够正常运营的基础。我们每天使用的网站和其他网络服务的名字,都需要借助因特网协议转换为IP地址,DNS服务器
发布时间:2016-11-06 09:10 | 阅读:94988 | 评论:0 | 标签:安全管理 dns劫持 双因子身份验证 应急响应

九步成功打造应急响应计划

在网络攻击袭击之企业前,准备好预案是事关生死的大事。细节决定成败,制定事件响应(IR)计划时尤其如此。但,即使最成功的IR计划也会缺失关键信息,阻碍正常业务运营的快速恢复。以下,是应集成到IR计划中的很重要却经常被遗忘的9个步骤。一、总动员精明的安全主管应该有能力让整个公司员工参与到IR计划制定中来。CISO通常只管理负责威胁处理的团队,而搞定数据泄露引发的纷争则需要全公司的努力。举个例子,如果一家银行有法律义务公开事件,那么它处理数据泄露事件影响的时候就会需要其公关部门的协助。该银行的网站开发团队也需要参与进来,如果黑客是通过利用公司网站漏洞实现攻击的话。另外,如果员工个人信息被泄露,公司人力资源部也需要联系一下。该银行的事件响应计划需要囊括进所有上述部门的意见。一份详尽的事件响应计划,会铺陈出检测到数据泄露
发布时间:2016-08-02 23:10 | 阅读:89114 | 评论:0 | 标签:术有专攻 企业安全 应急响应

应急响应工作苦干不如巧干 警报驱动的安全运营该淘汰了

没几个网络安全技术人员会声称自己的工作很轻松。总是工作比人多,总是干不完的活。但你有没有想过,这种现象背后都有些什么原因呢?总有各种各样的因素让安全运营和事件响应工作不得不随时待命,7乘24小时全天候开工。但这种工作强度主要是由两大基本原因造成的:警报疲劳:大多数公司仅仅是警报太多,误报太多,噪音太多。这让公司几乎不可能识别出真正的攻击信号,也没办法有效划分工作优先级。缺乏上下文:即使是最佳警报系统也缺乏必要的上下文以支持有效决策,我们无法获悉正在处理的威胁性质是什么,又该进行怎样的响应。虽然安全社区里不是每个人都对这些基本问题有所察觉,但确实很多人已经意识到了这些问题。警报疲劳和上下文缺乏问题由来已久,但该怎样改善呢?毕竟,仅仅是找出为什么很多公司觉得安全运营这么困难是不足够的。运营界或多或少知道这些问题的存
发布时间:2016-03-09 16:20 | 阅读:104342 | 评论:0 | 标签:牛闻牛评 安全运营 应急响应

美国中央情报局最想拥有的八大热门技术

中情局的投资部门 In-Q-Tel 感兴趣的领域包括 3D 打印电子元件、可无限悬停的侦查无人机等。中情局的兴趣自1999年起,中情局就开始通过其非盈利分支 In-Q-Tel 投资初创企业,以加速自身可能用到的技术的发展速度。目前其投资组合中已经包括了大约100家企业。中情局并未明确表示对这些技术感兴趣的原因,但加上一些想象力,其后的背景并不难猜测。以下是他们最近感兴趣的一些领域。磁取证(Magnet Forensics)功能:互联网证据搜集器(Internet Evidence Finder)是一种软件,可以恢复社交网络、聊天、来自计算机的电子邮件、智能手机、平板电脑等非结构化数据,以供执法部门结合分析。CyPhy Works功能:持续性空中侦查与通信(Persistent Aerial Reconnaiss
发布时间:2016-02-05 12:00 | 阅读:97796 | 评论:0 | 标签:技术产品 CIA 应急响应 数字取证

美国工业控制系统网络应急响应小组2015年关键基础设施报告

美国工业控制系统网络应急响应小组(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT)在过去的财年中共收到295个涉及关键基础设施的上报事件,与之相比,去年的事件数为245件。在 ICS-CERT 给出的2015年数据中,全部安全事件的三分之一涉及关键制造领域,该比例在2014年仅为27%。某高级持续威胁小组针对关键制造业和其它领域发动的鱼叉式钓鱼行动导致了这种上升。该小组被称为 APT3,黑客成员在行动中利用了 Adobe Flash Player 的一个零日漏洞(CVE-2015-3113)。ICS-CERT 称,2014年,该威胁源进行了一次侦查行动,使用社会工程学手段对付目标机构雇员,骗取有价值的信息。2014年,能源领域的
发布时间:2016-01-25 16:45 | 阅读:82213 | 评论:0 | 标签:牛观点 牛闻牛评 关键基础设施 工控 应急响应

安全应急响应工具年末大放送(含下载)

这个安全应急响应工具和资源旨在帮助安全分析师更好的完成工作。磁盘镜像创建工具GetData Forensic Imager - GetData Forensic Imager是一款基于Windows的程序,能对常见的取证文件格式进行捕获,转换或验证取证镜像。Guymager - Guymager是一款在Linux下进行捕获媒体取证镜像的免费软件。AccessData FTK Imager - AccessData FTK Imager这款取证工具最主要的功能就是预览可恢复的磁盘数据,FTK Imager同时还能实时抓取内存及注册表,EFS文件检测。内存分析工具Volatility - 高级内存取证框架。Evolve - Volatility
发布时间:2015-11-30 10:35 | 阅读:116423 | 评论:0 | 标签:工具 SRC 取证分析 应急响应

Security Onion(安全洋葱):专注入侵检测

Security Onion是用于网络监控和入侵检测的基于Ubuntu的Linux发行版。Security Onion基于Ubuntu,包含了入侵检测、网络安全监控、日志管理所需的Snort、Suricata、Bro、OSSEC、Sguil、Squert、ELSA、Xplico、NetworkMiner等众多工具。Security Onion易于安装,镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。用Squert分析NIDS/HIDS告警使用ELSA切割日志使用CapMe捕获、查看完整的数据包易于升级Security Onion(安全洋葱)可以让你监控到网络中的安全警告,Security Onion经过几年的发展、版本更新,功能不断完善,被众多国内外信息安全从业者所喜爱。http

观点:没有BAT3级的应急响应中心,互联网公司该如何应对数据泄露事件?

有一句流行的鸡汤文大家都耳熟能详——我们走的太快,灵魂都跟不上了。这两天网易邮箱的数据泄露事件,又一次将我们的关注从“爆发性创新与指数级增长”拉回来审视当前糟糕的互联网基础环境,也许我们业务走的太快,安全已经跟不上了。具体有多糟糕可参见许多安全公司/机构的报告数据,直接参与了CSDN拖库事件的范凯老师在网易事件后如此说:得到了公安的信任,我比较深入的参与了后来的整个调查过程,亲手鉴定了很多被拖过的库。其中最令人叹为观止的是某CEO擅长炒股的上市公司,3亿多账号被拖光。此案缴获的战利品之一:各个知名互联网公司用户库,压缩后的文件高达20多个TB的硬盘存储容量,叹为观止,除了BAT这三家,没有漏网之鱼,或多或少被拖。总的来说,你认为的个人信息包括各种账号、手机号70%以上几率已存放在黑客的社工
发布时间:2015-10-27 15:05 | 阅读:101713 | 评论:0 | 标签:系统安全 网络安全 观点 安全事件 应对 应急响应 数据泄露

留住安全应急响应人才的五项建议

安全团队领导人面临着寻找和留住事件响应小组人才的挑战。这些可以预测未来安全威胁、阻断网络攻击或快速隔离和清除网络入侵者的高度专业化专业人士很难找到,而且更难留住。根据劳动力市场分析企业燃镜科技的调查,从2007年到2013年间,网上发布的网络安全职位信息增长了74%,超过其他IT职位信息增长率的24%,超过全部职位信息增长率的36%。(相关阅读:信息安全十大高薪职位)一般来讲,在安全领域最难招的人才是事件响应小组的人。这些人必须有很深的技术与技能,并且必须是解决问题的专家。即使这样,随着事件的推进利用这些技能来处理事件响应事务还是非常困难的。维护好优秀的安全职位,防止被高薪挖走同样面临着很高的挑战。一些优秀的安全专业人才免不了每天都会收到其他公司的邀约。安全技能人才供不应求,安全团队管理者又离不开事件响应小组。
发布时间:2015-06-23 22:05 | 阅读:97274 | 评论:0 | 标签:牛观点 安全人才 应急响应

国外安全人员推荐的免费、好用的安全工具

当涉及到检测、预防、分析信息安全威胁时,安全团队需要所有能得到的帮助。Verizon发布的2015企业数据泄露调查解决方案调查报告显示,在60%的案例中,攻击者可以在几分钟内完成入侵。不幸的是,公司无法提前检测到这些威胁。Verizon称之为在攻击者和防御者之间的“检测赤字”。免费、便宜、简单的安全工具是帮助缩小这种差距的途径之一。我们要求信息安全和网络安全专家们列出了他们最喜欢的免费安全工具。不出所料,他们的回答包括了前端的漏洞扫描器、事后的恶意软件触发器以及分析工具等。一旦攻击者改变他们使用的攻击工具,安全人员也会相应改变自己所使用的安全工具。包括任何可以从公开网站上找得到的工具,以及同样使用攻击者们所青睐的渗透测试工具。没有人见人爱的完美安全工具,称手就行”--IDC信息安全分析师罗布·韦斯特维尔特尽管威
发布时间:2015-05-15 13:55 | 阅读:110606 | 评论:0 | 标签:牛工具 安全工具 应急响应

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云