记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

日志标准化解析的关键内容

引言 在很多安全分析类产品建设的过程中都会涉及到关联分析,比如日志分析、soc、态势感知、风控等产品。之前的文章中阐述过五种最常见的关联分析模型,在文中也介绍了:要想达到很好的关联分析效果,前提是对采集过来的日志进行标准化解析。解析的维度越多、内容越准确,对关联分析的支撑性就越强。下面就来介绍一下日志解析的一些常用内容。 一、 概述 很多公司在自己的产品介绍中描述产品有多少种日志解析规则等等,当然,这种内置的解析规则对这类产品发挥了很重要的作用。但这种方式也存在一些问题: 首先,经过时间的推移就会发现,每年市场上都会产生不少的新的安全设备和型号,导致厂家很难实现全部预制好的解析规则; 其次,很多设备会经常升级,升级后会导致日志种类的增加和调整; 最后
发布时间:2020-06-09 12:27 | 阅读:12147 | 评论:0 | 标签:技术 关联分析 态势感知 日志 标准化 解析规则

运维日志里隐藏的安全危机,你知道怎么挖吗?

引言 在很多安全分析类产品建设的过程中都会涉及到关联分析,比如日志分析、soc、态势感知、风控等产品。关联分析可以认为是这类产品中最核心的能力之一。 这个概念从命名上看就知道,千人千面,每个人的想法和理解都各不相同。很多甲方都会提关联分析,如果再细问要做什么样的关联分析,估计大多数甲方都不太能详细描述出来,很多乙方对此也是藏着掖着,可能是核心机密不愿意细说。 下面就来聊一下我对关联分析模型的一点思考。 一、概述 有很多公司在自己的产品介绍中说自己的产品有多少种内置规则等等,仔细分析就会发现,很多规则是一个模型演变出来的,比如主机密码猜测、数据库密码猜测、网络设备密码猜测等,这些规则背后可以理解为一个模型。所以,我认为评
发布时间:2020-06-03 10:14 | 阅读:22275 | 评论:0 | 标签:技术 关联分析 大数据 态势感知

《2020网络安全态势感知应用指南报告》甲方评审工作启动

网络安全日益重要,态势感知已逐渐受到甲方的重视。为帮助甲方更快、更全面的了解态势感知技术及产品的现状和发展趋势,安全牛联合奇安信、华为安全、新华三安全、安恒信息、绿盟科技、亚信安全、深信服等态势感知技术领域代表性厂商,联合编写了《2020网络安全态势感知应用指南报告》。目前,该报告初稿已经初步完成,正式进入专家审核环节。为保证报告内容的准确性和公正性,真实切合甲方用户的需求,能够给读者带来更大的价值,安全牛于5月22日面向全球发起“百名甲方(CISO/CSO)评审专家” 招募活动,受到业界广泛关注与支持,已完成行业甲方专家的评审库的建立。此次《2020网络安全态势感知应用指南报告》,将从中选取一些有态势感知项目实施和应用经验的专家,对报告内容进行审核并提出完善建议。让报告内容更加丰满和有价值,同时更加切合行业读
发布时间:2020-05-29 16:08 | 阅读:17081 | 评论:0 | 标签:安全牛动态 《2020网络安全态势感知应用指南报告》 态势感知 甲方评审

【牛人访谈】安全运维的十个灵魂拷问

安全运维,是企业安全管理中躲不开的一个环节,有一套良好的安全运维规范,可以帮助企业降低安全隐患。那么到底应该如何做好安全运维?近日安全牛有幸邀请到了行业资深专家杜建荣先生,从组织、流程、人员几个方面,围绕安全运维中的十个常见问题,来解答企业在安全运维中可能遇到的疑问,以下是主要内容:杜建荣,2006年入行至今,技术出身,从事过甲乙双方的各个不同岗位,熟悉IT的各个领域。从2012年开始专注于信息安全领域,先后负责过安全运维、安全管理、制度建设、攻防、合规等不同工作。安全牛:企业安全运维的本质是什么?杜建荣:安全运维包含两层意思,第一层意思是维护一个组织的信息安全管理体系,比如使用防火墙维护公司的安全域划分,使用堡垒机满足运维审计要求,使用漏扫挖掘漏洞风险等。第二层意思是在运维工作中落实安全管理要求,降低运维工作
发布时间:2020-05-29 16:08 | 阅读:10556 | 评论:0 | 标签:牛人访谈 首页动态 安全运维 态势感知

【牛人访谈】甲方观点:暴露面资产管理的“柳暗“与”花明”

古有智者云:“万物莫不相对,万物莫不相异”,同与异其实是对立面的统一,凡事并没有绝对的标准,一切的是非对错皆是相对而言,所谓盛极而衰、否极泰来。有时事件的逻辑看似走向单一,实则会在多个维度殊途同归。互联网暴露面上的日常攻防,也正是如此。身处其中之人,才可窥见妙门。树大招风随着中国经济的崛起,中国互联网行业迎来了最好的机遇,经过二十年的高速发展已经深入并改变社会生活的各个方面,如:网上办公系统、视频会议系统、电话语音系统、互动式系统、门户型系统等极大地提高了企事业单位的办公效率。但同时,不断加大的信息系统建设投入使得企业中的IT资产数量迅速增加,网络规模爆炸式扩张。正所谓树大招风,数量众多的IT资产和庞大的网络规模,给企业资产管理工作带来了巨大挑战,也给信息系统安全带来了严重威胁。愈演愈烈的网络安全威胁已经成为国
发布时间:2020-04-02 17:55 | 阅读:25904 | 评论:0 | 标签:牛人访谈 首页动态 企业资产管理 态势感知 暴露面资产管理 漏洞检测

大型企业如何部署落地(云)主机EDR+态势感知平台?

一、前言大型企业的项目实施往往涉及到大量部门和分、子公司的协调配合,这带来了双方面的困难:在技术上,设备和系统分散且不统一,威胁因素和程度难以感知,决策层对于当前的安全态势难以描述和决策;在工作的推进方面,客户企业下属各单位的配合程度直接影响了项目实施的进展和质量,如何做好协调沟通工作、顺利推进项目实施,也是对安全行业极大的考验。我们将在这篇文章里,结合我们曾经实施过的一些案例,探讨如何为大型企业部署实施大数据安全态势感知的项目。希望本文能够起到“抛砖引玉”的作用,如有更好的见解,望不吝赐教,笔者不胜感激。二、项目背景1、客户信息客户是大型集团性企业,旗下拥有投资企业300余家,全资及控股投资企业逾200家,员工超万人。2、项目目标解决集团信息安全在横向安全体系方面的缺陷,实现全网安全感知、检测、预警及运维响应
发布时间:2020-03-13 20:37 | 阅读:26410 | 评论:0 | 标签:厂商供稿 (云)主机EDR 安全狗 态势感知

特别关注!疫情期间境外不法势力欲对国内视频监控系统发起网络攻击

正当全国人民一同作战共克疫情的艰难时刻,却有境外黑客瞄准了我们!近日,通过国家网络与信息安全信息通报中心监测和网信办技术支撑单位上报发现,有境外黑客组织扬言将于2020年2月13日对我国视频监控系统实施网络攻击破坏活动。从黑客组织发布的推文中可以看到,称主要攻击目标是互联网上国内各主流生产厂商的摄像头等视频监控产品,并声称已掌握我国境内大量摄像头控制权限。此次攻击与2019年2月13日境外某黑客组织扬言对我国多家政府类网站展开网络攻击的事件不同,黑客已经在pastebin网站上公开了70余个受控目标,经核实这些受控目标均为国内厂商的视频监控设备。针对以上情况,亚信安全建议各级用户,不仅要对网络视频监控系统开展资产梳理、漏洞扫描,非法接入等安全问题,更应建立强有力的视频监控身份与数据安全系统,并发挥视频专网安全态
发布时间:2020-02-14 15:48 | 阅读:23980 | 评论:0 | 标签:抗疫专栏 XDR 态势感知 视频监控系统 身份与数据安全 攻击

态势感知之漏洞运营

0x00、前言漏洞管理是每个企业安全建设中首先要完成并且不可或缺的安全能力。它能帮助企业预防有可能发生的入侵事件。当然漏洞管理工作也需要和其它安全组件配合才能提前它的安全价值。在安全预防方面,需要和主机合规基线、网络威胁漏洞扫描程序配合,在入侵检测方面,需要和EDR、NIDS等产品配合。通过这些安全组件的配合才能从简单的漏洞管理level 0 升级成漏洞运营管理 level 1 。0x01、漏洞运营解决方案个人理解的漏洞运营大致可分为4个阶段· 线下人工漏洞运营阶段企业安全建设初级阶段,一穷二白的情况,没有任何漏洞管理工具,一般都使用开源的漏洞扫描攻击导出excel表格,然后去找业务方去修复,有时业务方不重视安全,整个
发布时间:2019-06-27 12:25 | 阅读:84056 | 评论:0 | 标签:系统安全 态势感知 漏洞

态势感知产品进化论

0x00、前言RSA Conference 2019正在美国拉开帷幕,代表全球顶尖的安全盛宴,作为安全行业中人也小小的研究了一下。今年的主题是better,从0到1的安全产品目前没怎么看到,大部分的微创新创新都来自于已经固化的产品形态。态势感知做为这两年新出来的产品形态,我想也应该吸收一下大会的精髓。· 1、云原始安全产品将逐步扩大自己的安全产品线,以满足云上用户对安全的需求,做到传统安全无缝迁移到云安全。· 2、所有的产品都要支持多公有云、混合云、专有云环境。态势感知更加明显,例如:不能把鸡蛋放一个篮子里的多公有云数据融合,ToG专有政务云、电子政务外网和互联网区的安全数据融合、以及现在炒的很火的城市云大业
发布时间:2019-03-11 12:20 | 阅读:95302 | 评论:0 | 标签:系统安全 态势感知

流计算在态势感知中的应用

0x00、概述2018年可以说是态势感知产品爆发性增长的一年,站在安全风口上要飞的节奏。从最开始的网络入侵检测系统, SIEM,SOC,到态势感知,产品的形态和功能有质的飞越,但是目前还面临着很多基础性的问题,例如:原始事件产生原子的告警事件,多个原子的告警事件产生一个攻击链威胁这个过程中,伴随着网络和终端的海量数据传输到大数据后台,带来和很大的传输网络的压力,传统的态势感知产品处理方法有些捉襟见肘(秒级处理)。这时候就要引进流处理的概念,在海量数据还没传输到后端之前要尽可能贴近原始日志产生源快速处理产生有价值的事件后(毫秒级处理),再把事件传输到大数据后台做准实时的关联分析(秒/分钟级)。0x01、实现手段1、流计算
发布时间:2018-09-26 12:20 | 阅读:128922 | 评论:0 | 标签:业务安全 技术 AI 态势感知 机器学习

ML&AI如何在云态势感知产品中落地

0x01、云态势感知如何集成针对网络犯罪来说,速度是制胜法宝,在暗网中发布的恶意软件平均9分钟,有企业被发布的恶意程序攻击,平均只需要四个小时窃取其目标的财务信息,敲诈资金或造成广泛的破坏。全球范围内的杀软大厂统计的数据,检测到并阻止的所有恶意软件文件中大约有96%仅在一台计算机上被观察到一次,表明现代攻击的多态性和针对性以及威胁格局的碎片化状态。实时停止新的恶意软件比以往任何时候都更加重要。大量研究已经研究了用于分析和检测恶意软件的方法。传统的态势感知产品中通常依赖于基于签名的方法,该方法需要本地签名数据库来存储专家从恶意软件中提取的模式。但是,这种方法有很大的局限性,因为对恶意软件的特定微小更改可能会改变签名,因此
发布时间:2018-08-16 17:20 | 阅读:107852 | 评论:0 | 标签:业务安全 技术 态势感知

云态势感知产品-沙箱高级威胁检测

0x00、业务需求· 产品调研最近由于工作关系关注了市面上的态势感知产品,总结如下: · 云态势感知产品定位使用大数据技术关联分析数据快速整合NIDS(包含sandbox)、HIDS、EDR、WAF、DDoS、Scanner的数据,让用户更清晰的了解云上资产的安全现状,做出下一步安全整改动作。0x01、关键技术· 沙箱技术沙箱技术是提升网络威胁检测引擎的最有效的技术,一般在云上的用户是不愿意的安装EDR或者主机安全产品,因为侵入性太强,同时,在业务系统发现问题的时候,排查排除增加用户工作量。· 大数据实时关联分析机器学习技术在云使用场景下,一般需要抓取流量都是海量的(单
发布时间:2018-04-08 12:20 | 阅读:126859 | 评论:0 | 标签:技术 态势感知

全球经济增长最快的城市原来是它 “2017合肥网络安全大会”召开

今天上午,由合肥市政府、中国电子信息行业联合会与新华三集团联合主办的“2017合肥网络安全大会”召开。新华三集团总裁兼首席执行官于英涛在致辞中表示,网络安全已经被纳入到国家战略的重要范畴,而《网络安全法》的实施,推动了各行业的网络安全建设,标志着我国的网络安全事业进入令人振奋的全新阶段。于英涛于英涛认为,从产业变迁角度来看,随着云计算、大数据、物联网、人工智能等新技术应用的普及,网络安全领域所处的环境已发生根本性的变化。网络攻击的手段越来越复杂,所产生的影响与危害也越来越严重;网络安全行业已经进入“大安全时代”,需要改变传统的安全思维,用总体、全局的安全观来指导网络安全产业发展。新华三近年来确定了“大安全”的发展理念,于2016年在合肥高新区成立新华三信息安全技术有限公司,并把“态势感知”做为这两年产品战略方向
发布时间:2017-12-09 08:25 | 阅读:145922 | 评论:0 | 标签:行业动态 产业战略合作 合肥网络安全大会 大安全 态势感知 新华三

CS4:新一代SOC与态势感知大会 六家安全厂商分享核心解决方案

今年8月,安全牛发布了基于全景图中“SOC/iSOC”子领域厂商所展开调研的《新一代SOC研究报告》(包含技术和市场指南),在业内反响颇为强烈。以此为契机,安全牛在上周四下午,联合六家在“新一代SOC和态势感知”领域有着领先技术思路和可观市场占有率的安全厂商,举办了此次C·S大会。C·S会议之前已举办过三届。众所周知,C·S大会不讲攻防技术,也不谈高层战略,而是专注安全解决方案的分享。演讲者面向的是最终客户,讲的是企业或机构目前亟待解决的安全问题,以及安全能力建设的思路和落地方案。今年的“新一代SOC和态势感知”大会,安全牛邀请了360企业安全、瀚思、安恒信息、深信服、新华三以及兰云科技这六家在这一安全细分领域具备技术特点和丰富行业建设应用经验的安全厂商,介绍他们对SOC和态势感知的理解以及能力建设思路。核心内
发布时间:2017-11-10 03:00 | 阅读:191770 | 评论:0 | 标签:行业动态 C·S会议 SOAPA SOC 安全运营 态势感知 解决方案

亚信安全出席安全牛首届CSO高端沙龙 分享“态势感知”行业实践经验

近日,在安全圈知名媒体安全牛召开的 “首届CSO高端沙龙”上,亚信安全网络安全事业部副总经理轩晓荷详细介绍了亚信安全在网络安全态势感知领域取得的技术突破,以及协助政府、金融、交通、电信、能源、教育等行业用户发挥价值所取得的成功实践经验。一入SOC“坑”似海,“态势”也难做“易”人人人都说“态势感知”是新一代的SOC平台(NGSOC),与会嘉宾在访谈中纷纷谈起在之前SOC平台实践中遭遇的种种“深坑”。比如,老一代SOC用不起来,完全不能结合自身业务场景,最后沦为日志搜集整理的机器;某大型集团公司部署SOC后,每天收到上千万条危机预警,大量无效信息导致工作效率低下等;多层级的大型企业,在面对类似WannaCry勒索蠕虫时,二三线下属公司无法及时处理安全隐患,影响生产效率……对于新一代SOC平台“态势感知”的前景,大
发布时间:2017-11-10 03:00 | 阅读:142311 | 评论:0 | 标签:厂商供稿 SOC 亚信安全 安全牛 态势感知 高端沙龙

《工控安全态势感知(市场指南)》发布

态势感知在工控安全领域的应用,一直颇受业内人士关注。安全牛在上个月末发布的《工控安全态势感知技术指南》中,介绍了工控安全态势感知实现原理和技术应用;此次发布《工控安全态势感知市场指南》则更多的是结合工控安全态势感知厂商以及国内相关市场现状进行分析与展望。报告简介本报告结合对国内主流工控安全态势感知厂商的调研和对国内市场的分析,并从技术转化的产品方向和定位开始,对国内典型产品在整体产业链中的位置进行了分析,探索了国内市场对工控安全态势感知的接受程度,目标客户/行业特点、采购模式以及客户的期望。同时,为了能够更好的帮助工控安全态势感知的落地应用,还从用户的角度总结了产品选型的关键要素。关键发现√ 政策驱动。《网络安全法》明确了我国关键信息基础设施的行业范围。并要求关键信息基础设施运营单位需要建立安全预警系统,工控安
发布时间:2017-09-30 06:30 | 阅读:150502 | 评论:0 | 标签:活动集中营 工控安全 市场指南 态势感知

公告

学习黑客技术,传播黑客文化

推广

工具

标签云