记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华CSOP 深圳看点 | 深圳证券交易所于钊:基于威胁情报的态势感知落地实践
#CSOP 43个 过去多年来,很多大型行业及企业响应国家政策号召,积极倡导、建设和应用态势感知系统。然而,随着网络规模的扩大,出现了例如APT这样的新型高级攻击手段,导致态势感知技术的准确性大为降低,可操作性也变得更加困难。威胁情报的出现为态势感知的研究带来了新思路,成为态势感知研究领域的一个新方向。威胁情报如何与态势感知系统有机结合?在安全运营中,基于威胁情报的态势感知落地有哪些应用场景?在6月8日举行的CSOP 2023网络安全运营与实战大会 · 深圳站,来自深圳证券交易所的高级安全专家于钊将结合安全运营的使用场景,带来基于威胁情报的态势感知落地实践分享。
攻防演练篇:攻防演练场景中,加密视角下的威胁情报能力建设
1概 述攻防有道,兵马未动,情报先行,克敌制胜的先机往往就蕴藏在纷繁情报中,对情报的抽丝剥茧成为战略性关键因素。情报的获取,不仅仅关乎技术竞争的较量,更是一场看不见烟火的信息与谋略的攻守之战。在攻防演练中,亦是如此,威胁情报也是网络攻防中克敌制胜的关键所在。而随着攻防对抗转向加密化的趋势,构建和提升加密视角下的威胁情报能力,是对抗加密威胁的重要手段,也是更全面地掌握攻击方所采用的攻击方式、攻击技术、攻击策略等威胁情报信息的重要基础。传统威胁情报,在面对加密流量威胁时,与安全产品的联动更多从IOC着手,对于加密流量的通信特征缺少关注。
攻防演练场景中,加密视角下的威胁情报能力建设
1. 概述攻防有道,兵马未动,情报先行,克敌制胜的先机往往就蕴藏在纷繁情报中,对情报的抽丝剥茧成为战略性关键因素。情报的获取,不仅仅关乎技术竞争的较量,更是一场看不见烟火的信息与谋略的攻守之战。在攻防演练中,亦是如此,威胁情报也是网络攻防中克敌制胜的关键所在。而随着攻防对抗转向加密化的趋势,构建和提升加密视角下的威胁情报能力,是对抗加密威胁的重要手段,也是更全面地掌握攻击方所采用的攻击方式、攻击技术、攻击策略等威胁情报信息的重要基础。传统威胁情报,在面对加密流量威胁时,与安全产品的联动更多从IOC着手,对于加密流量的通信特征缺少关注。
成熟网络威胁情报计划的几个特征
今年早些时候,企业战略集团(ESG)发布了一份调研报告,呈现了企业在其整体网络安全战略中融入威胁情报的情况。该研究项目包含对380位企业网络安全专业人员的调查(企业雇员规模超1000人)。受访人员被问及所属企业网络威胁情报(CTI)计划的相关问题:CTI计划的人员配备情况如何?何种技术是最重要的?面临哪些挑战?有何策略?支出计划是什么样的?此前也有几篇文章详细解读该项研究:有给出企业威胁情报计划概况的,有审视威胁情报生命周期所面临挑战的,有聚焦CTI和数字风险保护(DRP)间交叉点的。在企业CTI计划问题上,二八定律同样适用。具体而言,80%的企业设置有基本的威胁情报计划,而20%则更进一步。
SecOps 2023丨大模型在情报分析和攻防场景的应用
5月30日,以“持续验证 看见安全”为主题的2023网络安全运营技术峰会(SecOps 2023)上,北京华云安信息技术有限公司产品总监王超分享了“大模型在情报分析和攻防场景的应用”,并将大模型技术应用于灵刃·智能渗透与攻击模拟系统(Ai.Bot)与灵知·互联网威胁监测预警中心(Ai.Radar)上的效果进行演示。众所周知,大语言模型是一种基于深度学习技术的人工智能模型,具有出色的自然语言处理能力。随着GPT的出现,网络安全的应用场景迎来焕新契机。在传统的网络安全应用模式中,往往需要花费大量的人力,用于对数据的清洗和深度分析,面临自动化程度低、数据价值利用率低、研究经验复制难等技术瓶颈。
每周高级威胁情报解读(2023.05.18~05.25)
#每周威胁情报 137个 2023.05.18~05.25 攻击团伙情报Kimsuky使用定制侦察工具的持续攻击活动GoldenJackal 自 2019 年以来一直在悄悄攻击政府白象组织使用BADNEWS和
第六课 入侵分析是威胁情报的主要来源(四)
#威胁情报 8个 CoA矩阵简介我们收集到的每一条情报都应该具有价值和可操作性,可操作性可以是直接使用的(例如:封禁动作),也可以是用于恶意活动归因分析的。这些可操作性的防护手段有的是可以直接在当前组织拥有的设备和技术上直接实现的,而有些则不能。CoA矩阵(Course of Actions Matrix)提供了更为清晰的防护处置方案。发现检测阻止干扰削弱欺骗摧毁侦察武器化投递渗透安装远控达成目标CoA矩阵本质很简单,第一列给出了杀伤链的每个阶段,每一行对应了该杀伤链阶段可以采取的防护措施。
安全威胁情报周报(5.22~5.28)
#安全威胁情报 112个 一周威胁情报摘要金融威胁情报伊朗黑客瞄准以色列金融、物流行业企业展开攻击政府威胁情报GoldenJackal 组织针对中东和南亚政府
大模型在威胁情报中应用可行性研究报告丨安全村
#协奏成章 10个 1 背景随着ChatGPT的爆火,基于GPT大模型的应用如雨后春笋般蓬勃发展。在很多应用领域,GPT大模型是一个速度倍增器,发挥出了惊人的作用,它可以用来增强、辅助、加速现有技术,提高生产力和生产效率。在网络安全领域,也涌现出了一批尝试性的应用,如红队渗透和蓝队防御中的信息窃取程序创建,加密工具创建,辅助生成欺诈内容和逆向分析等。近期,微软也发布了大模型和威胁情报结合的产品——Microsoft Security Copilot。
绿盟威胁情报周报(2023.05.15-2023.05.21)
#威胁情报周报 30个 本周热点概览威胁通告Linux Kernel权限提升漏洞(CVE-2023-32233)通告泛微e-cology前台任意用户登录漏洞通告Foxit PDF Reader与Editor任意代码执
CSOP看点 | 微步在线樊兴华:漏洞情报助力高效漏洞运营
#CSOP 31个 漏洞攻击,是悬在每个安全管理员头上的达摩克里斯之剑,尤其是0day漏洞攻击,不仅极难检测,甚至连被攻击后的溯源都很难做到。此外,对于很多企业而言,尽管部署了漏洞扫描类工具,但因为资产规模较大,往往导致告警量巨大,误报很多,无法运营,缺失有效的手段来决策修复优先级、检测方法等关键信息,以至于关键漏洞无法及时修复,存在被黑客利用的风险。微步在线技术合伙人樊兴华认为,拥有一个基于开源信息整合而成的基本漏洞信息库已经很难满足数字化时代的企业漏洞运营需求,企业侧需要的是更加及时、上下文信息丰富的漏洞情报库。
【攻防演练庙算记三】情报先行
点击上方"蓝字"关注我们吧!【2023安天攻防演练庙算记】回顾【攻防演练庙算记一】五事具足【攻防演练庙算记二】十处必救必守攻守双方必须有对彼此敌情、行动、意图等的分析,在行动中才能知得失之计。在《孙子兵法·行军篇》中讲,兵非贵益多也,唯无武进,足以并力、料敌、取人而已。也就是说在作战前,必须对彼此所处的位置和可能的行动做到胸中有数。《孙子兵法·用间篇》有云:成功出于众者,先知也。意指之所以一出手就能战胜敌人,功业超越众人,就在于能预先掌握敌情;同时,又补充到:先知者,不可取于鬼神,不可象于事,不可验于度,必取于人,知敌之情者也。
第六课 入侵分析是威胁情报的主要来源(一)
#威胁情报 5个 概述终于进入到了第二部分,入侵分析是这个部分的重点。而开篇就是洛特希德公司的杀伤链。虽然杀伤链相比ATT&CK模型已经有些年头了,我们这里学习的重点并非是杀伤链本身,而是在杀伤链的每个阶段提取攻击组织的情报。便于我们追踪和分析。内容很长所以打算分成两篇发。什么是杀伤链杀伤链(kill chain)由洛特希德马丁公司员工Michael Cloppert、Eric Hutchins 和 Rohan Amin 在 2011 年的一份白皮书中提出。
每周高级威胁情报解读(2023.05.11~05.18)
#每周威胁情报 136个 2023.05.11~05.18 攻击团伙情报SideCopy伪装注册邀请表格进行攻击Water Orthrus 的新活动提供 Rootkit 和网络钓鱼模块OilAlpha:可能是支持胡塞
每周高级威胁情报解读(2023.05.04~05.11)
#每周威胁情报 135个 2023.05.04~05.11 攻击团伙情报SideCopy疑似分发关于印度国家军事研究机构的钓鱼邮件疑似APT组织TA569近期针对俄罗斯与德国的钓鱼攻击
洞见RSA 2023|人工智能与威胁情报的融合应用
全文共2636字,阅读大约需5分钟。一概述在网络安全领域,大数据正在改变威胁情报和人工智能,使安全团队能够灵活应对不断变化的环境。在2023 RSAC,微软副总裁John Lambert带来了议题Intelligence and AI at the convergence zone of data and threats。议题将重点讨论防御者如何利用威胁情报和人工智能提升威胁防御与检测能力,以减少日益增加的威胁影响。
腾讯安全威胁情报中心推出2023年4月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年4月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。 腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
免费获取全球开源威胁情报的9个来源
为了有效应对不断发展的网络安全新威胁,专业安全分析师需要在正确的时间获取到充分的威胁情报信息。而在互联网上存在很多开源情报(Open-Source Intelligence、OSINT)信息,其中开源是指公开可用,无需购买即可获取和分发的信息;而情报是指获取和应用知识的能力。开源威胁情报通过综合收集汇总从明网、深网和暗网中获取的信息,可以在极低的预算投入下,给企业安全团队和分析师们提供以下方面的威胁信息:威胁分子;恶意威胁分子的动机和能力;攻击采用的战术、技术和程序(TTP);目标行业或技术;漏洞和漏洞利用代码;攻陷指标(IoC)。
每周高级威胁情报解读(2023.04.27~05.04)
#每周威胁情报 134个 2023.04.27~05.04 攻击团伙情报APT-Q-27使用双 DLL 侧载来逃避检测透明部落 APT 在针对教育机构的目标越来越多的情况下积极引诱印度军队
威胁情报与人工智能的碰撞
概述 备受全球信息安全行业瞩目的RSA Conference2023近期于美国旧金山召开,本次会议继续聚焦信息安全领域的前沿技术和热点话题,研究行业趋势和各种安全威胁,探讨新兴技术和最佳实践,为从业者提供指导和参考,以应对当前和未来的网络威胁。 今年的会议共有500余场高峰论坛、主题演讲和研讨会,涵盖了多方面的热点话题,除历年备受关注的“创新沙盒大赛”外,还有如漏洞攻击、高级持续威胁(APT)研究、安全分析/情报及响应、黑客和威胁、云安全及运营、机器学习/人工智能及自动化等热点话题。
绿盟威胁情报月报-2023年4月
阅读: 134月,绿盟科技威胁情报中心(NTI)发布了多个漏洞和威胁事件通告。另外,本次微软共修复了7个Critical级别漏洞,90个Important 级别漏洞,(请补充)个Moderate级漏洞,其中包括1个0 day漏洞。强烈建议所有用户尽快安装更新。以上所有漏洞情报和威胁事件情报、攻击组织情报,以及关联的IOC,均可在绿盟威胁情报中心获取,网址:https://nti.nsfocus.com/2022年04月绿盟科技安全漏洞库共收录359个漏洞, 其中高危漏洞28个,微软高危漏洞12个。
威胁情报信息分享|朝鲜黑客组织ScarCruft通过LNK文件感染链部署RokRAT恶意软件
朝鲜APT组织ScarCruft早在2022年7月就开始尝试使用超大LNK文件作为RokRAT恶意软件的传播途径,同月微软开始在Office文档中默认屏蔽宏。Check Point在一份新的技术报告中表示:“RokRAT多年来并未发生显著变化,但其部署方法已经发展,现在利用包含LNK文件的存档来启动多阶段感染链。”“这是威胁格局中的一个重要趋势,APT(高级持续性威胁)和网络犯罪分子试图克服来自不受信任来源的宏阻止。
威胁情报信息分享|APT28针对乌克兰政府实体发出伪造的“Windows更新”电子邮件
乌克兰计算机紧急响应小组(CERT-UA)警告称,俄罗斯APT黑客组织针对该国各种政府机构进行网络攻击。该机构将这场钓鱼活动归因于APT28,该组织还被称为Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、Sednit和Sofacy。这些电子邮件以“Windows更新”为主题,并声称用乌克兰语包含在安全更新的借口下运行PowerShell命令的指示。运行该脚本会加载并执行下一阶段的PowerShell脚本,该脚本通过使用tasklist和systeminfo等命令收集基本系统信息,并通过HTTP请求将详细信息发送到一个Mocky API。
知识驱动的网络安全情报:软件漏洞的共同利用行为发现
#安全学术圈 112 个 #论文笔记 216 个 #TII 1 个 原文标题:Knowledge-Driven Cybersecurity intelligence: Software Vulnerability Co-exploitation Behaviour Discover原文作者:J. Yin, M.
网络威胁情报和数字风险保护之间的紧密联系
企业实施的数字化转型计划和混合IT增加了风险,并推动了对数字化风险保护的需求,威胁情报项目必须满足这一要求。Enterprise Strategy Group (ESG)高级首席分析师Jon Oltsik表示,他在企业网络威胁情报项目的研究中发现,虽然很多首席信息安全官投资网络威胁情报,但依然存在挑战。他还深入研究了网络威胁情报的生命周期,将近四分之三(74%)的企业声称他们采用了生命周期,但是许多企业表示在生命周期中的一个或几个阶段遇到了瓶颈。ESG公司将网络威胁情报定义为“基于证据的、可操作的、关于网络对手敌对意图的、满足一个或多个要求的知识”。
再次夺金!奇安信荣膺中国安全分析和情报市场份额冠军
#奇安信 30个 近日,IDC发布《2022年中国IT安全软件市场跟踪报告》,报告显示,奇安信以8.4%的市场份额,稳居中国安全分析和情报市场份额排名首位!自2020年上半年起,奇安信集团连续3年荣膺该细分领域市场份额冠军,成为IT安全软件市场的领跑者。在威胁情报领域,得益于威胁情报中心提供的专业威胁情报服务及安全系列产品,使得奇安信在中国安全分析和情报市场傲居群雄。
威胁情报的下一步:数字风险保护
虽然入侵指标(IoC)和攻击者策略、技术和流程(TTP)仍然是威胁情报的核心内容,但在数字化转型、云计算、SaaS应用和远程办公的推动下,市场对网络威胁情报(CTI)的需求在过去几年正在发生变化,其中最值得关注的趋势之一就是数字风险保护(DRP)在威胁情报计划中的重要性不断提升。数字风险保护的宽泛定义是:“用于识别和缓解与数字资产相关的风险的遥测、分析、流程和技术”。根据上月ESG发布的威胁情报市场报告,虽然大多数CISO都在威胁情报领域投资,但普遍面临困境:近四分之三(74%)的企业声称在威胁情报生命周期的不同阶段遭遇瓶颈。
绿盟威胁情报周报(2023.04.17-2023.04.23)
#威胁情报周报 27个 本周热点概览威胁通告Spring Boot安全绕过漏洞(CVE-2023-20873)通告(CVE-2023-20873)Google Chrome Skia整数溢出漏洞(CVE-2023-2136)Apache Druid远程
九维团队-暗队(情报)| 判断查找CDN背后的真实IP
一、CDN知识普及1、概念定义CDN的全称是Content Delivery Network,即内容分发网络(因为这项技术是对内容进行分发,因此就叫做CDN了)。2、基本思路1.应尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输更快、更稳定。2.通过在网络各处放置节点服务器(即将内容缓存在终端用户附近),CDN系统能够实时根据网络流量和各节点的链接、负载状况以及到用户的距离、相应时间等综合信息,将用户的请求重新导向离用户最近的服务节点上。3、与镜像服务器的区别镜像服务器是源内容服务器的完整复制。而CDN则是部分内容的缓存,智能程度更高。
发布时间:2023-04-24 19:37 |
阅读:94790 | 评论:0 |
标签:情报
借助上下文应对威胁情报可行性挑战
近些年来,威胁情报的重要性逐渐为人所知。但随着数字化转型的加速和向混合工作模式的转变扩大了攻击面,以及地缘政治事件加剧了保护关键基础设施和敏感数据的难度,威胁情报已经占据了网络安全工作的中心位置。政府领导认为威胁情报共享和最佳实践是帮助强化网络安全和缓解网络战影响的关键部分。 最近的调查研究证实了组织对威胁情报的重视,但也揭示了在威胁情报可行性方面遇到的挑战。基于对1350名业务主管和IT负责人的调查访问,网络安全公司Mandiant发布了《威胁情报全球展望》报告。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
💰¥万百赚万千着跟:由自富财↓💸
❤用费0款退球星,年1期效有员会
🧠富财控掌,知认升提,长成起一💡