记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

网络安全行业为什么值得投资

近几年,网络安全领域的投资越来越热。从上图可以看到,从2015年开始,网络安全企业的融资数和融资金额有了一个突破性的增长,而且近几年都持续地稳定在高位。但时不时也有原来投to C领域的朋友提出,市场规模五、六百亿的网络安全领域真的值得投资吗?事实上,网络安全领域不仅值得投资,而且是一个长期有投资机会的领域。下面就从几个方面来分析一下。 中国网络安全行业增长潜力大 在to B领域,五、六百亿的市场规模本身就不算小。譬如据IDC的报告,2019年中国云系统和服务管理软件市场规模为1.51亿美元;据赛迪的报告,2019年中国企业级应用软件的市场规模为470.6亿元。这两个市场均小于网络安全市场。 而且对于投资来讲,比当前市场有多大更重要的是未来市场有多大。所以还可以来研究一下网络安全
发布时间:2020-07-11 02:56 | 阅读:2024 | 评论:0 | 标签:技术

日志标准化解析的关键内容

引言 在很多安全分析类产品建设的过程中都会涉及到关联分析,比如日志分析、soc、态势感知、风控等产品。之前的文章中阐述过五种最常见的关联分析模型,在文中也介绍了:要想达到很好的关联分析效果,前提是对采集过来的日志进行标准化解析。解析的维度越多、内容越准确,对关联分析的支撑性就越强。下面就来介绍一下日志解析的一些常用内容。 一、 概述 很多公司在自己的产品介绍中描述产品有多少种日志解析规则等等,当然,这种内置的解析规则对这类产品发挥了很重要的作用。但这种方式也存在一些问题: 首先,经过时间的推移就会发现,每年市场上都会产生不少的新的安全设备和型号,导致厂家很难实现全部预制好的解析规则; 其次,很多设备会经常升级,升级后会导致日志种类的增加和调整; 最后
发布时间:2020-06-09 12:27 | 阅读:9127 | 评论:0 | 标签:技术 关联分析 态势感知 日志 标准化 解析规则

运维日志里隐藏的安全危机,你知道怎么挖吗?

引言 在很多安全分析类产品建设的过程中都会涉及到关联分析,比如日志分析、soc、态势感知、风控等产品。关联分析可以认为是这类产品中最核心的能力之一。 这个概念从命名上看就知道,千人千面,每个人的想法和理解都各不相同。很多甲方都会提关联分析,如果再细问要做什么样的关联分析,估计大多数甲方都不太能详细描述出来,很多乙方对此也是藏着掖着,可能是核心机密不愿意细说。 下面就来聊一下我对关联分析模型的一点思考。 一、概述 有很多公司在自己的产品介绍中说自己的产品有多少种内置规则等等,仔细分析就会发现,很多规则是一个模型演变出来的,比如主机密码猜测、数据库密码猜测、网络设备密码猜测等,这些规则背后可以理解为一个模型。所以,我认为评
发布时间:2020-06-03 10:14 | 阅读:14349 | 评论:0 | 标签:技术 关联分析 大数据 态势感知

开源软件SysFlow

Open Source在安全领域已经非常普及,虽然我没有软件开发背景,但是也很喜欢在实际安全工作中使用一些小工具,提升生产力。这里也把看到的一个小开源项目分享给大家! 两周前,刚好在Think2020中国区论坛中,听到高老师介绍SysFlow项目的情况。赶紧去网站看了一下这个开源项目。在 FloCon 2020 Conference会议上,IBM 发布open-sourcing of SysFlow。会议材料link。 SysFlow: Scalable System Telemetry for Improved Security Analyticshttps://www.ibm.com/blogs/research/2020/01/sy
发布时间:2020-05-25 11:29 | 阅读:10419 | 评论:0 | 标签:技术 opensource,sysflow,IBM

“零信任”(附记):主动防御

迄今为止,各种安全解决方案的基本思路仍然是攻击与防御的对抗,以洛克希德·马丁公司提出的“网络杀伤链(Cyber Kill Chain)”为代表,并进一步发展和细化为ATT&CK模型。在这种思路下,企业需要穷举可能遇到的威胁和攻击,并部署相应的防护措施。 然而,截止2020年4月25日,MITRE ATT&CK模型包括三部分,分别是:PRE-ATT&CK,包含15类战术174种技术;企业ATT&CK阵列,包含12类战术266种技术;移动ATT&CK阵列,包含13类战术79种技术。随着时间推移,还会不断诞生新的战术和技术,而且往往是在攻击者成功实践之后,新的战术和技术才会被总结出来纳入ATT&CK体系。 在此基础上,要做到全面和充分的防护,企业需要配备足够
发布时间:2020-05-14 10:26 | 阅读:13200 | 评论:0 | 标签:技术 防御

“零信任”(下):拥抱“不可信”

传统安全观念中,“边界”的实际意义在于区分“可信”与“不可信”。边界之内,人员、终端设备、网络环境以及目标资源等都是默认可信的(在NIST SP 800-207 中称为“隐式信任区”),通常无需专门的访问控制机制;边界之外则是危机四伏,人员身份可能是假冒的,终端设备可能已经被入侵,网络中遍布窃听和假替,乃至目标资源本身也已被攻克从而危害前来访问的用户。 “零信任”兴起的背景是“边界”的消失。移动和云的使用挑战了逻辑上的网络边界,内部人威胁则否定了基于“边界”—不管是网络边界还是身份边界—区分“可信”与“不可信”的有效性。类似的,传统上人们认为受到网络攻击是特殊事件,是需要专门应对的“异常”,而今天不得不面对的现实则是各种网络攻击持续存在的“新常态”。 如果“边界”不足以凭依甚至不复存在,业
发布时间:2020-05-12 12:45 | 阅读:9489 | 评论:0 | 标签:技术

“零信任”(上):身份管理只是起点

关于“零信任”,有种流行的观点是“零信任安全的本质是基于身份的访问控制”,乃至有“基于身份的边界(identity-based perimeter)”的说法。个人以为,身份管理只是“零信任”的一个重要部分,是进行统一管理的基础和起点,但将“身份”作为“零信任”的核心,就有点本末倒置了。 具体讨论之前,先要辨明一下词义。其实,英文的identity与中文语境里的“身份”并不对等,更准确的翻译应该是“标识”:用以标记和区分不同实体(用户、设备、服务等等)。对应的,中文的“身份”其实更接近于privilege(业内通常翻译成“特权”):代表特定的权利,能够相应地行动、获得收益、或得到赦免。本文的讨论将按通行的翻译,“身份”对应是identity,“身份管理”对应identity management,“特权“对
发布时间:2020-04-27 11:57 | 阅读:16563 | 评论:0 | 标签:技术

恶意邮件智能监测与溯源技术研究

导读:近年因电子邮件安全问题引起的恶性网络事件影响范围越来越广、造成后果越来越恶劣。传统邮件监测技术无法应对高级持续性威胁。基于此,提出新一代智能恶意邮件监测与溯源的系统框架,将多元行为分析、威胁情报溯源、动态沙箱检测、深度样本意图分析等智能化威胁感知和邮件监测技术应用在恶意邮件监测与溯源系统中。通过人工智能技术将几百种基于知识工程的邮件安全元素与威胁、业务模型关联建模,使系统具备更智能的威胁感知能力和更准确的恶意邮件检测率。同时,通过邮件样本溯源技术,系统可以进一步溯源恶意邮件的来源和相关的黑客组织。 恶意邮件智能监测与溯源技术研究 魏海宇,刘钰 关键词:恶意邮件;智能监测;溯源中图分类号:TP915文献标识码:A引用格式:魏海宇,刘钰.恶意邮件智能监测与溯源技术研究[J].信息技术
发布时间:2020-04-17 15:27 | 阅读:31516 | 评论:0 | 标签:技术 攻击溯源 邮件安全

等级保护2.0常见问题集

最近几天,整理了一下客户和同事们关于等级保护的几个问题,同时也参考引用了网络上有关等级保护的常见问题解答,汇总分享如下,希望能对大家有帮助。先看一下问题清单吧。 问题清单 什么是等级保护? 什么是等级保护2.0? “等保”与“分保”有什么区别? “等保”与“关保”有什么区别? 什么是等级保护测评? 等级保护是否是强制性的,可以不做吗? 做等级保护要多少钱? 等级保护测评一般多长时间能测完? 等级保护测评多久做一次? 是否系统定级越低越好? 定级备案了是否就被监管了? 等级保护工作就是做个测评吗? 等级保护测评做一次要多少钱? 等保测评后就要花很多钱做整改吗? 过等保要花多少钱?能包过吗? 做了等级测评之后,是否
发布时间:2020-04-10 11:29 | 阅读:24514 | 评论:0 | 标签:技术

安全服务——我见

前言         本文观点脱胎于笔者近一年从业的所见所得具有较为强烈的主观色彩,无法保证客观亦无法保证准确。可能会很片面请各位见谅,毕竟我也只是ToB安全业务的一个新人,仅代表个人观点与笔者所在公司及业务无关。 ​安全市场必将向“服务化”转型         抛开安全这个属性B2B行业由来自古,以我肤浅的阅历实在无法窥视全貌,但在信息安全这个垂直领域内笔者以一个新人的身份来谈谈看法。在笔者所经历的差不多一年的短暂时间内,从需求方的角度来看客户类型可以分为三大类:计划花光预算型客户、实际需求型客户、战略投入型客户,每种客户的特
发布时间:2020-04-02 13:22 | 阅读:19707 | 评论:0 | 标签:技术 安全服务

威胁狩猎101文档

在Kill Chain攻击框架发布了近10年后,ATT&CK框架做为后继者极大丰富了攻击分析和场景,包含了黑客渗透过程中利用具体的各种技术。在这么多攻击技术和手段的攻击下,传统的安全设备堆叠已经失守。比如各种Webshell的混淆、加密流量、社会工程对于终端的渗透,这些技术基本都可以穿透所有的传统安全产品下堆叠出的安全架构和系统。 图1:ATT&CK和Kill Chain的融合图 在FireEye 的M-Trends 2020 Reports中,发现攻击者隐藏或者驻留时间的中位数为56天。近几年的威胁检测时间都在不断缩短,主要是由于对于内部威胁的情况发现较早,极大的减少了中位数,但是外部威胁的驻留时间还在141天,接近5个月之久。 图2:全球驻留时间中位数(按年份划分)
发布时间:2020-04-01 10:51 | 阅读:22758 | 评论:0 | 标签:技术

扯谈SDL(一)

借用鸟哥PPT的宝图 今天PYQ看到一篇文章《SDL已死,应用安全路在何方?》,也就想着来扯谈一下SDL。不做科普,不捧不踩,纯粹扯谈。 很“重”的SDL 实际上,SDL已经挺重的了,这是我个人的感觉。这个重有几个方面: 1、流程重。 SDL要做卡点,要做持续集成,就需要将设计、开发、测试、上线、运行拆得很细,做精细化管理,明确到什么阶段要做什么检查,要遵循什么规范,要提交什么材料。这个过程中涉及的流程、工具、规范的量不小。除了要专业懂技术的人来做,还得有专业懂做事的人来推动。而往往,这两类人不是同一个人。 2、人员重。 SDL要做好覆盖,需要安全、开发、测试、运维、产品等各类人员参与和投入。而且,越是重视开发的公司,或是开发人员基数越大的公司,SDL涉及到的和需要协调
发布时间:2020-03-23 10:19 | 阅读:29518 | 评论:0 | 标签:技术

我为什么反对大数据?

作者:安全岛 精彩观点 在大数据时代已经到来的时候要用大数据思维去发掘大数据的潜在价值在中国,绝大多数的公司是没有太多数据的现实的情况往往是数据只能验证现在,数据无法预见未来一切不以解决业务为出发点的技术都是耍流氓很多时候数据并没有我们想象的这么值钱,尤其是互联网上很容易采集到的数据大数据应该是从小数据逐渐演变上去的,是一个正常的生态,而不是瞬间变化的 声明 个人言论,本文仅从另一个视角看待大数据,如不能理解请一笑而过,勿做无谓的拍砖,仅此而已。 引言 现在很多人都热衷于把大数据放在嘴边,但你要问一下什么是大数据,大数据和你有什么关系?估计很少人能说出个一二三来。 究其原因,一是因为大家对新技术有着很深的原始渴求,至少在聊天时不会显得很“土鳖”;二是在工作和生活环境中真
发布时间:2020-02-09 21:20 | 阅读:30411 | 评论:0 | 标签:技术 大数据

八类典型医疗场景下的数据使用风险

如今,伴随 “云大物移” 等前沿技术的普及应用,医疗信息化建设呈现高速发展态势,医疗数据在流动中被更加充分的加以利用,其价值与重要性愈发受到关注和重视。然而,医疗数据安全关系患者隐私、技术研发等重要、敏感领域,一旦发生泄露将对医患利益、社会稳定乃至国家安全造成严重影响,因此必须做好医疗数据的安全防护与治理。本文将通过八类典型医疗场景,逐一阐述医疗数据在不同场景下的使用风险及相关内容: 场景一:互联互通数据安全 医院等医疗机构为实现跨机构、跨地域的健康诊疗信息交互、共享和医疗服务协同,需要在各医疗机构、医联体信息平台之间实现数据(电子病历、电子健康档案等)的互联互通与信息共享。 在此场景下,医院的医护人员、卫生机构管理人员、医院间联合体及医疗第三方服务机构人员在对相关系统文件、数据库资
发布时间:2020-02-09 21:19 | 阅读:25350 | 评论:0 | 标签:技术

2002-2019 年美国 IT 和网络空间安全预算

随着“十四五”规划的临近,各行各业都准备做新的规划了。对于安全行业来说,在规划阶段最常见的问题就是:需要多少预算,有什么依据? 不管是 IT 领域,还是安全领域,美国一直是我们的学习的对象。关于“钱”的问题一直是比较复杂的(预算、决算、统计口径、……),我把自 2002 年以来美国联邦政府所有公开的报告进行了分析,把预算口径(而非其他)的数据拿出来,供大家在回答安全预算相关的“灵魂拷问”时参考。 欢迎大家这里提供反馈:https://docs.qq.com/doc/DWENacmZ0VXppYldt 一、美国联邦政府 IT 和网络空间安全预算 最近整理了一下美国 IT 预算和网络空间安全预算相关的一些数据。因为美国非常重视社会统计数据,所以各方面不同部门、不同目的产生的统计数据非常丰富。
发布时间:2020-02-09 21:19 | 阅读:26186 | 评论:0 | 标签:技术

为什么ATT&CK对APT关联归属分析用处不大

本文作者:汪列军https://mp.weixin.qq.com/s/Cb7tROj0BXSOxnqyjftlRw 前两天看到个文章,综述了厂商在APT检测和分析方面的实践,其中提到了利用ATT&CK框架这个工具分析关联APT攻击。我司威胁情报中心做APT分析也有几年了,有限的经验告诉我们这个事情是不靠谱的。当时在朋友圈里简单说了几句,表达实在受限,这里再展开说一下。 为什么我那么说 ATT&CK这个当红炸子鸡是什么我就不多说了,介绍的文章汗牛充栋,但跟APT的关联分析扯上边还远了点,下面是为什么。 记录事实的能力受限 参加过RSA、Blackhat这样的安全展会可能会有些印象,厂商给你产品展示的Demo,一个攻击从初始的Payload投递、CC连接到最终的数据外泄
发布时间:2020-02-09 21:18 | 阅读:27470 | 评论:0 | 标签:技术

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云