记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

实施零信任战略能给企业带来哪些收益?

零信任已受到业界的高度关注,目前从乙方视角介绍零信任技术的内容比较多,然而零信任究竟能给甲方企业带来哪些价值与效益呢?本文依据多年零信任的实践经验,总结概括为以下几个方面: 1、管控风险 企业面临诸多风险,如政治、法律、品牌、财务、运营等,零信任战略与实施可以帮助企业降低运营风险。运营风险来源于企业所拥有的数字资产的潜在损失,零信任模式恰恰强化数字资产的发现,要求对企业的任何应用与服务等数字资产都进行识别并给予身份。零信任战略规划与架构设计会对敏感信息的攻击途径进行分析,输出数据流图使得网络的透明度大大增加,从而使得运营风险能够得到识别,企业可以采取风险管理手段进行有效的管控。
发布时间:2020-07-22 22:11 | 阅读:17946 | 评论:0 | 标签:技术

网络安全行业为什么值得投资

近几年,网络安全领域的投资越来越热。从上图可以看到,从2015年开始,网络安全企业的融资数和融资金额有了一个突破性的增长,而且近几年都持续地稳定在高位。但时不时也有原来投to C领域的朋友提出,市场规模五、六百亿的网络安全领域真的值得投资吗?事实上,网络安全领域不仅值得投资,而且是一个长期有投资机会的领域。下面就从几个方面来分析一下。 中国网络安全行业增长潜力大 在to B领域,五、六百亿的市场规模本身就不算小。譬如据IDC的报告,2019年中国云系统和服务管理软件市场规模为1.51亿美元;据赛迪的报告,2019年中国企业级应用软件的市场规模为470.6亿元。这两个市场均小于网络安全市场。
发布时间:2020-07-11 02:56 | 阅读:20014 | 评论:0 | 标签:技术

日志标准化解析的关键内容

引言 在很多安全分析类产品建设的过程中都会涉及到关联分析,比如日志分析、soc、态势感知、风控等产品。之前的文章中阐述过五种最常见的关联分析模型,在文中也介绍了:要想达到很好的关联分析效果,前提是对采集过来的日志进行标准化解析。解析的维度越多、内容越准确,对关联分析的支撑性就越强。下面就来介绍一下日志解析的一些常用内容。 一、 概述 很多公司在自己的产品介绍中描述产品有多少种日志解析规则等等,当然,这种内置的解析规则对这类产品发挥了很重要的作用。
发布时间:2020-06-09 12:27 | 阅读:24404 | 评论:0 | 标签:技术 关联分析 态势感知 日志 标准化 解析规则

运维日志里隐藏的安全危机,你知道怎么挖吗?

引言 在很多安全分析类产品建设的过程中都会涉及到关联分析,比如日志分析、soc、态势感知、风控等产品。关联分析可以认为是这类产品中最核心的能力之一。 这个概念从命名上看就知道,千人千面,每个人的想法和理解都各不相同。很多甲方都会提关联分析,如果再细问要做什么样的关联分析,估计大多数甲方都不太能详细描述出来,很多乙方对此也是藏着掖着,可能是核心机密不愿意细说。 下面就来聊一下我对关联分析模型的一点思考。
发布时间:2020-06-03 10:14 | 阅读:65831 | 评论:0 | 标签:技术 关联分析 大数据 态势感知

开源软件SysFlow

Open Source在安全领域已经非常普及,虽然我没有软件开发背景,但是也很喜欢在实际安全工作中使用一些小工具,提升生产力。这里也把看到的一个小开源项目分享给大家! 两周前,刚好在Think2020中国区论坛中,听到高老师介绍SysFlow项目的情况。赶紧去网站看了一下这个开源项目。在 FloCon 2020 Conference会议上,IBM 发布open-sourcing of SysFlow。会议材料link。
发布时间:2020-05-25 11:29 | 阅读:27978 | 评论:0 | 标签:技术 opensource,sysflow,IBM

“零信任”(附记):主动防御

迄今为止,各种安全解决方案的基本思路仍然是攻击与防御的对抗,以洛克希德·马丁公司提出的“网络杀伤链(Cyber Kill Chain)”为代表,并进一步发展和细化为ATT&CK模型。在这种思路下,企业需要穷举可能遇到的威胁和攻击,并部署相应的防护措施。 然而,截止2020年4月25日,MITRE ATT&CK模型包括三部分,分别是:PRE-ATT&CK,包含15类战术174种技术;企业ATT&CK阵列,包含12类战术266种技术;移动ATT&CK阵列,包含13类战术79种技术。
发布时间:2020-05-14 10:26 | 阅读:27645 | 评论:0 | 标签:技术 防御

“零信任”(下):拥抱“不可信”

传统安全观念中,“边界”的实际意义在于区分“可信”与“不可信”。边界之内,人员、终端设备、网络环境以及目标资源等都是默认可信的(在NIST SP 800-207 中称为“隐式信任区”),通常无需专门的访问控制机制;边界之外则是危机四伏,人员身份可能是假冒的,终端设备可能已经被入侵,网络中遍布窃听和假替,乃至目标资源本身也已被攻克从而危害前来访问的用户。 “零信任”兴起的背景是“边界”的消失。移动和云的使用挑战了逻辑上的网络边界,内部人威胁则否定了基于“边界”—不管是网络边界还是身份边界—区分“可信”与“不可信”的有效性。
发布时间:2020-05-12 12:45 | 阅读:20862 | 评论:0 | 标签:技术

“零信任”(上):身份管理只是起点

关于“零信任”,有种流行的观点是“零信任安全的本质是基于身份的访问控制”,乃至有“基于身份的边界(identity-based perimeter)”的说法。个人以为,身份管理只是“零信任”的一个重要部分,是进行统一管理的基础和起点,但将“身份”作为“零信任”的核心,就有点本末倒置了。 具体讨论之前,先要辨明一下词义。其实,英文的identity与中文语境里的“身份”并不对等,更准确的翻译应该是“标识”:用以标记和区分不同实体(用户、设备、服务等等)。对应的,中文的“身份”其实更接近于privilege(业内通常翻译成“特权”):代表特定的权利,能够相应地行动、获得收益、或得到赦免。
发布时间:2020-04-27 11:57 | 阅读:32451 | 评论:0 | 标签:技术

恶意邮件智能监测与溯源技术研究

导读:近年因电子邮件安全问题引起的恶性网络事件影响范围越来越广、造成后果越来越恶劣。传统邮件监测技术无法应对高级持续性威胁。基于此,提出新一代智能恶意邮件监测与溯源的系统框架,将多元行为分析、威胁情报溯源、动态沙箱检测、深度样本意图分析等智能化威胁感知和邮件监测技术应用在恶意邮件监测与溯源系统中。通过人工智能技术将几百种基于知识工程的邮件安全元素与威胁、业务模型关联建模,使系统具备更智能的威胁感知能力和更准确的恶意邮件检测率。同时,通过邮件样本溯源技术,系统可以进一步溯源恶意邮件的来源和相关的黑客组织。
发布时间:2020-04-17 15:27 | 阅读:53510 | 评论:0 | 标签:技术 攻击溯源 邮件安全

等级保护2.0常见问题集

最近几天,整理了一下客户和同事们关于等级保护的几个问题,同时也参考引用了网络上有关等级保护的常见问题解答,汇总分享如下,希望能对大家有帮助。先看一下问题清单吧。
发布时间:2020-04-10 11:29 | 阅读:44642 | 评论:0 | 标签:技术

安全服务——我见

前言         本文观点脱胎于笔者近一年从业的所见所得具有较为强烈的主观色彩,无法保证客观亦无法保证准确。可能会很片面请各位见谅,毕竟我也只是ToB安全业务的一个新人,仅代表个人观点与笔者所在公司及业务无关。 ​安全市场必将向“服务化”转型         抛开安全这个属性B2B行业由来自古,以我肤浅的阅历实在无法窥视全貌,但在信息安全这个垂直领域内笔者以一个新人的身份来谈谈看法。
发布时间:2020-04-02 13:22 | 阅读:33104 | 评论:0 | 标签:技术 安全服务

威胁狩猎101文档

在Kill Chain攻击框架发布了近10年后,ATT&CK框架做为后继者极大丰富了攻击分析和场景,包含了黑客渗透过程中利用具体的各种技术。在这么多攻击技术和手段的攻击下,传统的安全设备堆叠已经失守。比如各种Webshell的混淆、加密流量、社会工程对于终端的渗透,这些技术基本都可以穿透所有的传统安全产品下堆叠出的安全架构和系统。 图1:ATT&CK和Kill Chain的融合图 在FireEye 的M-Trends 2020 Reports中,发现攻击者隐藏或者驻留时间的中位数为56天。
发布时间:2020-04-01 10:51 | 阅读:43729 | 评论:0 | 标签:技术

扯谈SDL(一)

借用鸟哥PPT的宝图 今天PYQ看到一篇文章《SDL已死,应用安全路在何方?》,也就想着来扯谈一下SDL。不做科普,不捧不踩,纯粹扯谈。 很“重”的SDL 实际上,SDL已经挺重的了,这是我个人的感觉。这个重有几个方面: 1、流程重。 SDL要做卡点,要做持续集成,就需要将设计、开发、测试、上线、运行拆得很细,做精细化管理,明确到什么阶段要做什么检查,要遵循什么规范,要提交什么材料。这个过程中涉及的流程、工具、规范的量不小。除了要专业懂技术的人来做,还得有专业懂做事的人来推动。而往往,这两类人不是同一个人。 2、人员重。 SDL要做好覆盖,需要安全、开发、测试、运维、产品等各类人员参与和投入。
发布时间:2020-03-23 10:19 | 阅读:53998 | 评论:0 | 标签:技术

我为什么反对大数据?

作者:安全岛 精彩观点 在大数据时代已经到来的时候要用大数据思维去发掘大数据的潜在价值在中国,绝大多数的公司是没有太多数据的现实的情况往往是数据只能验证现在,数据无法预见未来一切不以解决业务为出发点的技术都是耍流氓很多时候数据并没有我们想象的这么值钱,尤其是互联网上很容易采集到的数据大数据应该是从小数据逐渐演变上去的,是一个正常的生态,而不是瞬间变化的 声明 个人言论,本文仅从另一个视角看待大数据,如不能理解请一笑而过,勿做无谓的拍砖,仅此而已。 引言 现在很多人都热衷于把大数据放在嘴边,但你要问一下什么是大数据,大数据和你有什么关系?估计很少人能说出个一二三来。
发布时间:2020-02-09 21:20 | 阅读:42614 | 评论:0 | 标签:技术 大数据

八类典型医疗场景下的数据使用风险

如今,伴随 “云大物移” 等前沿技术的普及应用,医疗信息化建设呈现高速发展态势,医疗数据在流动中被更加充分的加以利用,其价值与重要性愈发受到关注和重视。然而,医疗数据安全关系患者隐私、技术研发等重要、敏感领域,一旦发生泄露将对医患利益、社会稳定乃至国家安全造成严重影响,因此必须做好医疗数据的安全防护与治理。本文将通过八类典型医疗场景,逐一阐述医疗数据在不同场景下的使用风险及相关内容: 场景一:互联互通数据安全 医院等医疗机构为实现跨机构、跨地域的健康诊疗信息交互、共享和医疗服务协同,需要在各医疗机构、医联体信息平台之间实现数据(电子病历、电子健康档案等)的互联互通与信息共享。
发布时间:2020-02-09 21:19 | 阅读:35945 | 评论:0 | 标签:技术

2002-2019 年美国 IT 和网络空间安全预算

随着“十四五”规划的临近,各行各业都准备做新的规划了。对于安全行业来说,在规划阶段最常见的问题就是:需要多少预算,有什么依据? 不管是 IT 领域,还是安全领域,美国一直是我们的学习的对象。关于“钱”的问题一直是比较复杂的(预算、决算、统计口径、……),我把自 2002 年以来美国联邦政府所有公开的报告进行了分析,把预算口径(而非其他)的数据拿出来,供大家在回答安全预算相关的“灵魂拷问”时参考。
发布时间:2020-02-09 21:19 | 阅读:38828 | 评论:0 | 标签:技术

为什么ATT&CK对APT关联归属分析用处不大

本文作者:汪列军https://mp.weixin.qq.com/s/Cb7tROj0BXSOxnqyjftlRw 前两天看到个文章,综述了厂商在APT检测和分析方面的实践,其中提到了利用ATT&CK框架这个工具分析关联APT攻击。我司威胁情报中心做APT分析也有几年了,有限的经验告诉我们这个事情是不靠谱的。当时在朋友圈里简单说了几句,表达实在受限,这里再展开说一下。 为什么我那么说 ATT&CK这个当红炸子鸡是什么我就不多说了,介绍的文章汗牛充栋,但跟APT的关联分析扯上边还远了点,下面是为什么。
发布时间:2020-02-09 21:18 | 阅读:39116 | 评论:0 | 标签:技术

洋葱式信息安全观察-网络安全作战室与威胁情报(CybSecWR with TI)

楔子:没有发现威胁,就不可能有效的组织响应活动。 随着企业IT成熟度的提升,很多企业或机构已经出现了IT运行作战室模式,例如:DR-WR(Disaster Recovery War Room,灾难恢复作战室)就是典型的运行作战室模式,DR-WR基于灾难假设,当灾难(例如:地震、海啸、台风、滑坡等自然灾害)发生时,生产中心遭受的损害程度到达一定阈值,则将生产任务迁移或局部迁移到灾备中心,在未来的某一时间点进行恢复回切。由以上案例可以看出,上一代作战室以事件(Event)为导向,设置了相应的组织机构和工作流程。
发布时间:2020-02-09 21:17 | 阅读:35728 | 评论:0 | 标签:技术

洋葱式信息安全观察-幸存者偏差与威胁情报的攻防演练应用

越来越多的企业开始采用威胁情报作为网络安全的解决方案,并且越来越多的企业开始重视攻防演练,这些攻防演练包括企业内部组织的和其他第三方组织的。在拥有威胁情报的前提下,如果把威胁情报和攻防演练结合起来进行应用?例如:针对扫描器和C&C,威胁情报所提供的信誉值,在攻防演练中如何使用?假设,扫描器和C&C符合正态分布。 左侧信誉值为100,右侧信誉值为1,分数步长为1。信誉值100为置信度最高、时效最高,信誉值为1,置信度最低、时效最低,信誉值为0则默认为不计入威胁。
发布时间:2020-02-09 21:16 | 阅读:42089 | 评论:0 | 标签:技术

代码分析平台CodeQL学习手记(二)

代码分析平台CodeQL入门(一)在上一篇文章中,我们为读者介绍了CodeQL平台相关的基本概念,并演示了如何编写和运行简单的QL程序。在本文中,我们开始为读者介绍一些简单的数据类型,以便为将来的编程工作打好基础。基本数据类型及其内建函数现在,我们开始学习QL语言中的基本数据类型,包括整型、浮点型、日期型、布尔型以及字符串类型。需要注意的是,对于QL语言来说,其支持的数据类型都带有相应的内建函数——通俗来说,就是系统已经为我们写好的函数,我们直接拿来就能用了。举例来说,如果我们想求一个整数的绝对值,直接调用内建函数abs()即可,例如-6.abs()。
发布时间:2019-12-24 13:25 | 阅读:51508 | 评论:0 | 标签:技术 CodeQL

剖析洋葱路由Tor网桥与可插拔传输(下篇)

背景这是系列文章中的下篇,在上篇文章中,我详细介绍了Tor浏览器的内置网桥如何通过三个进程(firefox.exe、tor.exe和obfs4proxy.exe)工作的,以及Tor浏览器如何与Obfs4网桥客户端进行通信的,最后还介绍了这三个进程之间的关系。在本文中,我将继续说明Tor如何利用Obfs4网桥来绕过审查。使用Tor时的流量:使用/不使用Obfs4网桥在讨论Obfs4网桥之前,我想首先解释一下启用Obfs4网桥的Tor浏览器与未启用的浏览器之间的区别。为了清楚易懂,我绘制了两个Tor流量图,如下所示。
发布时间:2019-12-23 18:25 | 阅读:184321 | 评论:0 | 标签:技术 逆向破解 Tor 洋葱路由

代码分析平台CodeQL学习手记(一)

引言CodeQL是一个代码分析平台,在它的帮助下,安全研究人员可以利用已知的安全漏洞来挖掘类似的漏洞。在本文中,我们首先为读者介绍与代码分析平台CodeQL有关的一些基本概念,同时,还会为实例方式为读者展示了如何编写和运行QL语言编写的简单代码。CodeQL基本概念漏洞挖掘范式我们知道,在挖掘漏洞的时候,最少有两条路可走:对于高手来说,可以硬怼,就像艺术家,可以直接在纸上作画。我们不妨将这种范式称为画葫芦范式。这条路的优点是,有可能挖到0 day,缺点是对研究人员的要求较高,换句话说,就是对新手不太友好。不过,大家也不要灰心,因为还有另一条路可走:照葫芦画瓢。
发布时间:2019-12-21 13:25 | 阅读:67654 | 评论:0 | 标签:技术 CodeQL

渗透基础——活动目录信息的获取

0x00 前言在域渗透中,活动目录信息的获取必不可少。本文将要以获取活动目录中所有用户、所有计算机和所有组为例,介绍常用的信息获取方法。0x01 简介本文将要介绍以下内容:· 域外获取活动目录信息的方法· 域内获取活动目录信息的方法· 使用C++调用ADSI接口获取信息的方法0x02 基础知识域环境使用directory database(目录数据库)来存储用户、计算机账户和组等对象。使用LDAP(Lightweight Directory Access Protocol)(轻量目录访问协议)来查询和更新目录数据库。
发布时间:2019-12-17 13:25 | 阅读:63827 | 评论:0 | 标签:技术 渗透基础

渗透技巧——使用远程桌面协议建立通道

0x00 前言最近从@cpl3h的博客中学到了使用远程桌面协议建立通道的方法。本文将对这个方法进行整理,结合自己的经验,添加个人理解。学习地址:https:
发布时间:2019-12-13 13:25 | 阅读:106376 | 评论:0 | 标签:技术 渗透技巧

小白带你读论文 & LEMNA: Explaining Deep Learning based Security Applications

前言本次带来的是一篇信息安全顶会之一的2018 CCS Best Paper,主要阐述的是作者实现了一种解释深度学习决策原因的方法:LEMNA。这一方法明显弥补了在安全领域解释方法的稀缺和低保真率的问题。背景知识众所周知,深度学习在图片分类上有着比较显著的核心地位,比如:当我们input一张图片给计算机后,计算机可以根据这张图片,输出描述该图像属于某一特定分类的概率的数字(比如:80% 是机器人、15% 是人、5% 是电视机)。而这一目的的实现,目前一般采用的是CNN(卷积神经网络)。
发布时间:2019-12-12 13:25 | 阅读:66499 | 评论:0 | 标签:安全工具 技术 CCS Deep Learning LEMNA exp

Cobalt Strike的blockdlls利用分析

0x00 前言Cobalt Strike 3.14添加了blockdlls功能,限定子进程只能加载带有Microsoft签名的dll。这个功能可以阻止第三方安全软件向子进程注入dll,也就无法对子进程进行hook,最终起到保护子进程的效果。XPN在他的博客中也介绍了相关内容,地址如下:https://blog.xpnsec.com/protecting-your-malware/本文将要扩展blockdlls的利用方法,分别介绍查看进程是否开启blockdlls和修改当前进程开启blockdlls的方法,比较Win8和Win10系统在使用上的区别,开源c代码,分享脚本编写的细节。
发布时间:2019-12-11 13:25 | 阅读:48286 | 评论:0 | 标签:技术 Cobalt strike

Reverse RDP攻击:Hyper-V Connection

概览2019年2月,checkpoint研究人员发布了Reverse RDP Attack攻击(https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/ )的文章,介绍了RDP协议客户端中的多个关键漏洞。研究人员进一步分析发现该攻击还可以针对Hyper-V发起攻击。研究人员在RDP客户端中发现的路径遍历漏洞也适用于Hyper-V管理器的guest-to-host VM逃逸,该漏洞CVE编号为CVE-2019-0887,微软也已发布了针对该漏洞的补丁。
发布时间:2019-12-01 13:25 | 阅读:58870 | 评论:0 | 标签:技术 Reverse RDP攻击

Txhollower使用Process Doppelgänging绕过检测

背景研究人员在分析GandCrab勒索软件过程中,发现一个有趣的行为:即在攻击链中使用了Process Hollowing技术。但这并不完全是一种Process Hollowing实现,而是一种包含了Process Doppelgänging的混合变种。研究人员将该加载器命名为TxHollower,因为Transactional NTFS API的缩写就是TxF,而Malwarebytes研究人员将这种特定的实现方式称之为Transacted Hollowing。研究人员通过分析获取的样本发现共有7个不同的版本,有超过20种不同的恶意软件家族在使用它。第一个样本就是几个月前的Osiris。
发布时间:2019-11-29 13:25 | 阅读:62159 | 评论:0 | 标签:技术 Txhollower

持续对抗xHunt:通过DNS隧道检测阻止新型PowerShell后门

摘要在对xHunt活动的持续分析过程中,我们观察到存在与pasta58[.]com域名相关联的多个域名,这些域名与已知的Sakabota命令和控制(C2)活动相关。在2019年6月,我们观察到其中一个重复使用的域名(windows64x[.]com)被用作新的基于PowerShell后门的C2服务器,我们将其命名为CASHY200。该PowerShell后门使用DNS隧道与其C2服务器进行通信,通过向上述域名所对应的攻击者控制的域名服务器发出DNS A查询来实现。CASHY200解析C2服务器在DNS回答中提供的数据,以在系统上运行命令,并将结果通过DNS查询的方式发送回C2。
发布时间:2019-11-29 13:25 | 阅读:45977 | 评论:0 | 标签:技术 DNS Powershell xHunt 后门

渗透技巧——从远程桌面客户端提取明文凭据

0x00 前言在之前的文章《渗透技巧——获得Windows系统的远程桌面连接历史记录》曾介绍了获得远程桌面连接历史记录的方法。在实际的渗透过程中,如果发现了远程桌面连接的历史记录,那么下一步就需要想办法获取远程桌面连接使用的口令。本文将会结合RdpThief介绍从远程桌面客户端提取明文凭据的方法,分享需要注意的细节。
发布时间:2019-11-21 13:25 | 阅读:90835 | 评论:0 | 标签:技术 渗透技巧

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云