记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

像黑客一样思考:应对安全问题所需的心理模型

以下7种方法可以改变你解决问题的方式在信息安全领域,人们常常被要求“像黑客一样思考”。但是问题是,如果你想到的只是一个非常狭义的黑客(例如,只会攻击Web应用程序的黑客),那么它可能会对你的思维模式和业务开展方式产生负作用。俗语有言“一知半解,害已误人”,孤立的事实并不能很好地呈现事情本来面目。正如传奇投资人Charlie Munger曾经所言,“如果你只是记住一些孤立的事实,那么你不能真正知道任何事情。如果不将事实与心智模型的网格联系在一起,你就不能使用它们。”你必须建立自己的心理模型。而且必须将你的间接和直接经验排列在模型的网格上。具体来说,如果有一些学生只是尝试记住一些事情并回想所记住的内容,那么他们在学校和生活中都是失败的,你必须将经验放在你头脑里心理模型的网格上。当然,不仅仅是建立心理模型就可以了,你
发布时间:2018-01-25 00:35 | 阅读:92125 | 评论:0 | 标签:术有专攻 心里模型 思考 黑客

“零信任”安全架构将成为网络安全流行框架之一

零信任网络(亦称零信任架构)模型是约翰·金德维格( John Kindervag )于2010年创建的,当时他还是研究机构Forrester的首席分析师。如今7年过去了,随着零信任的支撑技术逐渐成为主流,随着防护企业系统及数据安全的压力越来越大,随着网络攻击演变得更加复杂高端,零信任模型也在CIO、CISO和其他企业高管中间愈加流行了。Forrester认为,3年内零信任就将成为网络安全流行框架之一。零信任是什么?零信任是一个安全概念,中心思想是企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。简言之,零信任的策略就是不相信任何人。除非网络明确知道接入者的身份,否则任谁都别想进入。什么IP地址、主机之类的,不知道用户身份或者不清楚授权途径的,统统不放进来。为什么要
发布时间:2018-01-22 21:35 | 阅读:60622 | 评论:0 | 标签:术有专攻 安全架构 零信任

无文件攻击的兴起与应对之道

无文件攻击比基于恶意软件的传统威胁更容易实施也更有效,因而给公司企业的安全防护带来了更大的挑战。网络罪犯自然会寻找阻力最小的途径实施攻击,这也正是越来越多的网络罪犯采用无文件攻击的原因所在。随着攻击者对该攻击手法的应用越来越得心应手,企业雇员越来越依赖移动设备和云来开展工作,无文件攻击的威胁也越来越大了。无文件攻击也就是非恶意软件攻击,是一种可以让攻击者省去传统恶意软件攻击所需步骤的攻击手法。他们不用创建攻击载荷,只需简单地利用可信程序获取内存访问即可。2017年,利用PowerShell或WMI的无文件攻击占了全年攻击总数的52%。尽管如此,企业依然没有对无文件攻击投以足够的关注。大多数人对网络安全行业的认知依然停留在打了多年交道的传统攻击方法上。企业是时候进一步了解这些威胁的工作机制了。他们有必要搞清如何检
发布时间:2018-01-20 18:25 | 阅读:65466 | 评论:0 | 标签:术有专攻 凭证泄露 安全培训 无文件攻击 神恩 网络钓鱼

医疗行业:为什么机器学习不是改善安全的万灵药

医院和其他医疗保健提供商一直是黑客的主要目标。随着提供商越来越依赖信息技术,网络攻击的潜在负面影响在2018年将更加巨大。网络攻击除了造成巨大的经济损失,还往往会切断重要的医疗服务。医院遭到攻击的一个严重后果就是,病历系统有可能宕机或被加密。这种情况一旦发生,医生就不得不退回到手动开具处方,人工交接病历的境地。他们可能看不到患者医疗记录、用药记录、过敏史、测试结果等等重要信息。网络攻击威胁越来越大,攻击的破坏性也逐年上升,医疗保健企业开始寻求能够更好保护自身的新型安全解决方案。虽然很多安全提供商都声称自己的产品集成了机器学习,但太多情况下这都仅限于市场营销手段,他们真正提供的不过是早已面世多年的老一套文件扫描杀毒解决方案的升级版而已。与此同时,精通科技的医疗保健提供商需要的,却不仅仅是改良版的杀软。当前围绕机器
发布时间:2018-01-20 01:25 | 阅读:74550 | 评论:0 | 标签:术有专攻 医疗 机器学习

网络钓鱼案例及防御措施

我们知道许多通过恶意软件或系统漏洞来窃取密码的技术方法,而其中最难抵御的方法之一就是让用户在不知情的状况下主动披露自己的登录凭证。是的,这就是网络钓鱼。具体来说,网络钓鱼就是诱骗用户访问假冒的钓鱼网站并将自己的登录凭证输入其中的一种技术手段。我们经常会看到假冒的Gmail或Dropbox电子邮件,而且大多数用户都有能力判断这些邮件属于传统的钓鱼邮件。但是,一旦钓鱼邮件涉及工作相关内容或看似来自其他可信来源时,用户便难以判断其真伪。试想一下,如果你收到一封自称为企业IT部门的电子邮件,内容为邀请用户登录新的人力资源系统。而企业又具备非常正规的沟通方式和渠道,那么这种通知方式就不免显得十分奇怪。但是,如果情况并非如此,该电子邮件可能会提示用户点击链接,而且如果该钓鱼网站看起来足够有说服力的话,信任的用户甚至可能会输
发布时间:2018-01-18 15:20 | 阅读:60257 | 评论:0 | 标签:术有专攻 双因子认证 安全意识培训 网络钓鱼

最有效率的安全团队并不一定最有经验 也不一定人数最多

从WannaCry到NotPetya,2017年全球呈现出了新一轮的网络威胁趋势,一起起攻击事件以机器速度(machine-speed)定期占据着新闻报道的头版头条。一般在遭遇勒索软件攻击之后,谈论最多的话题要么是找出攻击背后的罪魁祸首,要么是感叹自身未能及时修复漏洞,但是现在出现了一个更亟待解决的问题:面对如此高自动化的攻击趋势,安全团队不得不迅速做出响应。然而,可悲的是,作为网络安全捍卫者,我们却很难跟上攻击者的步伐。面对全球超过100万的网络安全专业人员技能缺口,组织如何才能实现在复杂而迅速的攻击活动中占得先机,保持主动呢?接下来就为大家提供一些建议,以帮助您能够在2018年运用相同的资源发挥更大的效用。1. 让AI挑大梁我们正面临严重的网络安全技能短缺现状,市场对熟练从业者的需求始终得不到满足。公司也很
发布时间:2018-01-17 22:20 | 阅读:70879 | 评论:0 | 标签:术有专攻 AI 优先级 创新性 安全团队

2018网络安全预算:到底花多少钱才能有效保护企业

去年又是重大数据泄露频发的一年,安全问题成为了每家公司管理层肯定会考虑的事项之一。安全相关的各种考虑中,最重要的或许就是到底要花多少钱才能在大范围网络攻击和数据泄露时代有效保护公司数据了。埃森哲咨询公司发布的《2017网络犯罪损失》https://www.accenture.com/t20170926T072837Z__w__/us-en/_acnmedia/PDF-61/Accenture-2017-CostCyberCrimeStudy.pdf显示,2017年网络安全支出比上一年度增长23%。大部分支出源于网络攻击频率及其所造成损失的增长,每起安全事件导致的平均损失高达100万美元。为避免网络安全事件造成的破坏和损失,公司企业需建立周全而明智的安全预算,该预算需考虑到自身主要安全漏洞,又有助于强化自身防御。
发布时间:2018-01-15 19:15 | 阅读:51706 | 评论:0 | 标签:术有专攻 人才短缺 合规 安全支出 安全策略 安全预算 恢复

这起数据泄漏事件为“内部威胁的高昂代价”上了现实的一课!

威廉莫里森斯超市是英国的第四大连锁超市,在2017年”世界500强”企业中,排名498位。2014年,Morrisons遭遇了一起严重的数据泄露事件,致使大约10万名员工的工资账户泄露,其中包括员工的姓名、家庭住址以及银行账户和工资细节等。经调查发现,造成此次事件的罪魁祸首是Morrisons总部的高级内部审计员Andrew Skelton。他不仅通过滥用职权绕过Morrisons的安全保护盗取到了这些资料,还将部分资料发布在了网上,并刻成光盘送至了报社,引起舆论一片哗然。Andrew Skelton最终,Andrew Skelton被控“未经授权擅自使用计算机资料和泄露个人资料”而遭到了警方的逮捕。在2015年,布拉德福德皇家法庭宣判Andrew Skelton罪名成立,被判入狱8年。但是,此次泄漏事件并没有
发布时间:2018-01-10 19:50 | 阅读:81323 | 评论:0 | 标签:术有专攻 内部威胁 威廉莫里森斯超市 数据泄露 社会工程 集体诉讼

你知道敏捷加密吗?

近期,流行加密算法频现漏洞,一系列针对加密算法的成功攻击,不禁让人期望公司企业都能理解敏捷加密的重要性。我们的世界依赖安全的数字加密。安全不意味着永远不会被破解。任何严谨的密码学家都不会宣称哪种加密算法是什么牢不可破的。事实上,密码学家总是假定每种加密算法都终将被破解。加密专家能对你说的,顶多是要破解某种加密算法“并不容易”,也就是没有明显的、容易实现的攻击。所有加密算法都经不住时间的侵蚀。这一结论比备受推崇的摩尔定律更真实可信。敏捷加密是什么?最近一波对加密算法的破解十分令人震惊,加密算法看起来似乎一个接一个被攻破,而且这仅仅是在最近几个月里发生的。所以,公司企业必须做到敏捷加密,时刻准备着从一种加密标准切换到另一种加密标准。现实就是如此,我们只能适应。敏捷加密是加密社区长久以来的一个概念,甚至广为使用的 x
发布时间:2018-01-10 02:50 | 阅读:85872 | 评论:0 | 标签:术有专攻 SHA-1 WPA2 敏捷加密 算法缺陷 加密

一篇文章教你如何构建网络安全战略体系

网络安全是确保信息的完整性、保密性和可用性的实践。它代表防御安全事故和从安全事故中恢复的能力。这些安全事故包括硬盘故障或断电,以及来自竞争对手的网络攻击等。后者包括脚本小子、黑客、有能力执行高级持续性威胁(APT)的犯罪团伙,以及其他可对企业构成严重威胁的人。业务连续性和灾难恢复能力对于网络安全(例如应用安全和狭义的网络安全)至关重要。安全应该成为整个企业的首要考虑因素,且得到高级管理层的授权。我们如今生活的信息世界的脆弱性也需要强大的网络安全控制战略。管理人员应该明白,所有的系统都是按照一定的安全标准建立起来的,且员工都需要经过适当的培训。例如,所有代码都可能存在漏洞,其中一些漏洞还是关键的安全缺陷。毕竟,开发者也只是普通人而已难免出错。安全培训人往往是网络安全规划中最薄弱的环节。培训开发人员进行安全编码,培
发布时间:2018-01-08 16:50 | 阅读:71626 | 评论:0 | 标签:术有专攻 安全培训 网络威胁 网络安全战略 网络安全职位

采购网络安全产品或服务的最佳方式

采购网络安全技术的最佳方式是什么?这个问题似乎有点难以回答。虽然大多数网络安全人员都觉得自己预算不足、人手不足,面对不断涌现的网络威胁、成山成海的事件警报,往往有心无力、疲于应付,但有一个办法可以应对该严峻的局面——效率。如果能拿到更多预算,我们会做什么?我们怎样确保钱都花到刀刃上,获得最大收益?搞清如何有效采购信息安全产品,并不像初看上去那么简单。有四个基本方法可以遵循:1. 大品牌路线一站式服务听起来不错。无论是否业内最佳,从一家大型供应商处购置全部所需产品。反正一旦出事,要怪就怪那一家,对吧?2. 精品店路线调查研究“业内最佳”品牌,购入所有热门解决方案。这种方式与大品牌路线正相反,需要走访很多家小店。3. 全部定制路线雇佣小型提供商,将他们的研发导引到自己的需求上来,让他们为自己定制所需全部产品。这么做
发布时间:2018-01-04 22:10 | 阅读:73511 | 评论:0 | 标签:术有专攻 安全产品 安全服务 安全预算 采购

关键基础设施真实威胁及应对之道

社会工程攻击可以引发停电,网络攻击直接导致电力供应中断的首个案例,当属2015年圣诞夜前夕的乌克兰大断电事件。2015年12月23日,当地时间下午3:35,伊万诺-弗兰科夫斯克州(乌克兰西南部,与罗马尼亚接壤,靠近匈牙利、斯洛伐克和波兰),7个110千伏(kV)和23个35kV的变电站断线3个小时。这起事故影响到3家能源输送公司,导致22.5万客户断电。之后不久,乌克兰国家安全局(SBU)指称是俄罗斯干的。鉴于这种行动需要大量时间进行部署,乌克兰的断言也不无道理。这是怎么发生的?社会工程!所有的一切,都从假冒乌克兰议会(Rada)邮件地址的鱼叉式网络钓鱼攻击开始的。任何雇员通常都不会拒收这样的邮件,在某些社会结构中,无视来自议会的邮件甚至会带来不幸。于是,雇员打开邮件,点开附件,允许宏编译;然后,恶魔放出,一切
发布时间:2018-01-02 19:00 | 阅读:70137 | 评论:0 | 标签:术有专攻 关键基础设施 安全威胁 防护建议

2018网络安全发展趋势小析

又到了回顾过去展望未来的时间,SurfWatch Labs 的首席安全战略官 Adam Meyer 花了很多时间,分析了大量威胁数据,希望能寻求其中的规律并给客户在网络威胁方面更好的准备建议。在这一背景下,他提出了下面5点关于2018年网络安全的预测。1. 2018年,个人与组织应认识到个人标识不该作为认证使用尽管在企业中长时间存在着混淆,区分个人标识和认证信息是很重要的。个人身份标识信息是类似社会安全码、驾照号码甚至地址。认证可以是一个问题,回答正确则认证你是这个人没错。基于知识的认证包括像是什么是你高中的吉祥物、你第一辆车是什么这种问题。或者,是基于信用数据和大量使用的作为廉价认证工具却有高安全性的双因素认证(2FA)。不幸的是,太多企业使用个人标识作为认证方式,大量的如同Equifax的泄露告诉我们在20
发布时间:2017-12-23 03:25 | 阅读:89657 | 评论:0 | 标签:术有专攻 2018 供应链 勒索攻击 安全趋势 数据泄露 机器学习 预测

机器学习作用于信息安全的五大顶级案例

通俗讲,机器学习就是“(计算机)无需显式编程即可学习的能力”。跨海量数据集应用数学技术,机器学习算法可建立起行为模型,并基于新输入的数据,用这些模型做出对未来的预测。视频网站根据用户的历史观看记录推出新剧集,自动驾驶汽车从擦肩而过的行人学习路况,都是机器学习的例子。那么,信息安全中的机器学习应用又是什么呢?大体上,机器学习可帮助公司企业更好地分析威胁,响应攻击及安全事件;还有助于自动化更琐碎更低级的工作,也就是之前工作量巨大或技术欠缺的安全团队所做的那些。安全方面,机器学习是个快速发展的趋势。ABI Research 的分析师估测,在网络安全界,机器学习将推动大数据、人工智能(AI)及分析的投资,有望在2021年达到960亿美元,同时,世界科技巨头已经在采取措施更好地保护自己的客户。谷歌用机器学习来分析安卓移动
发布时间:2017-12-19 01:05 | 阅读:98285 | 评论:0 | 标签:术有专攻 信息安全 分析检测 机器学习 移动终端安全 自动化

以毒攻毒 利用自动化对抗自动化

自治恶意软件造成的破坏,可能会带来毁灭性影响。公司企业和消费者,都想能够更方便更及时地,从越来越复杂的互联设备及网络,获取个性化的信息及服务。这是这种需求,驱动了我们经济的数字化转型。访问个人及财务信息的在线设备增加,虚拟及多云环境蔓延,以及万物互联的膨胀——从车辆、家居、办公及工业中的IoT设备军团和关键基础设施,到智慧城市的兴起,共同为网络罪犯创建了新的破坏机会。想要获得成功的公司,不仅仅需要领先消费者和雇员一步,还得走在想要利用这些新机会的犯罪分子前头。黑帽自动化网络罪犯已经开始在其攻击战术、技术和规程(TTP)中利用自动化和机器学习了。利用自动化前端挖掘信息和漏洞,结合基于人工智能(AI)的分析在后端关联盗取的结构化及非结构化大数据的攻击,已经进入我们的视野。此类数据密集型攻击策略的问题,在于需要大量计
发布时间:2017-12-18 06:40 | 阅读:87606 | 评论:0 | 标签:术有专攻 AI 专家系统 网络攻击 自动化 黑客

5步建立起更好的IoT安全基线

企业接入点制造商Ruckus又补上了一堆指令注入漏洞,这些漏洞可致ZoneDirector控制器和Unleashed AP虚拟控制器被黑客完全掌控。其中一个漏洞,与去年被披露的Ruckus Web-GUI问题极端相似。虽说任何足够复杂的软件都难免出现漏洞,但仍有几个缓解方法可以大幅减小成功漏洞利用的影响。2017年,没理由让某些设计缺陷在一个又一个产品中不断复现。安全人员是时候开始对供应商期待更多了。以下几个安全操作,我们应纳入IoT安全基线来考虑:1. 别再什么都用root权限来运行或许在嵌入式Linux早期,资源限制让开发者不得不放弃传统基于用户的安全模式,而转向什么都用root用户来执行。时至今日,再没有任何借口连Web服务器都以uid为0的最高权限来运行了。默认情况下,管理界面应以较小权限运行,只可执行
发布时间:2017-12-14 20:35 | 阅读:67135 | 评论:0 | 标签:术有专攻 IoT安全 安全基线

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词