9 小时前 / xF0rk
SaaS模式下,企业用户无需维护系统,只需登录就可以享受系统功能带来的便利。但是SaaS服务和数据部署在云端而不是本地机房,可能存在不可控问题。 企业用户最关注的是自己的数据能不能得到有效的保护。 本文整理了10个必问的SaaS安全问题,包括基础安全,应用安全,安全合规、数据安全、安全责任划分等方面,可以快速了解SaaS厂商的安全能力。 1、SaaS软件的部署方式? A、是否支持私有化(本地)部署? 本地化的安全系数相较于SaaS会更高,如果是企业核心数据的系统,安全性要求较高,不希望这些核心数据由第三方来负责,可以选择SaaS私有......
1 天前 / why技术
持续输出原创文章,点击蓝字关注我吧 这是why技术的第29篇原创文章 之前在写《这道Java基础题真的有坑!我求求你,认真思考后再回答。》这篇文章时,我在8.1小节提到了快速失败和失败安全机制。 但是我发现当我搜索"快速失败"或"失败安全"的时候,检索出来的结果百分之90以上都是在说Java集合中是怎么实现快速失败或失败安全的。 在我看来,说到快速失败、失败安全时,我们首先想到的应该是这是一种机制、一种思想、一种模式,它属于系统设计范畴,其次才应该想到它的各种应用场景和具体实现。而不是立马想到了集合,这样就......
5 天前 / xF0rk
作者:「Tencent Blade Team」Leonwxqian & Xbalien & Nicky 智能音箱是近几年最热门的智能设备,在销量的暴涨背后,各种智能音箱“偷听”的新闻也让人们非常担心智能音箱会泄露自己的隐私,而在2018年初Tencent Blade Team把关注点放在了智能音箱自身的安全漏洞上,当时国外的苹果,谷歌,亚马逊,以及国内的阿里巴巴,百度,小米均已加入了这个战场发布了各自的智能音箱产品,团队选取当时全球用户最多,破解难度最高的Amazon Echo,Google Home,小米AI音箱作为研究目标,耗时近一年时间完成了对这三款智能音箱的远程无接触式破解(静默窃......
5 天前 / 姬野
在这作为已经是区块链世界的局内人,我有一些思考写出来和我的关注者们聊聊。 首先过去两年,我在这已经做了一些主要围绕区块链安全的分享(15 篇文章),感兴趣的可以回到“懒人在思考”公众号底部菜单,查看“黑技能”->“加密货币”。如果之前我们有过去两年的默契,那这篇文章的思考应该能更好引起共鸣^_^ 三个魔盒 区块链发展史,我认为有三个魔盒般的里程碑,既然是魔盒,那一定是带来足够影响力的,虽然不一定带来足够的落地。 第一个就是比特币,中本聪共识的世界,这个其实不用多说,比特币/中本聪已经是这个世......
6 天前 / 猿天地
转自:Hack 大家好,我是九歌。 今天我和大家聊一聊诈骗的事。 朋友上个月送了我一张免实名的电话卡,于是我插到手机里用来注册网站APP使用,有趣的是,前几天我这张电话卡在短短几分钟内收到无数条短信、电话轰炸。 因为这张电话卡插入的手机是闲置机,我索性将它关机了,关机不到十分钟,我另一台手机开始响铃了,接听后,对方直接说“你好,你是庄磊的父亲吗” 我用朋友的那张卡在网上注册账户时使用的身份就是庄磊,如今那台手机关机了,打到我这一台手机上了,我愈发觉得有趣了,于是顺着他说“对,我是庄磊的......
7 天前 / xF0rk
在大数据应用普及以及信息安全上升为国家高度后,信息安全能力落地的挑战日益增多。一方面,企业内部的安全体系架构日益复杂,各式各样的安全数据越来越多,传统分析方法难以奏效。另一方面,传统分析方法无法有效的检测新型攻击手法。同时,在大数据时代下对威胁的判断以及响应有着更高的要求。为此,本文介绍如何通过开源组件搭建一个大数据安全分析平台,并且分享部分相关经验。本文主要从以下六个方面进行介绍: 1.平台框架 2.数据库设计 3.离线数据准备 4.Python2->3的升级 5.归一化注意事项 6.安全分析准备 一、平台框架 ......
15 天前 / xF0rk
基于Spark的SOC ML检测平台是为企业安全运营人员打造的一站式机器学习检测服务平台,为用户提供从数据预处理、特征转换、特征提取、模型训练、模型预测、异常结果可视化到用户实时反馈的全流程可配置(无需编写代码)可直接运用于生产环境的智能威胁检测服务。SOC ML检测平台内置了多种适用于企业安全环境的数据预处理/特征提取方法和算法组件,同时检测平台融入了最新的行为分析检测思想,满足用户直接在生产环境实验及部署安全检测场景发现未知威胁的需求。拖拽式任务流设计及提供的默认模型参数(沉淀了安全分析经验)让安全运营人员能轻松快速......
16 天前 / xF0rk
2020 年的第一天,就由我来开篇吧,我在 2018 年从乙方转到了甲方工作,能够转甲方一方面是机会,更重要的一方面是因为自己的积累和在面试之前的准备,准备时间大概花了半年多,期间看了 《cissp 认证考试指南》,收集了几个 G 的甲方安全工程师分享的演讲 PPT,先从思维上进行转换,从乙方思维转为甲方思维,后来才有了进入一个甲方负责安全建设的机会。 大家都说,选择比努力更重要,但是如果没有努力,你可能连机会都没有,即使有了机会,也会因为努力不够而被淘汰,能做到每一份工作都让领导认可,并舍不得你离开,那么你的价值一定非常高,我......
16 天前 / xF0rk
思科2018年度安全报告的结果显示,40%的能使网络瘫痪的攻击都是XSS攻击,这是最常用的攻击技术。当攻击者使用web应用程序在用户的计算机上发送或执行恶意代码时,就会发生这种特殊的攻击 随着应用层的攻击越来越多,它已经成为网络安全的严重威胁 对于大量应用程序来说,这已经是最大的安全性问题,特别是那些高可用性操作或优先服务中实现的应用程序,如医疗、银行、电子商务等 根据《2018年全球安全报告》(global security report 2018)给出的数据,平均每个应用程序大约有11个漏洞隐患 这份报告显示,网络攻击正变得......
19 天前 / 涯之叶
黑客技术一度被认为是一个神秘的特有领域,随着技术的进步和领域环境的进步,它已经成为一种非常普遍的现象。一款好的工具,会让工作事半功倍。黑客工具就成为黑客手里的神兵利器。今天华盟君给大家推荐一些2019年优秀的黑客工具。以下排名不分先后,都是华盟君和朋友们这一年内觉得好用的工具,在此总结盘点推荐给大家! NO.1Cobalt Strike -- 后渗透工具 CobatStrike是一款基于java编写的全平台多方协同后渗透攻击框架。集成了端口转发、端口扫描、socket代理、提权、钓鱼、远控木马等功能。该工具几乎覆盖了APT攻击链中所需要用到......
23 天前 / xF0rk
0x01 前言 关于企业安全威胁数据收集分析是一个系统工程,每天在我们网络环境中,都会产生各种形式的威胁数据。为了网络安全防护,会收集各种流量日志、审计日志、报警日志、上网设备日志,安防设备日志等等。很多公司都有自己的数据处理流程,大数据管理工具。我们根据过去的实践经验,总结出了一个威胁数据处理模型,因为引用增长黑客的模型的命名方式,我们称这种模式为:沙漏式威胁信息处理模型。 网络环境下构建的安全发现设备或服务,其主要的作用是,增加我方的防御厚度,减缓攻方的攻速,能通过足够厚的防御措施,在攻方攻破之前发现......
23 天前 / u522151
8、边缘到端点的安全对于微服务架构,需要考虑“边缘到端点”的安全策略,具体如下图6所示:如图6所示,外部API网关执行身份认证以及其他功能,例如内容检查,然后使用诸如JSONweb令牌之类的标准,将安全内容“注入”到API调用中。接下来,微网关可以使用此安全内容信息(包括API客户端的属性,如位置)执行细粒度授权。您也可以选择,使用外部化访问管理产品,来执行该细粒度授权,例如AxiomaticsPolicyServer。如果API调用得到了授权,那么微网关会将它们传递给微服务本身。这是边缘到端点安全策略的一个好处。这种体系结构的另一个优点是微服务......
26 天前 / 用户3895439890
## 加密概述### 对称加密加密方和解密方使用同一把密钥+ **优点**:算法简单,加密解密容易,`效率高,执行快`。+ **缺点**:相对来说不算特别安全,只有一把钥匙,密文如果被拦截,且密钥也被劫持,那么,信息很容易被破译。`核心问题在于通信双方如何安全的传递密钥`### 非对称加密非对称加密有两个钥匙,及公钥(Public Key)和私钥(Private Key)。公钥和私钥是成对的存在,如果对原文使用公钥加密,则只能使用对应的私钥才能解密;因为加密和解密使用的不是同一把密钥,所以这种算法称之为非对称加密算法。非对称加密算法的密匙是通过一系列......
28 天前 / 姬野
一、攻击Docker容器-场景在上一篇文章中攻击和审计Docker容器01,介绍了Docker容器的基础知识,在本篇文章中,我们将介绍通过攻击容器从而访问主机的系统,数据和资源。 主要有以下几种攻击场景: 1、攻击容器的Capabilities(Capability 能力限制) 2、攻击不安全的数据卷挂载 3、攻击运行环境的错误配置 4、利用docker secrets 错误配置 什么是Docker Escape?通过利用Docker漏洞,弱点使攻击者能够绕过容器运行时的各种限制获取主机的权限、数据和资源。 如果攻击者能够在容器内执行任意命令,并且能够在主机上访问资源或执行命令,而不......
31 天前 / xF0rk
前两天看到个文章,综述了厂商在APT检测和分析方面的实践,其中提到了利用ATT&CK框架这个工具分析关联APT攻击。奇安信威胁情报中心做APT分析也有几年了,有限的经验告诉我们这个事情是不靠谱的。当时在朋友圈里简单说了几句,表达实在受限,这里再展开说一下。 为什么我那么说ATT&CK这个当红炸子鸡是什么我就不多说了,介绍的文章汗牛充栋,但跟APT的关联分析扯上边还远了点,下面是为什么。 记录事实的能力受限参加过RSA、Blackhat这样的安全展会可能会有些印象,厂商给你产品展示的Demo,一个攻击从初始的Payload投递、CC连接到最终的数......