- 博客(58)
- 收藏
- 关注
RSS订阅原创 网络安全能力成熟度模型介绍
经过多年网络安全工作,一直缺乏网络安全的整体视角,网络安全的全貌到底是什么,一直挺迷惑的。目前网络安全的分类和厂家非常多,而且每年还会冒出来不少新的产品。但这些产品感觉还是像盲人摸象,只看到网络安全的一个点,而不是一个整体。最近无意看到了网络安全能力成熟度模型(C2M2),有种相见恨晚的感觉。它是一套自成体系的模型,内容比较全面,更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全,并加强其运营弹性。
2023-06-26 11:43:28
9825
1
原创 ATT&CK v13版本战术介绍——凭证访问(三)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权、防御规避战术,本期我们为大家介绍ATT&CK 14项战术中凭证访问战术第13-17种子技术,后续会介绍凭证访问其他子技术,敬请关注。
2023-06-16 10:09:26
425
原创 ATT&CK v13版本战术介绍——凭证访问(二)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权、防御规避战术,本期我们为大家介绍ATT&CK 14项战术中凭证访问战术第7-12种子技术,后续会介绍凭证访问其他子技术,敬请关注。
2023-06-12 15:54:52
996
原创 ATT&CK v13版本战术介绍——凭证访问(一)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权、防御规避战术,本期我们为大家介绍ATT&CK 14项战术中凭证访问战术第1-6种子技术,后续会介绍凭证访问其他子技术,敬请关注。
2023-06-02 16:57:47
774
原创 ATT&CK v13版本战术介绍——防御规避(七)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术理论知识及实战研究、部分防御规避战术,本期我们为大家介绍ATT&CK 14项战术中防御规避战术第37-42种子技术,后续会介绍其他技术,敬请关注。
2023-06-02 16:48:57
591
原创 ATT&CK v13版本战术介绍——防御规避(六)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术理论知识及实战研究、部分防御规避战术,本期我们为大家介绍ATT&CK 14项战术中防御规避战术第31-36种子技术,后续会介绍防御规避其他子技术,敬请关注。
2023-05-19 15:43:20
748
原创 ATT&CK v13版本战术介绍——防御规避(五)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术理论知识及实战研究、部分防御规避战术,本期我们为大家介绍ATT&CK 14项战术中防御规避战术第25-30种子技术,后续会介绍防御规避其他子技术,敬请关注。
2023-05-12 11:50:45
569
原创 2023 ATT&CK v13版本更新指南
V13版本主要更新了更为详细的检测指导,有效提升网络安全防御技术,针对ATTCK每一类攻击技术,可以根据V13版本输出的细粒度检测指导,清晰地了解防御检测思路,选择合适的数据源进行数据采集分析,细化告警规则模型,有效提升告警精准度,降低告警误报,缩短从威胁检测-溯源分析-处置响应的闭环时间,从被动防御向纵深主动防御持续提升!
2023-05-06 11:23:16
1066
原创 ATT&CK v12版本战术介绍——防御规避(四)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术理论知识及实战研究、部分防御规避战术,本期我们为大家介绍ATT&CK 14项战术中防御规避战术第19-24种子技术,后续会介绍防御规避其他子技术,敬请关注。
2023-04-28 11:05:00
834
原创 ATT&CK v12版本战术实战研究——提权(二)
前几期文章中,我们介绍ATT&CK 14项战术中提权战术(二),包括提权前7项子技术。那么从前文中介绍的相关提权技术来开展测试,进行更深一步的分析。本文主要内容是介绍攻击者在运用提权技术时,在相关的资产服务器或者在PC机器上所产生的特征数据进行分析,使安全运维人员在后续工作中应当如何去进行预防和快速响应。
2023-04-21 11:14:36
273
原创 ATT&CK v12版本战术介绍——防御规避(三)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术、防御规避部分理论知识及实战研究,本期我们为大家介绍ATT&CK 14项战术中防御规避战术技术第13-18种技术,后续会介绍防御规避其他子技术,敬请关注。
2023-04-14 11:07:58
447
原创 ATT&CK v12版本战术实战研究——提权(一)
前几期文章中,我们中介绍ATT&CK 14项战术中提权战术(一),包括提权前6项子技术。那么从前文中介绍的相关提权技术来开展测试,进行更深一步的分析。本文主要内容是介绍攻击者在运用提权技术时,在相关的资产服务器或者在PC机器上所产生的特征数据进行分析,使安全运维人员在后续工作中应当如何去进行预防和快速响应。
2023-04-10 11:23:12
559
原创 ATT&CK v12版本战术介绍——防御规避(二)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术、防御规避(一)理论知识及实战研究,本期我们为大家介绍ATT&CK 14项战术中防御规避战术(二),包括防御规避6项子技术,后续会介绍防御规避其他子技术,敬请关注。
2023-04-10 11:20:05
408
原创 ATT&CK v12版本战术介绍——防御规避(一)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权战术理论知识及实战研究,本期我们为大家介绍ATT&CK 14项战术中防御规避战术(一),包括防御规避前6项子技术,后续会介绍防御规避其他子技术,敬请关注。
2023-03-24 14:38:46
735
原创 ATT&CK v12版本战术介绍——提权(二)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化战术、提权战术(一),本期我们为大家介绍ATT&CK 14项战术中提权战术(二),包括提权剩余7项子技术,后续会介绍其他战术,敬请关注。
2023-03-17 15:07:31
620
原创 ATT&CK v12版本战术介绍——提权(一)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中提权战术(一),包括提权前6项子技术,后续会介绍提权其他子技术,敬请关注。
2023-03-10 15:23:42
519
原创 ATT&CK v12版本战术介绍持久化(三)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术、持久化战术(一)及(二)知识,本期我们为大家介绍ATT&CK 14项战术中持久化战术(三)涉及的剩余子技术,后续会陆续介绍其他战术内容,敬请关注。
2023-03-03 15:44:23
633
原创 ATT&CK v12版本战术实战研究—持久化(二)
前几期文章中,我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术、持久化战术的知识。那么从前文中介绍的相关持久化子技术来开展测试,进行更深一步的分析。本文主要内容是介绍攻击者在运用持久化子技术时,在相关的资产服务器或者在PC机器上所产生的特征数据进行分析,使安全运维人员在后续工作中应当如何去进行预防和快速响应。
2023-03-03 15:31:38
773
原创 ATT&CK v10版本战术介绍—持久化(二)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行战术、持久化战术(一)知识,本期我们为大家介绍ATT&CK 14项战术中持久化战术(二)涉及的6项子技术,后续会陆续介绍其他战术内容,敬请关注。
2023-03-03 15:27:20
623
原创 ATT&CK v10版本战术实战研究—持久化(一)
文的主要内容是介绍 APT 攻击者在 Windows 系统下持久运行恶意代码的常用手段,其中的原理是什么,是怎样实现的,安全运维人员如何及时发现,我们应该从哪些方面预防和检测。
2023-03-03 15:10:34
522
原创 以安全有效为目标的综合运营
安全的目标这二十年来没有发生太本质的变化,唯一的变化就是规模和业务复杂度一直在膨 胀,但计算机的理论又很多年没有发生根本变化。从安全投入看,各种市场分析报告的结论都是投入一年比一年高。这就难免让人产生一个巨大问题,安全创新一浪又一浪,安全投入一天天涨,安全问题还是很多,到底哪里出了问题呢?
2023-02-04 16:26:39
495
原创 ATT&CK v10版本战术介绍执行(下篇)
在上期文章中我们介绍了ATT&CK执行战术前6项技术内容,本期我们为大家介绍执行战术后7项技术内容,后续会陆续介绍ATT&CK其他战术内容,敬请关注。
2023-02-04 16:20:09
953
1
原创 ATT&CK v10版本战术介绍-执行(上篇)
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问战术理论知识及实战研究,本期我们为大家介绍ATT&CK 14项战术中的执行战术前6项技术内容,下期介绍执行战术后6项技术内容,敬请关注。
2022-05-13 11:58:46
748
原创 ATT&CK v10版本战术介绍-初始访问
在前几期文章中我们介绍了ATT&CK中侦察及资源开发战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中初始访问战术,后续会陆续介绍其他战术内容,敬请关注。
2022-04-24 10:16:30
4827
原创 ATT&CK v10版本战术介绍—资源开发
在前两期文章中我们介绍了ATT&CK中侦察战术理论知识及实战研究,通过实战场景验证行之有效的检测规则、防御措施,本期我们为大家介绍ATT&CK 14项战术中资源开发战术,后续会陆续介绍其他战术内容,敬请关注。
2022-04-15 16:24:59
5766
原创 ATT&CK v10版本战术实战研究--侦察
上篇文章《ATT&CK V10版本战术介绍-侦察》中介绍了侦察的一些理论知识,本章主要对侦察进行技术验证。侦察包括涉及对手主动或被动收集可用于支持目标定位的信息的技术。
2022-04-02 15:43:42
5123
2
原创 ATT&CK v10版本战术介绍—侦察
在上一篇文章《2021 ATT&CK v10版本更新指南》中我们整体介绍了什么是ATT&CK、ATT&CK发展历史、应用场景、v10版本更新说明等内容,本期我们为大家介绍ATT&CK 14项战术中开篇侦察战术,后续会陆续介绍其他的战术内容,敬请关注。
2022-02-18 15:25:38
4375
原创 2021 ATT&CK v10版本更新指南
MITRE ATT&CK 是一个全球可访问的基于现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。
2021-12-06 15:12:49
3775
原创 开源OWASP CRS规则
一、OWASP介绍OWASP被视为Web应用安全领域的权威参考,在2009年发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。国际信用卡数据安全技术PCI标准更将其列为必要组件。OWASP组织为英国GovCERTUK提供SQL注入参考和为欧洲网络与信息安全局(ENISA), 云计算风险评估参考。OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要
2021-11-09 14:42:40
771
原创 安全产品的核心逻辑-WAF
概述在《软件定义安全》中介绍了所有的安全产品本质上就是对安全业务的软件开发。本文介绍WAF的核心内容和核心逻辑。一、WAF的作用Web应用防护墙(WebApplication Firewall,简称WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,主要用于防御针对网络应用层的攻击,像SQL注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。1.1 为什么要上WAFWAF是专门为保护基于Web应用程序而设计的,传统的防火墙,是.
2021-08-04 15:54:09
979
原创 安全产品的核心逻辑-杀毒软件
概述在《软件定义安全》中介绍了所有的安全产品本质上就是对安全业务的软件开发,在《安全产品的核心逻辑-防火墙》中介绍了防火墙的核心点和核心逻辑。在《安全产品的核心逻辑-IPS/IDS》中介绍ips/ids的核心内容和核心逻辑。本文接着对常用的杀毒软件做下分析。一、杀毒软件的作用杀毒软件(Anti-virusSoftware),也称反病毒软件或防毒软件,是用于消除电脑中的病毒、特洛伊木马、蠕虫等恶意软件的计算机威胁检测处理的一类软件。杀毒软件一般由扫描器、病毒库与虚拟机组成。二、基本..
2021-08-04 15:29:53
1468
原创 安全产品的核心逻辑-IPS/IDS
概述在《软件定义安全》中介绍了,所有的安全产品本质上就是对安全业务的软件开发,在《安全产品的核心逻辑-防火墙》中介绍了防火墙的核心点和核心逻辑。本文介绍ips/ids的核心内容和核心逻辑。一、IPS/IDS作用IPS(Intrusion Prevention System)入侵防御系统,部署在网络入口,一般放在防火墙后面,通过分析网络流量,检测攻击行为,并实时阻断攻击行为,保护企业信息系统不受侵害。IDS(Intrusion Detection System)入侵检测系统,和IPS的主要差异
2021-08-04 15:12:24
3059
原创 安全产品的核心逻辑-防火墙
概述在《软件定义安全》中介绍了,所有的安全产品本质上就是对安全业务的软件开发,既然是软件开发就会遵守软件开发的逻辑和过程。我们抛开复杂的产品宣传,来直接分析下每种安全产品最核心的逻辑是什么,这样有助于对安全产品有更深入的理解。在《软件定义安全》中也提到了,很多产品和方案是混合在一起的,就是传统上的一个产品在新的一些产品中变成了一个模块,这个时候对产品的理解就增加了复杂度,这里先介绍一下单独的一个产品功能,理解了一系列单独的产品逻辑后,后面的组合产品的功能就容易理解了。一、防火墙的作用防火墙,
2021-08-03 16:16:17
509
原创 软件定义安全
概述大多数的安全产品都和软件有关系,现在很多公司卖的安全硬件盒子也是操作系统加安全软件的结合体,操作系统本身也是软件。所以软件是安全的一个重要组成部分,甚至在某种程度上说软件决定安全产品,软件定义安全。一、软件无处不在在这个瞬息万变的时代,软件扮演着越来越重要的角色,人们可以随时随地用手机或平板电脑办公,手机或平板上运行的都是软件。在很多业务领域中,都需要打通PC和移动平台。凭借互联网和云计算解决方案,企业可以实现软件产品的本地化和全球部署发布。随着信息技术的发展,世界正在变得更加“智慧
2021-08-03 15:46:04
1119
原创 系统监视器(Sysmon)工具的使用
一、Sysmon介绍Sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。系统监视器(Sysmon)是Windows系统服务和设备驱动程序,一旦安装在系统上,便会驻留在系统重新引导期间,以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建,网络连接以及文件创建时间更改的详细信息。可以使用相关日志收集工具,收集事件并随后对其进行分析,可以识别恶意或异常活动,并了解入侵者和恶意软件如何在您的网络上运行。Sysmon包括以下功能:1、
2021-08-03 15:14:40
4557
原创 安全建设的成本
概述随着企业对IT的依赖程度越来越高,对安全的投入也越来越高。安全建设的投入应该是多少呢?这个不能一概而论,需要根据企业的业务和阶段来分析,这个可以参考之前的《安全建设的原则》和《安全建设的任务》。一、业界情况以美国白宫公布的2021财政年预算为例,美国联邦政府一直高度重视网络安全投入,其2021财年IT总预算为922亿美元,其中网络安全领域总预算188亿美元,比2020财年高出14亿美元。网络安全预算占IT预算的20.4%,也就是说,美国政府在IT上每投入10块钱,就有2块钱花在安全上。事
2021-07-27 16:31:05
970
原创 六面防护:教你如何打造一套深度防御体系
导读由于篇幅所限,遂将此文分为上下两篇,上篇侧重讲原理,下篇会结合原理讲述若干实际案例。概述从 Google 的 BeyondCorp 计划说起。Google 的这项行动计划名为 BeyondCorp ,目的是为了彻底打破内外网之别。其基本假设是——内部网络实际上跟互联网一样危险,原因有两点: 一旦内网边界被突破,攻击者就很容易访问到企业内部应用。 现在的企业越来越多采用移动和云技术,边界保护变得越来越难。所以干脆一视同仁,不外区分内外网,用一致的手段去对待。 本
2021-07-27 15:19:20
486
原创 网络设备中的日志分析
一、引言前几期我们介绍了关于主机的相关日志分析和威胁场景,介绍了基于账号登陆异常的检测,基于账号异常行为的检测,基于数据泄露/篡改的检测,基于进程异常的检测。本期我们将介绍对于网络设备中相关的日志进行分析。二、分析检测1.交换机端口状态频繁改变告警发生场景:一般情况而言,交换机的端口在被使用时为UP状态,未使用时为Down状态。如果状态频繁改变,会给网络链路和数据传送带来影响。攻击方式:交换机端口物理线路问题或端口工作方式以及或者为环路状态。检测思路:可以通过人工查看原始的交换机
2021-07-27 15:02:46
4195
原创 日志标准化的分类
引言在企业内承担整体安全分析的产品一般是SIEM类产品,这类产品主要的作用是收集网络中所有的安全日志并进行分析。在《运维必看:日志标准化必须面对的4类问题》中介绍了日志标准化的一些原则和方法。有了原则和方法后就需要做更细致的分析。在细致分析中,对日志进行标记统一的类别就非常重要。使用分类法创建日志分类的好处主要有: 厂商独立性,不同设备对同一个事物的描述往往不一样,通过统一的分类来屏蔽不同厂商的差异。 分析人员不需要记住环境中所有设备的特定名称,只需要了解分类名称就好。对其他分析更容易、
2021-07-27 14:36:43
1244
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人