固件渗透是网络攻击者最喜欢的供应链攻击形式之一,它可以像基于软件的攻击一样传播非常迅速并且规模非常大。另一方面,基于软件和固件的攻击比基于硬件的攻击需要更多的知识和技能。
供应链攻击案例
情况1
过去几年中的一次重要网络攻击影响了数十个不同的政府机构,包括美国财政部和财富 500 强名单中的最大公司。红队工具被盗使网络攻击者能够滥用这些工具来控制目标系统,并有机会增加网络攻击的影响。
案例 #2
在另一种情况下,这些供应链攻击的基础是依靠后台的渗透和静默监控,而不是立即下载或泄漏数据,这是基于第三方供应商完成的软件和固件更新。恶意代码泄漏到无数组织的系统中,使得跟踪通过服务器的数据长达数月之久。
在关于这次大规模供应链攻击的声明中,相关公司提到他们面临着与他们之前所面临的完全不同的国家支持的事件。并表示这种情况一直持续到 2020 年 12 月,从 2020 年 3 月提供的更新开始。此外,该公司建议紧急切换到 2020.2.1 HF 1 版本以抵御这些攻击,其中包括 2019.4 和易受攻击软件的2020.2.1版本。
由于它们需要高级别的安全性,供应链攻击需要采取重要措施,例如零信任。因此,在所有商业模式日益数字化的当今世界,企业紧急采取这些和类似措施以确保其网络安全非常重要。
- >>>等级保护<<<
- 开启等级保护之路:GB 17859网络安全等级保护上位标准
- 网络安全等级保护:等级保护测评过程及各方责任
- 网络安全等级保护:政务计算机终端核心配置规范思维导图
- 网络安全等级保护:什么是等级保护?
- 网络安全等级保护:信息技术服务过程一般要求
- 网络安全等级保护:等级保护测评过程要求PPT
- 等级保护测评之安全物理环境测评PPT
- 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
- 闲话等级保护:什么是网络安全等级保护工作的内涵?
- 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
- 闲话等级保护:测评师能力要求思维导图
- 闲话等级保护:应急响应计划规范思维导图
- 闲话等级保护:浅谈应急响应与保障
- 闲话等级保护:如何做好网络总体安全规划
- 闲话等级保护:如何做好网络安全设计与实施
- 闲话等级保护:要做好网络安全运行与维护
- 闲话等级保护:人员离岗管理的参考实践
- 网络安全等级保护:浅谈物理位置选择测评项
- 信息安全服务与信息系统生命周期的对应关系
- >>>工控安全<<<
- 工业控制系统安全:信息安全防护指南
- 工业控制系统安全:工控系统信息安全分级规范思维导图
- 工业控制系统安全:DCS防护要求思维导图
- 工业控制系统安全:DCS管理要求思维导图
- 工业控制系统安全:DCS评估指南思维导图
- 工业控制安全:工业控制系统风险评估实施指南思维导图
- 工业控制系统安全:安全检查指南思维导图(内附下载链接)
- 工业控制系统安全:DCS风险与脆弱性检测要求思维导图
- >>>数据安全<<<
- 数据安全风险评估清单
- 成功执行数据安全风险评估的3个步骤
- 美国关键信息基础设施数据泄露的成本
- VMware 发布9.8分高危漏洞补丁
- 备份:网络和数据安全的最后一道防线
- 数据安全:数据安全能力成熟度模型
- 数据安全知识:什么是数据保护以及数据保护为何重要?
- 信息安全技术:健康医疗数据安全指南思维导图
- >>>供应链安全<<<
- 美国政府为客户发布软件供应链安全指南
- OpenSSF 采用微软内置的供应链安全框架
- 供应链安全指南:了解组织为何应关注供应链网络安全
- 供应链安全指南:确定组织中的关键参与者和评估风险
- 供应链安全指南:了解关心的内容并确定其优先级
- 供应链安全指南:为方法创建关键组件
- 供应链安全指南:将方法整合到现有供应商合同中
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!