网安加社区-CSDN博客

修复建议是从安全人员对于应用程序和漏洞信息掌握的情况，对于漏洞解决方法的详细建议（之所以是建议，是修复人员可以不必采纳，仅供参考），漏洞报告中的漏洞解决思路主要包括缓解（Mitigated）和修正（Remediated），前者是降低漏洞被利用的机率，后者则是彻底解决漏洞，大多数情况下的漏洞修复都应该按照后一种思路设计，但有时候会因为业务的约束或者资源的约束，不得不选择前一种办法，比如典型的情况是某个0-day漏洞被曝光后一时没有合适的修复方法，通过设置WAF规则来降低漏洞被利用概率。

2024-07-02 09:50:07 739

原创网安加·百家讲坛 | 刘志诚：从安全（Safety）团队看OpenAI之争的本质

要明确控制措施与风险的因果关系，或评估解决方案在因果关系不明的第四象限的位置，以做出合理决策。

2024-07-02 09:46:42 1223

原创网安大咖说·镜鉴（下）| 把握安全新脉搏：企业CSO的领航之道

这意味着，我们不仅要关注投入的数量，更要关注投入的效果。确实，强监管可能会给行业的发展带来一些束缚和限制，但是如果我们能够行业内各方共同努力，共同想办法去推动和解决这些问题，相信一定能够找到更好的平衡点，让行业在合规的前提下实现更大的突破和发展。通过学习和借鉴这份文件的理念和做法，各行业可以结合自身实际情况，制定出更加有效的网络和信息安全策略，提升整个行业的安全水平。为了更好地实施这一计划，我们需要对投入标准进行更细致的划分，并采用“带条件制约的加大投入”的策略，以确保投入的合理性和有效性。

2024-06-24 11:46:51 943

原创网安大咖说·镜鉴（中）| 企业如何因地制宜地实施安全提升计划？

例如，对于代码审计，除了关注OWASP Top10等常见的安全漏洞，还可以根据企业的业务特性和技术栈，制定更细化的审计指标，以确保审计的全面性和有效性。在实际操作中，我们需要根据项目的具体情况和需求，灵活调整策略和方法，既要保证开发的敏捷性，又要确保系统的稳定性和安全性。因此，文件的制定者可能是出于降低这类风险事件的考虑，提出了这些具体的指标。综上所述，制定内部安全规划时，我们需要综合考虑公司的业务战略规划、实际需求和资源情况，并根据《网络和信息安全三年提升计划》中的指导进行有针对性的取舍和融合。

2024-06-19 10:00:31 529

原创网安大咖说·镜鉴（上）| 探寻金融网络安全的“三年之约”

以《网络和信息安全三年提升计划(2023-2025)》（以下简称《安全提升计划》）征求意见稿出台为背景，探讨金融行业网络安全的应对策略以及运营理念。

2024-06-12 10:18:01 561

原创网安加·百家讲坛｜张坤：人工智能安全概述

金融类，影响的是金钱，也不过服务商用金钱弥补金钱的损失，而健康医疗，影响的是生命、健康或不可逆的身体损害，金钱可以赔偿但无法修复。然而，人工智能技术的快速集成、快速扩散给企业带来了无数的安全挑战和需要仔细考虑的安全风险，从潜在的数据泄露到人工智能驱动的网络威胁。人工智能安全领域最紧迫的问题之一是数据隐私和机密性的保护。尽管不同优先级的派系(重点监管还是先发展）之间持续存在争议，但人工智能安全的监管环境正变得更加清晰和严格，将政策的激励结构与技术解决方案相结合，为负责任的人工智能采用提供了最稳健的途径。

2024-06-06 10:30:37 953

原创网安加·百家讲坛 | 肖文棣：Java加壳，脱壳与实践

比如Docker Scout，刚开始Docker Desktop是没有的集成Docker容器镜像扫描的，最近我研究容器镜像安全的时候，突然就发现这个功能了，特别是Docker Scout把漏洞定位到层和命令的特点，在实际工作中非常有用。这种机制将一个完整的镜像分割成多个较小的、可复用的层。在刚开始接触Docker的时候，有些专家说Docker镜像的层级越少越好，层级越少，镜像的大小也会越小，甚至建议将所有的命令合并成一句执行。为了检查镜像的安全性，需要使用一些的工具，可以是开源的、免费的，也可以是商业的。

2024-05-09 15:36:07 510

翻译下一代数据保护：应对2024年的数据安全挑战

在2024年的数字时代，技术已无缝融入我们生活的方方面面，数据安全已从技术上的事后考虑一跃成为我们数字生存的基础支柱。随着人工智能（AI）、物联网（IoT）和云计算的不断发展，网络威胁的复杂程度和复杂性也在同步发展。技术的进步与漏洞相互交织，使得强大的数据保护措施不可或缺。本文旨在引导您透过新兴数字威胁的迷雾，了解应对这些威胁的创新技术。同时强调了数据安全战略的重要性，以防范不断变化的网络威胁。

2024-04-26 17:27:31 40

原创网安加·百家讲坛 | 张博：大语言模型在安全运营工具融合应用的实践与探索

1、大语言模型微调与检索增强生成的选择特定领域数据访问：如果您的应用程序需要访问特定领域的数据源，RAG可能是更好的选择。模型行为修改：如果您需要模型调整其行为、写作风格或特定领域的知识，那么微调会很有效。幻觉抑制：对于准确性至关重要的应用，RAG系统不太容易产生幻觉。标记训练数据的可用性：如果您拥有大量特定领域的标记训练数据，则微调可以提供更定制的模型行为。在此类数据有限的情况下，RAG系统提供了可靠的替代方案。

2024-04-25 16:04:22 567 1

原创网安加·百家讲坛 | 刘志诚：数字化安全基础设施之数字资产安全管理

资产安全管理的需求是资产作业管理系统的约束条件。

2024-04-18 16:38:14 452

原创网安加·百家讲坛 | 孟翔巍：基于Kill-Chain的蓝队建设思路

选择探讨Kill-Chain这个话题，主要从三个方面来考量。首先，尽管已有许多专家探讨过Kill-Chain，但考虑到每个人对其理解的不同，尤其是在蓝队防护方面可能存在差异性，所以想聊一聊这个话题，以期达到更深入的理解和共识。其次，使用Kill-Chain指导蓝队工作建设确实更为有效，因为它基于实际需求，能确保方案落地，这也避免了仅讨论宏观技术框架或前沿技术而无法实际应用的问题。最后，Kill-Chain作为一个闭环过程，确保了我们的工作最终形成一个完整的故事链或剧本链，从而实现了完整的闭环。

2024-04-12 18:44:27 961 1

原创网安加·百家讲坛 | 楚春鹏：企业IAM规划与实践

随着数据保护法规的出台和完善，如《中华人民共和国网络安全法》、GDPR、HIPAA等，IAM的发展受到了合规性的推动。在下面的图示中，总共分为三个不同的工作角色：A、B、C，如果一个员工的工作角色发生变化，只需要调整为其所分配的IAM角色，即使一个员工同时承担两种工作角色，他在同一时间只能使用其中一个角色的权限。IAM的发展历史是一个不断演进和完善的过程，随着技术和法规的变化，IAM将继续发展出更多先进的功能和应用场景，以更好地满足企业和组织的身份管理和安全需求。

2024-04-07 11:16:36 706

原创网安加·百家讲坛 | 汤青松：企业安全体系建设实践

作者简介：汤青松，某大型互联网公司网络安全负责人，从事网络安全相关工作10年，实体书《PHP Web安全开发实战》作者，安全开源项目Qingscan作者，擅长企业安全建设、SDL安全建设。在网络安全行业，安全Web漏洞挖掘工程师已经层出不穷，然而拥有甲方安全建设经验的工程师相对较为稀缺。在企业招聘安全工程师时，除了对安全漏洞挖掘能力的重视，更加关注是否具备甲方安全体系建设方面的思维。本次分享聚焦于甲方安全体系建设，提供实用的规划和实施方案，以帮助安全工程师在企业环境中更好地履行其职责。

2024-03-29 14:45:40 654 1

翻译攻击者如何利用社交工程取得成功

根据微软发布的《2023年数字防御报告》数据显示，网络钓鱼攻击已成为去年第三大最常见的威胁媒介，占所有成功攻击的25%。网络钓鱼攻击之所以频繁出现并取得成功，部分原因在于其运用社交工程技巧来提高攻击效率。据统计，目前90%的网络钓鱼攻击利用社交工程学策略诱导受害者泄露敏感信息、点击恶意链接或打开含有恶意代码的文件。攻击者常通过制造虚假的紧迫感、诱导受害者产生情绪波动或利用受害者的既有习惯，以达到其攻击目的。当组织试图抵御网络钓鱼和其他常见网络威胁时，必须深入了解攻击者如何利用人类行为弱点以实现其目标。

2024-03-15 18:32:26 33 1

原创网安加·百家讲坛 | 宋荆汉：LLM在软件代码安全的应用及落地实践

作者简介：宋荆汉，网安加学院院长，深圳创新方法研究会理事、深圳质量协会专家委员，网安加社区、质量实干派社区创始人。20年研发及管理经验，在中兴通讯、任子行网络，全志科技、汇金科技，担任研发管理高管，曾参与国家测试与安全类职业认证标准、国家软件安全开发相关标准的制定，对软件安全开发有比较深入的研究。曾为多家世界500强企业提供研发管理培训及咨询。

2024-03-08 11:42:41 588 1

翻译机器学习在网络安全中的应用：威胁检测和预防

随着对在线网络、云计算和在线数据存储的依赖性迅速增加，公司必须加强网络安全措施。随着网络环境的发展，网络威胁也在不断增加，使公司面临数据泄露、敏感数据丢失和其他网络威胁的风险。企业必须改变其安全态势，超越基于边界的安全技术，并采用新的机器学习网络安全技术来加强网络安全。机器学习是人工智能的一个子集，它使用来自以往数据集和统计分析的算法，对计算机的行为做出假设。然后，计算机可以调整自己的行为，甚至执行程序未设定的功能，这些能力使机器学习成为重要的网络安全资产。

2024-03-01 18:10:57 116 1

原创网安加·百家讲坛 | 李涛：大模型时代软件代码安全新的机遇和挑战

大模型提升了软件缺陷检测的智能化水平，是新视角，也是新的挑战。

2024-02-28 13:44:17 747 1

翻译反调试系列 | 调试标志寄存器

调试标志寄存器系统表中的特殊标志寄存器，即停留在进程内存中的、由操作系统设置的标志寄存器，可以用来指示进程正在被调试。这些标志寄存器的状态可以通过使用特定的API函数或检查内存中的系统表来验证。这些技术是恶意软件最常使用的。1. 使用Win32 API以下技术使用现有的API函数（WinAPI或NativeAPI），这些函数检查进程内存中的系统结构，以寻找表明进程现在正在被调试的特定标志寄存器。1.1. IsDebuggerPresent()函数kernel32!IsDebugger

2021-08-27 18:15:04 619

原创分析互联时代黑客是如何威胁你的资产的--Web业务安全测试

随着WEB应用的日益丰富,越来越多的传统企业开始使用WEB应用来开展在线业务，与此同时，黑客也将攻击技术研究的重点转到了WEB应用方面,从而加剧了WEB应用的安全风险。 2021年2月21日，国内某知名投资机构遭遇黑客攻击，投资者个人和财务信息恐被窃取，此次数据泄露事件将导致公司该财年成本增加。 2021年4月，某知名计算机厂商遭到了勒索软件攻击，勒索软件团伙REvil成功入侵宏碁的系统，并公布了企业部分的财务电子表格、银行对账单，索要的赎金达到5000万美元。同时有数据

2021-08-24 18:04:25 196

原创云原生时代，安全范式的改变

01 什么是云原生计算的部署使用模式，跟历史上的交流电和自来水一样，目标是把计算能力发展成随用随取的市政资源。这将是 IT 基础设施的一次变革，其颠覆性发展，带来了使用云原生应用的需求，也带来了对安全机制云原生的需求。云好理解，而“原生“则是土生土长的意思，我们在开始设计应用时就考虑到应用将来是运行在云环境里面的，充分利用云的能力，如：自动扩展、无中断部署、自动化管理和弹性等。简单把原有企业网的环境和虚机迁移到 IaaS 云里，或者把原有单一应用直接打包到虚机里运行，乃至做些 API 对外提供接

2021-08-23 18:53:16 199

原创大咖访谈 | “业务”驱动安全，懂业务才能做到业务安全！

近年来，在数字化转型和云计算的浪潮下，网络和信息化应用空前繁荣，业务也迎来了“从线下到线上”的转型，此时业务安全成为了安全市场的一大重点关注对象。多种风险向业务安全袭来，业务的稳定正常不仅是企业营收的重要保障，也是企业荣誉和生存发展的决定因素。本期大咖访谈，网安加云课堂有幸邀请到安信证券安全总监李维春老师，与大家分享关于业务安全方面的经验心得。李维春，安信证券信息技术中心安全总监。当过开发、项目经理、创业者、大学老师，“误入”信息安全行业十多年，科技创新型企业甲方经历为主，金融行业新兵。希望成熟的甲方共

2021-08-20 18:15:40 304

原创培养软件开发安全人才，缓解网安人才百万缺口

前言随着2020年的疫情冲击，公共与商业服务的数字化规模逐渐扩大。网络安全不再承担着业务辅助的角色，而成为了公共与企业运营的核心保障。产业增长带来了相关职位的需求上涨，据猎聘网《2020网络安全人才发展白皮书》显示，在网络安全行业中，技术岗位从业人员占到41.3%；研究和管理岗位，分别占比20%和18%。与此相应，白皮书认为即使技术岗位人员较多，但相应需求量依旧处于最高位：44.14%，而研究与管理则只占了34.08%和14.67%。因此，关于网络安全行业人才紧缺的相关报道不绝于耳。但通过对产业

2021-08-18 18:48:30 463

原创 17岁少年攻击航司系统获刑，网络攻击猖獗如何破？

近日，一则“17岁少年攻击航司系统获刑4年”的新闻登上热搜，起因竟是因为买不到回国的机票而不满。01 疫情一票难求，DDoS航空系统去年6月初，17岁的小陈因新冠疫情滞留在国外疫情重区，由于买不到回国机票而产生不满情绪。冲动之下，他向国内某航空公司发送威胁邮件，并在境外网站购买攻击套餐，利用DDoS等攻击手段，多次、持续攻击某航空公司客票等计算机系统。此次事件，造成某航空公司对外服务网络全部瘫痪，包括客票业务、微信直播平台销售、机场旅客服务、飞行、运控等系统无法正常运作，导致为5000余万用户提

2021-08-18 09:37:29 240

原创如何应对云安全技术遇到的挑战？可从这三点入手

近年来，全球网络空间和信息技术快速发展，高危漏洞、大流量DDoS攻击、黑客攻击事件屡见不鲜，让企业安全面临更大的挑战。随着国内外企业不断上云，传统安全防护措施已经不能满足云环境安全所提出的需要。在这种情况下，网络安全专家持续地关注着云的安全，为了合理进行云安全建设并对云安全做出明智的决定。本次访谈，我们将讨论企业在云安全方面面临的挑战。董金，香港大学ICB硕士研究生，曾任北京热云科技有限公司运维总监一职，有带领团队从0到1的经验能力，曾负责公司SAAS产品的跨海通信工作，管理数百万美金的AWS/阿里

2021-08-17 09:18:25 444

原创模糊测试，它到底模糊在哪里?

很多朋友看到模糊测试这个名字，一开始或许都是一头雾水，什么是模糊测试？为什么叫这个名字呢？事实上，这也是我看到模糊测试这个名字的第一反应。模糊测试作为网络安全测试的一种方法，与我们常用的其他测试方法有什么不同呢？通过查阅资料和对比，终于解决了最初的疑惑。今天，我就跟大家分享一下，到底什么是模糊测试。什么是模糊测试？在了解模糊测试之前，先来了解一下测试是用来做什么的。测试在我的理解看来就是，一个已经开发好的系统或者一个已经可以被调用的函数又或者是一个API和其他程序接口在我们的手中，我们通过各

2021-08-11 11:44:07 283

原创大咖访谈 | 数字时代下的安全新范式——云安全

数字经济时代，数字化转型推动企业上云数量持续激增，随着云的深度使用，云已然成为安全的主战场。据Gartner预测，到2025 年，全球企业云技术使用率将达100%，企业传统数据中心将关闭90%。然而在全球范围内，云安全问题正在急剧恶化，越来越多的攻防案例都在不断地告诉企业管理者一个理念：打造万无一失的云平台是不可能的，要正视系统必然存在脆弱点的事实，做好预防和应急响应工作。那么，企业该如何做好自身的云上安全建设呢？本次专家访谈，网安加云课堂邀请到晨星咨询安全架构师肖文棣老师，以安全从业者角度谈一谈他

2021-08-09 18:41:10 256

原创大咖访谈 | 浅谈数据安全重要性，企业如何通过技术加强安全建设？

在大数据时代，数据资源就像石油，是一种战略资源。数据意味着财富、意味着知识与信息，意味着企业甚至国家在科技浪潮中的核心竞争力。随着信息技术的发展与应用，数据渗透到人类社会的各个方面，带来价值的同时还带来了大量的安全风险与挑战。本期专家访谈，有幸邀请到资深信息安全从业人士刘志诚先生，就大众对数据安全的几个关注点进行分析解惑。刘志诚，现任乐信集团信息安全中心总监，中科院心理研究所管理心理学博士，印第安纳大学kelley商学院金融硕士（MF），香港理工大学软件理学与工商管理（MBA）双硕士。前中国移动电子认证

2021-08-04 19:09:57 424

转载什么是IAST（交互式应用安全测试）？

这篇文章是Contrast Security 的CTO和共同创始人，Jeff Williams于2018年末写的一篇文章，对IAST描述的非常清楚，其中谈到的技术，我们今天还在做。对于IAST的深刻理解，非常值得我们学习。一、介绍交互式应用安全测试（Interactive application security testing IAST）是一个在应用和API中自动化识别和诊断软件漏洞的技术。如果从名字的缩写来看，插桩（Instrumented）式应用安全测试或许是一个更好的说法。IAST不是一个扫

2021-07-31 11:14:13 6283

转载东京奥运会的网络安全竞赛，顶级黑客的王者之战

这是一场顶级黑客之间关于技术的较量，失败者将承担难以想象的后果。奥运会作为全世界规模最大、影响力最大的综合性运动会，高知名度和国际性通常使其成为极具吸引力的攻击目标。在过去的奥运会上，奥运会机构及其合作伙伴都受到了各种威胁行为者的攻击。2010年温哥华冬奥会有攻击者假冒组委会网站，指引用户到恶意病毒网站，导致多起计算机病毒感染；2012年伦敦奥运会多家媒体机构遭遇网络攻击，感染病毒；2016年里约奥运会遭到大规模APT袭击、DDoS攻击等行为；2018年的平昌冬奥会更是遭遇了奥运史上最大的网络安.

2021-07-29 10:10:59 253

WAJXY2021的博客

翻译网络钓鱼的奥秘：探索其成功背后的心理机制及有效防御策略

翻译网络攻击全民化：数十亿没有技术的潜在黑客正在成为威胁

翻译安全采用AI代码辅助的5个技巧

原创网安加·百家讲坛 | 关昕健：新时代企业数据安全运营思路

原创网安加·百家讲坛 | 马云卓：漏洞扫描工具漏洞报告对比

原创行业洞察 | 2024应用程序安全领域现状报告

原创网安加·百家讲坛 | 肖文棣：铸盾护企——面对勒索病毒产业链的企业防护之道

原创网安加·百家讲坛 | 裴伟伟：企业中安全团队应当如何反馈漏洞