maoguan121-CSDN博客

原创入侵事件平均潜伏时间高达天

但是这条黑色产业链却未因此衰落，随着攻击手段的升级、利益渠道的多元化、不法网站利模式日新月异，以及博彩、色情类网站数量的剧增，对黑帽 SEO需求的加大，“挂黑链暗链”产业大有抬头之势，这也是近年来较为严重的问题。勒索软件开始进入一个百花争艳的时期，不幸的是，正因为这样才造成了企业大规模的损失。买链方，即买家，也是对黑链暗链有需求的人，他们的需求往往比较简单，比如增加网站在搜索引擎上的排名、权重，以及网站日均流量，买链方往往为一些非法网站的拥有者（例如博彩网站主、开设多个色情网站的境外组织等等。

2022-11-02 10:25:17 390

原创典型协议简介

端单元、微机保护装置为核心，将变电所的控制、信号、测量、计费等回路纳入计算机系统，从而取代传统的控制保护屏，降低变电站的占地面积和设备投资，提高二次系统的可靠性。作为能量管理系统（EMS）的一个最主要的子系统，为 EMS 系统提供大量的实时数据，在减轻调度员的负担，实现电力调度自动化与现代化，提高调度的效率和水平等方面有重要的作用。协议的安全性工业控制系统（ICS）广泛应用于电力、油气、市政、水利、铁路、化工、制造业等行业的数据采集与监视控制。市政供水、供电、供暖、供气、水处理、交。

2022-11-01 18:43:20 610

原创工业控制系统

如果不是其前站，则令牌被丢掉。分析任何协议时，区分安全问题的种类是非常有用的：一类是协议自身的设计和描述引起的，另一类是协议的不正确实现引起的。发现协议设计和描述中的安全问题较协议实现中的安全问题可能要容易的多，也可能要难得多，但修复源于不正确的协议实现的安全问题相对要容易一些。如果条件受限，不能完全替换存在安全问题的 ICCP，其它可以考虑的措施包括：添加必要的安全防护措施，谨慎定义双边表，使用任何 TCP/IP 安全最佳实践来保护 DNP3 数据，或者使用标准的纵深防御最佳实践，如表格。

2022-11-01 18:41:54 511

原创年新增漏洞严重程度分析

简单地说，APT 指一个具备相应能力和意图的组织，针对特定实体发起的持续和有效的威胁。严格来说，APT 能够灵活地组合使用多种新型攻击技术和方法，超越了传统的基于特征签名的安全机制的防御能力，能够长时间针对特定目标进行渗透，并长期潜伏而不被发现，是一种严密组织化的行为，拥有大量的资金支持、优秀的管理能力和大量高端人才。具体来说，应当具备以下三方面的特征[APT]：高级：威胁背后的操纵者有能力进行全方位的情报收集工作。

2022-10-31 08:51:39 186

原创工业控制系统的安全建议

虽然因工业控制系统工作环境相对封闭、多采用专用通信协议且很难获得系统分析样本而很少遭到入侵攻击；但并不能说工业控制系统的用户就可以高枕无忧。工业控制系统安全的重要性及其普遍安全防护措施不足的现实，使得加强工业控制系统的安全性来说无疑是一项相对艰巨的任务。因为当面临攻击者的持续关注时，任何疏漏都可。

2022-10-31 08:50:10 459

原创配置管理相关的安全问题

没有明确的配置变更管理流程** |配置变更管理流程的缺失将导致因不安全新系统部件的引入而造成的系统安全脆弱性，进而增大智能变电站的安全风险。因智能变电站相关软硬件在设计开发时重点关注系统功能的实现，而对安全性及相应的防护能力考虑不足，从而存在较多的安全脆弱性问题，本节将从配置管理、硬件、软件等角度讨论智能变电站系统所面临的一些安全问题。|安全变更时没有进行充分的测试** |许多智能变电站的设施，尤其是较小的设施，没有检测设备，业务系统的安全性变更测试必须在现场环境下进行。

2022-10-30 10:11:20 172

原创新型攻击方法分析

根据对大量 APT 攻击事件的跟踪和分析，我们发现：虽然 APT 攻击具有明显的定制化特征，但是一般来说，所使用技术和方法的差异主要出现在“突破防线”和“完成任务”两个阶段。1、专业提供 APT 攻击服务的组织操作 2、使用大量零日漏洞：CVE-2012-0779， CVE-2012-1875，CVE-2012-1889，CVE-2012-1535， CVE-2011-0609，CVE-2011-0611，CVE-2011-2110， CVE-2010-0249。话等途径对潜在的受害者实施进一步的社工。

2022-10-30 10:10:31 234

原创公开漏洞数的变化趋势分析

不管攻击者的目的是出于经济的目的（比如南美某国电网被攻击者敲诈勒索[Event2008]）、意识形态的纷争[stuxnet1] （比如：燕子行动[LHP2013-1]）甚至是国家间网络战对抗[News2012]的需要，我们必须深入研究工业控制系统的安全性及其可能遭受到的各种威胁，并提供切实有效的安全防护措施，以确保这些时刻关系到国计民生的工业控制系统的安全运营。此外，CVE 漏洞库也对工业控制系统相关的漏洞非常重视，目前公开的工业控制系统漏洞数以百计，并提供相关漏洞的修补信息。

2022-10-30 10:09:27 154

原创工控安全技术的发展

伴随着工业控制系统安全技术的发展，针对工业控制系统本身需求的工业防火墙出现了，比较早的引入国内的多芬诺工业防火墙是国内较早采用工业防火墙，国内厂商陆续推出了工业防火墙，传统防火墙以黑名单策略配置为主，生产控制系统操作中相关的指令操作生产系统中黑名单潜在导致生产操作中断的风险，工业防火墙大多采用白名单机制，通过对已知的操作过程进行定义过滤掉非法的操作和指令等。2014 的年度报告显示，在所有的攻击事件中，55% 的被调查事件显示，高级持续性威胁被用于攻击工业控制系统的安全漏洞。

2022-10-30 10:04:51 483

原创攻击的检测与防护方法

针对工业控制系统的业务特点、自身脆弱性以及所可能面临的各种网络安全威胁，需要我们在工业控制系统的安全体系架构设计、工业控制系统的供应链安全、工业控制系统上线前安全检查、工业控制系统的安全运维与管理等方面进行综合、全面地考虑。这里我们期望在上文讨论工业控制系统自身脆弱性及其所面临的各种安全威胁的基础上，结合我们以往的一些工业控制系统安全项目的实践经验，给出一些关于工业控制系统的安全防护策略及建议，并针对 APT 攻击的检测与防护方法进行讨论。的原始流量以及各终端和服务器上的日志；

2022-10-30 10:03:57 208

原创工业控制系统的体系架构

随着工业化与信息化进程的不断交叉融合，越来越多的信息技术应用到了工业领域。目前，工业控制系统已广泛应用于电力、水力、石化、医药、食品制造、交通运输、航空航天等工业领域，其中，超过 80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。工业控制系统已经成为国家关键基础设施的重要组成部分，工业控制系统的安全关系到国家的战略安全。与此同时，由于工业控制系统。

2022-10-30 10:03:02 922

原创攻击过程描述

澳大利亚昆士兰一工程师在被其公司解聘后，利用其对水务工程的熟悉，使用偷窃的无线电台、SCADA 控制器以及控制软件通过不安全无线网络的未授权访问，远程侵入该厂的污水处理控制系统，恶意造成污水处理泵站故障，在当地沿海水域排放了超过一万公升污水，导致严重的环境破坏|虽然智能变电站在建设时将按不同的安全域实施系统间的安全隔离和控制，但工业控制网络设备、通信协议自身的脆弱性以及智能变电站网络架构针对安全性考虑不足的问题，智能变电站依然存在很大的。表 4-5 讨论了网络及通信方面的安全问题。

2022-10-30 10:02:10 133

原创用户数据权利请求响应

全球一些隐私法规赋予数据主体（用户）自由访问、修改和删除个人数据等权利，相应地，要求企业必须在规定的时间内对用户提出的请求进行响应，比如向用户提供收集个人数据明细及使用目的报告。合规条款GDPR规定企业“必须在一个月内对所有的请求进行响应和处理，若请求过于复杂，可延长至两个月”（第 12 至 22 条）。Ø　《网络安全法》：如 3.1.2 节所述，法规赋予了用户一定程度的“删除权”和“修改权”，但未具体到响应时间的规定。但在国家标准《个人信息安全规范》（GB/T 35273-2020），明确规定

2022-10-29 08:52:08 374

原创用户数据权利请求响应

全球一些隐私法规赋予数据主体（用户）自由访问、修改和删除个人数据等权利，相应地，要求企业必须在规定的时间内对用户提出的请求进行响应，比如向用户提供收集个人数据明细及使用目的报告。合规条款GDPR规定企业“必须在一个月内对所有的请求进行响应和处理，若请求过于复杂，可延长至两个月”（第 12 至 22 条）。Ø　《网络安全法》：如 3.1.2 节所述，法规赋予了用户一定程度的“删除权”和“修改权”，但未具体到响应时间的规定。但在国家标准《个人信息安全规范》（GB/T 35273-2020），明确规定

2022-10-29 08:51:31 1583

原创云原生网络的微隔离实现技术

的云原生网络微隔离实现零信任的云原生网络随着企业网络基础设施的日益复杂，尤其是云计算等虚拟化网络应用的普及，这种复杂性超越了传统网络边界安全的防护方法。基于传统物理、固定边界的网络安全也被证明是不够用的，“数据中心内部的系统和网络流量是可信的”这一假设是不正确的。网络边界的安全防护一旦被突破，即使只有一台机器被攻陷，攻击者也能够在所谓“安全的”数据中心内部横向移动。NIST在 2020 年 8 月，发布了最新的零信任架构 [34]，在零信任安全模型中，会假设环境中随时可能存在攻击者，不能存在任何

2022-10-29 08:50:32 648

原创 Graboid蠕虫挖矿传播事件

网络安全发展的方向有两种趋势，一是与新场景、新应用结合，典型的如云计算、人工智能、物联网等；二是安全技术自身的演化，例如欺骗技术、威胁狩猎、智能决策等，而这两类趋势往往可能会融合，如人工智能与安全技术之间，既利用 AI技术赋能安全运营形成 AISecOps，又加速了智能化安全运营和智能化攻击技术的对抗。当云计算发展将近二十年后，已然进入了新的阶段：云原生时代。以容器、编排和微服务为代表的云原生技术，正在影响各行各业的 IT基础设施、平台和应用系统，也在渗透到如 IT/OT融合的工业互联网。

2022-10-29 08:49:37 257

原创基于探针的分布式追踪工具

当前的互联网服务，大多数都是通过复杂的、大规模的分布式集群来实现，而随着云原生、微服务等架构的逐步成熟，传统的单体架构设计，向着更加松耦合的微服务架构进行演进。同时，考虑到微服务架构下的负载均衡以及高可用等设计，服务间通信以及调用关系的复杂度，将变得异常庞大。我们先看一个搜索查询的例子，比如前端发起的一个 Web 查询请求，其目标将可能是后端的上百个查询服务，每一个查询都有自己的 Index。

2022-10-29 08:48:57 296

原创针对应用程序依赖库漏洞的攻击

应用存储的数据基于 API进行访问，若应用中某个 API含有漏洞或通信未采用加密协议，攻击者便可利用漏洞进行越权或中间人攻击，从而达到数据窃取的目的。容器镜像为承载云原生应用的实体，开发者将敏感信息写入 Dockerfile、源码或以环境变量的方式进行传递，这种行为增加了数据泄露的风险，随着微服务数量的不断增多，其造成的损失也呈指数增长。Kuberenetes 作为主流的微服务管理平台内置了许多安全机制，但默认值通常并不安全，例如我们创建了 Secrets 资源用于存储数据库登录信息，虽然这是一

2022-10-29 08:48:20 214

原创分布式追踪工具

应用的安全检测9.1.2.1　针对 API的脆弱性检测针对 API的脆弱性检测通常可使用扫描器进行周期性的漏洞扫描，国内各大安全厂商均供扫描器产品，例如绿盟科技的远程安全评估系统（RSAS）及 Web 应用漏洞扫描系统（WVSS），除此之外，我们也可以使用其它商业版扫描器，例如 AWVS（Acunetix Web Vulnerability Scanner）、AppScan、 Burp Suite、Nessus 等。9.1.2.2　针对 API的攻击检测面对针对 API的威胁，目前

2022-10-29 08:47:38 130

原创主机基本安全加固

权限的攻击针对应用程序访问控制权限的攻击在 Serverless 场景下也同样存在，例如函数对某资源的访问权限、可以触发函数执行的事件等。下面以数据库举例，函数执行业务逻辑时不可避免会对数据库进行 CRUD 操作，在此期间，我们需要给予函数对数据库的读写权限。在不对数据库进行其它操作时，我们应当给予只读权限或关闭其权限，如果此时开发者将权限错误的更改为读写操作，攻击者会利用此漏洞对数据库展开攻击，从而增加了攻击面。Serverless 应用可能会由许多函数组成，函数间的访问权限，函数与资源的权限映射

2022-10-29 08:47:00 591

原创云原生应用的安全现状分析

Cilium 是一种开源的云原生网络实现方案，与其他网络方案不同的是，Cilium着重强调了其在网络安全上的优势，可以透明的对 Kubernetes 等容器管理平台上的应用程序服务之间的网络连接进行安全防护。Cilium 在设计和实现上，基于 Linux的一种新的内核技术 eBPF，可以在 Linux内部动态插入强大的安全性、可见性和网络控制逻辑，相应的安全策略可以在不修改应用程序代码或容器配置的情况下进行应用和更新。

2022-10-29 08:46:23 523

原创企业侧功能

数据权利请求 -响应的流程自动化处理，后者可应用与网站的 Cookie 的数据收集，征求用户的同意，对标 GDPR、CCPA 等法规的数据处理与利用的公开透明原则，在该产品中，首先需在网页中部署“许可生命周期”相关插件，它供了用户授权设置的一个窗口，如图 3-4 的右图所示。响应的基础上能以用户为基本。如此一来，特定用户的个人数据可快速取出来，可以快速响应与满足数据访问权、删除权等，同时企业数据泄露时可通过查询个人数据图谱获得实体的邮件和电话号码，进而短时间内通知所影响用户，满足合规性要求。

2022-10-29 08:45:36 180

原创敏感数据智能识别

第二步进行敏感文件的学习和训练，获得敏感内容的文档时，采用语义分析的技术进行分词，出来需要学习和训练的敏感信息文档的指纹模型，然后利用同样的方法对被测的文档或内容进行指纹抓取，将得到的指纹与训练的指纹进行比对，根据预设的相似度阈值去确认被检测文档是否为敏感信息文档。因此，需对脱敏的数据进行风险评估与风险管理，确保风险在企业组织的可控范围之内。要求与安全挑战，后续将从应对的三种前沿技术，包括敏感数据智能识别、数据脱敏风险评估、用户实体行为分析，进行技术原理、行业应用、以及未来发展的介绍与探讨。

2022-10-28 09:53:22 382

原创个人信息治理与可视化

若对数据进行过度脱敏，虽然数据的隐私攻击风险降低了，然而数据的可用性将大幅度降低。那么，如何避免以上的隐私攻击，同时保留一定程度的数据可用性，即可获得数据的聚合信息但无法获得单个记录的信息，这对隐私保护技术提出更高的安全要求与挑战。为了更好应对合规性带来的挑战，一方面企业需要从传统单点的数据安全建设转变成体系化的数据安全建设，另一方面为了应对三类重要合规场景带来新的挑战，包括用户隐私数据安全合规、企业内部数据安全治理、企业间数据安全共享与计算，亟需需要引入一批创新的数据安全技术实现困境的破局。

2022-10-28 09:52:39 151

原创相关程序漏洞导致的容器逃逸

CVE-2019-5736 正是这样一个存在于 runC 的容器逃逸漏洞，它由波兰 CTF 战队 Dragon Sector 在 35C3 CTF 赛后基于赛中一道沙盒逃逸题目获得的启发，对 runC 进行漏洞挖掘，成功发现的一个能够覆盖宿主机 runC 程序的容器逃逸漏洞。在成功触发漏洞后，攻击者可以获得宿主机上反弹过来的 Shell，实现容器逃逸。“镜像漏洞利用”指的是镜像本身存在漏洞时，依据镜像创建并运行的容器也通常会存在相同漏洞，攻击者利用镜像中存在的漏洞去攻击容器，往往具有事半功倍的效果。

2022-10-28 09:52:01 338

原创安全多方计算

安全多方计算（Secure Multi-party Computation，MPC）实际上可以看作是多个节点参与的特殊计算协议：在一个分布式的环境中，各参与方在互不信任的情况下进行协同计算，输出计算结果，并保证任何一方均无法得到除应得的计算结果之外的其他任何信息，包括输入和计算过程的状态等信息。然而，现有的同态加密技术与方案需要消耗大量的计算资源、存储资源（体现在高额的实现成本）是目前实用化的主要挑战，目前只能应用和部署在安全要求较高的特定场景中，目前离广泛的应用仍然有一段较长的距离。

2022-10-28 09:51:14 1028

原创国内外立法与执法趋势

然而，法规向企业出范围更广和约束更严的数据安全的相关要求，给传统的数据安全技术和产品带来了前所未有的巨大挑战。在标准层面上，我国数据安全多部标准已经发布或者正在制定中，相关的标准体系正逐步趋向完善，包括《信息安全技术数据安全能力成熟度模型》（GB/T 37988-2019）、《个人信息安全规范》（GB/ T 35273-2020）、《信息安全技术个人信息去标识化指南》（GB/T 37964-2019），《信息安全技术大数据安全管理指南》（GB/T 37973-2019）等。

2022-10-28 09:50:36 187

原创纵向联邦学习：

随着全球相关法规的密集发布，包括欧盟 GDPR，美国 CCPA，国内的《网络安全法》,以及今年发布的《数据安全法（草案）》、《个人信息保护法（草案）》，合规性成为了企业数据安全建设与治理的重要驱动力。法规对企业数字化、信息化转型出了更高更严的数据安全要求⸺既要满足自身业务的数据安全需求，同时又要遵守合规性要求。不断强化的法规给新技术带来新的机遇与需求，近年来，数据安全领域新技术不断涌现，比如同态加密、安全多方计算、联邦学习，差分隐私等；也促进与其他领域技术的融合与应用，比如知识图谱，流程自动化等。

2022-10-28 09:49:27 786

原创拥抱合规、超越合规

需要强调的是，法规定义的个人数据 / 个人信息不是传统意义上的身份证号、手机号、地址等个人基本信息，还包括设备的 IP 地址、MAC 地址、Cookie 信息，范围非常宽广（可参考国标《个人信息安全规范》的个人信息举例），这给企业的敏感数据识别和保护构成巨大的挑战。而在 2.0 时代，法规监管的基本单位是数据，而不仅是数据库和文档的数据，还包括大数据平台、文档、云、终端，甚至发展中的 5G、区块链等新型环境的符合法规定义的个人隐私与重要数据，如图 2-3 所示。和销毁，如图 2-4 所示。

2022-10-28 09:48:45 116

原创合规要求下的数据安全概述

随着欧盟 GDPR、美国 CCPA，以及我国的《网络安全法》，《数据安全法（草案）》和《个人信息保护法（草案）》的制定与实施，合规性已经成为企业数据安全治理与建设重要驱动力。在合规视角下，本章将阐述数据安全需求、内涵的发展与演变，并将从宏观上总结企业数据安全合规性建设三类场景，以及超越合规性的前沿技术图谱。

2022-10-28 09:47:47 137

原创数据脱敏风险评估

在该场景中，通常采用 5W1H 模型进行 UEBA分析与建模：Who（何人），When（何时）， Where（何地），What（何事），Why（原因），How（行为方式）。在工业应用中，EI Emam 等人将研究的理论进行应用与落地，创立一家面向医疗隐私数据的保护的数据安全公司 Privacy Analytics，主要面向数据脱敏以及风险评估与检测，帮助数据处理企业实现 HIPAA合规，同时将数据共享价值最大化，比如数据处理企业可借助前述产品，将合规的数据出售给保险、药企和科研结构等第三方。

2022-10-28 09:46:55 585

原创涉及个人数据的发布与共享

敏感数据的安全性是企业数据安全防护的重中之重，其第一步需要更好地识别和发现敏感数据，对于普通的结构化数据，传统的正则和关键词等方法可以应对，然而对于尤其是非结构化或半结构化数据，比如文档、网页、XML文本等，需要应用敏感数据智能技术，通过机器学习，自然语言处理进行赋能，以高识别的准确率；随着企业业务发展和扩大，数据库、大数据平台以及流动过程的数据越来越庞大，业务复杂多变，其面临的数据安全问题和威胁越来越突出和严，不仅有来自外界的攻击，也有内部管理或错误配置等引发的数据窃取或敏感信息泄露。

2022-10-28 09:46:03 219

原创 ANDROID历年漏洞数量

Adobe 公司在 2005 年收购 Flash，并大力推广应用使其一度是漏洞挖掘人员的研究焦点，根据图 3.4 的历史数据可以看到，2015 和 2016 年爆出的漏洞总数占据整体数量的 55.09%。在 Hacking Team 泄露 CVE-2015-5122 和 CVE-2015-5199 这两个 0day 漏洞之后，更是给漏洞利用带来了通用的模板 1，但之后随着 Adobe 引入了隔离堆、Vector 长度检测、CFG保护等安全机制，Flash 漏洞利用的门槛被加大了很多。图 3.4 FL

2022-10-27 08:58:53 611

里客云活码系统修复SQL注入漏洞

空空如也