- 博客(199)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 工业控制系统安全标准
标准概述在国内,自 2010 年前后已陆续开展工业控制系统信息安全相关标准的研究制定工作。截至目前, 全国已有多个相关标委会开展了该领域标准执行工作。全国工业过程测量和控制标准化技术委员会从自 动化领域入手,借鉴 IEC62443 等系列标准,研究制定了《工业通信网络 -网络和系统安全 -第 2-1 部分: 建立工业自动化和控制系统信息安全程序》、《工业控制系统信息安全 第 1 部分:评估规范》、《工 业控制系统信息安全第 2 部分:验收规范》等工业控制系统的安全标准。全国信息安全标准化技术委员会(TC2
2022-10-27 08:50:23
3812
原创 DDoS 受控攻击源地域分布
2020 年, DDoS攻击的平均时长为 42 分钟,和 2019 年相比,下降了 21%。我们检测到, 2020 年, 持续时间最长的 DDoS 攻击在 13 天左右,远远大于前期的攻击时长。2020 年,攻击时长在 30 分钟以内的 DDoS 攻击占了全部攻击的 80%,与 2019 年的 75% 相比升了 6%,这种短时攻击的高占比说明攻击者越来越重视攻击成本和效率,倾向于在短时间内,以极大的 流量导致目标服务的用户掉线、延时和抖动。同时,僵尸网络即服务( Botnet-as-a-Service)
2022-10-26 10:49:56
220
原创 参与 DDoS 攻击的物联网设备类型分布
从设备类型来看,全部参与 DDoS 攻击的物联网设备中,占比前五名的分别是摄像头、 VoIP电话、 路由器、网络存储器以及安全设备,占比总量约 94%,其中仅摄像头的数量就占总量的一半以上,约 61%。各异常 行为类型占比如所示,其中参与 DDoS 的物联网设备,所使用的 IP 数量约 8.2 万,占全部异常物 联网设备的 IP 总量的 28.7%。在攻击指令下发方面,情况则有所差异。发现,国内的物联网资产中, VoIP 电话的网络地址变更最频繁,发生过变化的资产占总资产的 80%,其次是。
2022-10-26 10:49:03
525
原创 蜜罐页面中的物联网指纹
蜜罐本质上对攻击者的一种欺骗技术,通过部署一些脆弱的主机、服务或者刻意暴露信息,诱导攻 击者对其攻击。通过捕获和分析攻击行为,就可以了解攻击者所使用的工具或方法,推测攻击意图和动 机,这样防御方更清楚地了解所面对的安全威胁,并及时做出应对策略,极大程度上减少被攻击的风险 和损失。
2022-10-26 10:47:32
153
原创 物联网恶意样本分布
从物联网漏洞的利用情况来看,2020 年 1 月至 10 月,在 Exploit-DB披露的 69 个物联网相关漏洞 利用中,有 12 个被绿盟威胁捕获系统捕获到被攻击者利用,占比约 17.39%,从 Exploit-DB披露漏洞利 用到攻击者首次利用漏洞,最短仅相隔一天。可以观察到 上半年数据的波动与攻击者使用数量最多的漏洞之间有很强的关联性,随着攻击者使用数量最多的漏洞 的攻击数在 2020 年 7 月份骤然下降,总体的漏洞利用攻击数量也产生了一个较大幅度的下滑。本章将对物联网威胁进行分析。
2022-10-25 08:15:07
304
原创 智能门锁暗藏的物联网安全危机
攻击者可利用特制设备、手机、笔记本等数字终端来入侵快充设备的固件, 控制充电行为,使其向受电设备供过高的功率,从而导致受电设备的元器件击穿、烧毁,还可能进一 步给受电设备所在物理环境造成安全风险。正如我们在 Mirai 和其他物联网僵尸网络中所看到的那样,互联网上的各类智能设备, 例如智能灯泡、智能冰箱、智能音箱、摄像头等,在发生故障或被大规模劫持时也会造成严重破坏,并 且目前的威胁或许只是冰山一角。但是,用锤子敲击后的零部件外壳被损坏,内部的数据却未被破坏,依然能够 在线上出售。
2022-10-24 09:41:14
304
原创 攻击者对 Exploit-DB平台的利用分析
我们针对已知的漏洞利用攻击进行了分析,一些常见漏洞利用每个月的攻击趋势如图 3.6 所示,针 对使用 Realtek SDK 的 miniigd SOAP 服务的设备在 2 月到 6 月之间的漏洞利用攻击数最多,峰值在 5 月份,高达 5.4 亿次,这个数值是同月份漏洞利用攻击次数第二高的漏洞的 5 倍。通过绿盟威胁捕获系统,我们共捕获到上百种物联网漏洞的利用行为,攻击者漏洞利用的主要目标 设备类型同样是路由器和摄像头,占比 80% 以上,除此之外,网络存储设备和网络电话设备也逐渐成 为被利用对象。
2022-10-23 08:32:20
487
原创 攻击资源异常行为类型分析
58. 1% 的攻击源被威胁情报标记曾经多次进行 DDoS 攻击,这些攻击源往往包含能够被远 程控制且长期未得到修复的漏洞,或具备反射能力。能够长期被操控的团伙攻击资源主要就是 IDC和物联网设备,统计团伙所有攻击资源类型,占比最高 的就是物联网设备,占比 31%。根据攻击源 IP 的活跃持续时间分布,活跃时间达十天以上的攻击源,我们视为高活跃度攻击资源, 这些资源一般存在明显的安全隐患极易被利用,威胁程度较高。在 2020 年的 DDoS攻击中, 4%的惯犯 [^1] 承担了 78% 的攻击事件。
2022-10-22 13:45:10
113
原创 攻击类型各流量区间分布
众所周知,大 部分反射源为 IoT 设备,随着 5G 和物联网的快速发展, IoT 设备增长迅速,与传统的单 IP 大流量攻击 不一样,黑客利用控制的海量的 IoT 设备发起慢速攻击,每 IP 的攻击的频率和正常用户的范围频率保持 一致,这使得传统的基于地理位置和限速的策略失效,因此需要多维度的检测算法区分攻击源和正常源。并且除了传统的 CC 和慢速攻击, HTTP2.0 协议还引入了新型攻击,例 如基于控制帧的洪水攻击和基于控制帧的慢速攻击,以及 HTTP2.0 的头部压缩攻击,此类攻击已有多。
2022-10-21 18:41:30
402
原创 国内人资企业三大竞争主体
其中,北京外企业务外包占比更高,达 为,依托业务外包服务积累的客户资源及较高的客户粘性,北京外企有望实现不同 产品服务的交叉销售,深化老客户价值,此外,对比头部企业前五大客户类型来看,外服控股、北京城乡受益于早期牌 照优势和深厚积累,已绑定较多优质大客户,北京外企的前五大客户主要为规模庞 大的优质民营企业,上海外服的前五大客户则以优质国企为主 ,科锐国际前五大客 户主要为外资企业。势, 70 年代 -80 年代就成立了,对接大型企业,客户资源优质,全国化 网络建设较为完善,业务建设较为完善,资金雄厚。
2022-10-20 16:32:44
682
原创 分类类目表
分类类目表自然资源保护、国土(和海洋)管理,包括:调查、维护、管 理公共陆地和历史遗址的责任;确保(国内外)陆地、水、野生动植物和自然资源保持的所做的各种行为。数据标签词构造维度表。
2022-10-20 16:24:53
441
原创 政府数据资源共享
GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。政府数据政府各职能部门依法在办理业务及进行决策时产生的数据资源,包括对社会公民及法人进行数据采 集、业务处理和业务决策产生的数据资源。政府数据分类根据政府数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体 系和排列顺序,以便更好地管理和使用政府数据的过程。政府数据编码在分类的基础上,给政府数据赋予具有一定规律性、计算机容易识别与处理的符号。政府数据分级。
2022-10-19 16:58:17
320
原创 人力资源行业从业人员数量
人才获取 +人才管理+任务交付按人数 /按项目总额收费全额:外包员工成本 +服务费(招聘 +管理) +税净额:服务费(招聘 +管理) + 税员工成本 +内部顾问成本 + 管理成本内部顾问成本+管理成本高收入、低毛利率低收入、高毛利率。
2022-10-19 14:59:39
1949
原创 FESCO数字一体化建设项目简介
远茂股份 立足华东辐射全国 ,业务聚焦业务流程外包与岗位 外包服务等外包服务,客户主要分布于汽车制造业、食品加工、物流业、医药业、 快速消费品等行业。管持有北京 外企 86% 股权与置出资产交易价格的差额部分,拟向天津融 衡、北创投以及京国发以发行股份的方式购买其分别持有的北京外企 8.8125% 、4.00% 、1.1875% 的股权。北京外企的经营业务主要 包括人事管理服务、薪酬福利服务、业务外包服务、招聘及灵活用工服务等 ,此次 资产置换主要为北京外企借壳上市,并募集资金用于数字化建设。
2022-10-18 08:42:01
791
原创 针对 Telnet 协议的威胁观察
协议威胁观察本节我们选取了三个被攻击利用较多的协议进行分析。在绿盟威胁捕获系统的数据中,Telnet 服务(端口 23)是被攻击者攻击最多的 源 12 万个。图 6.3 为 2019 年 3 月到 10 月的攻击源的活跃情况。从中可以看出, 月增加,8 月活跃的攻击源最多,数量高达 6 万多个,其中弱口令探测行为有 本下载的行为最多,高达 4 万多个。整体来看,后半年攻击源的数量有所减少。[^1]。我们共发现攻击 Telnet 的利用情况逐5 万多个;另外,6 月样70 45004118。
2022-10-17 11:34:30
258
原创 物联网漏洞利用威胁观察
从中可以看出攻 击者主要在对路由器和频监控设备进行漏洞利用,这也与互联网上暴露的物联网设备以路由器和频 监控设备为主相一致,说明攻击者偏向于对暴露数量较多的设备进行攻击,从而扩大其影响范围。从中可以看出攻 击者主要在对路由器和频监控设备进行漏洞利用,这也与互联网上暴露的物联网设备以路由器和频 监控设备为主相一致,说明攻击者偏向于对暴露数量较多的设备进行攻击,从而扩大其影响范围。2019 年,我们共捕获到 30 余种对于物联网漏洞的利用行为,其中以远程命令执行类漏洞 居多。伊朗 俄罗斯 巴西 美国。
2022-10-16 09:21:15
391
原创 生物识别敏感信息
在美国数据安全罚款事件中,备受瞩目要数“Facebook 剑桥分析隐私泄露” 案件:2019 年 7月 23 日, Facebook 公司与美国联邦贸易委员会(Federal Trade Commission,FTC)达成 50 亿美元罚款的和解 协议,为该案件的调查划下了终结的句号。件 号码和电话号码等,有一半(53%)的事件涉及;同样受欧盟 GDPR的广泛影响,美国加利福尼亚州(加州),缅因州、内华达州和蒙佛特州、夏威夷、 马里兰、马萨诸塞、密西西比和华盛顿等各个州独自实施数据隐私保护的州立法。
2022-10-16 09:16:09
330
原创 漏洞利用态势
9 月 7 日 Metasploit 团队公开发布了该漏洞的利用模块 cve_2019_0708_bluekeep_rce.rb,该模块以 64 位版本的 Windows 7 和 Windows Server 2008 R2 为目标,根据下图 options 的信息,攻击者需要提 供设置 RHOSTS、RPORT、target,可用于针对性的攻击。这类漏洞主要是黑客利用钓鱼邮件, 通过恶意链接、恶意附件的形式投递恶意程序,在用户点击相关资源时,对应程序的漏洞会被触发,最 终导致感染和信息泄露。
2022-10-16 09:12:21
209
原创 Botnet趋势Bigviktor
经解密,我们发现其词组包含 了 100 个动词 (Verb)、1522 个名词 (Noun)、525 个形容词 (Adj)、40 个前缀 (Prefix) 和 20 个后缀 (Suffix), 最终形成的域名格式为 Prefix.Verb-Adj-Noun.Suffix。在受到暴破尝试攻击的网站顶级域名分布中,com 占据近一半数量,剩下的部分大多是各个国家的 顶级域名,这从某种程度上反映了当今 WordPress 网站的分布。僵尸 网络在海量基数的域名条目中发现脆弱网站,进行非定向的无差别攻击。
2022-10-15 19:36:00
127
原创 年度重点家族盘点—PC僵尸网络家族
本年度,Dofloo C&C下发的 DDoS 攻击指令以 CC、TCP Flood 和 UDP Flood 三类比较高效的攻击类型 为主,保持了一贯的攻击倾向。Dofloo 僵尸网络的控制者会对选定的攻击目标进行数分钟至数小时不等的 DDoS 攻击,每次攻击 活动中发送的 DDoS 攻击指令可以达到上千次。恶意邮件的主题往往与特定行业的业务以及当时的社会热点有关,其原因在于热点话题可以升邮 件的真实度、吸引更多关注度,同时被热点信息轰炸的邮箱用户也容易降低对恶意邮件的警觉性。本年度,根据 CNCERT。
2022-10-15 19:31:25
422
原创 Botnet趋势典型攻击链
经过跟踪 分析,今年一季度以来 Mozi 的日均可探索节点已经超过了 10000 个,占据了整个 DHT网络规模的 1% 以上,这表明 Mozi 已发展成为中等规模的僵尸网络,可以对世界范围内的目标尤其是国内的网络节点 发动有威胁的攻击。中国境内探测到的 Mozi 节点占总数的 25.3%,是 Mozi 僵尸网络的最大来源,而数量第 二的美国占比为 10.3%,第三名的韩国为 7.9%。这些新型木马有 的采用了全新的通信模式,有的吸收了其他平台木马使用的反侦测手段,有的则转变了攻击方式和主要 攻击目标。
2022-10-15 19:27:02
178
原创 Botnet趋势传统僵尸网络家族
例如,伏影实验室本年度检测到了大量被命名为 HybridMQ 的 Gafgyt 变种木马,其二进制文件中包含 Gafgyt 木马的基础通信框架,Mirai 木马的 C&C 信息保护逻辑,以及来自其他 Gafgyt/Mirai 变种的多种 DDoS 攻击代码。通用服务以及各类游戏服务为主,除固定的 21(FTP)、22(SSH)、 53(DNS)、80(HTTP)、443(HTTPS)、3074(XBOXLive) 以外,Gafgyt 瞄准的其他端口随着热门游戏服务 的变化而变化。
2022-10-15 19:24:21
271
原创 怎样建立立体化实战化的安全防御体系
要应对真实网络攻击行为,仅仅建立合规型的安全体系是远远不 够的。随着云计算、大数据、人工智能等新型技术的广泛应用,信息 基础架构层面变得更加复杂,传统的安全思路已越来越难以满足安全 保障的要求。必须通过新思路、新技术、新方法,从体系化的规划和 建设角度,建立纵深防御体系架构,整体提升面向实战的防护能力。
2022-10-13 13:37:04
1071
原创 2019年国际APT组织情况汇总
2012 年 4 月起至今,某境外黑客组织对中国政府、科研院所、海事机构、海域建设、 航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该组织 主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播免杀木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取 系统中相关领域的机密资料。根据该组织的某些攻击特点,奇安信公司将其命名为 OceanLotus(海莲花)。在 2017 年的监测中,海莲花仍处于活跃状态,同时在不断的更新 攻击手法。
2022-10-13 13:36:07
525
原创 红蓝攻防对抗中需要掌握的网络安全技术汇总
SafeSEH,(Safe Structured exception handling)是 Windows操作系统的一种安全机 制,专门用于防止异常处理函数被篡改,即在程序调用异常处理函数之前,对要调用的异常 处理函数进行一系列的有效性校验,如果发现异常处理函数不可靠或存在安全风险,则应立 即终止异常处理函数的调用。反之,如果 SafeSEH机制设计不完善或存在缺欠,就有可能被 攻击者利用,欺骗或绕过。
2022-10-13 13:34:46
1917
原创 红队眼中主要的安全防御能力怎样突破
蓝队作为实战攻防演练中的攻击方,根据队员的不同攻击能力特 点组织攻击团队。队员们在网络攻击各阶段各司其职,采用适当的攻 击手段和攻击策略对目标系统展开网络攻击,最终获取目标网络和系 统的控制权限和数据,检验目标单位的网络安全防护能力。本部分主要站在蓝队的角度,讲述网络实战攻防演练中攻击阶段 的划分、各阶段主要工作内容、攻击中主要使用的技术手段以及攻方 人员必备的技能,最后通过多个实战案例对攻击手段进行了直观展 示。
2022-10-13 13:33:47
5555
原创 使用零信任思想构建的安全防御系统是什么样子的
零信任是一种以资源保护为核心的网络安全理念。认为对资源 的访问,无论来自内部还是外部,主体和客体之间信任关系都需要 通过持续的评估进行动态构建,遵守最小权限原则,采用多属性动 态访问策略,基于动态信任实施访问控制。
2022-10-13 13:31:13
545
原创 沙盘推演的4个阶段是攻防比赛的最后一个环节
传统的实战攻防演练更多关注的是技术和管理层面的安全风险与 攻击有效性,所以沙盘推演并不是其必选阶段。但是,作为安全损失 评估的重要过程,沙盘推演为演练机构进行科学合理的安全规划、安 全建设和安全投入提供了关键性的参考依据。因此,沙盘推演的概念和方法一经提出就备受关注,并在越来越多的实战攻防演练中被吸收 和采纳。
2022-10-13 13:29:58
2558
原创 攻防比赛中系统层漏洞挖掘-身份隐藏解决方案
为避免自己的真实IP、物理位置、设备特征等信息在远程入侵的 过程中被网络安全设备记录,甚至被溯源追踪,攻击者一般都会利用 各种方式来进行身份隐藏。在实战攻防演练中,蓝队所采用的身份隐 藏技术主要有以下几类:匿名网络、盗取他人ID/账号、使用跳板机、 他人身份冒用和利用代理服务器等。
2022-10-13 13:28:36
1122
原创 个人信息保护建设面临的问题和困境及解决方案
手机应用程序(App)因其便捷性等优势,被广泛运用于日常生 活、专业服务和社会治理等多领域,为人们带来便捷的同时,也带来 了信息安全隐患。近年来,App违规违法收集使用用户信息事件频发, 有报告显示,超七成 App存在过度索权行为,即在非必要的情况下获 取用户隐私权限,增加了个人信息泄漏的风险。随着个人信息保护相 关法规标准的不断出台,加上监管治理的不断深入,企业或组织原本 的发展方式必然受到影响,一些依靠收集使用个人信息推动业务发展 的模式甚至面临违法犯罪风险。企业或组织的经营模式由原来的“先 发展后治理
2022-10-13 13:26:16
4079
原创 企业中数据API接口怎样进行防御
为筑牢 API安全基础,企业应着眼长远构建前瞻性的云原生架构, 应面向微服务和容器环境对 API进行管理与安全防护,从实战化角度 进行 API安全防护体系的建设,将安全落实到 API全生命周期管理的 各个环节,构建具有更好的 API可见性和 API安全检测与响应体系。
2022-10-12 13:33:19
552
原创 常见的网络安全防御解决方案与实例
防守方需根据攻击者的思路、想法、打法,结合 各单位实际网络环境、运营管理情况,建立全方位的纵深安全监控、 防护体系,才能在攻防过程中从被动防御转变为溯源反制。本章将要 讲述的内容为奇安信防守经验和技术总结,在具体环节各个单位需要 结合自身的实际管理、运营、网络及业务情况调整,或者增加其他技 术处置环节。
2022-10-12 13:32:27
3620
原创 红蓝攻防演练过程中零失陷经验分享
漏洞修复是开展网络安全防控工作的基础。该金融单位开展了开 源组件扫描、漏洞扫描和渗透测试,建立风险动态管理台账,紧盯问 题一对一整改,问题整改完成率高达90%。通过内部梳理网络基础设施 服务情况,关闭无用端口,切断不必要的访问渠道,梳理网上交易 区、办公区
2022-10-12 13:31:16
781
原创 API爆发式增长催生新的安全挑战与机遇
物联网的快速发展,加速了 API在各 领域的应用,目前已经在物联网、微服务、云原生等场景都得到了非 常广阔的应用。随着 5G、物联网技术落地,人类正进入万物互联时代, 从 IaaS 到 PaaS、SaaS,从 PC到移动 APP、各种 IoT 设备,API将无 处不在。
2022-10-12 13:29:24
288
原创 个人信息保护具体防御措施有哪些
首先,企业或组织应充分理解监管要求。2021 年 11 月 1 日 起,《个人信息保护法》正式颁布实施,标志着我国个人信息保护 立法体系进入新的阶段。《个人信息保护法》的出台为个人信息权 益保护、信息处理者的义务以及主管机关的职权范围提供了全面 的、体系化的法律依据,涵盖个人信息收集、存储、使用、加工、 传输、提供、公开、删除等多个环节以及自动化决策、个人信息、 跨境提供等特定场景,与《民法典》
2022-10-12 13:28:32
7482
原创 中级的网络安全从业者应该具备如下安全技能
掌握一门或几门的开发与编程语言,是白帽子深入挖掘 Web应用漏洞,分析 Web站点及 业务系统运行机制的重要基础能力。在实战攻防演习中,白帽子最为经常遇到和需要掌握的 编程语言包括:Java、PHP、Python、C/C++、Golang 等。
2022-10-11 14:16:49
592
原创 超级管理员这样的特权账号存在哪些安全风险
由于组织管理者难以实时发现特权账号的数量变化、具体分布、使用 情况等信息,导致系统资产出现各类的风险账号。这些风险账号由于其隐 蔽性往往给系统资产带来很大的安全隐患。风险账号主要包括如下几种:
2022-10-11 14:15:55
2049
里客云活码系统修复SQL注入漏洞
2022-07-06
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人