安全
Wangcy.
一名知识搬运工。
展开
-
非对称加密:客户端如何验证公钥
场景:客户端与服务器加密通讯,需要使用非对称加密。过程:服务器向CA申请公钥:服务器要付钱。CA颁发给服务器2个文件:服务器秘钥文件、CA对此公钥的数字签名。客户端与服务器进行加密传输。3.1 服务器将 公钥进行hash运算,产生公钥hash。3.2 服务器将3个信息发送给客户端:公钥、公钥hash、CA对公钥的数字签名。3.3 客户端取机器内置的CA公钥解密“数字签名”得到公钥hash。3.4 客户端对比服务端发过来的公钥hash和算出来的公钥hash,如果一致则信任公钥。原创 2021-10-20 14:22:47 · 761 阅读 · 0 评论 -
安全告警等级定级方法
风险的构成因素风险由以下要素构成:威胁threat(威胁、威胁事件 threat sources threat events)、脆弱性vulnerability、易感条件predisposing、影响impact、可能性likelihood、聚集Aggregation、不确定性Uncertainty威胁:指通过信息系统,通过未经授权的访问、破坏、披露或修改信息,可能对组织运营造成不利影响的事件。脆弱性:存在漏洞。易感条件:指组织信息系统中存在的条件,威胁事件一旦启动,对组织运营造成不利影响的可能原创 2021-09-22 09:48:07 · 844 阅读 · 0 评论 -
XDR与SOC的关系
现代SOC的核心组成部分:威胁检测、响应。背景现在,组织相信整合各类告警的价值;但组织缺乏专业知识和工具,导致其不了解攻击、被动应对威胁。很多组织没有SIEM、不懂SIEM、不会用SIEM。本文将说明:检验安全团队的人员、流程和技术的有效性。买家对XDR的看法。买家对XDR的偏好和顾虑。XDR的关键价值。1:组织认为XDR能提高安全效率组织需要威胁检测调查显示,SOC团队需要更好的威胁检测和响应效率。安全团队认为TDR最关注的点是:改进高级威胁检测(34%)、自动化任务(33%原创 2021-09-21 12:35:17 · 2464 阅读 · 1 评论 -
Wazuh安全能力
Wazuh概述wazuh是开源HIDS或XDR系统,能对服务器、虚拟化、容器、云进行威胁检测和响应。在安全领域有较高知名度,wazuh主要提供了一个检测框架,规则并不十分完善,需要使用者持续维护规则。官网为:https://wazuh.com ,文档地址为:https://documentation.wazuh.com/current/index.html,github地址为:https://github.com/wazuh/wazuh。截止2021年7月,wazuh开箱共3762条规则。覆盖操作系统原创 2021-09-21 12:18:21 · 2244 阅读 · 3 评论 -
什么是XDR
XDR研报转至元数据起始1. 概念? 1.1. 起源 1.2. 定义 1.3. 功能2. XDR兴起原因 ?3. XDRs工作内容?4. XDR优势?5. 市场 5.1. 市场采用率 5.2. 采购建议 5.3. 评价指标 5.4. 使用XDR风险 5.5. 代表厂商 5.5.1. cisco SecureX 案例 5.5.2. McAfee MVISION XDR6. 与XDR对比 6.1原创 2021-06-28 13:37:08 · 5796 阅读 · 4 评论 -
EPP/EDR主要检测功能
功能项特征值病毒库、ICO启发式引擎可疑程序自动释放可执行文件驻留系统目录、伪装系统文件、注册win32服务获取系统管理权限、通过命令行删除自身文件,调用系统组件svchost.exe来开启后门服务,隐藏自身进程并尝试通过OpenSCManagerA、OpenServiceA、ControlService等函数来开启系统自身的终端服务等条件即可判断为恶意。威胁情报STIX2.0 包含的:域名、IP、文件、证书、网络连接等反漏洞hips防止提权、窃取凭证、各应用...原创 2021-03-19 14:59:48 · 2037 阅读 · 0 评论 -
信息安全运营
概述安全运营包含5部分:运营管理、事件预防响应、灾难恢复、违规调查、从业道德。安全运营项目表项目细分项描述运营管理知其所需权限最小化职责分离定期轮岗特权管理SLA资源管理(物理、虚拟、云、介质)配置管理基线变更管理影响分析、版本控制、配置文档补丁管理补丁、漏洞事件预防响应响应管理实践定义、响应计划落实检测措施日志检测日志、监测审计效果测评原创 2021-02-28 01:00:19 · 3358 阅读 · 0 评论 -
HIDS反弹shell检测方法
检测方法特征:shell(sh bash zsh)进程存在异常的stdin/stdout、异常参数、异常网络连接。行为:检测大概率是在ssh登陆下才会使用的二进制文件(如ls/cat/ip/ipconfig/cd/chmod),1.如果发现这些进程的stdin/stdout和tty不一致则告警;2.如果发现这些进程的dip/dport/sip/sport和SSH_CONNECTION不一致则告警反弹手段和检测方法反弹方法检测方法bash -i >& /dev/t原创 2021-02-24 13:38:03 · 958 阅读 · 0 评论 -
HIDS常见功能要求
功能详情文件完整性文件大小、hash、拥有者、权限异常分析rootkit检测;恶意进程(进程号与系统调用不一致);隐藏端口 bind();文件状态检测(root的文件,其他用户可w);隐藏文件(系统调用fopen read不一致);隐藏设备(/dev/.xx);恶意代码漏洞检测本机漏洞检测配置核查本地配置检测:CIS、等级保护、PCIwebshell检测可执行文件修改;可执行文件修改威胁响应威胁发生后的处理动作执行日志监控登录登出;账户变...原创 2021-02-03 18:43:35 · 1980 阅读 · 0 评论 -
增加蜜罐效果方法
位置手段互联网github、csdn等虚假信息内网IP各易被发现的IP端优先诱骗虚假DNS发现异常时虚假dns域名wiki jira oa git等虚假域名数据虚假数据、虚假域名、虚假IP、虚假认证信息设备伪装硬件设备业务镜像业务邮箱虚假邮件诱捕信息埋点、链接图、word木马、获取ID信息、位置、指纹、设备联动获取攻击指纹后,将指纹与全体系设备联动...原创 2021-02-01 00:42:51 · 93 阅读 · 0 评论 -
红蓝对抗思路
阶段手段备注敏感信息收集公司的组织架构 公司的邮箱格式 公司的员工姓名格式 公司的运维IT人员联系方式 公司的合作伙伴 公网资产(云资产、IP、域名、子公司域名) 泄露代码 用于web\系统打点、社工、钓鱼 资产梳理主域名、ICP备案域名(关联子域名) 子域名 SubDomainBrute OneForAll ct-exposer Layer子域名爆原创 2021-01-31 23:58:44 · 593 阅读 · 0 评论