云鼎实验室-CSDN博客

原创 CSA GCR大会正式发布全球首个云渗透测试认证专家课程，腾讯安全获评“特别贡献单位”

云鼎实验室获得CSA项目特别贡献奖~

2023-04-19 16:55:53 2779

原创 Serverless安全揭秘：架构、风险与防护措施

由点至面深度刨析风险，共建无服务器架构安全

2022-09-28 15:03:24 6624

原创腾讯云数据安全中台保护方案获“首届全国商用密码应用优秀案例”

腾讯云数据安全中台保护方案获“首届全国商用密码应用优秀案例”

2022-08-25 15:41:34 4638

原创浅谈云上攻防系列——云IAM原理&风险以及最佳实践

云IAM服务作为云平台中进行身份验证与访问管理的一个重要功能，通过了解云IAM服务的工作原理、功能特征以及如何正确使用IAM进行配置，对保障云上安全尤为重要。通过上文分析可见，虽然IAM服务自身拥有如上的众多优势，可以很好支持云上身份与访问管理，但是由于没有遵循安全规范，错误的使用IAM功能，依然会为云上资产带来风险。未来我们将持续关注云IAM安全问题，并给出对应的安全建议与解决方案。...

2022-08-17 17:01:25 4022

原创创新实力再获认可！腾讯安全MSS获2022年度云原生安全守护先锋

2022云原生产业大会上，腾讯安全云原生安全托管服务（MSS）获得了由云原生产业联盟颁发的“2022年度云原生安全守护先锋--云原生安全技术创新”奖。

2022-06-23 15:13:17 4064

原创中国信通院、清华大学、腾讯安全，云原生安全产学研用强强联合！

共同推进云原生安全生态建设～

2022-06-16 15:50:57 4400

原创首批 | 腾讯云完成国内首个云原生安全成熟度评估

腾讯云聚焦云原生安全研究，打造安全的产业云

2022-06-15 16:15:11 4434

原创《安全大讲堂》第十四期｜不破不立：软件供应链的威胁与方案

共探软件供应链安全威胁的前线观察与业界方案~

2022-05-16 15:42:21 3939

原创 Intel CET缓解措施深度研究

深度研究基于硬件设计的ROP缓解技术 - 下篇

2022-05-06 16:06:17 4822 2

摘要腾讯云容器服务TKE目前拥有国内超大规模的Kubernetes集群，运行了包括游戏、支付、直播、金融等多个应用场景，集群的稳定运行离不开安全能力的保驾护。腾讯云容器安全服务站在业内最前沿的云原生安全视角，持续为TKE的安全治理提供指导并沉淀了丰富的思考和最佳实践。本文将结合我们在容器基础镜像方面的安全建设和运营实践，分享我们对于基础镜像的安全治理和安全运营的思考。1.背景云原生安全架构的设计中，一个重要的思想就是安全左移，即在软件生命周期的更早阶段，投入更多的资源和安全能力，来更

2022-04-28 15:20:42 4098

原创安全大讲堂 | 陈屹力：未来云原生安全能力建设将强调体系化的安全防护

企业如何建构自身云原生安全防护能力？

2022-03-23 12:01:07 9309

原创 Intel CET缓解机制实战解读

基于硬件设计的ROP缓解技术

2022-03-14 14:58:34 8880 1

原创容器安全在野攻击调查

对容器在野安全问题的观测和分析

2022-03-08 14:39:36 4009

原创安全大讲堂 | 2022产业趋势洞察：网络安全的下一个十年

随着产业数字化发展进入深水区,网络的边界变得难以界定，数据分析如何应用于网络安全？随着云原生应用普及并开始承载企业核心生产系统，企业如何建构自身云原生安全防护能力？网络安全行业的机遇与挑战潜藏何处？未来发展将去往何方？腾讯安全云鼎实验室「安全大讲堂」邀请到北京派网软件CEO孙朝晖、中国信息通信研究院云大所云计算部副主任陈屹力、数世咨询创始人兼总经理李少鹏、北京赛博英杰科技有限公司董事长谭晓生（按分享顺序排序）四位资深安全专家，分别从网络大数据分析、云原生安全、网络安全产业发展和网络安全行业的商业化四

2022-03-07 11:01:16 12014

原创 CVE-2021-4034 Linux Polkit 权限提升漏洞挖掘思路解读

一文带你了解CVE-2021-4034漏洞的挖掘全过程。

2022-01-28 11:18:49 7270

原创云厂商第一家，腾讯安全获国家级信息安全服务资质“双认证”

唯一同时拿下国家级信息安全服务资质“双认证”的云厂商~

2022-01-27 16:31:44 7732

原创从重大漏洞应急看云原生架构下的安全建设与安全运营（下）

重大漏洞的应急响应总结与安全运营驱动的安全能力建设

2022-01-25 17:59:07 7806

原创从重大漏洞应急看云原生架构下的安全建设与安全运营（上）

重大漏洞的应急响应总结与安全运营驱动的安全能力建设

2022-01-24 15:12:52 4348

原创浅谈云上攻防——云服务器攻防矩阵

前言云服务器（Cloud Virtual Machine，CVM）是一种较为常见的云服务，为用户提供安全可靠以及高效的计算服务。用户可以灵活的扩展以及缩减计算资源，以适应变化的业务需求。使用云服务器可以极大降低用户的软硬件采购成本以及IT 运维成本。由于云服务器中承载着用户的业务以及数据，其安全性尤为重要而云服务器的风险往往来自于两方面：云厂商平台侧的风险与用户在使用云服务器时的风险。与用户侧风险相比，平台侧的漏洞往往带来更广泛的影响，例如于2018 披露的AWS Launching EC2s di

2022-01-10 16:22:15 2723

原创腾讯云容器安全获得云安全守卫者计划优秀案例

12月28日，由中国信息通信研究院（以下简称“中国信通院”）主办，云计算开源产业联盟承办，中国通信标准化协会云计算标准和开源推进委员会支持的“2021可信云安全论坛”在北京顺利举办。腾讯云作为国内最早进行云原生安全技术研究与应用实践的单位之一受邀参加本次论坛。为了引导云安全领域产品的发展方向，中国信通院于2021年10月至12月开展了“云安全守卫者计划”优秀案例征集活动，选拔出一批成熟度高、具有示范作用的优秀云安全案例。经过严格的选拔评审，“腾讯云容器安全防护技术”成功获得云安全守卫者计划优秀案例，

2021-12-30 17:26:02 1326

原创腾讯云容器安全获得云安全守卫者计划优秀案例

腾讯云容器安全防护技术再获认可~

2021-12-30 16:32:33 529

原创腾讯云商用密码合规解决方案，亮相2021商用密码应用创新高端研讨会

随着全球大数据、云计算、互联网、物联网等信息技术的发展，数字化产业已经成为社会经济核心发展动力。影响数字化产业应用的最普遍、最核心的制约因素是数据安全性和数据私密性保护，持续深化商用密码技术应用，保障数据安全和隐私性具备战略性意义。12月18日，“2021商用密码应用创新高端研讨会”举行，以密码“融入新时代、赋能新发展”为主题，集中呈现我国商用密码理论、技术、产品、服务、应用等最新成果，共同探索未来密码产业发展。腾讯安全云鼎实验室高级研究员谢灿出席“商用密码应用创新高端研讨会”分论坛，并作了《腾讯云商密

2021-12-24 10:51:08 3882

原创【修复升级】腾讯容器安全首个发布开源 Log4j2 漏洞缓解工具

Apache Log4j-2中存在JNDI注入漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

2021-12-14 14:53:52 3669

原创腾讯云容器安全已支持检测Apache Log4j2漏洞

犀引擎发现数万镜像受该漏洞影响，免费试用中

2021-12-10 19:52:28 3480

原创企业如何做好员工安全意识提升

背景：近年来随着网络安全政策、技术的不断发展，国内企业对于安全的重视程度越来越高，安全建设投入力度越来越大，安全防御能力得到了明显的提升。然而，企业面临一个尴尬的问题就是，企业即使做了很多安全防御措施，但依然无法有效的避免信息安全事件，而这些安全事件中绝大多数与企业内部员工安全意识不足有关。据相关机构数据统计，在所有的安全事件中，只有20-30%是由于黑客入侵造成的，而70-80%则是由于内部员工的疏忽或有意泄漏造成的。于此同时，2017年《中国网民网络安全意识调研报告》统计显示，近90%的网民认为当前

2021-12-03 18:17:47 652

原创勒索软件即服务与IAB产业浅析

前言：勒索软件即服务Ransomware-as-a-Service (RaaS)是当前全球勒索软件攻击势头急剧上升的背景下出现一种服务模式。同其他Saas解决方案类似，RaaS模式已经成为一种成熟软件商业模式。RaaS的出现大大降低了勒索攻击的技术门槛，勒索软件开发者可以按月或一次性收费提供给潜在用户(犯罪组织)。这些犯罪组织，只需要购买勒索软件来执行勒索攻击，获利后按比例支付赎金给勒索软件供应商。然而随着犯罪方式的演变，传统的勒索方式需要犯罪者“亲力亲为”，即勒索团伙需要自己发送钓鱼邮件或者自己寻找.

2021-11-15 18:16:05 3566

原创腾讯安全李滨：腾讯云数据安全与隐私保护探索与实践

11月4日， 2021腾讯数字生态大会·云安全专场于武汉光谷科技会展中心召开，大会以“数实融合，安全共赢”为主题，探索讨论在产业数字化信息高速发展下，腾讯安全如何为企业提供全栈式安全防护。会上，腾讯云安全总经理李滨做了题为“云数据安全和隐私保护体系建设实践”的演讲，对如何做到数据安全保障和隐私保护方面进行了精彩的解读与分享。（腾讯云安全总经理李滨）关于数据安全领域的形势，李滨分享道：当今世界处于百年未有之大变局，技术、产业都处于变革和更新时代，全球范围内的政治经济形势也处于急剧变化之中，数字领域

2021-11-09 15:09:12 771

原创腾讯云发布容器安全白皮书

云原生充分利用云计算的弹性、敏捷、资源池化和服务化等特性，解决业务在开发、集成、分发和运行等整个生命周期中遇到的问题，以其高效稳定、快速响应等特点极大的释放了云计算效能，成为企业数字业务应用创新的原动力，有效推动了国民经济的高质量发展。当前，腾讯云原生产品体系和架构已非常完善，涵盖了软件研发流程、计算资源、架构框架、数据存储和处理、安全等五大领域的多个场景。依托这些云原生产品，正在为不同行业、不同规模和不同发展阶段的数十万家客户提供云原生服务。（图1 腾讯云原生产品矩阵）一次次安全事件的曝光

2021-11-09 11:02:30 4584

原创数字生态大会上，云鼎实验室介绍了这些重要成果

11月4日，为期2天的腾讯数字生态大会在湖北武汉落下帷幕。40+行业专场深度解读，100+前沿科技成果亮相，150+创新服务全景呈现，300+大咖嘉宾思维碰撞……腾讯数字生态大会汇聚了全球智慧洞察产业新机遇，描绘云、AI、大数据等关键技术发展蓝图，展示腾讯最新研究成果及战略规划。大会上，腾讯安全云鼎实验室提出的云安全相关议题成为行业共同关注的焦点。随着云计算的发展，云上安全成为各行业绕不开的重要议题。企业在当下数字经济环境中想获得高质量发展、提高效能，数字化是必经之路，而“上云”是其中的关键步骤和大

2021-11-08 19:26:10 2482

原创腾讯董志强：基建、研发、安全——云安全前沿技术探索和实践

产业互联网飞速发展，各行各业加速“上云”，相应的云上安全需求也正持续升温。11月4日，2021腾讯数字生态大会·Techo Day技术峰会在武汉召开。Techo Day上，腾讯安全副总裁、腾讯安全云鼎实验室负责人董志强带来了《基建、研发、安全——腾讯云安全前沿技术探索和实践》的主题演讲，对数实融合时代下如何更好开展云上安全建设进行了观点与实践经验分享。过去几年，为了保障云的安全性，腾讯安全做了大量工作，以保障腾讯云平台本身的安全性，并逐渐形成了一整套面向云原生的全栈安全产品体系，满足云上租户不同形态的安

2021-11-05 15:21:37 833

原创腾讯安全姬生利：云原生环境下的“密码即服务”

日前，第四届中国金融科技产业峰会在苏州国际博览中心开幕。本届大会由中国信息通信研究院与苏州市金融科技协会联合举办，大会致力于汇聚金融科技最新成果，展示科技赋能金融业数字化升级的前沿风貌，搭建金融与科技跨领域交流平台。会上，腾讯安全云鼎实验室数据安全总监姬生利就金融领域的密码安全问题进行了主题报告。众所周知，金融是产生和积累数据量最大、数据类型最丰富的领域之一。当前数据作为一种生产要素，作用不断凸显，但与此同时金融领域的数据安全与个人信息保护也面临新的挑战。根据《中国银行保险报》与亚信网络安全产业技术

2021-11-04 15:00:37 371

原创卑鄙者的墓志铭：REvil勒索软件罪魁首次被锁定

俗话说“法网恢恢疏而不漏”，但法网似乎与如今的线上犯罪网络难以交织。作为密码学技术无心插柳的果实，勒索软件近年横扫互联网，使得下至小白网民上至各国政府无不闻风丧胆。在对受害者系统和主机入侵之后，勒索软件全盘扫描并加密特定类型的文件，对勒索受害者的筹码，也从给这些文件“解密”，发展为不给钱就“泄密”，倒是很符合昨天万圣节“不给糖就捣乱”的主题。原本只能通过写破坏性病毒“炫技”的黑客们，在这种浪潮下找到了变现的途径，一个必要的契机，是加密货币的流通。以比特币为代表，加密货币原生具备匿名性，通俗说就是即便交易

2021-11-02 15:47:30 397

原创《个人信息保护法》正式实施，企业如何保证数据安全合规？

背景随着云计算时代的快速发展，数据爆炸式增长的同时也让数据安全和隐私保护问题变得更加复杂以及困难，数据安全问题日益凸显，并成为企业上云发展的最大威胁。企业数据安全通常面临数据治理困难，数据安全实施复杂、成本高等问题。再者，国家连续出台一系列关于数据安全的法律法规，包括《网络安全法》、《密码法》、《数据安全法》和《个人信息保护法》，在法律层面为数据安全和个人隐私保护提供法律保障。基于此，个人信息保护和个人隐私保护已成为广大人民群众最关心的利益问题。2021年11月1日起《中华人民共和国个人信息保护法》

2021-11-02 15:04:34 588

原创国密解决方案专场推介会四城联动圆满落幕

国密解决方案专场推介会由腾讯云DNSPod牵头，联合腾讯安全云鼎实验室的筹办的「国密解决方案专场推介会」四城联动之成都站，于10月22日在成都成功举办。本系列专场推介会，在华南、华东、华北、华西各区域设点定向推介：深圳站（5月13日）、上海站（5月27日）、北京站（7月29日）、成都站（10月22日）圆满落幕。腾讯云DNSPod总经理吴洪声、腾讯云DNSPod产品总监赵九州、腾讯云DNSPod高级产品经理赵晶、腾讯安全云鼎实验室数据安全产品专家刘海洋、亚洲诚信项目总监袁国成、炼石网络产品总监刘晓光等

2021-10-29 17:06:48 404

原创 CFI技术新探索，struct_san今日登场

一、背景C/C++开发的应用程序，长久以来存在内存破坏类的安全问题。当攻击者掌握了目标程序的漏洞后，就可以开发漏洞利用程序劫持目标程序的控制流。早期的漏洞利用是采用代码注入的方式，通过在缓冲区置入一段代码（shellcode），然后控制pc寄存器跳入到缓冲执行这段代码。为了阻止此类攻击，后来计算机系统部署了DEP(Data Execution Prevention)机制，通过配置内存页属性，将缓冲区设置成不可执行，起到了很好的防御效果。为了绕过DEP，攻击者探索出了代码重用技术，在目标程序中搜索出一些攻

2021-10-27 15:02:17 406

原创浅谈云上攻防——CVE-2020-8562漏洞为k8s带来的安全挑战

前言2021年4月，Kubernetes社区披露了一个编号为CVE-2020-8562的安全漏洞，授权用户可以通过此漏洞访问 Kubernetes 控制组件上的私有网络。通过查阅此漏洞披露报告可发现，这个漏洞拥有较低的CVSS v3评分，其分值仅有2.2分，与以往披露的Kubernetes高危漏洞相比，这个拥有较低评分的漏洞极其容易被安全研究人员以及运维人员所忽视。但经过研发测试发现，在实际情况中，这个低风险的漏洞却拥有着不同于其风险等级的威胁：在与云上业务结合后，CVE-2020-8562漏洞将会

2021-10-25 17:10:10 1101

原创腾讯董志强：网络安全建设需要从产品驱动向服务驱动转变

为了应对更为复杂环境下的网络安全需求，2021年10月22日，腾讯安全发布了安全托管服务MSS，依托腾讯20多年的攻防实战经验和行业领先的情报感知能力，通过自研服务工作流编排系统，实现了服务过程的标准化、自动化和可视化，借助这些能力，可为用户提供7*24小时全天候监控分析服务和即时的应急响应能力。腾讯安全副总裁、腾讯安全云鼎实验室负责人董志强发布会上，腾讯安全云鼎实验室负责人董志强带来了《网络安全建设需要从产品驱动向服务驱动转变》主题分享。以下为分享内容实录：大家好，我是腾讯的董志强，非常

2021-10-24 23:07:09 1303

原创浅谈云上攻防 --SSRF 漏洞带来的新威胁

前言在《浅谈云上攻防——元数据服务带来的安全挑战》一文中，生动形象的为我们讲述了元数据服务所面临的一系列安全问题，而其中的问题之一就是通过SSRF去攻击元数据服务；文中列举了2019年美国第一资本投资国际集团（Capital One Financial Corp.，下“Capital One公司”）信息泄漏的案例；我们内部也监测到过类似的事件：测试人员通过SSRF漏洞攻击元数据服务，并将获取到的AK信息存储到日志服务中，然后在日志服务中获取到了AK信息，最终通过获取到的AK信息控制了超过200台服务器。

2021-10-09 19:01:59 1424

空空如也

空空如也