第1期 - 格外寒冷
北京雪后,下班经过中国互联网十字路口所拍。
记录每周看到的各类网络安全技术&资讯,筛选后发布于此,觉得不错可关注此周刊,方便获取更新通知
文章&教程
收入不是想出来的,不是造出来的,更不是骗出来的,而是根据市场的真实需求算出来的。大家不愿意接受目前这个市场就这么大,这个产品今年就只能卖出这么多钱,很多人觉得只要销售足够强,没有市场也能够创造出市场,一定要把梳子卖给和尚,还要卖给全天下的和尚,坚信只要把寺庙走完,收入稳稳的……这种不太尊重市场规律,也不太尊重自己。
漏洞管理是当前网络安全工作过程中绕不开的一个环节,在日常的漏洞管理过程中除了漏洞数量的统计指标,还有什么方法能让漏洞管理的效果更直接的凸显?这里可能对你有些帮助。
在国内的网络安全背景下,投资优秀开源项目的公司比较少,部分企业甚至一方面抵触开源工具,一方面又利用开源项目构建商业产品。但放眼整个网安领域,这种情况在后续将如何发展?
这份报告与我们的典型内容略有不同。在11月初,我们偶然发现了一个开放目录,其中包含了威胁人员一年多的历史活动。通过分析对互联网开放的工具、日志,我们可对威胁人员及受害者进行分析。
网络安全的本质是对抗,针对当前高水平和快速变化的安全威胁,为适应央企在网络安全新形势下的应用以及业务体系快速叠加演进所带来的安全风险和威胁,须改变传统被动防护的安全管理和技术体系,使之更加智能、快速、弹性地应对突发的安全威胁,并在威胁处置过程中不断进行防御策略的优化、网络空间环境的塑造,将网络和信息安全防护工作从被动响应变为主动防御,能够对日趋复杂的网络攻击进行更为精准的发现与打击,形成统一闭环的动态安全防御体系。
在日常的渗透过程中,不管是前期的外部打点还是后渗透,代理总是绕不开的话题。在前期的外部打点过程中,扫描和渗透测试会不断受到WAF的拦截,需要不停的更换IP进行扫描和渗透测试;而在后期的后渗透过程中,通过Frp和Nps等等工具从入口点出网之后,也需要对接代理进入目标内网进行内网渗透。
只有可以被衡量的事才能得到有效管理,对于网络安全运营工作更是如此。在日常工作中,安全运营团队应该通过可量化的指标向企业管理层和其他业务部门展示组织当前的网络安全建设状况和风险态势,同时证明现有的网络安全投入是否有效。
在此背景下,网络安全运营工作应该被设置合理的绩效指标。基于这些指标,企业可以更好地了解当前面临的风险,了解攻击者的攻击企图,同时还能够为优化未来的工作目标提供参考。本文收集整理了企业网络安全运营工作中应该密切跟踪的 12 个关键绩效度量指标,并对其特点进行了简要分析。
项目&资源
1、Elastic Security更新Protections-Artifacts检测规则
Elastic开放终端恶意行为防护规则,规则采用EQL语法。
MITRE策略的最新全量规则
| Tactic | Windows | Linux | macOS | Total by Tactic |
|---|---|---|---|---|
| Collection | 5 | 0 | 1 | 6 |
| Command and Control | 24 | 2 | 19 | 45 |
| Credential Access | 37 | 1 | 18 | 56 |
| Defense Evasion | 200 | 7 | 37 | 244 |
| Discovery | 4 | 0 | 3 | 7 |
| Execution | 50 | 10 | 41 | 101 |
| Exfiltration | 0 | 0 | 1 | 1 |
| Impact | 14 | 2 | 2 | 18 |
| Initial Access | 45 | 1 | 2 | 48 |
| Lateral Movement | 8 | 1 | 1 | 10 |
| Persistence | 49 | 2 | 16 | 67 |
| Privilege Escalation | 49 | 5 | 7 | 61 |
| Total by OS | 485 | 31 | 148 | 664 |
作者主要研究三个主题:KQL、各类攻击技术、安全产品。
3、SSH3:基于HTTP/3协议开发的高速、安全shell工具
SSH3使用QUIC+TLS1.3建立安全通道,使用HTTP授权机制对用户进行认证,改进如下:
- 会话建立速度显著加快
- 除了基础的SSH身份验证之外,还有可使用HTTP身份验证方法,如OAuth 2.0和OpenID Connect
- 对端口扫描攻击的健壮性:SSH3服务器可以对其他Internet用户不可见
- 除了经典TCP端口转发外,还支持UDP端口转发
- 现代QUIC协议允许的所有功能:包括连接迁移(很快)和多路径连接
该项目的内核组件均作为eBPF程序运行,Kunai嵌入了很多探针功能用来监视系统的各类信息,此类相关工具比较多,用来测试尚可,生产环境慎用。
