Conducting Investigation to Lay a Firm Foundation for Threat Intelligence

, , ,

1 Security Event Investigation and Threat Intelligence

Over a year ago, I wrote to put forward three suggestions:

  1. Set up a system for security event disclosure and case analysis.
  2. Clearly delineate security disclosure responsibilities.
  3. Establish a security data and response platform. These measures will gradually promote best security practices at the strategic level, in terms of effectiveness and accuracy and even correctness.

    Read More

加强调查取证,夯实威胁情报基础

, , ,

0 安全事件调查和威胁情报

一年多前,笔者曾撰文提出1 建立安全事故披露和案例分析制度;2 明确界定安全“披露”责任;3 建立安全数据和响应平台。这些措施将会在战略层面上逐步提升安全最佳实践,包括其“有效性”、“准确性”,甚至“正确性”。本文是前文的姊妹篇。

威胁情报是高级威胁对抗能力的基石,其重要性已经得到管理层和业界的充分重视,大量的会议、论坛、报告、相关威胁情报产品和服务订阅等迅速涌现,相关研究开发活动非常活跃,令人鼓舞。但是,如何逐步建立并夯实威胁情报生态体系的基础,包括收集、分析、积累、分享、应用等各个环节,对业界来说依然是个挑战。

Read More

文档安全加密系统的实现方式

, , , , ,

加密技术是利用数学或物理手段,对电子信息在传输过程中或存储设备内的数据进行保护,以防止泄漏的技术。在信息安全技术中,加密技术占有重要的地位,在保密通信、数据安全、软件加密等均使用了加密技术。本文主要阐述了文档安全加密系统的实现方式,可供安全领域朋友学习参考。

Read More

数据安全保护之访问控制技术

, ,

数据作为信息的重要载体,其安全问题在信息安全中占有非常重要的地位。为了能够安全可控地使用数据,需要多种技术手段作为保障,这些技术手段一般包括访问控制技术、加密技术、数据备份和恢复技术、系统还原技术等多种技术手段。本文侧重论述访问控制技术,有关其它技术的探讨将发表在后续文章中。

Read More

虚拟防火墙典型部署

, , , , , , ,

虚拟防火墙功能简称为VSYS,是能够将一台物理防火墙在逻辑上划分成多个虚拟的防火墙,在用户的角度每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,拥有独立的系统资源,且能够实现防火墙的二层、三层(路由+NAT)转发、ACL控制、安全检测功能。每个虚拟防火墙系统之间相互独立,不可直接相互通信。不同型号的NF物理防火墙设备支持的最大VSYS个数不同,支持License控制的VSYS个数的扩展。

Read More

下一代防火墙的几个思考

, , , , , ,

NGFW(下一代防火墙)出来有些日子了,这3年多来众多主流厂家也都推出了各自的下一代墙。然而热闹之后,下一代墙并没有像厂家盼望的那样,对传统墙形成替代的燎原之势。与此同时,UTM也开始演进,逐渐和NGFW越来越没有区别。
此外,虚拟化的兴起,对防火墙也提出了新的要求,不管是传统墙还是下一代墙,在虚拟化面前,不但摆放的位置需要重新定义,甚至对于东西向流量如何去适应也成了需要重新思考的问题。最后,态势感知、安全大数据在今年成为了国内安全届的热门,下一代防火墙应该在新的体系下充当什么角色,等等这些,都需要逐一重新思考,并判断出新的定位。

Read More

学习手册:浅析DDoS的攻击及防御

, , , ,

现如今,信息技术的发展为人们带来了诸多便利,无论是个人社交行为,还是商业活动都开始离不开网络了。但是网际空间带来了机遇的同时,也带来了威胁,其中DDoS就是最具破坏力的攻击,通过这些年的不断发展,它已经成为不同组织和个人的攻击,用于网络中的勒索、报复,甚至网络战争。

Read More

云数据库安全初探

, , , , , , ,

本文根据目前国内外数据库安全的发展现状和经验,结合亚马逊AWS[1]、阿里云、腾讯云、UCloud、华为云等国内外云服务厂商,和IBM、微软等IT巨头的云服务情况,从云数据库安全角度,介绍了云环境下数据库安全四种技术路线与安全模型架构,和云数据库安全的关键技术,适合从事云安全、云计算、数据安全等相关人员和安全爱好者学习探讨。

Read More

Burpsuite插件开发之RSA加解密

, , , , ,

burpsuite是一款非常好用的抓包工具,我自己也是重度用户,所以就上手了burpsuite的插件接口开发,本文主要记录了一个解密请求包,插入payload,再加密的插件开发过程,插件应用场景主要是用于通过分析apk的实现。这里做探讨的目的只是方便安全测试人员的个人学习,或大家渗透测试使用。

Read More

安全事件响应系统设计探讨

, , , , , , ,

层出不穷的安全事件使大家意识到,企业安全体系不是部署入侵检测,防火墙等安全设备就够了。企业安全团队在应对越来越复杂的安全态势力不从心。传统安全产品使安全团队淹没在巨量的告警日志中无法自拔,不知所错。安全研究人员围绕着数据收集,数据分析和响应策略提出了很多模型。其中洛克希德马丁提出的攻击链模型对攻击行为给出了比较清晰的刻画,为如何在海量日志里准确的刻画攻击路径及攻击危害提供了思路。ISCM则提出以主动、自动化和基于风险的方法设计安全响应策略。NASA关于基于持续监控制定安全事件响应机制的报告,对如何构建安全运营系统提出了指导。

Read More