免责声明本公众号致力于安全研究和红队攻防技术分享等内容,本文中所有涉及的内容均不针对任何厂商或个人,同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失,均由使用者本人承担。...
一线作战日记:红队供应链攻击应对
神秘红队 "三人小分队横闯天下"某部级攻防演练悄然开始,本次演练为各红队分配了全国不同区域的目标资产,涉及几个省市部门的应用系统,范围较为分散。神秘的红队虽然只有3个人,但是分工明确,目标精准:☑ 1...
美国NIST 供应链安全指南:10 条要点
美国商务部国家标准与技术研究院 (NIST) 最近发布了降低供应链网络安全风险的最新指南。该更新名为“软件供应链安全指南”,是 NIST 对美国总统乔·拜登 (Joe Biden) 发布的旨在改善美国...
给CISO的软件供应链债务偿还指南
推出新性能和功能与偿还技术债务之间总是存在妥协,这些IT技术债务包括可靠性、性能、测试,当然也包括安全等等。 在这个“快速交付和破旧立新”的时代,累积安全债是组织机构自愿作出的决策。每个组织机构的 J...
美国政府如何管控供应商数据安全?以国土安全领域为例
安全内参6月26日消息,美国国土安全部(DHS)发布了一项最终规定,对《国土安全采购规章》(HSAR)进行修改,删除一条现有条款,保留该条款编号,并更新了一条现有条款。该机构还将新增两条合同条款,提出...
第65篇:探索顶级APT后门Sunburst的设计思路(Solarwinds供应链攻击中篇)
Part1 前言 大家好,我是ABC_123。上周写了一篇《史上最严重的APT供应链攻击事件,借助Solarwinds攻击欧美的流程图梳理和分析(上篇)》反响还不错。由于该APT供应链攻击事件极其复杂...
慢雾出品|Web3 行业供应链安全指南
背景概述2022 年 12 月 21 日,Web3 基础设施提供商 Ankr 发布事后报告,公布因 aBNBc 代币漏洞导致 500 万美金加密货币被黑的调查结果。Ankr 前团队成员恶意地进行了供应...
从开发者视角浅谈供应链安全
供应链基础软件供应链安全,它覆盖整个软件生命周期过程(可分为开发、交付、使用三大环节),单从软件产品的复杂性来说,除了保障软件项目自身的安全之外,还需包括每个项目的依赖关系与可传递依赖关系...
软件供应链安全的那些事
序言本篇主要通过阅读《软件供应链安全治理与运营白皮书 2022年版本》 整理了几个相对比较核心的知识点进行分享。风险特征风险管理 安全治理体系 生命周期 漏洞...
劫持 S3 存储桶:供应链攻击者在野外利用的新攻击技术
在不更改任何一行代码的情况下,攻击者通过劫持服务于其功能所需的二进制文件的 S3 存储桶并将其替换为恶意文件来毒害 NPM 程序包“bignum”。虽然这种特定的风险得到了缓解,但快速浏览一下开源生态...
软件供应链:黄金集装箱船
通过拥有黄金映像,将建立一个流程,能够在组织内发现漏洞时快速采取行动。今天,我们发现自己使用云原生技术在许多方面提高灵活性、扩展性和成本节约。使用 IaaS 的现代云堆栈将硬件维护组件抽象化,只剩下上...
防止供应链攻击的9种方法
加强网络安全是防止网络攻击的最佳方式,但这并不总能阻止黑客占上风。攻击者现在已经将矛头转向供应链攻击,通过瞄准组织供应链中最薄弱的环节,以侵入目标组织的公司网络。那么,究竟什么是供应链攻击,它是如何运...
19