前言前段时间,跟随队里师傅们做了一次某市攻防演练项目,总的来说跟着学了不少东西所以记录一下。图片打码比较厚并且有部分缺图,望见谅~0x01 简单测试前期大佬们已经整理好了资产文档,先对分配给自己的资产...
全国性攻防演练在即,对供应链攻击有无较好的预防和检测手段?攻击溯源是怎么做的?审计员工的个人通讯是否合规?| 总第151周
0x1 本周话题TOP3话题1:今年全国性攻防演练在即,大家对供应链攻击有什么好的预防和检测手段?假设自己公司使用的一个外部供应链被攻击和污染,渠道包括但不限于:开源组...
金融网络安全风险管理指南(二):脆弱性分析
信息就是力量 —— 窃取数据信息 在每个组织中都以多种形式存在,并且在价值方面可能有很大差异。信息的价值通常可以从其对业务的关键性和敏感性的角度来考虑。然而,信息可以沿着...
网络资产攻击面管理(CAASM)成安全新解法 | 直击RSAC2022
2022年6月6-9日,被誉为安全行业“奥林匹克”的RSA Conference2022在旧金山召开,作为全球顶级的网络安全大会,RSAC2022吸引全球网络安全企业、专家、大咖共聚一堂,探讨当下热门...
hackerone资产获取,并接入扫描器做自动化监控
昨天突发奇想,要不找个从projectdiscovery.io往下拖 资产的脚本然后设置定时任务接入扫描器 如red+xray ,nuclei,发现新资产直接梭哈,不不就OK了吗?(有利有弊,所有的扫...
攻防演练实战派 | 网络空间资产盘点十大“避坑”指南!
国家级攻防演练是涉及国家级关键信息基础设施的大事,今年也是《关键信息基础设施安全保护条例》落地的第一年,所以攻防演练就更成为大家关注的焦点。知道创宇历次参与国家级攻防演练,展现不俗能力的同时,也收获了...
5 种降低 OT 网络勒索软件风险的方法
在过去几个月中,至少有 3 起针对工业利益相关者的高影响勒索软件攻击。尽管这些攻击似乎都没有直接影响 OT 环境,但它们对 OT 系统产生了重大影...
红队打点评估工具推荐
功能资产收集(需要主域名,资产对象可直接在爆破和漏扫过程中调用)子域名收集(需要virustotal-api-token)cname收集ip地址(a记录)收集开放端口扫描(基于masscan)端口对应...
企业安全建设:资产管理面面观
IT的资产管理在国外有专门的领域叫做ITAM(IT Asset Management),主要视角集中在包括硬件角度、财务角度和合同角度,比如购买的硬件资产的状况、资产价值、供应商的服务水平、拥有者等等...
做不好资产清点的网络安全防护都是耍流氓~
但凡能让用户“不离不弃”的产品一般都是底层功能做得好没事不整“花活”全凭实力说话比如,某果的操作系统某斯拉的超长续航某夕夕的超级价格当然,还有藤厂的资产清点……那么,什么是资产清点?它又有什么作用呢?...
云原生服务风险测绘分析(四):Prometheus
一、概述Prometheus是一套开源的监控、告警、时间序列数据库的组合工具。与Kubernetes由Google内部Borg系统演变而来相似,Prometheus由Google内部的Borgmon[...
攻击面管理的价值
随着云端能力的广泛启用,以及随后组织网络的快速生长,再赶上最近远程办公的兴起,使得组织的攻击面大规模扩散,直接导致了连接结构中日益增长的安全盲点。这一未曾预见到的扩展,以及脆弱的攻击面监控,使得网络攻...
20