大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【....
深度研究 | 解构国内外代表性Agentic AI系统风险模型
本文内容摘自为安全牛最新发布的《Agentic AI安全技术应用报告》Agentic AI正在走向现实应用。这些拥有自主决策能力的AI系统也带来了全新的安全挑战。与传统网络安全风险不同,Agentic...
STRIDE与DREAD模型对比分析
在威胁建模领域,STRIDE和DREAD是两种经典模型,分别用于威胁识别和风险评估。以下是它们的对比分析:1. 定义与核心目标模型STRIDEDREAD定位威胁识别模型风险评估模型目的系统性识别潜在威...
MCP协议的威胁建模,基于MAESTRO框架
上一篇我们介绍了MAESTRO的威胁建模方法,本篇看一个MCP的场景应用。MAESTRO框架在七层上列出了威胁全集,具体到场景上,有些威胁不会产生影响,只需要考虑有影响的威胁,对威胁分析的定级,并做消...
图解SDL、SDLC与DevSecOps
1. 定义与目标SDL(Security Development Lifecycle,安全开发生命周期)微软提出的安全框架,目标是在开发过程中系统性集成安全措施,减少漏洞并提高产品安全性。5个核心阶段...
生成式AI红队测试:如何有效评估大语言模型
OWASP最新指南为组建生成式AI红队或调整现有红队以适应新技术提供了详细的指导。红队测试是一种经过时间检验的网络安全系统测试和加固方法,但它需要不断适应技术的演变。近年来,生成式AI和大语言模型(L...
基因组数据测序工作流程的网络安全威胁建模
NIST网络安全白皮书NIST CSWP 35 ipd基因组数据测序工作流程的网络安全威胁建模基因组数据测序和分析的威胁模型实施示例罗纳德·普利瓦尔蒂美国国家标准与技术研究院国家网络安全卓越中心贾斯汀...
研发安全思考与落地
研发安全:如何让研发的产品更加安全,最早是由微软提出,过程中涉及到了从需求到投产投产的各个阶段,每个阶段都有不同的安全活动。安全开发框架可参考:研发项目的一般过程:研发安全的一般过程如此:1、培训——...
SDL序列课程-第32篇-威胁建模篇-增量模型
增量模型也称为渐增模型,把软件产品作为一些列的增量构件来设计、编码、集成和测试。每个构件由多个相互作用的模块构成,并且能够完成特定的功能。分解时唯一必须遵守的约束条件是,当把新构件集成到现有软件中时,...
网络安全挑战:威胁建模的应对策略与实践
在数字威胁不断演变的时代,了解和降低网络安全风险对各种规模的组织都至关重要。威胁建模作为安全领域的一个关键流程,提供了一种识别、评估和应对潜在安全威胁的结构化方法。本文将深入探讨威胁建模的复杂性,探索...
安全软件生命周期之规范性安全软件生命周期流程
规范性安全软件生命周期流程安全软件生命周期流程是将安全性构建到产品中的主动方法,从源头上处理设计不佳、不安全软件的“疾病”,而不是“应用创可贴”通过反应性来阻止症状渗透和修补方法。这些流程将软件安全深...
使用开源工具设置 DevSecOps 管道
DevSecOps 是一种以自动化方式将安全工具集成到 DevOps 流程中的方法。这种多文化、多学科的自动化安全环境使安全成为每个人的关注点,而不仅仅是安全团队的关注点。公司需要大量投资于自动化安全...