腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
我的安全视界观
专栏作者
举报
78
文章
79670
阅读量
44
订阅数
订阅专栏
申请加入专栏
全部文章
安全
网络安全
产品
漏洞
安全漏洞
事件
其他
工作
应急响应服务
python
腾讯云测试服务
开源
日志
软件
漏洞扫描服务
供应链
java
php
网站
自动化
运维
ssh
服务
数据库
云数据库 Redis
linux
访问管理
数据安全
黑客
windows
安全培训
sdl
公众号
开发
推送
区块链
bash
.net
node.js
html
django
github
api
检测工具
移动应用安全
人工智能
企业
容器
serverless
分布式
shell
html5
tcp/ip
udp
微信
https
sas
腾讯云开发者社区
src
服务器
工具
管理
后台
互联网
权限
系统
协议
零日漏洞
搜索文章
搜索
搜索
关闭
从供应链攻击报告研读,到近期热议事件浅析
安全
产品
供应链
漏洞
系统
回顾自己写的文章,大多都是实践总结类,质量有高亦有低。在实践之前,其实也会去看最佳实践案例,但不太感兴趣行业报告,总觉得很高大上且空洞,获益较浅。不过,随着这几年陆续接触到一些做科研的老师、重视理论和方法论的客户…观点逐渐产生了改变。在回顾看这类报告时,似乎已经能够看出点内容来指引实际工作。遂,计划新写一个系列文章,专门用于记录和分享研读行业报告之后的收获、及应用。
aerfa
2024-04-10
79
0
SDL100问:我与SDL的故事
sdl
工具
工作
软件
安全
自从《SDL最初实践》在公众号上发布以来,已经四年多。从那时起,也创建了微信群“SDL专属交流群”,专题交流软件安全相关内容,现如今成员也有242人。总体来说,整体的交流质量达到了预期(倡导宁可不发言,也不要发无关的内容),基本做到了在垂直领域生根发芽。
aerfa
2024-03-06
96
0
软件供应商攻防常规战之SDL
sdl
开发
漏洞
软件
安全
软件供应链的安全问题越演越烈,在近几年的国家级实战攻防演习中频频发生。即使是在常态化,我们也在不断地帮客户(被供应链攻击的上游客户)应急或在自家环境中发现过此类事件。因此企业在防守难度上,又新增了一块高地。
aerfa
2024-01-22
160
0
软件供应商实战对抗十大安全举措
安全
产品
开发
漏洞
软件
软件供应链的安全问题越演越烈,在近几年的国家级实战攻防演习中频频发生。即使是在常态化,我们也在不断地帮客户(被供应链攻击的上游客户)应急或在自家环境中发现过此类事件。因此企业在防守难度上,又新增了一块高地。
aerfa
2024-01-08
144
0
软件供应商面临的攻防实战风险
安全
产品
服务
漏洞
软件
软件供应链的安全问题越演越烈,在近几年的国家级实战攻防演习中频频发生。即使是在常态化,我们也在不断地帮客户(被供应链攻击的上游客户)应急或在自家环境中发现过此类事件。因此企业在防守难度上,又新增了一块高地。
aerfa
2023-12-05
194
0
演习后认知外的见微知著
安全
产品
工作
漏洞
日志
每年实战演习的结束,就应该有一次总结和提升。至今还记忆犹新,总裁在启动会上的一席话:深度参与,总结创新(并非原话,略有改编)。这与个人信奉的格言一致,在重大事情上不要做表面功夫,这不仅是荒废时间,更是浪费了机会。有人可能觉得比较虚,但是总裁的每次发言我都会认真去听去想,几乎每次都能扩宽自己的思路。此处主要想表达可能大而虚、但向上的内容,值得花时间琢磨并去实践,长期坚持下来会有裨益。比如通过本次实战演习,在专业技术、职业素养和认知视野方面,有如下收获:
aerfa
2023-09-27
123
0
公司溯源团队查到团队内部成员
产品
服务器
管理
漏洞
事件
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023-09-22
177
0
演习后对工作技能的复盘总结
安全
产品
工作
漏洞
日志
每一年实战演习的结束,就应该有一次总结和提升。至今还清晰记得总裁在启动会上的一席话:深度参与,总结创新(并非原话,略有改动)。这与个人信奉的格言一致,在重大事情上不要做表面功夫,这不仅是荒废时间,更是浪费了机会。有人可能觉得比较虚,但是总裁的每次发言我都会认真去听去想,几乎每次都能扩宽自己的思路。此处主要想表达可能大而虚、但向上的内容,值得花时间琢磨并去实践,长期坚持下来会有裨益。比如通过本次实战演习,在专业技术、职业素养和认知视野方面,有如下收获:
aerfa
2023-09-21
174
0
某部门下发零日漏洞确认函处置
产品
工作
漏洞
事件
零日漏洞
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023-09-13
148
0
SRC白帽子突破边界进业务网
src
产品
漏洞
事件
协议
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023-09-13
133
0
办公网出口地址攻击客户蜜罐
安全
工作
漏洞
日志
事件
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023-09-13
128
0
某邮箱被攻击情报的自我检查
网络安全
安全
产品
供应链
日志
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023-09-13
154
0
客户侧产品推送样本事件处置
产品
后台
漏洞
事件
推送
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023-09-02
117
0
面向互联网侧舆情信息的应急
安全
产品
互联网
漏洞
事件
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023-09-02
149
0
面向情报公司付费信息的应急
产品
公众号
漏洞
事件
推送
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会收到来自前场几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023-09-02
125
0
演习前红队暗泉涌动投毒
自动化
安全
产品
漏洞
日志
本章为该系列的第六篇,进入了演习前的厉兵秣马阶段,全部人员都在冲刺着做最后的准备。我们开始组织相关方进行应急响应演练、也在应急响应中心排班布阵,同时发现红队也在努力。接下来将介绍某年的攻防演习前夕,监测到红队在github公开某产品已知漏洞的exp,在依赖包中加入后门,从而进行投毒攻击。回想起来觉得这招真高,明显就是针对安全从业人员布的陷阱,若是红队则可以“黑吃黑”,若是蓝队则可以突破边界...再回忆一下,不禁有点后悔和失望,因为当时没有坚持对开源项目的质疑并深究下去。
aerfa
2023-09-02
173
0
产品安全事件定级评分方法
微信
产品
公众号
漏洞
事件
本章为该系列的第五篇,主要介绍产品安全事件定级及方法。从实际需求来看,在应急响应时仅有流程和SOP还不够,缺少一个维度对SOP中的动作进行分级分类,故诞生了事件定级方法。不同级别的事件,映射了不同的执行动作,使整个产品安全应急流程更加顺畅、合理和完善。
aerfa
2023-09-02
114
0
实战攻防演习下的产品安全保障
安全
产品
工作
漏洞
事件
本章为该系列的第四篇,主要介绍面对国家级的实战攻防演习,产品安全保障工作的目标和方案。在设计保障方案前,将紧绕目标制定设计原则,方案中主要围绕漏洞挖掘方案和应急响应方案展开,最后将介绍在经历多年实战演习后、对产品安全保障的一些新的感触。
aerfa
2023-09-02
160
0
多维视角下的实战攻防演习纪实 3
网络安全
安全
产品
工作
漏洞
本章为该系列的第三篇,非常简要的介绍公司级的统筹布局及支撑其高效运转的策略、组织和资源。继上篇《关于对演习的期望》后,将看到从上至下的打破部门常规职责,在面对公司重大网络安保活动时全司攻防资源的大调度。此外由于多维视角下看到的内容太多,还是保持以“产品安全保障”为主线,把相关统筹规划和资源调度串起来,并在与产品相关的部分稍加浓墨重彩。
aerfa
2023-09-02
126
0
多维视角下的实战攻防演习纪实 2
网络安全
安全
产品
工作
权限
本章为该系列的第二篇,从不同视角对实战攻防演习的期望进行了描述。大到国家和公司,小至个人,都对演习满怀期待。就参与公司而言,介绍了除防守方和攻击方之外的其他方--安全公司,在服务客户的同时还要保护好自己,避免客户被供应链攻击或因为使用了安全产品遭受攻击;在从业人员中,结合自己的多维角色,实战演习更像是一次大考、历练和提升,最好的状态应该是:积极参与,主动思考,争取创新。
aerfa
2023-09-02
137
0
点击加载更多
社区活动
腾讯技术创作狂欢月
“码”上创作 21 天,分 10000 元奖品池!
立即发文
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档