腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
我的安全视界观
专栏成员
举报
78
文章
87313
阅读量
44
订阅数
订阅专栏
申请加入专栏
全部文章(78)
安全(56)
网络安全(24)
产品(19)
漏洞(18)
安全漏洞(11)
事件(11)
其他(10)
工作(8)
应急响应服务(7)
python(6)
腾讯云测试服务(6)
开源(6)
日志(5)
软件(5)
漏洞扫描服务(4)
供应链(4)
java(3)
php(3)
网站(3)
自动化(3)
运维(3)
ssh(3)
服务(3)
数据库(2)
云数据库 Redis(2)
linux(2)
访问管理(2)
数据安全(2)
黑客(2)
windows(2)
安全培训(2)
sdl(2)
公众号(2)
开发(2)
推送(2)
区块链(1)
bash(1)
.net(1)
node.js(1)
html(1)
django(1)
github(1)
api(1)
检测工具(1)
移动应用安全(1)
人工智能(1)
企业(1)
容器(1)
serverless(1)
分布式(1)
shell(1)
html5(1)
tcp/ip(1)
udp(1)
微信(1)
https(1)
sas(1)
腾讯云开发者社区(1)
src(1)
服务器(1)
工具(1)
管理(1)
后台(1)
互联网(1)
权限(1)
系统(1)
协议(1)
零日漏洞(1)
搜索文章
搜索
搜索
关闭
从供应链攻击报告研读,到近期热议事件浅析
安全
产品
供应链
漏洞
系统
回顾自己写的文章,大多都是实践总结类,质量有高亦有低。在实践之前,其实也会去看最佳实践案例,但不太感兴趣行业报告,总觉得很高大上且空洞,获益较浅。不过,随着这几年陆续接触到一些做科研的老师、重视理论和方法论的客户…观点逐渐产生了改变。在回顾看这类报告时,似乎已经能够看出点内容来指引实际工作。遂,计划新写一个系列文章,专门用于记录和分享研读行业报告之后的收获、及应用。
aerfa
2024-04-10
394
0
SDL100问:我与SDL的故事
sdl
工具
工作
软件
安全
自从《SDL最初实践》在公众号上发布以来,已经四年多。从那时起,也创建了微信群“SDL专属交流群”,专题交流软件安全相关内容,现如今成员也有242人。总体来说,整体的交流质量达到了预期(倡导宁可不发言,也不要发无关的内容),基本做到了在垂直领域生根发芽。
aerfa
2024-03-06
148
0
软件供应商攻防常规战之SDL
sdl
开发
漏洞
软件
安全
软件供应链的安全问题越演越烈,在近几年的国家级实战攻防演习中频频发生。即使是在常态化,我们也在不断地帮客户(被供应链攻击的上游客户)应急或在自家环境中发现过此类事件。因此企业在防守难度上,又新增了一块高地。
aerfa
2024-01-22
289
0
软件供应商实战对抗十大安全举措
安全
产品
开发
漏洞
软件
软件供应链的安全问题越演越烈,在近几年的国家级实战攻防演习中频频发生。即使是在常态化,我们也在不断地帮客户(被供应链攻击的上游客户)应急或在自家环境中发现过此类事件。因此企业在防守难度上,又新增了一块高地。
aerfa
2024-01-08
272
0
软件供应商面临的攻防实战风险
安全
产品
服务
漏洞
软件
软件供应链的安全问题越演越烈,在近几年的国家级实战攻防演习中频频发生。即使是在常态化,我们也在不断地帮客户(被供应链攻击的上游客户)应急或在自家环境中发现过此类事件。因此企业在防守难度上,又新增了一块高地。
aerfa
2023-12-05
265
0
演习后认知外的见微知著
安全
产品
工作
漏洞
日志
每年实战演习的结束,就应该有一次总结和提升。至今还记忆犹新,总裁在启动会上的一席话:深度参与,总结创新(并非原话,略有改编)。这与个人信奉的格言一致,在重大事情上不要做表面功夫,这不仅是荒废时间,更是浪费了机会。有人可能觉得比较虚,但是总裁的每次发言我都会认真去听去想,几乎每次都能扩宽自己的思路。此处主要想表达可能大而虚、但向上的内容,值得花时间琢磨并去实践,长期坚持下来会有裨益。比如通过本次实战演习,在专业技术、职业素养和认知视野方面,有如下收获:
aerfa
2023-09-27
163
0
演习后对工作技能的复盘总结
安全
产品
工作
漏洞
日志
每一年实战演习的结束,就应该有一次总结和提升。至今还清晰记得总裁在启动会上的一席话:深度参与,总结创新(并非原话,略有改动)。这与个人信奉的格言一致,在重大事情上不要做表面功夫,这不仅是荒废时间,更是浪费了机会。有人可能觉得比较虚,但是总裁的每次发言我都会认真去听去想,几乎每次都能扩宽自己的思路。此处主要想表达可能大而虚、但向上的内容,值得花时间琢磨并去实践,长期坚持下来会有裨益。比如通过本次实战演习,在专业技术、职业素养和认知视野方面,有如下收获:
aerfa
2023-09-21
258
0
办公网出口地址攻击客户蜜罐
安全
工作
漏洞
日志
事件
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023-09-13
168
0
某邮箱被攻击情报的自我检查
网络安全
安全
产品
供应链
日志
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023-09-13
182
0
面向互联网侧舆情信息的应急
安全
产品
互联网
漏洞
事件
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023-09-02
189
0
演习前红队暗泉涌动投毒
自动化
安全
产品
漏洞
日志
本章为该系列的第六篇,进入了演习前的厉兵秣马阶段,全部人员都在冲刺着做最后的准备。我们开始组织相关方进行应急响应演练、也在应急响应中心排班布阵,同时发现红队也在努力。接下来将介绍某年的攻防演习前夕,监测到红队在github公开某产品已知漏洞的exp,在依赖包中加入后门,从而进行投毒攻击。回想起来觉得这招真高,明显就是针对安全从业人员布的陷阱,若是红队则可以“黑吃黑”,若是蓝队则可以突破边界...再回忆一下,不禁有点后悔和失望,因为当时没有坚持对开源项目的质疑并深究下去。
aerfa
2023-09-02
238
0
实战攻防演习下的产品安全保障
安全
产品
工作
漏洞
事件
本章为该系列的第四篇,主要介绍面对国家级的实战攻防演习,产品安全保障工作的目标和方案。在设计保障方案前,将紧绕目标制定设计原则,方案中主要围绕漏洞挖掘方案和应急响应方案展开,最后将介绍在经历多年实战演习后、对产品安全保障的一些新的感触。
aerfa
2023-09-02
192
0
多维视角下的实战攻防演习纪实 3
网络安全
安全
产品
工作
漏洞
本章为该系列的第三篇,非常简要的介绍公司级的统筹布局及支撑其高效运转的策略、组织和资源。继上篇《关于对演习的期望》后,将看到从上至下的打破部门常规职责,在面对公司重大网络安保活动时全司攻防资源的大调度。此外由于多维视角下看到的内容太多,还是保持以“产品安全保障”为主线,把相关统筹规划和资源调度串起来,并在与产品相关的部分稍加浓墨重彩。
aerfa
2023-09-02
159
0
多维视角下的实战攻防演习纪实 2
网络安全
安全
产品
工作
权限
本章为该系列的第二篇,从不同视角对实战攻防演习的期望进行了描述。大到国家和公司,小至个人,都对演习满怀期待。就参与公司而言,介绍了除防守方和攻击方之外的其他方--安全公司,在服务客户的同时还要保护好自己,避免客户被供应链攻击或因为使用了安全产品遭受攻击;在从业人员中,结合自己的多维角色,实战演习更像是一次大考、历练和提升,最好的状态应该是:积极参与,主动思考,争取创新。
aerfa
2023-09-02
189
0
多维视角下的实战攻防演习纪实 1
网络安全
安全
产品
服务
供应链
近来,各地市级的攻防演习已经铺开,据悉国家级的也即将来临。无论是已经被通知到参与防守方行列的关基等企业,输出攻击队的公司,还是网络安全公司都在积极的备战着,焦急地等待着开始。
aerfa
2023-09-02
179
0
安全事件运营SOP:软件供应链投毒事件
开源
安全
供应链
软件
事件
在开篇《安全事件运营SOP【1】安全事件概述》中,介绍了安全事件的定义、分级、处置原则及处置流程。当发生某类安全事件时,该如何快速处置?以及如何保证不同人员处置的效果都达标?安全事件的种类虽然繁多,但是处理起来并非无据可循。为了解决上述两个问题,同时提升工作效率和降低安全风险。经过大量的运营处置实践,总结出以下常见的处置标准操作程序(SOP)。
aerfa
2023-09-02
1.5K
0
安全事件运营SOP:接收漏洞事件
安全
产品
服务
漏洞
事件
在开篇《安全事件运营SOP【1】安全事件概述》中,介绍了安全事件的定义、分级、处置原则及处置流程。当发生某类安全事件时,该如何快速处置?以及如何保证不同人员处置的效果都达标?安全事件的种类虽然繁多,但是处理起来并非无据可循。为了解决上述两个问题,同时提升工作效率和降低安全风险。经过大量的运营处置实践,总结出以下常见的处置标准操作程序(SOP)。
aerfa
2023-09-02
1K
0
安全事件SOP:基于实践的安全事件简述
数据安全
安全
网络安全
访问管理
在《应急能力提升7-整体总结与提升》文中提到了:在企业安全运营建设时,大致会经过依赖人工或安全公司提供服务、安全事件处置标准化、自动化响应三个发展阶段:
aerfa
2023-03-08
2.6K
0
从敏捷视角看漏洞管理
安全
安全漏洞
网络安全
腾讯云测试服务
漏洞扫描服务
在高度自动化的软件研发运维过程中,实现软件内生安全的方法之一就是在各环节引入对应的安全活动和安全要求,通过层层安全检测实现“纵深防御”。然而,为了支撑安全活动的落地,需要打造安全工具链。由此嵌入的安全工具会带来大量安全漏洞,将成为DevSecOps运营的巨大挑战。建立人人参与安全的文化、持续优化安全工具检测规则、所有漏洞聚合关联资产进行管理,推动“高可用”漏洞的闭环,实现快速交付更安全的软件。
aerfa
2022-12-20
901
0
【应急能力提升7】整体总结与提升
应急响应服务
企业
安全
网络安全
本文为整个专题的第七篇,前面对应急响应现状进行了分析,完成了方案设计、攻击模拟*2、应急响应经验总结、应急响应报告评分、专题总结会,接下来会对效果与预期进行简要分析,针对应急响应发表自己的看法,对企业和个人能力的发展做了粗浅的描绘。
aerfa
2022-12-20
426
0
点击加载更多
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
立即查看
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档