学习
实践
活动
工具
TVP
写文章

风险管理-资产发现系列之公网Web资产发现》

风险管理封面图.png 前言 风险管理,顾名思义即针对安全风险进行的各种管理动作,在我的理解里包括:如何理解风险、如何发现风险、如何有效规避风险等。 今后一段时间我打算用一系列文章和大家分享我对风险管理的一些认识和体会,其中包括我对一些安全问题的理解以及相关的具体技术点,本篇文章是风险管理-资产发现系列的第一篇文章。 风险管理-资产发现系列之公网Web资产发现 针对Web应用的攻击与防御早已成为安全对抗的一个重要细分领域,除了因为Web服务是当今互联网各类业务最主要的服务提供形式之外,还有以下技术方面的原因导致其特别为攻击者所青睐 如果目标企业的网络规模比较大而且有多个出口,则通常会申请AS号(参考RFC1930),这样我们就可以通过查询BGP自治域信息来获取其公网IP段信息。 那么在发现目标的公网Web服务之后,针对这些Web资产,从风险管理(亦或攻击)的角度出发,接下来应该发掘哪些内容呢?我会在这个系列后面的文章中和大家分享。

28740

EyeJo自动化资产风险评估平台

EyeJo是一款自动化资产风险评估平台,可以协助甲方安全人员或乙方安全人员对授权的资产中进行排查,快速发现存在的薄弱点和攻击面。 免责声明 本平台集成了大量的互联网公开工具,主要是方便安全人员整理、排查资产、安全测试等,切勿用于非法用途。使用者存在危害网络安全等任何非法行为,后果自负,作者不承担任何法律责任。 (默认集成少量POC) 漏洞检测 crawlergo爬虫+xray的被动扫描(平台默认关闭了xray的poc检测) 服务爆破 使用hydra进行相应服务的爆破(默认集成服务字典) 结果导出 导出收集的资产 3.4 登录接口识别  3.5资产资产组包含了收集到的所有资产。  3.5.1 新增资产组 新增资产组有三种方式:添加已有资产、从tag添加资产、手动输入资产  3.5.2 新增资产 基于已有资产组新增资产有两种方式:从tag添加资产、手动输入资产  任务管理

48840
  • 广告
    关闭

    热门业务场景教学

    个人网站、项目部署、开发环境、游戏服务器、图床、渲染训练等免费搭建教程,多款云服务器20元起。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    4云数字资产管理的安全风险

    将有价值且可能敏感的媒体和数字资产存储在云中有哪些风险?了解如何减轻它们并避免灾难性的数据泄露。什么是数字资产管理 一张图片胜过千言万语吧? 将有价值且可能敏感的媒体和数字资产存储在云中有哪些风险?了解如何减轻它们并避免灾难性的数据泄露。 什么是数字资产管理? 数字资产管理(DAM)是指存储,组织,管理和检索数字资产的过程。 云数字资产管理软件 DAM软件解决方案借助人工智能和自动化工具组织和管理数字资产工作流程。一些软件解决方案在本地工作,而另一些则在云中工作。 云数字资产管理意味着存储库和操作托管在远程服务器网络上。 4云DAM风险以及如何减轻风险 云数字资产管理系统面临的一些主要风险包括: 1.通用文件共享和访问 用户可以直接从平台共享文件,而无需发送附件或FTP。 但是,诸如强身份验证,多因素安全性,日志记录和监视等简单的安全方法可以帮助解决和缓解大多数这些安全风险

    23040

    EyeJo自动化资产风险评估平台

    EyeJo是一款自动化资产风险评估平台,可以协助甲方安全人员或乙方安全人员对授权的资产中进行排查,快速发现存在的薄弱点和攻击面。 免责声明本平台集成了大量的互联网公开工具,主要是方便安全人员整理、排查资产、安全测试等,切勿用于非法用途。使用者存在危害网络安全等任何非法行为,后果自负,作者不承担任何法律责任。 注 EyeJo是一款自动化资产风险评估平台,可以协助甲方安全人员或乙方安全人员对授权的资产中进行排查,快速发现存在的薄弱点和攻击面。 免责声明 本平台集成了大量的互联网公开工具,主要是方便安全人员整理、排查资产、安全测试等,切勿用于非法用途。使用者存在危害网络安全等任何非法行为,后果自负,作者不承担任何法律责任。 3.5.1 新增资产组 新增资产组有三种方式:添加已有资产、从tag添加资产、手动输入资产  3.5.2 新增资产 基于已有资产组新增资产有两种方式:从tag添加资产、手动输入资产  任务管理

    25730

    网络空间测绘年报》|从安全事件透析网络空间资产安全热门风险

    在数字化转型稳步推进的背景下,必定会有越来越多新兴的资产服务出现在互联网上,对这些服务的暴露面以及脆弱性管理对于网络安全而言仍是重要挑战。 因此,2021年我们将过去的物联网安全年报(2017-2020)升级扩展为《2021网络空间测绘年报》(下文简称“《报告》”),覆盖物联网、公有云、工业控制系统、安全设备、数据库、智慧平台等关键领域资产在互联网上的暴露情况 《报告》介绍了2021年的10起安全事件,包括物联网、工控、安全设备、数据库以及公有云相关领域,从这些安全事件中,我们总结了近年来网络空间资产的安全热门风险点。 第一, 供应链安全。 错误配置虽然是低级漏洞,但是有着很高的风险,企业安全管理人员需做好资产核查工作,收敛企业的暴露面。 第四, 敏感数据泄露。 此外,摸清企业网络空间资产暴露情况,洞察网络风险是建立网络安全防御体系的第一步,也是最重要的一步,所以《报告》接下来章节将对网络空间关键领域暴露资产情况进行梳理分析,并对其存在的安全风险情况进行阐述。

    13610

    《2021网络空间测绘年报》解读|物联网资产风险

    从2017年开始,绿盟科技就开始对互联网上的物联网资产暴露资产进行梳理,并且持续发布物联网暴露和威胁安全年报。 本文将对《2021网络空间测绘年报》(以下简称“《报告》”)中提到的国内物联网资产暴露和脆弱性情况进行分析,并对物联网测绘部分核心内容进行解读。 PART 01 2021年国内物联网资产暴露情况 为保证资产存活的准确性,《报告》对2021年11月国内全网段测绘一个轮次作为当年的资产暴露情况的展示数据。 图1 国内暴露物联网资产类型分布情况 物联网资产地域分布情况如图2 所示,数量最多的是中国台湾和中国香港,一方面因为这两个地区本身物联网资产数量较多,另一方面中国台湾和中国香港IP地址数量分配也比较多, 此外,相关方在进行新基建建设时,应谨慎考虑相关资产的暴露面。安全企业可以关注新物联网资产的暴露情况,并推动相关暴露资产的治理。未来,绿盟科技将继续对物联网资产的暴露和威胁情况进行关注。

    22620

    风险上升!数据泄露和影子资产致企业网络攻击面扩大

    CybelAngel公司发表了一项研究,揭示了数据泄漏和影子资产是全球大型组织面临网络攻击的最大来源。 凭据泄漏导致的"重大风险"增加 网络安全中由暴露的凭据引起的数字风险继续困扰着企业,包括帐户接管、凭据填充、网络渗透和勒索软件攻击。在示例公司组中,暴露的凭据占发送的所有事件报告的 25%。 CybelAngel网络运营总监兼首席研究员Pauline Losson在评论调查结果时表示:“该报告重点关注了工作世界发生巨大变化后,发生的数字风险的安全影响。” 组织正面临着系统性的网络风险,这些风险是由复杂的犯罪集团利用外部威胁以致于风险无法避免这一事实所驱动的。” “对组织来说,好消息是,如果及早处理,报告中确定的每个威胁都可以相对快速地以低成本得到补救。 关键是威胁的可见性和处理速度,在恶意行为者破坏与组织攻击面相关的所有暴露资产之前找到它们。随着风险每天都在变化,组织需要准备好通过持续监控来做出响应。”

    33710

    网络爬虫的风险

    随着互联网的发展,网络爬虫也越来越多,爬虫本身是一种网络技术,所以爬虫不是违法的技术。如果使用爬虫技术去做违法项目,例如:色情,赌博等违法业务,一旦发现就会触碰法律的禁止。 爬取速度敏感的可以使用Scrapy库实现网页采集 3、大数据采集,需要一定的研发团队开发,例如:电商,搜索引擎爬虫等 爬虫涉及的问题: 性能骚扰:爬虫快速访问服务器,超过了人类访问速度,对网站管理者来说就造成骚扰 法律风险 :每个网站上的数据都有产权归宿,如果通过爬虫获取到的数据从中获利的话会有一定的法律风险 隐私泄露:网络爬虫会突破网站的限制,获取数据,造成了网站的隐私泄露 爬虫规避方式: 1、遵守网站robots协议

    47530

    《2021网络空间测绘年报》解读|公有云资产画像与风险度量

    近日,绿盟科技与中国电信联合发布《2021网络空间测绘年报》,旨在通过测绘的方法,发现物联网、公有云、工控系统、安全设备、数据库、智慧平台等关键领域资产在公网上的暴露情况,分析各个领域资产所面临的安全隐患 本文为《2021网络空间测绘年报》精华解读系列第三篇,主要介绍公有云的资产测绘与风险度量。 由此看来,云上安全风险一直存在且影响范围广泛。风险态势评估的前提是资产梳理,对云上资产服务的宏观把握十分重要。因此,对公有云资产的梳理与测绘势在必行。然而,对公有云资产开展测绘工作也存在着许多挑战。 PART 02 公有云资产多维画像 在《2021网络空间测绘年报》中,我们经过多方调研与对比测试,针对国内几大公有云厂商,整理出了相对可靠的IP库。 图1 阿里云主机地理分布情况 图2 华为云开放数量前六的服务情况 PART 03 公有云关键资产风险度量 在风险度量方面,《2021网络空间测绘年报》从公有云重要资产——对象存储服务入手,对云上数据泄露风险进行了具体分析

    23110

    资产瞎配模型(三):风险平价及其优化

    之前两篇文章对若干资产配置模型进行了回测分析,本文重点关注风险平价模型及其优化,考察优化后的效果。 01 风险平价 再次对风险平价(Risk Parity)模型理论进行推导,过程与前文类似,跳过不影响悦读。 ? ? ? ? ? ? 02 改进思路 风险平价策略通常用方差来衡量风险,最简单的方式是用样本协方差作为总体协方差的估计量,这也是之前回测时的方法。 更细致的分析协方差,协方差是资产波动率和资产间相关系数的乘积。大量研究表明,资产间相关系数在短期会因市场波动不稳定,但具有长期关联性,长期会因为均值回复而趋于稳定。 07 参考文献 20170918-天风证券-天风证券金工专题报告:基于半衰主成分风险平价模型的全球资产配置策略研究 20171117-天风证券-天风证券资产配置策略研究之二:引入衰减加权和趋势跟踪的主成分风险平价模型研究

    4.2K71

    区块链资产交易平台开发存在哪些风险

    区块链资产交易平台为用户提供一个购买交易的区块链资产的场所,虽说利润丰富,但是风险也紧随其中。 开发区块链资产交易平台更多的是为了能够赚取利润,当然不乏有一些人是真的为了区块链行业做出一定的研究或者贡献,可是无论是何原因,区块链资产交易平台开发我们都必须正视它的自身存在的风险,并提出相应的解决策略 那么开发区块链资产交易平台存在哪些风险呢?Vx:ruiec762679让源中瑞(sw.ruiec.com)告诉你! 区块链资产交易平台开发不是一个简单的项目,我们应该慎重,为了长久的发展,何如规避风险是每个想要开发区块链资产交易平台的人应该关注的。 以上我列举的也仅仅只是现有面临的部分风险,后期会出现哪些问题我们也应该慢慢注意,并做好一切防护,以便于以后出现问题能够随时解决。

    24850

    基于数据安全的风险评估(二):数据资产威胁性识别

    与脆弱密切相关的是威胁,威胁是一种对组织及资产构成潜在破坏的可能性因素,威胁需要利用资产脆弱性才能产生危害。造成威胁的因素可分为人为因素(恶意和非恶意)和环境因素(不可抗力和其它)。 数据威胁示例图 一 脆弱性识别内容 资产脆弱性包括管理型与技术型两大类。技术脆弱性主要涉及数据库(结构化,关系型和非关系型)及网络层和主机层(非结构化,DLP检测)。 数据脆弱性识别示例 二 威胁识别与分类 威胁识别在风险评估过程中至关重要,威胁识别的准确性直接影响识别风险评估及后续的安全建设方向,所以丰富的数据威胁识别内容或分类,影响整体风险评估质量。 威胁等级划分示例图 下章介绍数据资产风险分析及综合风险评估分析(结合资产识别、威胁识别、脆弱性识别、风险),主要包括风险计算、风险判定及综合风险分析表。

    87320

    OSINT :网络资产搜索引擎

    网络资产搜索引擎与 Google、百度这种搜索网址的搜索引擎不同。它们搜索的目标是存在于互联网中的资产。主要用于搜索特定的设备,或者搜索特定类型的设备如,服务器、摄像头、工控设备、智能家居等。 一个系统的受攻击面越多,被入侵的风险也就越大。而他们可以很好的帮你找到其他攻击面。这就是本文所探讨的内容:简略分析各个网络资源搜索引擎的使用和差异。 发展至今已经变成搜索资源最全,搜索性能最强,TOP1级别的网络资产搜索引擎。 --- Fofa [m5ds6fye6l.png] 链接:https://fofa.so/ FOFA是白帽汇推出的一款网络空间搜索引擎,它通过进行网络空间测绘,能够帮助研究人员或者企业迅速进行网络资产匹配 [rqrrx1wiik.png] 与shodan相比,Censys更注重于网络资产的搜索,例如各种证书、设备之类的,只不过价格较高,还有着部分限制。但其具有其他搜索引擎不可替代的功能点。

    70531

    社交网络信息安全:规避云计算风险

    云计算用在 BYOD 及社交网络这两种最新的、最热门的 IT 应用,特别会引起人们的注意,这是因为它们引起了新的安全问题。 云安全联盟( Cloud Security Alliance ,CSA)定义出七个云计算的主要风险: 1. 如果这些接口不安全,客户会面临各种数据的保护、完整性及可用性上的风险。 4. 如何避免与降低云安全风险 因为企业及政府对于是否导人云计算,会受限于对风险的考虑,因此在规划导人云技术及云外包服务前,必须先从相关风险是否可被管控的角度来考虑。 云计算用户应采用以下 7 个主要防范措施,来预防或降低安全上的风险。 1.

    56861

    基于数据安全的风险评估(一):数据资产识别、脆弱性识别

    ● 数据资产识别 现今信息系统的风险评估体系已非常完善,但数据安全方面并没有形成相关评估内容,整个体系中缺少数据安全相关的检测与评估项,所以近期一直思考数据安全风险评估应是如何,应该从哪些方面进行检测与评估 本文产生的目就是希望解决如上一系列数据安全风险评估疑问,尽可能从资产识别、威胁分类、脆弱性识别、风险计算、处置建议等5个环节进行完善,通过不断持续优化完善,以期实现基于数据安全风险评估的体系化建设。 第一章为资产识别,资产是安全保护的对象,是风险评估的主体,资产的识别是理清内容、看透价值的重要手段,只有准确的资产识别,才能产生有意义的风险评估报告。 资产登记示例图 ● 脆弱性识别 数据资产识别是风险评估的开始,而脆弱性是对一个或多个资产弱点的集合,脆弱性识别也可称为弱点识别,而该弱点是资产本身存在的,如果没有威胁利用,单纯的弱点不会引发安全事件。 技术脆弱性主要涉及数据库(结构化,关系型和非关系型)及网络层和主机层(非结构化,DLP检测)。具体脆弱性识别示例内容如下表: ?

    3.6K61

    分层风险平价:基于图论和机器学习的新资产配置方法(附代码)

    1 前言 风险平价是构建多样化和均衡投资组合十分流行选择。众所周知,大多数资产类别的未来表现很难预测。 通过仅使用资产风险特征和相关矩阵构建投资组合,风险平价方法克服了这一缺点。 这种结构可以更好地将资产/因子划分为具有相似特征的集群,无需依赖经典的相关性分析。 这些投资组合提供了更好的尾部风险管理,特别是对skewed资产和风格因子策略。 给定一组资产类别和风格因子收益,相应的算法将根据一定的距离度量对这些资产类别和风格因子进行聚类,然后沿着这些聚类分配相等的风险预算。 好了,回到正文: 传统基于风险的配置策略首先直接应用于单个资产和因子,其次应用于由强加风险模型产生的八个综合因子。这八个因子为统计层次结构提供了一个基准集群。 与此同时,1=N承受着最高的波动性和最大的资产缩减,使其风险调整后的业绩低于平均水平。

    1.2K61

    Unity-资产-常用资产

    Texture 纹理是图片或者影视文件覆盖在GameObjects上面来给予他们可视化的效果 Unity支持任何类型的image 和 movie文件在3D项目资产文件中作为纹理。 Unity Materials命名 Search : Unity查找材质的方式 List of Imported materials : Audio Clip Unity支持单声道,立体声和多通道音频资产 跟踪器模块资产的行为与Unity中的任何其他音频资产相同,尽管在资产导入检查器中没有波形预览功能。

    75830

    扫码关注腾讯云开发者

    领取腾讯云代金券