“巧妇难为无米之炊”,我们必须对数据的采集做到心中有数,知道哪些数据是必要且可用的、它们来自于哪里、通过什么方式获取以及如何采集的,同时也应当在采集这些数据时尽量不影响终端和网络的可用性。 1 定制数据采集计划 定义威胁==》量化风险==》识别数据源==》提取有价值元素 ●定义威胁:这里的威胁并非来自竞争对手或者是行业竞争等,而是导致组织或个人数据的保密性、完整性和可用性[插图]受到负面影响的因素 除了通过以问卷调查或人工提问的方式主观地判断组织所要保护的东西是什么(如资产)以及面临的威胁是什么,还可以采用一些高级的威胁建模方法和模型(比如STRIDE[插图]方法、攻击树、攻击库等)来识别和发现威胁 ●识别数据源:在确定了威胁和风险的基础上,接下来就是识别现实网络运行中主要的数据来源,为后续的态势提取提供数据基础。 我们应当从风险值最高的威胁开始,分析这些威胁最可能出现在哪里并定位到该处,再依次逐级查找。
虽然它为创建恶意软件组件提供了快捷方式,但人工智能生成的组件很容易识别。安全工具可以对它们的模式进行指纹识别——如果ChatGPT数据没有持续更新的话,这一点就更加明显了。 Q4 在哪里可以找到用于测试和研究的勒索软件样本? Morphisec打算测试ChatGPT是否可以帮助防御者自动查找应用程序漏洞、识别威胁、自动检查输出与输入,以及其他提高安全技术健壮性的技术。 如何阻止ChatGPT恶意软件? 与其他安全解决方案不同,Morphisec的MTD技术可保护运行时内存环境,无需签名或行为模式即可识别威胁。 通过使攻击者更难识别和利用特定的漏洞,MTD可以帮助防止高级AI生成的恶意软件成功危及终端。
2核2G云服务器首年95元,GPU云服务器低至9.93元/天,还有更多云产品低至0.1折…
在物联网(IoT)、宽带通信、更便宜的云存储和计算能力的帮助下,每个组织、公司和政府部门每时每刻都在产生关于一切事物的数据。 惠普实验室高级研究员Miranda Mowbray表示:“存在能够识别相似数据项类别的机器学习算法,以及可以识别非常特别的数据项的其他机器学习算法。 例如,这两种类型的算法都可以被用于处理海量的[域名系统](DNS)数据,以识别企业网络中受恶意软件感染的计算机。 一些安全供应商正在利用人工智能来应对网络威胁和攻击。与传统的网络安全解决方案依赖于对恶意软件的定义和静态规则不同,现在已经出现了一些基于行为分析的解决方案。 例如,2016年,麻省理工学院计算机科学与人工智能实验室(CSAIL)的研究人员设计了一个使用监督学习来发现并报告安全威胁的AI系统。
关于WannaCry,我们应该思考的另外一个问题是:它的入口在哪里?是从哪里进来的?对企业信息系统来说,有两个入口最关键,一个是Web,一个是邮件。 于是就出现了APT(Advanced Persistent Threat),也就是高级持续性威胁。 这类系统更多是基于静态特征来识别危险,它不关注内容,看不到邮件里钓鱼之类的链接, 因此,它对APT或勒索软件这样的高级威胁是很难防御的。另外,这类系统更多关注邮件的“入”,而不关心“出”。 邮件安全网关通过内容分析、行为识别、沙箱等技术,为用户提供更高级、更专业的邮件安全防护。 李维良 Forcepoint邮件安全网关通常是如何部署的?对于一些使用第三方企业邮箱的用户,您有什么建议呢? 另外一个,就是我们称为“高级威胁分析”的平台,主要提供新型威胁的分析技术和情报分享。通过这4个维度,我们会帮助客户建立一个非常完整、非常坚固的安全防御体系。
防火墙的发展历程 纵观防火墙的发展历史,防火墙经历了从低级到高级、从功能简单到功能复杂的过程。网络技术的不断发展和新需求的不断提出,推动着防火墙的发展。 包过滤防火墙的设计简单,非常易于实现,而且价格便宜。 AI防火墙没有统一的标准,例如通过用大量数据和算法“训练”防火墙,让其学会自主识别威胁;通过内置AI芯片,提高应用识别和转发性能,都可以被称为AI防火墙。 APT(Advanced Persistent Threat,高级持续性威胁)是指用先进的攻击手段对特定目标进行长期持续性攻击的攻击形式。 Intelligence System)能够对网络中的流量及各类设备的网络、安全日志等海量网络基础数据执行有效采集,通过大数据实时及离线分析,结合机器学习技术、专家信誉、情报驱动,有效的发现网络中的潜在威胁和高级威胁
Turla APT组织,也被称为Snake或者Uroboros,是至今为止最为高级的威胁组织之一。该网络间谍组织已经存在长达8年的时间了,却很少被人知道。 其中最普遍、最便宜的卫星网络是通过所谓的仅下游(downstream-only)连接的。 用户PC端的请求会通过常规线路(有线或者GPRS连接)进行通信,且所有流入的流量均来自卫星。 通过监听卫星中的downstream来识别卫星网络用户的IP地址; 2. 然后在用户不知情的情况下选择一个IP地址来掩盖其C&C服务器真实IP地址; 3. 合法用户会以垃圾的方式将这些数据丢掉,但威胁操作者会从下游卫星链接处重新收集起这些数据。 攻击范围极广,中国也在之列 因为卫星通信的覆盖范围非常广,所以很难追踪到威胁操作者的具体位置。
云计算架构下,云平台承载着越来越多的重要数据与用户关键业务,但随着各类威胁和攻击不断的升级,企业面临的安全挑战也越来越大。 在发布会上,腾讯安全高级产品经理ericyong介绍称,腾讯云防火墙是一款云原生的SaaS化防火墙,在弹性扩展性能、防护边界方面都进行了重磅升级,实现网络流量在哪里,防火墙边界就拓展到哪里;新增零信任接入和防护能力 2、防护边界拓展到混合云边界,新增零信任接入防护:腾讯云防火墙的防护边界不断拓展,实现了网络流量在哪里,防火墙边界拓展到哪里,以及云端统一管控。 3、网络蜜罐+秒级威胁情报+小时级别虚拟补丁,改变攻防的不对等:腾讯云防火墙拓展了20+蜜罐系统,只需轻松两步,企业就能构建云上网络蜜罐系统;基于腾讯全球的威胁情报库,实时监测主动外联行为,阻止用户资产访问恶意 根据腾讯云主机安全的检测数据,2022年平均每月检测到超过5.3亿次+暴力破解攻击事件,每月识别出100万+恶意IP等,内存马攻击、反序列化漏洞攻击等新型攻击手段快速增长。
比如:为了保证机密性,MAC 不允许低级别的主体读取高级别的客体、不允许高级别的主体写入低级别的客体;为了保证完整性,MAC 不允许高级别的主体读取低级别的客体,不允许低级别的主体写入高级别的客体。 只有明确了这些安全威胁,你才能够成功说服老板和业务人员,去配合你推动安全方案的落地。既然如此,我们首先要做的就是威胁评估,看看哪里有安全威胁。 威胁评估主要有三个步骤:识别数据、识别攻击、识别漏洞。 我们先来看一下识别数据。我们知道,安全保护的核心资产就是数据。因此,威胁评估的第一步就是去识别数据。识别数据的最终目的是,当发生攻击,某一份数据的 CIA 受到影响时,会对公司造成多大的损失。 在识别漏洞的时候,我们可以基于这些总结性框架去进行罗列。 通过对数据、攻击、漏洞的识别,你就能够知道,公司当前面临了哪些潜在的威胁,从而可以去思考解决方案,并推动它的落地。 除此之外,我们又介绍了威胁评估。威胁评估的主要思路是,通过识别数据、识别攻击、识别漏洞这三个步骤,来评估公司当前所面临的潜在威胁。
伴随产业数字化转型持续深入,各类高级和未知威胁迭代演化,企业对于威胁情报的需求也日益升高。据全球最大信息安全培训机构SANS调查数据显示,有80%的组织认为自己从威胁情报中获益。 目前我们的威胁情报,主要应用在企业办公安全、Web安全,以及集成在腾讯安全的产品中,包括腾讯安全御界高级威胁检测系统、腾讯安全御知网络威胁风险检测系统等,都集成了腾讯安全威胁情报能力。 谭昱:AI主要作用于威胁情报的识别和分析,因为威胁情报系统每日收集到的数据量都是非常大的,需要用到像图挖掘系统、深度学习,以及像域名扩散这类的算法,去实现对于域名的识别和关联,提取到关键的威胁情报信息。 针对企业内部已经发现的威胁,需要对它进行溯源和分析,就是看它从哪里来,就是对哪些场景可以穿透,最终会造成一个什么样的影响,可以让我们的安全运营的团队和企业去做决策; 第三步是战略级的威胁情报。 Q9:企业打造威胁情报系统的难点在哪里?腾讯安全是如何解决的?
一起来看看ESP32的规格,就知道它强在哪里了。 ● 内置WiFi和蓝牙,就不需要额外的以太网模块或wifi模块了,集成度高; ● 双核 CPU,可以主频为 80、160 或 240MHz。 对于一个体积小巧的芯片中是相当多的计算了; ● 高级外设接口:I2C, SPI, CAN等,可以实现很多应用,不仅仅是个Wi-Fi MCU; ● 大量内存:ESP32包括 512KB 的片上 SRAM 这意味着ESP32 适用于一些较重的任务,例如连接摄像头、识别语音、从互联网流式传输数据等。 二.价格亲民 ESP32确实性价比非常高!不仅功能强大,而且价格便宜。不算flash,只要9元! ESP8266资源太少,而且只支持Wi-Fi,加上现在ESP32的价格也已经非常便宜了,如果想打造一个智能设备,首选ESP32完全OK。
2019年,卡巴斯基蜜罐(honeypots )识别出1.05亿次针对智能设备的攻击。 联网汽车,摄像头,扬声器,无人机,医疗设备,气候控制系统和类似硬件的影响正在增加。 令人不安的物联网漏洞证明了这种威胁是真实存在的 我们已经有了可以借鉴的物联网漏洞历史。 不知名的公司提供更便宜的交易,但他们可能不关心自己的声誉。即使是在交易所上市的品牌也没有100%的保证,但你可以期待它至少会努力保护你,以及它的好名声。 2)遵循供应商的安全指示。 3)知道电源按钮在哪里。在大多数情况下,你可以通过拔掉网络设备的插头来解决眼前的问题。如果问题仍然存在,就关闭它。 4)为您的每个IoT设备使用单独的安全密码。 政府可以采取哪些措施保护公民和关键基础设施 智慧城市面临与消费者技术相同的威胁,但规模要大得多。即使这样,当人们的隐私,健康和生命受到威胁时,政府也需要关心其公民的安全。
以“系统失陷”为假设,狩猎者基于安全经验与集成的数据平台,对信息系统进行持续的调查、验证、观测,以召回漏网的已知威胁,识别隐匿的未知威胁,并对威胁事件进行溯源和场景重建,进而固化为安全知识与启发式规则。 为应对这一挑战,高级的威胁分析策略、模型、算法、系统已成为安全产品、安全研究的重要方向。 图2 溯源数据图[2] 二、溯源数据威胁狩猎的挑战 溯源数据能够作为威胁狩猎的关键资源,为威胁的识别、评估、关联提供丰富的上下文。不过,仍然没有免费的午餐。 图5 已知威胁模式匹配 威胁狩猎的另一种假设是,行为模式未知的威胁已突破防护边界,潜伏在信息系统内部,需要在溯源数据中识别恶意行为,实现攻击场景的重建。 图6 威胁识别与溯源 以上介绍了基于溯源数据挖掘的威胁狩猎最新研究方法及其分类,已有研究方法大部分基于真实威胁环境的演练,具备强可操作性和实战性,对攻防场景下的威胁识别与溯源具有重要的指导价值。
在MSP的帮助下,客户可以免受高级安全威胁,其中包括无文件型恶意软件、多态恶意软件、0 day攻击、高级持续性威胁(APT)、勒索软件,内部安全威胁以及高级数据过滤等,并帮助用户实现完整的数据保护。 NLX采用了信号科学来识别针对客户网络的攻击模式,并以主动预警和主动保护的方式保护企业的Web应用程序以及API接口。 七、Fortinet高级恶意软件保护 ? Fortinet现已将其反病毒与FortiSandbox Cloud服务整合进了高级恶意软件保护服务之中,该服务可以保护组织免受已知或未知的安全威胁。 除了依靠基于签名的反病毒技术来,识别已知风险之外,该产品还可以帮助组织识别0 day威胁和那些利用先进规避策略的攻击活动。 高级恶意软件保护服务包括IP僵尸网络域名保护和移动安全保护,这些技术都采用了最新的威胁分析技术来帮助组织检测并阻止恶意软件威胁。
如果是有一种方法可通过部署个ASIC的硬件、或者软件的signature去识别、检测APT,那不是高级持续威胁(Advanced Persistent Threat),那只是个EDPTD(Easy to 而APT就像其他很棘手的问题一样,解决方案可能很复杂,但是解决方法论却很简单——识别出你可见的项目,并执行之。 CSIRT团队有了很有价值的数据,以及记录了这些高级和持续性的威胁。遗憾的是CSIRT团队中断了部分的尝试,但并没有完全阻止到这些攻击。 另一个例子,当今很多APT攻击都是用PDF来展开。 即使常规的防病毒无法检测盒阻止这些威胁,这些“威胁”往往可以在漏洞利用的关键字作修改,或者运行多个杀毒引擎进行扫描免杀。而这里只是两个简单的例子。 例如前面提到的那些PDF样本,一旦你发现了其中的一些恶意样本,你需要对它进行解剖、分析,了解它打算做什么,谁是被攻击的目标,它曾经连接到哪里。
在春节过后,我读了克莱顿克里斯滕森(Clayton Christensen)教授关于识别和处理颠覆性创新的吸引人的模型,并尝试在这篇文章中做一下总结。 颠覆性创新拓展了市场,与持续性创新(制造更好的产品)和效能性创新(降低成本并使相同产品更便宜)不同,这些创新倾向于在同一个市场提供更好的服务。 老牌公司中的流程制度化使得个人甚至高级管理者难以分配资源来优先考虑对于颠覆性创新的解决方案。 ......因此,老牌公司很少有效地应对外部颠覆性性创新。 对于老牌公司寻找外部威胁而扫描宏图而言,一个关键点在于不同类型的干扰需要不同的响应:步骤1:确定这些金融科技创新是何种干扰。步骤2:确定这些是合法威胁还是机会。步骤3:部署正确的应对策略。 如果这个模式是一种颠覆性创新,即为新客户创造产品,或为服务不足的客户创造更便宜和更次等的产品并扩大市场,那么老牌企业可能会忽略或不会意识到最初的威胁,因为他们走着“创新者的困境”价值曲线。
基于攻击溯源图的威胁评主要有两类:一类是基于图异常检测思路的攻击识别;一类是引入外部知识构建相关规则进行攻击识别。 二、基于异常检测思路的攻击识别 文献[2,3]的方法假设攻击行为一定是异常行为。 三、 基于外部知识引入的攻击识别 文献[4]从网空威胁情报(CTI)报告和IOC(Indicator ofCompromise)的相关描述,形式化了威胁狩猎相关问题,开发了POIROT系统。 为了弥合低级系统调用视角和高级攻击链视角之间的语义差距,HOLMES构建了一个中间层HSG(高级场景图)。 图5 威胁子图示例 HOLMES从一定程度上解决了低级别审计数据与攻击者目标、意图和能力相关高级杀伤链视角之间的巨大语义差距。 本文为数据安全系列文章,欢迎阅读该系列的相关文章: 《攻击溯源-基于因果关系的攻击溯源图构建技术》 《图卷积神经网络在企业侧网络安全运营中的应用》 《安全知识图谱助力内部威胁识别》 关于天枢实验室 天枢实验室聚焦安全数据
近日,腾讯安全威胁情报中心检测到黑产通过某网络游戏私服传播挖矿木马和远程控制木马,已有超5000台电脑中招,腾讯安全提醒企业及个人用户提高警惕,采用专业安全产品进行防护。 随着游戏启动,木马程序执行后会释放大灰狼远控木马DhlServer.exe,并利用远控木马的下载执行功能继续下载门罗币挖矿木马ws.exe,腾讯安全威胁情报中心将其命名为MoyuMiner。 在威胁情报上,T-Sec威胁情报云查服务、T-Sec高级威胁追溯系统已支持MoyuMiner黑产团伙相关信息和情报,可及时感知识别安全威胁,进行线索研判、追溯网络入侵源头。 对于云上企业,云防火墙、T-Sec 安全运营中心已支持MoyuMiner相关联的IOCs的识别和检测,可对MoyuMiner木马相关事件及时监控、告警,主动拦截相关恶意访问流量。 对于未上云的企业,T-Sec高级威胁检测系统、T-Sec终端安全管理系统能对MoyuMiner相关挖矿协议、大灰狼远控协议特征进行识别检测,并为企业终端提供全面的防毒杀毒、防入侵、漏洞管理、基线管理等能力
2.识别潜在对手、攻击面和威胁 潜在对手 知道谁可能在和你作对是有帮助的。 应为四个主要类别中的每一个识别潜在漏洞,并将取决于你正在设计或制造的设备类型。 威胁 现在,你可以应用你的威胁模型,在本例中,我们使用了针对每个入口点的STRIDE模型来确定你的安全威胁。 我们建议使用通用漏洞评分系统CVSS来考虑你刚刚识别的威胁的影响。CVSS使用0到10的分数来帮助你了解攻击将如何影响你的设备和客户。 你需要知道要实现什么,所以应该进一步分析你确定的高级目标,以创建直接针对你的威胁的特定安全需求。 该表将帮助你清楚地看到攻击的潜在影响,以及如何处理每个威胁。 现在通过TMSA文档来识别对你自己设备的潜在威胁并确定你的安全要求。
一种常见的解决办法是对告警的威胁等级进行分级,安全研究人员会优先处理高级别的告警威胁,然后在处理低级别的告警威胁,这样以便在有限的时间内更快的找到有效的安全威胁。 二、 告警优化机制 利用传统的告警优化的方式对海量告警进行人工审核其首先将告警按照告警类型进行级别划分,对不同告警进行打分之后得到高级威胁、中级威胁、低级威胁。 然后再由安全研究人员依次对高级别的告警威胁进行人工审核,从中发现有效的威胁告警。这个过程如下图所示。 ? 关于伏影实验室 研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。 通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。 内容编辑:伏影实验室 张胜军 责任编辑:王星凯 本公众号原创文章仅代表作者观点,不代表绿盟科技立场。
现在,宾夕法尼亚州立大学,AccuWeather公司和西班牙阿尔梅里亚大学的一组研究人员,开发了一种计算机模型,可以帮助预报员更快,更准确地识别潜在的严重的风暴。 AccuWeather的高级法医气象学家Steve Wistar说,有了这个工具,他可以把目光投向可能构成威胁的岩层,这可以帮助研究人员做出更好的预测。 然后利用计算机视觉和机器学习技术,研究人员教计算机自动识别和检测卫星图像中的逗点状的云。这些可以帮助专家实时指出,在海量数据中可以把注意力集中在哪里,以便检测恶劣天气的出现。 ? “该方法可以捕获大多数人类标记的逗点状云,此外,还可以在它们完全形成之前检测到一些逗点状的云,并且我们的检测有时比人眼识别更早。”
腾讯云高级威胁检测系统(Network Traffic Analysis System,NTA)通过镜像方式采集企业网络边界流量,结合腾讯多年积累的海量安全数据,运用数据模型、安全模型、感知算法模型识别网络攻击及高级威胁(APT)。同时,对事件告警原始流量进行留存,方便事后追溯,可极大提升云环境下的威胁感知能力。
扫码关注腾讯云开发者
领取腾讯云代金券
云服务器
即时通信 IM
网站备案
对象存储
实时音视频
