• Google云基础架构安全设计学习

    一、责任共担模型和基础架构安全云提供商始终负责底层网络和基础架构,并且客户始终负责其访问政策和数据。 Google 基础架构安全层详细参考:https://mp.weixin.qq.com/s/RJn5O5Gh-PJyt-1K2ivM8A (从位于...
  • Cloud Native PostgreSQL攻击面分析

    本文以Azure为例,简单叙述下在学习云环境下PostgreSQL的过程和几个有趣漏洞 一、Azure PostgreSQL基本情况和攻击面分析1. Azure PostgreSQL基本情况侦查 ERROR:...
  • 妄谈:“技术安全运营”的未来是“安全架构师”

    资历尚浅,见识狭隘,仅以自身所见所闻所学,妄谈一下这个话题,当个乐子,随便看看。 问:“架构师”是岗位还是思想?:在阿里对架构师的定义是“去应对复杂性,应对熵值不断增加的一个组织性的力量。”“软件/系统架构的核心挑战是快速增长的复杂性,越是大...
  • 简单聊聊应用安全领域中的技术安全运营

    技术安全运营是一个上限极高同时又下限极低的一个角色,做好不易。 注解:本文中“技术安全运营”的定义 安全团队中的工种基本可以分为两类,“运营岗”和“技术岗”,而“技术岗”有可以分为开发安全产品的“研发岗/算法岗”和使用这些安全产品的“(技术)运营岗“...
  • Cloud I Hack into Google Cloud

    在本月初,Google宣布了去年2021的Google Cloud Platform的六个VRP漏洞( GCP VRP 奖旨在鼓励安全研究人员关注 GCP 的安全性,从而帮助我们为我们的用户、客户和整个互联网提高 GCP 的安全性),希望鼓励更多的安...
  • 以攻防对抗为核心—如何防御网络钓鱼(来自国家反诈的启示)

    引子昨天处理了一个简单的钓鱼事件,同时结合最近准备攻防对抗的一些思考,简单聊一下“如何应对网络钓鱼”这个难题。 网络钓鱼有哪几种网络诈骗钓鱼类型 预付金诈骗(贪) 帐户停用诈骗(怕) 伪造网站诈骗(粗心) … 网络攻击钓鱼方式 鱼叉式网络钓鱼 ...
  • 关于XDR的一点笔记

    面对攻击者日益先进的战术、技术和程序(TTPs),仍是一场艰难的战斗。随着大量新且隐蔽的攻击方法出现,我们除了威胁预防外,更需要新的策略和战术去检测和响应。 当我们的安全团队努力防止针对我们组织的攻击成功时,必须面对一个事实:没有绝对安全的系统,威胁...
  • 零信任下的用户访问

    用户访问通常是零信任的第一要务,因为它可以迅速带来生产力优势和关键漏洞的安全覆盖 使用户能够在任何地方高效工作并确保安全需要使用高质量信号明确验证用户和设备的风险/可信度。    用户风险 衡量用户风险需要分析账户本身的风险、当前的访问请求...
  • 使用零信任快速实现安全现代化

    这些是使用零信任快速实现安全现代化的建议优先事项 用户访问和工作效率 许多组织的第一个举措侧重于对传统企业网络安全边界之外的新型生产力资源(云和移动)资产的安全可见性和控制。 用户访问和工作效率(用户账户和设备) 这通常始于为云应用程序和移...
  • 零信任原则

    零信任以全新的战略视角关注最初的安全使命(使资产不受攻击者控制) 我们运行的 IT 环境从一开始就很复杂,由许多设备、用户身份以及它们之间的交互组成 为什么我们要尝试“零信任”策略尝试了受安全边界保护的“可信网络”随着攻击开始出现在我们的 I...