真要做好攻击面管理,需要:
甲方的经理
1、了解防御方法论
2、了解攻击方法论
3、了解技术人员的行为
4、有上级的充分支持(包括预算)
乙方的经理:
1、有覆盖面够广的测绘设施,不只是互联网测绘,流量、hypervisor、硬件配置、系统、组件、SBOM甚至可能API都要考虑
2、对甲方的网络架构和开发行为认知都比较到位
3、没想到
甲方的经理
1、了解防御方法论
2、了解攻击方法论
3、了解技术人员的行为
4、有上级的充分支持(包括预算)
乙方的经理:
1、有覆盖面够广的测绘设施,不只是互联网测绘,流量、hypervisor、硬件配置、系统、组件、SBOM甚至可能API都要考虑
2、对甲方的网络架构和开发行为认知都比较到位
3、没想到
💊1
Pseudorandom Thoughts
Photo
《七夕坂梦幻能》剧情观感:天然异能人士失踪深山老林 普信物理学家打砸人文古迹
莲子:异界的尽头是什么!
梅莉:主将证明自己,七月七日早上十点钟,整个梅莉都将为你闪烁
莲台野至今喜欢露营不带帐篷是吧
莲子小片段喜欢
---
曲子观感:《梦幻能》《独自一人常陆行路》《毕竟不是夜晚也有妖怪》好好听啊,其他的有点实验性,等一个同人演绎
正作的几首的重新混音都很好听
莲子:异界的尽头是什么!
梅莉:主将证明自己,七月七日早上十点钟,整个梅莉都将为你闪烁
莲台野至今喜欢露营不带帐篷是吧
莲子小片段喜欢
---
曲子观感:《梦幻能》《独自一人常陆行路》《毕竟不是夜晚也有妖怪》好好听啊,其他的有点实验性,等一个同人演绎
正作的几首的重新混音都很好听
Pseudorandom Thoughts
《七夕坂梦幻能》剧情观感:天然异能人士失踪深山老林 普信物理学家打砸人文古迹 莲子:异界的尽头是什么! 梅莉:主将证明自己,七月七日早上十点钟,整个梅莉都将为你闪烁 莲台野至今喜欢露营不带帐篷是吧 莲子小片段喜欢 --- 曲子观感:《梦幻能》《独自一人常陆行路》《毕竟不是夜晚也有妖怪》好好听啊,其他的有点实验性,等一个同人演绎 正作的几首的重新混音都很好听
破案了,叮当贝尔不等式的锅碗瓢盆节奏是跟着贝斯敲的,从前奏开始你跟着贝斯听就顺耳了(可能需要较好的播放设备)
Tinker Bell(字面义)
Tinker Bell(字面义)
说到后渗透,我的一些观察:
网络:我是想到一个绕NTA的狠招,但因为太狠了我不说。但近些年来,甲方/蓝队的活儿淹没了我,只能等一个有缘人和我合拍开发出来了。
主机和服务:相较之下绕主机安全就比较恶心,我感觉政企B侧Java一统江山的大方向下,还是得把内存马做精做深。
这种时候一方面得考虑跟钩子嗯挂的RASP玩gadget捉迷藏,另一方面很多红队开发/RTI都不注重的一点是拟态,红队总喜欢把马做小,我觉得其实是走了弯路。之前实战时的尝试感觉是,你越像业务接口越好。
免杀更是玄学,我曾经测某免费杀软时现场五分钟从零写了个直白socket的简单c2马,然后让杀软静态动态都扫了遍,居然没扫出来问题。
容器:理论上按照nday和不当配置逐项排查的思路就是CDK一把梭,实践上B侧有一些胖容器、单元化之类的服务治理策略暴露出的面儿也值得探究一下。从甲方视角看感觉开发人员基本盘在容器安全方面的卫生程度好比当年一堆人写PHP的时代。
云:打Endpoint、偷Metadata、偷授权三件套,然后就开始内网逛街偷产品数据。目前感觉大的态势还停留在挖云厂商内部API或者客户不当隔离不当授权的情况,没啥有意思的部分,好些组搓点API利用工具都能在GitHub上集到好多赞。我是用来布局白盒攻击面检测的,有些idea内部使用不方便开源。这方面sangf○r其实有产品,阿里云最近也上线了类似服务。云+攻击面其实值得单开一个话题,不知道有没有厂商做军火化。好多厂商好像这块意识稍微差点,缺少有战术意识的安全产品经理。
网络:我是想到一个绕NTA的狠招,但因为太狠了我不说。但近些年来,甲方/蓝队的活儿淹没了我,只能等一个有缘人和我合拍开发出来了。
主机和服务:相较之下绕主机安全就比较恶心,我感觉政企B侧Java一统江山的大方向下,还是得把内存马做精做深。
这种时候一方面得考虑跟钩子嗯挂的RASP玩gadget捉迷藏,另一方面很多红队开发/RTI都不注重的一点是拟态,红队总喜欢把马做小,我觉得其实是走了弯路。之前实战时的尝试感觉是,你越像业务接口越好。
免杀更是玄学,我曾经测某免费杀软时现场五分钟从零写了个直白socket的简单c2马,然后让杀软静态动态都扫了遍,居然没扫出来问题。
容器:理论上按照nday和不当配置逐项排查的思路就是CDK一把梭,实践上B侧有一些胖容器、单元化之类的服务治理策略暴露出的面儿也值得探究一下。从甲方视角看感觉开发人员基本盘在容器安全方面的卫生程度好比当年一堆人写PHP的时代。
云:打Endpoint、偷Metadata、偷授权三件套,然后就开始内网逛街偷产品数据。目前感觉大的态势还停留在挖云厂商内部API或者客户不当隔离不当授权的情况,没啥有意思的部分,好些组搓点API利用工具都能在GitHub上集到好多赞。我是用来布局白盒攻击面检测的,有些idea内部使用不方便开源。这方面sangf○r其实有产品,阿里云最近也上线了类似服务。云+攻击面其实值得单开一个话题,不知道有没有厂商做军火化。好多厂商好像这块意识稍微差点,缺少有战术意识的安全产品经理。
Telegram
Pseudorandom Thoughts
avast! 你特么在逗我
起因是想随手trigger一下听听这个版本的avast!还有没有感性大姐姐声音“已经检测到危害”,结果没想到她文化程度这么低😡
起因是想随手trigger一下听听这个版本的avast!还有没有感性大姐姐声音“已经检测到危害”,结果没想到她文化程度这么低😡
Forwarded from 🐱 Ch. | 挪瓦咖啡配苕皮套餐 TV (webRTCCat | Present Day, Present Time)
前段时间因为工作安排花两天突击了一下企业数据安全建设,顺带讲一下数据要素的一些琐碎的战略思考。
1、不存在的安全性。这块可以说是建设意识远远领跑于安全意识,对于有司各条线来说又根本不存在强制监管,以至于个人信息保护基本可以认为是不存在的事情,从长远来看就得躺平,只要是用了国内服务的部分,你就当自己是个体信息行程思维完全公开的三体人就好。
2、参差的意识。又到了我最喜欢的diff东西部省份时间。我个人感觉某西部省份整个从中到下的班子对数据要素的理解好像还停留在多做几个便民数字政务系统、报表系统,但这也是没办法的事。
数据资源的挖掘首先要求有这些系统做基本信息的录入统合关联;然后再到基于系统提出一些业务要求,做深入的表分析,推动跨部门跨表跨库跨仓数据融合以及大数据分析和交换的基础设施;然后再要求数据的分级分类治理,把有价值的数据打包成各种方便流通的pack,就可以拿出来流通了。
同时这也要求领导的战略把数据要素囊括进去,业务人员的能力往数据处理去贴靠,开发人员搓出来方便业务用的数据分析平台,这又是很大的人员培养工程。
3、垄断的信息差。安全和合规从来就是两回事,尽管多数有司条线都做不到安全,但他们还是得合规,在不懂做合规的情况下一刀切就是最方便的;除了合规以外当然也包括寻租的部分。这个时候数据资源垄断和渠道垄断就是必然的事情,你作为数据乙方(或者数据资源买方)要拉平就必须把很多个条线全部搞定,纯民企想都不用想,但可以关注一下国企的硬实力(数据处理能力)和软实力(跟各条线的关系、跟数据部门的关系),还有跟这些国企抱团形成上下游的民企。
1、不存在的安全性。这块可以说是建设意识远远领跑于安全意识,对于有司各条线来说又根本不存在强制监管,以至于个人信息保护基本可以认为是不存在的事情,从长远来看就得躺平,只要是用了国内服务的部分,你就当自己是个体信息行程思维完全公开的三体人就好。
2、参差的意识。又到了我最喜欢的diff东西部省份时间。我个人感觉某西部省份整个从中到下的班子对数据要素的理解好像还停留在多做几个便民数字政务系统、报表系统,但这也是没办法的事。
数据资源的挖掘首先要求有这些系统做基本信息的录入统合关联;然后再到基于系统提出一些业务要求,做深入的表分析,推动跨部门跨表跨库跨仓数据融合以及大数据分析和交换的基础设施;然后再要求数据的分级分类治理,把有价值的数据打包成各种方便流通的pack,就可以拿出来流通了。
同时这也要求领导的战略把数据要素囊括进去,业务人员的能力往数据处理去贴靠,开发人员搓出来方便业务用的数据分析平台,这又是很大的人员培养工程。
3、垄断的信息差。安全和合规从来就是两回事,尽管多数有司条线都做不到安全,但他们还是得合规,在不懂做合规的情况下一刀切就是最方便的;除了合规以外当然也包括寻租的部分。这个时候数据资源垄断和渠道垄断就是必然的事情,你作为数据乙方(或者数据资源买方)要拉平就必须把很多个条线全部搞定,纯民企想都不用想,但可以关注一下国企的硬实力(数据处理能力)和软实力(跟各条线的关系、跟数据部门的关系),还有跟这些国企抱团形成上下游的民企。
有外省同事问去南宁旅游有啥特色美食,简单记录一下,爱民螺蛳粉,甘家界柠檬鸭,农院路夜宵,早餐可以试试宾阳酸粉、老友粉和卷筒粉;正餐可以试试柠檬鸭、猪肚鸡,还有牛杂,在火车站-朝阳广场那片随便找个看起来很旧的牛杂店基本都好吃;夜宵可以搞点烤猪鞭、酸嘢、糖水。
说个背刺企业安全管理的,微信也有代码托管服务,可以导致巨大多密钥泄露。鬼知道为什么微信要搞个这个
Qq
登录 - 微信开发者代码管理
微信开发者·代码管理是为开发者提供的一项代码管理服务,方便微信开发者进行代码推送、拉取、版本管理和多人协作
💊1
Forwarded from WA Daily
https://gitlab.archlinux.org/archlinux/rfcs/-/merge_requests/29#note_186477
国内高校镜像站反对 Archlinux RFC 29 草案的联署
tl;dr:该 RFC 草案为镜像站设置了许多不合理甚至不可能做到的要求,同时未解决任何现有问题。
国内高校镜像站反对 Archlinux RFC 29 草案的联署
tl;dr:该 RFC 草案为镜像站设置了许多不合理甚至不可能做到的要求,同时未解决任何现有问题。
GitLab
Mirror definition - Proposal for new mirror administration routines and mirror requirements (!29) · Merge requests · Arch Linux…
Before this proposal, all tasks surrounding mirrors were manual and in free-text form. This RFC therefore outlines the definitions and guidelines surrounding both becoming but also maintaining and...
《标准(征求意见稿)》.rar
4.2 MB
《安全可靠 服务器操作系统技术要求》(计划号:2024-0469T-SJ)
《安全可靠 微型计算机操作系统技术要求》(计划号:2024-0470T-SJ)
《安全可靠 分布式事务型数据库技术要求》(计划号:2024-0471T-SJ)
《安全可靠 集中式事务型数据库技术要求》(计划号:2024-0472T-SJ)
《安全可靠 便携式微型计算机技术要求》(计划号:2024-0473T-SJ)
《安全可靠 服务器技术要求》(计划号:2024-0474T-SJ)
《安全可靠 工作站技术要求》(计划号:2024-0475T-SJ)
《安全可靠 台式微型计算机技术要求》(计划号:2024-0476T-SJ)
《安全可靠 一体式台式微型计算机技术要求》(计划号:2024-0477T-S)
《安全可靠 微型计算机操作系统技术要求》(计划号:2024-0470T-SJ)
《安全可靠 分布式事务型数据库技术要求》(计划号:2024-0471T-SJ)
《安全可靠 集中式事务型数据库技术要求》(计划号:2024-0472T-SJ)
《安全可靠 便携式微型计算机技术要求》(计划号:2024-0473T-SJ)
《安全可靠 服务器技术要求》(计划号:2024-0474T-SJ)
《安全可靠 工作站技术要求》(计划号:2024-0475T-SJ)
《安全可靠 台式微型计算机技术要求》(计划号:2024-0476T-SJ)
《安全可靠 一体式台式微型计算机技术要求》(计划号:2024-0477T-S)