- 博客(112)
- 资源 (6)
- 收藏
- 关注
原创 最佳实践之部署安全且具有韧性的AI系统
AI安全是一个高速发展的研究领域。随着各政府、行业界和学术界发现AI技术潜在弱点以及利用这些弱点的技术,除了将传统的IT最佳实践应用于人工智能系统,他们需要不断升级更新AI人工智能系统以应对不断变化的风险。
2024-04-26 18:01:24 331
原创 Gartner发布攻击面管理创新洞察:CTEM、VA、EASM、CAASM、ASA、DRPS、BAS、VM等攻击面管理相关技术及关系
安全运营团队负责管理跨内部和外部数字资产的复杂攻击面。这项研究概述了攻击面评估空间,以帮助安全和风险管理领导者驾驭技术并改善其安全状况。
2024-04-25 10:25:09 929
原创 OpenHarmony开源软件供应链安全风险
现阶段的软件开发过程往往涉及诸多开源软件的层层复用,这些开源软件彼此组合、依赖,由众多开发者共同维护,形成了一条复杂的开源软件供应链。那么,OpenHarmony开源软件供应链有哪些安全风险,又该如何应对?华中科技大学网络空间安全学院创新中心副主任、OpenHarmony技术俱乐部指导教师慕冬亮在第二届OpenHarmony技术大会上进行了精彩分享。
2024-04-25 10:16:24 524 1
原创 2024年最重要的AI趋势
2022年是生成式AI在公众意识中爆发的一年,2023年是它开始在商业世界扎根的一年。因此,2024年将是关乎AI未来关键的一年,因为研究人员和企业都在寻求:如何将这一技术上的进化飞跃最实际地融入我们的日常生活。
2024-04-24 18:03:29 1055
原创 API 渗透测试学习资源
API,即应用程序编程接口,是一组规则和协议,允许不同的软件应用程序相互通信。它定义应用程序可用于请求和交换信息的方法和数据格式。Web API:这些是可使用 HTTP 等标准 Web 协议通过 Internet 访问的 API。库 API:库 API 提供了一组函数和类,开发人员可以使用这些函数和类在其应用程序中执行特定任务。操作系统 API:这些 API 提供一组用于与操作系统交互的函数和过程。一篇详细介绍API渗透测试的文章,在黑盒、灰盒和白盒等三个方面分别讲述了测试原则、目标以及具体使用案例。
2024-04-22 14:28:39 777 1
原创 应急响应所有流程
定义后查看动态链接库的方式(动态链接库在/usr/lib64):echo $PATH echo $LD_PRELOAD cat /etc/ld.so.preload ls /etc/ld.so.conf.d / cat /etc/ld.so.conf 用starce命令检查下系统命令:strace -f -e trace=file /bin/ls。立即修改云账号,修改密钥,云平台远程桌面做一次远程连接,第二次就需要手机号验证了,敏感操作和登录启用手机验证码,不要在电脑上用验证码。
2024-04-22 14:09:38 529
原创 OWASP发布十大开源软件安全风险及应对指南
为帮助用户更安全地使用开源软件 (OSS),降低开源软件安全漏洞的潜在风险,近日开放全球应用程序安全项目 (OWASP)发布“十大开源软件风险”清单,并对每种风险给出了安全指南。
2024-04-22 14:02:45 764
原创 Gartner发布信任、风险和安全管理领域的生成式人工智能创新指南:生成式AI整个生命周期运行中的攻击面
安全领导者必须解决利用更自动化的输入形式的应用的输入和输出风险,例如来自其他应用程序的 API 调用,以及直接传输到软件代理的输出。GenAI TRiSM 市场是更大的AI TRiSM 市场的一个子集,其中包括只能由人工智能模型、应用或代理的构建者或所有者实施的多个软件细分市场。在大型基础模型的情况下,模型的用户通常是与构建或拥有模型的实体不同的实体。他们通过提供异常检测和内容过滤来实现这一点,根据预设的企业策略筛选输入和输出,这些策略体现在企业和托管的法学硕士之间基于规则的系统或人工智能模型中。
2024-04-19 09:45:54 699 2
原创 大模型越狱攻击框架:集成11种方法,揭示大模型参数量和安全性的新规律
EasyJailbreak是一个集成了 11 种经典越狱攻击方法的统一架构。
2024-04-18 14:25:44 923
原创 漏洞及漏洞管理
漏洞识别一般是通过漏洞扫描器实现的,识别漏洞的形式无外乎有四种:非认证式扫描、认证式扫描、API 扫描、被动流量扫描,前两种是最普遍的方式。非认证方式扫描,也称为网络扫描方式(Network Scanning),基本原理就是发送 Request 包,根据Response 包的 banner 或者回复的报文来判断是否有漏洞,这种分析 Response 包内容的主要逻辑是版本比对或者根据 PoC 验证漏洞的一些详情来判断。漏洞评估是在漏洞识别的基础上进行漏洞严重性的评估,这一步非常重要会影响到后面的补救步骤。
2024-04-18 10:37:43 851
原创 OWASP 发布十大开源软件风险清单(详解版)
对不成熟组件或项目的依赖带来运营风险。非常小的组件(如仅包括几行代码的组件)和规模更大的组件(如账户接管、恶意拉取请求或CI/CD漏洞)引发的供应链风险一样大,而使用这些组件的目的是为了获得相对小的功能。攻击者创建的组件名称与合法开源或系统组件的名称类似 (typo-squatting),或者给人印象是可信的作者(品牌劫持),或在不同的语言或生态系统中使用常见的命名模式 (combo-squatting)。使用距离最新依赖发布太远的版本,可能导致在紧急情况(如所使用的版本中漏洞的披露)下难以做到及时更新。
2024-04-18 10:30:12 1049
原创 美国家安全局等发布安全部署人工智能系统指南
2024年4月15日,美国国家安全局发布了名为《安全部署人工智能系统:部署安全、弹性人工智能系统的最佳实践》,该指南旨在为部署和运行由其他实体设计和开发的人工智能系统的组织提供最佳实践,以提高人工智能系统的机密性、完整性和可用性,并确保已知的人工智能系统的网络安全漏洞得到适当的缓解。同时,该文件还提供了一些方法和控制措施,以保护、检测和应对针对人工智能系统及其相关数据和服务的恶意活动。此外,建议使用最新的开发方法和技术,例如自动化代码审查和安全性测试,以及利用机器学习和人工智能来提高人工智能系统的安全性。
2024-04-18 10:18:36 707
原创 2024年第一季度全球20起重大网络安全并购交易:生成式AI的兴起、网络攻击的增加和政府监管的强化推动并购活动增长
2024 年,网络安全仍然是全球信息技术中最令人担忧的问题之一,此前一年安全事件继续以惊人的速度增长。 2023 年网络安全并购较上年下降超过 18% 后,预计 2024 年将出现强劲且活跃的并购环境。
2024-04-17 09:51:24 710
原创 如何利用Sys:All漏洞渗透生产环境中的GKE集群
在我们发现了谷歌Kubernetes引擎(GKE)中的一个严重漏洞Sys:All后,我们决定对这个漏洞在现实世界中的影响进行研究。我们最初的探测就已经发现了超过一千个易受攻击的GKE集群,原因是管理员在配置RBAC绑定时,使得system:authenticated组特权过大,这可能允许任何谷歌账户持有者访问和控制这些集群。
2024-04-16 16:21:38 740
原创 三种网络安全行业整合模式深度解读
网络安全领域正在发生三种类型的“整合”:行业整合、支出/工具整合以及平台化。这三种趋势各自独立,但又相互关联。
2024-04-12 11:04:38 793 1
原创 AI Safety与AI Security:探索共同点和差异(下)
上篇(详细)中,我们探讨了人工智能生态系统的完整性、保密性、可用性以及关于AI safety的一些热门话题,接下来我们将继续探讨AI Safety究竟是什么?以及AI Safety与AI Security的同、异。
2024-04-11 18:54:51 724
原创 AI Safety与AI Security:探索共同点和差异(上)
AI safety和AI security是在人工智能系统的开发和部署中扮演着独特但相互关联角色的基本方面。 AI security主要围绕着保护系统以确保机密性、完整性和可用性,包括防范未经授权访问、数据泄露以及与C.I.A.三元原则一致的干扰。
2024-04-11 18:53:03 654
原创 Gartner发布数据安全平台市场指南:数据安全平台的必备功能、标准功能、可选功能和市场驱动因素
数据安全平台(DSP)将数据安全控制与业务逻辑和细粒度授权相结合,可显著提升数据安全措施的成效、确保数据的安全性。安全和风险管理领导者可通过本报告了解DSP市场的定义、运行机制和动态。
2024-04-11 13:42:27 792
原创 大型商业银行基础设施的用户安全管理创新与实践
本文基于大型商业银行基础设施用户管理真实情况,深入剖析用户管理工作的痛点、难点,探索如何提升用户安全管理水平,以进一步完善信息安全防护体系。
2024-04-09 13:52:44 684
原创 美国网络安全从业人员规模与收入成色几何
美国劳工部每年会对全国各职业(约830 种)进行就业和工资统计(OEWS),该统计数据是职业就业统计(OES)的升级版。这项统计在许多州都是强制报告的,官方会从州上缴失业保险的人群中按照大城市/非大城市、行业等角度进行抽样选择被调查人。基于 2015 年到 2020 年的统计情况,美国劳工部从 2021 年5 月开始启用新估算方法(MB3),感兴趣的可以去美国劳工部统计局官方网站查看具体方法。
2024-04-09 13:47:18 477
原创 Gartner发布NDR网络检测和响应市场指南:全球29家及中国6家厂商
网络检测和响应市场(NDR)持续增长,并通过 IaaS 部署扩展到混合网络场景。安全和风险管理领导者应在更加自动化的安全运营助手的背景下,重新将 NDR 视为人工智能分析的主要提供者。
2024-04-09 13:39:56 838
原创 2023年网络安全领域新兴技术的发展特点
人工智能、区块链、量子信息技术、第六代移动通信(6G)作为信息技术领域的前沿和关键核心技术,在网络安全领域的发展和应用对国家和社会具有重大现实意义,相关动向值得关注。
2024-04-02 13:55:16 1049
原创 3月份全球市场推出的24款网络安全热点产品和服务:应用安全和生成式AI应用是热点
CSO在线追踪了3月份全球市场推出的代表性网络安全产品和服务,从中可以观察网络安全产品创新趋势和风向。
2024-04-02 13:52:07 743
原创 2023年欧亚地区网络安全态势综述
欧亚地区网络安全形势十分严峻,地区性国际冲突使处于冲突中心及相邻欧亚国家的关键数字基础设施被频繁攻击,而其他网络安全能力不足的欧亚国家,常常成为黑客入侵的重点目标。
2024-03-29 15:17:51 688
原创 IDC:2024年中国银行业数据安全治理市场洞察
由监管推动,2024年中国银行业数据安全治理市场正在进入加速发展阶段。2024年3月,国家金融监管总局制定的《银行保险机构数据安全管理办法(征求意见稿)》开始向社会公开征求意见。
2024-03-28 10:51:12 242
原创 Gartner发布新兴技术指南:生成式人工智能和深度伪造对身份验证的影响
使用生成式人工智能(GenAI)技术生成的 Deepfakes(深度伪造) 对身份验证的完整性构成了根本威胁。身份验证产品领导者必须了解这一新兴威胁,并采取积极主动的方法来区分和保护其解决方案产品。
2024-03-28 10:43:31 835
原创 IBM发布CEO生成式AI行动指南:将生成式AI视为迫切需要加以保护的重要平台
生成式AI催生了一系列新兴网络威胁。黑客获得了更多的机会来利用漏洞,也可以通过更多的方式来执行恶意活动。幸运的是,反之亦然:生成式AI可以加强企业的防御能力。在短期内,生成式AI将让曾经一度繁重的安全流程变得更加高效。通过分析海量数据并识别模式和异常,生成式AI可以及时发生新出现的威胁。
2024-03-27 15:21:36 493
原创 Gartner发布网络安全应用生成式AI指南:应用生成增强功能提升企业网络安全能力和效率的三个领域及9个实例
生成增强功能是专门为提高知识工作者的生产力、解决网络安全技能短缺问题并降低大型语言模型带来的风险而构建的。安全和风险管理领导者通过在运营中采用生成增强来提高团队的能力。
2024-03-22 13:26:07 609
原创 IDC:2027年中国网络安全市场规模将超200亿美元
IDC于近日发布了2024年V1版IDC《全球网络安全支出指南》(IDC Worldwide Security Spending Guide)。IDC数据显示,2022年全球网络安全IT总投资规模为1890.1亿美元,并有望在2027年增至3288.8亿美元,五年复合增长率(CAGR)为11.7%。受地缘政治、宏观经济与疫情影响,全球网络安全支出和上期预测相比小幅降低。
2024-03-20 11:56:07 561
原创 美国政府发布《2024-2026年情报界开源情报战略》
2024年3月8日,美国国家情报总监办公室(ODNI)和中央情报局(CIA)发布《2024-2026年情报界开源情报战略》。该战略文件包含战略简介、战略重点领域、关键推动因素、展望未来4个部分。元战略编译文件重要内容,为探讨美国情报界最新开源情报战略提供参考。
2024-03-20 11:33:09 530
原创 ICT产品供应链安全现状分析与对策建议
本文尝试分析ICT产品供应链的安全背景、政策法规,并给出具体针对性的建议供ICT产品供应链的供需双方参考。
2024-03-20 11:00:14 844
原创 ChatGPT vs Gemini:谁在网络安全运营中更好用?
在本文中,IBS Software的安全研究团队精心设计了十大安全运营用例,对这两种工具进行了针对性的测试。
2024-03-20 10:56:12 960
原创 Gartner发布安全运营指南:迈向卓越安全运营的 5 项举措
顶级组织通常会实施一套通用的安全运营活动,以实现成熟,但是,他们在应对快速发展的威胁方面仍然面临挑战。安全和风险管理领导者可以利用这五项举措来加强他们的网络防御工作,同时促进安全投资的更大回报。
2024-03-19 11:20:31 1193
麒麟软件操作系统勒索病毒防护指引
2024-04-25
Gartner发布攻击面管理创新洞察(全文下载)
2024-04-25
大语言模型安全测试方法
2024-04-24
生成式人工智能应用安全测试标准
2024-04-24
英国NCSC发布网络安全评估框架CAF v3.2
2024-04-22
北京金融科技产业联盟发布《金融行业云原生安全体系研究报告》
2024-04-22
Gartner发布信任、风险和安全管理领域的生成式人工智能创新指南:生成式AI整个生命周期运行中的攻击面 全文下载
2024-04-19
Gartner发布数据安全平台市场指南:数据安全平台的必备功能、标准功能、可选功能和市场驱动因素
2024-04-11
Gartner发布NDR网络检测和响应市场指南:全球29家及中国6家厂商
2024-04-09
Gartner发布新兴技术指南:生成式人工智能和深度伪造对身份验证的影响
2024-03-28
IBM发布CEO生成式AI行动指南:将生成式AI视为迫切需要加以保护的重要平台
2024-03-27
Gartner发布网络安全应用生成式AI指南:应用生成增强功能提升企业网络安全能力和效率的三个领域及9个实例
2024-03-22
Gartner发布安全运营指南:迈向卓越安全运营的 5 项举措
2024-03-19
Gartner最新生成式AI报告:300个行业用例揭示GenAI垂直行业发展的五个关键的不确定性
2024-03-15
Garter的2024 年行业预测:金融、通信、能源、政府等9大行业共同关注的六大关键主题(全文下载)
2024-03-12
Gartner对未来5年全球信息安全和风险管理市场的预测分析:影响市场的四大因素及对相关产品市场的影响
2024-03-07
《CSA数据安全词汇表》
2024-03-01
NIST正式发布网络安全框架 2.0最终版:相比之前两个版本的六大重大变化
2024-02-29
欧盟发布关于网络安全、通信网络弹性的综合风险评估报告:具有战略意义的十大网络安全风险场景
2024-02-27
Gartner信息图:2024 年44种安全和风险管理技术采用路线图
2024-02-23
Gartner信息图:2024年中国信息安全投资重点
2024-02-21
改变终端安全的革命性新兴技术:自动移动目标防御技术AMTD
2024-02-05
Gartner发布《2024年美国联邦政府CIO三大工作重点》:管理AI、软件供应链安全和零信任
2024-01-30
《2023年数据出境合规年鉴》
2024-01-25
《识别影子访问:新兴的IAM安全挑战》
2024-01-25
《云原生应用保护平台(CNAPP)调查报告》
2024-01-25
《零信任商业价值综述》
2024-01-25
CSA发布《AI安全白皮书》
2024-01-25
《数据安全平台神兽方阵报告(2023)》
2024-01-25
《云控制矩阵 v4》( 中英文版)
2024-01-25
世界经济论坛发布《2024年全球网络安全展望》
2024-01-24
世界经济论坛发布《2024年全球风险报告》
2024-01-24
Gartner发布数据安全治理指南:采取四个关键步骤,加快数据安全治理的采用
2024-01-18
Gartner发布CPS安全2024年预测:安全形势动荡的四大向量
2024-01-16
Gartner发布2024年SASE融合战略路线图:SASE当前状态与理想状态及其差距分析
2024-01-09
Gartner发布2024年网络安全主要趋势
2024-01-08
Gartner发布安全领导者数据安全指南
2023-12-26
《数据安全治理实践指南 (3.0)》发布
2023-12-25
Gartner发布2024年网络安全预测:零信任走向成熟
2023-12-21
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人