

- 网络安全对投资并购的影响
选自公众号:安在 原文链接:https://mp.weixin.qq.com/s/9VYZH4Hsj_L5qUZmWwP2QA 探讨了网络安全在风险投资、私募股权以及并购活动中日益增长的重要性。首先指出,风险投资公司传统上并未将网络安全视为早期投资的关键考量,因为初创公司的失败通常与网络事件无关。然而,文章强调,私募股权公司和并购方对网络风险的态度正在发生转变,这主要是由于多起备受瞩目的网络事件对交易价值和企业声誉造成了重大影响。为此,越来越多的私募股权公司正在采纳专属托管安全服务提供商(MSSP)模式来管理其投资组合公司的网络风险。最后,预示网络尽职调查将成为未来并购过程中一个更结构化和标准化的关键组成部分,类似于财务审计,以更好地理解和管理相关风险。
- 大模型自身安全体系化分析
本期播客节选自中国信通院和阿里云合著的《2024大模型自身安全研究报告》,感兴趣的同学自行百度查看原文吧。 概述了大型模型自身安全的框架,涵盖了安全目标、安全属性、保护对象和安全措施四个核心层面。报告详细阐述了确保训练数据安全可信、算法模型安全可靠、系统平台安全稳定以及业务应用安全可控的具体目标。此外,报告还深入探讨了训练数据、算法模型、系统平台和业务应用各环节的安全保护措施,包括数据合规获取、模型鲁棒性增强、系统安全加固以及生成信息标识等。整体而言,这份报告提供了一个全面且多维度的大型模型安全防护指南。
- 金融网络安全能力成熟度模型简析
概述了金融网络安全能力成熟度模型,该模型通过详细的能力域和子域定义了组织网络安全的不同成熟度级别。它涵盖了从业务识别、资产管理、安全策略到风险管理、物理安全、网络通信安全等多个方面。此外,它还包括了服务器、终端、应用和数据安全,并详细阐述了安全开发、安全运维、人员安全、攻防实战、安全监控、威胁感知、分析预警以及响应恢复等关键领域。该框架通过能力等级(L1-L5)为金融机构提供了衡量和提升其网络安全能力的具体指导。 不确定是不是可以放模型原稿,暂时先不放吧,劳烦各位听播客啦。
- 看一个开发安全实践落地经验
原文选自:安全村SecUN 原文链接:https://mp.weixin.qq.com/s/joCWYzEholKAPpof8H0W6A [图片] 很少看见这么详实高价值的开发安全赋能实践,原文有很多图片解析,更精彩! 摘要:随着攻击手段的复杂化和法律合规要求趋严,安全左移已经成为行业共识,可以显著降低修复成本及提高产品安全性。伴随软件开发模式的敏捷化转变和DevOps的流行,DevSecOps相应出现,但机构在落地过程中,普遍面临诸多困难,如安全人员不足、缺少威胁分析工具和安全需求库等,严重影响了应用系统的安全保障效果。本文将介绍开发安全赋能平台的实践探索,以平台为载体整合和重构安全专家多年积累的领域知识、经验、技术、工具和流程,将安全赋能到软件开发的各个阶段,伴随研发流程进行安全风险同步管理,通过自助化、流程化、自动化的平台赋能,减轻机构从事DevSecOps的困难,提高安全效能,快速交付合法、合规,且满足较高安全保障水平的软件产品。 关键词:开发安全赋能平台、DevSecOps、轻量级威胁建模、安全测试编排与关联、数据安全评估内嵌、开发安全度量指标
- 当钓鱼邮件遇上AI大模型,鹿死谁手
深入探讨了钓鱼邮件的演变及其对传统网络安全措施构成的挑战。 电子邮件的普及为钓鱼攻击提供了广阔空间,而社会工程学和“网络钓鱼即服务”以及GPT等技术的兴起,进一步降低了攻击成本和技术门槛,使得攻击者能够生成更具欺骗性和隐蔽性的高级威胁样本。这些样本能够轻易规避传统的基于规则和情报的防御手段。 为应对此风险,提出并详细介绍了利用生成式人工智能大模型技术构建钓鱼邮件检测专用模型的必要性及其工作原理。这种模型通过海量数据预训练和专家经验微调,具备卓越的自然语言理解能力和高级威胁检测识别能力,能够像人类安全专家一样全面分析邮件内容、附件、链接等维度,以应对二维码钓鱼、加密压缩包/文档、HTML走私、白链接跳转、账户接管、问卷调查、网页克隆和网盘/中转站等多种高对抗钓鱼场景。
- 数据安全也抡起了AI大模型的魔法棒
主要介绍了数据安全大模型的构建及其在数据分类分级和风险检测两大核心方向的应用。该模型通过结合领域知识和先进的训练技术,从一个基础模型演变为能够直接应用于实战场景的智能体。在数据分类分级方面,阐述了利用大模型自动化识别、分类和定级数据的优势,尤其是在处理结构化和非结构化数据方面的能力。至于数据安全风险检测,强调了该模型如何通过整合业务属性、用户行为分析(UEBA)和弱信号关联等技术,显著提高风险识别的准确性和效率,有效减少误报并挖掘高价值安全事件。
- 数据安全-从入门到躺平
全面介绍了数据安全领域的核心概念和演进历程,旨在帮助理解数据安全工作。首先定义了数据安全及其常用术语,如API、数据字段和数据库,并区分了结构化与非结构化数据。接着,阐述了数据分类分级、数据脱敏、数据水印和数据防泄漏等关键技术。还回顾了数据安全体系从静态防护到大规模数据流动的演进,并指出传统安全方案在面对复杂数据环境时的局限性,最后强调了识别数据资产、监控数据流动风险以及实施分级管控的重要性。
- 关于年度攻防演练的一些关键点
本期是关于年度攻防演练的关键点分析。详细阐述了防守方在演练中失分的常见原因,例如未受关注的暴露面和难以监测的社交工程钓鱼,并指出了得分的关键要素,如有效的监测发现和快速的应急处置能力。文本还探讨了年度攻防演练所面临的最大挑战,包括值守人员的疲劳和设备的大量漏报。最后,它提出了2025年防守的五大关键布局点,旨在解决数字资产攻击面、社交工程防护、集团统一安全防护、威胁检测研判效率以及长周期常态化攻防对抗等核心问题。
- AI大模型应用攻击——提示词注入场景案例
本期探讨了大型语言模型应用程序中可能出现的提示词注入攻击,解释了攻击者如何通过精心设计的输入来劫持模型,使其生成有害内容、泄露敏感信息或执行非预期行为。 文章区分了直接注入(攻击者直接与模型交互)和间接注入(通过第三方或嵌套提示进行),并提供了生成有害信息、泄漏敏感信息以及上传文件执行恶意代码的具体示例。 此外,文本分析了大型模型自身防护机制的局限性,特别是在面对复杂和多轮攻击时的不足,并指出高质量基准测试和复杂应用场景的增加使得攻击更难检测。
- 如何度量企业安全团队的价值
作者:李维春(某券商安全总监) 选自公众号:安在 原文链接:https://mp.weixin.qq.com/s/NUBg8yS6aJcOegNcMYxczw 近期有幸见到李老师,听他讲解如何度量企业安全团队的价值,将课题的心路历程与思考方式细致无私分享,收获颇丰。其中观点想必对各位老师也是一个很好的参考,特做本期播客,原文文字更加精彩。
- 大集团型企业的“监管赋”网络安全思路
从网络安全法,到关保条例,都有对总部实施统一运营/监管,降低分支安全风险的要求。以下从“监管赋”的思路谈一下网络安全建设思路 出于敏感要求,本次无法放置文字稿,劳烦各位听音频啦。
- 多云场景下的安全运营几个常见问题
如何在云环境下做好安全运营的效果成为了大量企业面临的安全重要挑战。尤其是企业使用多家公有云时,多云环境下统一安全运营便成为难题,企业希望通过本地的一个安全运营中心SOC把所有云的安全都管理起来。我们从以下几个点来看看现在的好方法。 1、我们公司有多个公有云,本地也有私有云,我想把全部主机的访问关系都一盘棋看到。特别注意,我不想再额外部署任何其他安全厂商的主机安全,我在各个云上已经有不同品牌的主机安全了。 方案:利用安全运营平台SOC,与公有云平台运维API进行数据对接,从而获取云上全量资产和网络数据,结合图数据库技术最终进行拓扑图绘制与展示。 2、如果我还是想看流量侧的各个风险怎么做,云上很难像本地一样部署探针 1️⃣直接云厂商的NDR产生的各个安全告警等日志传到安全运营中心SOC进行综合分析。 2️⃣在云上部署传统安全厂商的虚拟化探针,云主机网卡转发流量到虚拟探针即可。或者把多个VPC的虚拟交换机流量镜像到虚拟话探针。需要注意的是部分云厂商有收费和可用区限制,且如果仅镜像虚拟交换机的流量那云主机的东西向流量便无法检测到了。 3️⃣安装传统厂商的终端探针,需要在云主机上安装Agent进行流量转发,需要注意的是有可能会影响云主机性能。 3、云上有啥比本地好的安全措施吗 由于本地很难去看东西向流量,而云上可以通过对接云API很容易拿到这部分数据,所以会有一个新能力:云攻击路径预测分析。即是基于云网络访问关系、云环境配置信息、云上漏洞信息,自动化的预测存在高危风险同时暴露外网的攻击入口,并预测入口资产实现后黑客可能横向移动方向,形成云攻击路径预测分析能力。云攻击路径区别于业界已有的“事后攻击链分析和还原”,旨在以攻击者视角事前预测云环境中存在的实际可利用攻击路径。
- 证券公司攻击面管控及安全验证工作实践
选自公众号:安全村SecUN 原文链接:https://mp.weixin.qq.com/s/0DDAKqWA7c5RzD3lox0rdw 网络安全AI说:原文更精彩,篇幅较长,很详细的讲述了自身对攻击面管理的看法,长江证券的老师们对这块的研究确实非常深入,感兴趣的各位建议可看下原文,很体系化。
- 苹果供应链网络安全要求及应对
苹果公司会对其供应链体系内的公司,做网络安全现状的现状调查,安全要求较为具体,评估结果会和苹果给到的订单正相关。苹果会通过邮件的形式发送要求整改的文档给到供应商,让供应商对标进行整改。整改完成后会给到要求其使用对话框回复给到苹果官方,最后苹果官方评估是否符合要求,如审核通过后,会关闭该弹窗的对话框。如限期内无法完成整改,则会发邮件警告。 以下列举部分苹果的要求以及业内的解决方案
- 来,解构一下网络安全大模型
本篇的文字版出于敏感要求无法放出,劳烦各位听播客啦 从国内某领先安全厂商的网络安全大模型出发,看行业内的技术情况 一、网络安全大模型的构建过程,四个阶段 二、安全大模型利用 MoE 的设计思想,运行原理是怎么样的 三、MoE 架构包含多个专家模型是哪些 四、训练用到的数据是哪些