- 博客(10)
- 收藏
- 关注
RSS订阅原创 AI驱动全景式安全赋能:reeBuf发布永久性HW攻防知识库,重塑网络安全实战能力标准
全球首个动态演进型攻防知识库上线,破解企业“漏洞管理碎片化”困局 2025年5月15日,网络安全行业头部平台FreeBuf宣布推出永久性HW攻防知识库《渗透知识库(Hack之道)》。该知识库整合2000+最新漏洞POC/EXP、红队战术及AI安全攻防策略,覆盖从基础渗透到APT攻击的全场景需求,旨在为企业构建持续迭代的实战能力中枢。一、知识库核心架构:三层防御体系驱动安全进化 1. 动态情报层 • 实时更新2023-2024年HW高频漏洞利用链,包含泛微E-Office、用友NC等企业级系统漏洞
2025-05-15 15:20:05
191
转载 运营商数据安全建设典型案例-以数据分类分级平台为例
数据流转探针采集各API的流量并进行解析,并将解析结果发送给方舟平台,采集的流量包括应用服务和页面间的流量、组织内的应用间流量、组织内应用和组织外应用间的流量、组织内的应用和组织内的存储间流量、组织内的应用和组织外的存储间流量。保旺达方舟平台负责管理、维护、展现,提供统一的数据安全工作入口,数据扫描引擎接收方舟平台的扫描规则和计划,并对目标数据源进行扫描,扫描内容包括、数据量、元数据、数据内容(抽样/全量)、账号和权限,扫描引擎将结果反馈给平台,由平台完成对结果的分析、标注和展现。
2025-05-15 15:00:32
6
原创 新型ClickFix攻击技术首现!Windows与Linux双平台沦陷,跨系统漏洞利用引发全球安全预警
网络安全机构FortiGuardLabs近日揭示了一种名为“ClickFix”的新型跨平台攻击技术,该技术通过伪装成合法软件更新包,对Windows和Linux系统进行定向攻击,篡改系统核心进程并窃取敏感数据。攻击手法包括钓鱼邮件诱导、权限提升和持久化驻留,已导致能源和金融行业多家机构遭受渗透。攻击工具包具有自适应模块,能自动识别目标操作系统并调整策略,传统杀毒软件难以拦截。安全厂商建议采取终端防护、网络层过滤和威胁情报联动等防御措施。专家警告,跨平台攻击可能成为常态,企业需加强动态风险评估和攻击面管理。
2025-05-14 10:07:40
298
原创 国标GB/T 45577《数据安全风险评估方法》标准解读
未来,随着数据要素市场的深化发展,该标准或需进一步细化行业实施细则,并融入自动化风险评估技术,以应对海量数据场景下的动态安全挑战。本标准以《数据安全法》《个人信息保护法》等上位法为依托,旨在为数据处理者、第三方评估机构及监管部门提供统一的风险评估框架,指导其系统识别数据全生命周期安全风险,提升数据防攻击、防窃取等核心能力。风险场景:基于业务类型(如跨境传输、政务数据开放)、技术应用(如人工智能、区块链)等差异化场景定制评估方案;第三方审计:为认证机构提供可复用的风险评估模板,提升评估效率。
2025-05-14 10:03:29
306
原创 2025年AI Agent开发平台深度解析:实现路径与供应商推荐
基础层:包含大模型底座(如LLaMA、GPT系列)、算力基础设施(云服务商提供)以及数据治理模块,支撑Agent的感知与推理能力;平台层:作为“中间件”,提供Agent开发工具链、LLMOps管理、安全防护及API集成能力,降低大模型落地门槛;应用层:面向金融、零售、医疗等行业定制化场景,通过低代码界面实现业务流程自动化、数据分析等任务封装。工具集成:通过RAG技术对接知识库,配置API工具链(如支付系统、CRM);CSDN榜单TOP20:覆盖能源、通信等长尾场景,提供开源工具链与社区支持。
2025-05-13 10:23:55
399
原创 智能客服、数据分析等场景落地持续深入数据安全领域
智能客服通过自然语言处理和多模态技术,已从基础问答向营销、运营管理等全链路服务延伸,例如金融领域的自动理赔、个性化客户触达等。在交互过程中,智能客服需处理大量用户隐私信息(如身份、交易记录),若数据泄露或被违规使用,可能引发信任危机和合规风险。随着《数据安全法》《个人信息保护法》的实施,智能客服需确保数据采集、存储和使用的全流程合规,包括匿名化处理和权限控制。隐私保护:联邦学习、差分隐私等技术被广泛应用于多主体数据协作,平衡数据利用与隐私安全。数据质量与安全双重挑战。智能化与人性化平衡。
2025-05-13 10:19:01
119
原创 筑牢数字防线:现代APP不可或缺的五大安全防护策略
密钥动态管理:通过硬件级安全模块(HSM)或移动端安全飞地(如Apple Secure Enclave)实现密钥隔离,杜绝硬编码密钥的隐患。静态数据加密:采用AES-256等高强度算法对本地存储的敏感信息(如身份凭证、会话令牌)进行加密,避免设备丢失后的数据泄露风险。自动化漏洞监测:集成SAST(静态扫描)与DAST(动态扫描)工具,嵌入CI/CD流程实现代码级风险拦截。传输层加密:强制启用TLS 1.3协议,防止中间人攻击(MITM),确保用户数据在传输过程中不可被窃听。
2025-05-12 09:32:03
180
原创 暗流升级:APT组织利用Web Shell全面渗透SAP NetWeaver供应链,企业核心业务系统沦陷高危区
近日,全球多家企业级软件监测机构发布紧急通告,称针对SAP NetWeaver平台的定向攻击呈现指数级增长。攻击者通过植入Web Shell实现持久化潜伏,并逐步攻陷供应链上下游节点,最终达成对核心业务系统的完全控制。专家警告,这一攻击模式已具备国家级APT组织的战术特征,能源、制造、零售等依赖SAP系统的关键行业面临重大数据泄露与业务中断风险。
2025-05-12 09:28:54
343
原创 验证码已死?AI垃圾机器人正在改写网络攻防规则
2025年,一场由AI驱动的网络垃圾风暴席卷全球——名为AkiraBot的自动化攻击工具,仅用半年就攻破8万家网站的联系表单和在线客服系统。令人震惊的是,它并非利用传统漏洞,而是通过大语言模型生成拟人化内容+自动化绕过验证码的组合拳,让网站防护形同虚设。例如推销SEO服务时,它会变换"提升搜索排名""增加自然流量"等数十种表达,完美规避关键词过滤。通过SmartProxy轮换数万个IP,配合不断更换的"ServiceWrap""Akira"等马甲域名,让防御系统难以追踪。一、AI黑产的"技术三件套"
2025-05-09 10:03:18
137
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人