名侦探的下午茶:Hunting with Provenance
  • 作者: 张润滋
  • 收录:
  • 简介:

终端侧溯源数据(Provenance)能够记录进程、网络、文件等实体的行为依赖关系,作为威胁狩猎的关键资源,能够为威胁的识别、关联、评估提供丰富的上下文,以召回漏网的已知威胁,识别隐匿的未知威胁,并支持对威胁事件进行溯源和场景重建。 天下没有免费的午餐,通过溯源图分析提升威胁分析的自动化水平,有着多方面的挑战,相关研究已成为学术界与工业界关注的热点。 本议题将介绍溯源数据挖掘技

公有云下,企业安全审计框架和构建可审计的安全环境
  • 作者: Royce Lu、Zhanglin He
  • 收录:
  • 简介:

本次议题,我们将以GCP(Google Cloud Platform)为例,介绍公有云的安全机制以及对应的安全责任共担模型。 我们首先从红队视角出发介绍常见攻击方法,包含各种横向移动与权限突破问题,然后再以蓝队视角讨论对应的防御与运营思路。 结合EDR、静态扫描与大数据处理,我们提出了一个自动化安全审计框架,从用户的角度审计企业内部云环境的安全性。 为了方便用户在不同

RASP攻防下的黑魔法
  • 作者: 徐元振(pyn3rd)、黄雨喆(Glas
  • 收录:
  • 简介:

本次议题主要介绍了RASP的实现方式,总结了常见的检测方式、对抗方法,以及在搞对抗场景下的未公开技巧。从攻击和防御两个方向彻底剖析RASP,给听者全新的认知和收获。

Where’s My Session Pool
  • 作者: 绿盟科技 天机实验室 张云海
  • 收录:
  • 简介:

自从微软在Windows NT时代引入了会话(Session)的概念,会话池内存(Session Pool)就一直作为一种重要的内存类型存在于内核之中,同时也有众多的内核漏洞和利用技术与会话池内存息息相关。 然而,在即将发布的Windows 11第一个更新版本之中,有着几十年历史的会话池内存却悄然消失了。 是什么原因使得微软会决定从内核中移除会话池内存?会话池内存的移除会给相关

浅谈零信任环境下攻击场景
  • 作者: 薛逸钒 腾讯企业IT安全研究员
  • 收录:
  • 简介:

- 传统网络OR零信任 - 零信任的组成 - 零信任实践过程中一些风险 本议题,会结合市面上零信任产品实现以及落地方案进行分析,介绍公司内部红蓝对抗中关于零信任环境下的对抗手法。 零信任(zero trust)以“永不信任,始终验证”的模式,打破传统网络的边界概念。在后疫情时代,远程居家办公已经常态化,越来越多的员工采用移动办公模式,从边界以外的设备访问公司内部服

进退维谷:runC的阿克琉斯之踵
  • 作者: 阮博男 绿盟科技星云实验室
  • 收录:
  • 简介:

本议题探讨了CVE-2022-0847 DirtyPipe漏洞写runC逃逸的利用手法。 从CVE-2016-9962、CVE-2019-5736等漏洞的修复情况分析了能够利用CVE-2022-0847写runC逃逸成功的原因,指出runC修复方案的局限性及“写runC”作为一种新的通用逃逸突破思路,能够与CVE-2022-0847、CVE-2022-0185等众多漏洞配合逃逸出容器。