目前，横向移动（lateral movement）已成为需要留意的主要威胁之一。成功的横向移动攻击可以使攻击者闯入用户现有系统，并访问系统资源。

API是对公网暴露的系统入口，是直面网络攻击的最前线，如果不能将其做到坚不可摧，那它很容易会在qiang林弹雨的网络攻击中倒下 那怎样的API才算得上坚不可摧呢？下面我将分享一些自己在实际的工作的安全心得，希望对大家有启发！

近日，内容分发网络（CDN）运营商Akamai表示，一种使网站快速瘫痪的DDoS放大攻击新方法正在被不法分子所利用。这种方法是通过控制数量巨大的中间设备（middlebox，主要是指配置不当的服务器），可以将大量垃圾数据快速放大到之前无法想象的规模。

尽管密码管理器（Password Manager，简称“PM”）很可靠，且绝大多数网络安全专家都同意密码管理器确实是保护密码最安全的方法之一。但是随着攻击者技术和手段的不断迭代和更新，以及最新安全漏洞的出现，整个安全行业不可避免地会受到冲击，这其中也包括PM行业。

这里以比特币为例，所谓“挖矿”就是，将一段时间内比特币系统中发生的交易进行确认，并记录在区块链上，形成新的区块，挖矿的人叫做矿工。简单来说，挖矿就是记账的过程，矿工是记账员，区块链就是版本。比特币系统的记账权利是去中心化的，也就是每个矿工都有记账的权利，只要成功抢到记账权，矿工就能获得系统新生成的比特币奖励

如果你是第一次做链上测试相关内容，那么需要做一些准备工作。

CloudSplo是一个开源项目，支持云基础设施，包括支持人员研究检测基础账户中的安全风险：亚马逊服务（AWS）、微软Azure云平台（GCP）、甲骨文CP设施（OCI）和GitHub在该工具的帮助下，广泛研究人员可以轻松识别云设备中的错误配置和基础设施中的安全风险。

在做一次App渗透测试项目中，发现设置代理后使用BurpSuite抓不到包，尝试使用了Drony等工具都无法进行抓包，而且App也被加固，由于技术太菜无法脱壳...那该怎么办呢？放弃吗？不可能！作为一个刚满十八岁的帅气少年，怎么能轻易说放弃！（不测没钱恰饭 -_- ）于是便有了此文！

企业数据安全治理，除了熟悉法律法规条文，信息采集最小化，服务入口明确隐私协议外，更多的是需要建设内部基础能力，如数据识别、分类分级、数据加密、权限管控等数据安全的基础能力。

《中华人民共和国数据安全法》已于2021年9月1号正式实行，企业在数据的采集、传输、存储、使用和销毁等环节变得更加重视。众多企业下一步的重点工作将是数据的分类分级和数据生命周期管理，尤其和“个保法”紧密关切的个人敏感信息内容。在渗透测试过程中，加强敏感数据“脱敏”鉴别已然成为了我们工作的重点，敏感数据种类那么多，而全人工介入工作量巨大，能否实现半自动化来减轻工作量呢？

《中华人民共和国个人信息保护法》规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

Emotet 曾经是恶意软件领域的霸主，经常变换攻击模式。在 2021 年年底，研究人员就发现 Emotet 启用了一种新的攻击方法。攻击通过带有恶意 Excel 文件的鱼叉邮件发起，Excel 文档中包含混淆的 Excel 4.0 宏。激活宏代码后，样本会下载并执行一个 HTML 应用程序，再下载后续的 PowerShell 脚本以及 Emotet 恶意样本。

内部威胁早已不是什么新鲜概念，很多重大网络安全事件都是由内部因素所引发。但直到目前，企业对内部威胁问题仍然没有足够的重视，并且缺乏有效的应对措施。事实上，大多数安全团队面对内部威胁都只会事后补救。

恶意软件泛滥的年代，摆在网络安全负责人面前的一道难题是，如何确保威胁检测能力跟上日益复杂的恶意软件。那些基于恶意软件特征和规则的传统威胁检测技术，似乎已经跟不上时代的步伐，再也无法提供最有效的方法来保护企业免受现代恶意软件的侵扰。因为这种技术只适用于发现不复杂的恶意软件，但却发现不了没有相应特征的新威胁或未知威胁。

最近在学习K8S相关云原生技术，因为工作中正好接触到，便一直想找个机会深入学习一下这个方向的利用与防御，学习之后发现东西挺多。由于篇幅原因，决定将其整理成一个系列，拆分成几篇文章输出，本篇文章主要介绍K8s的搭建和概念的介绍，在理解概念之后，会逐步分享k8s中的攻击和防御措施。本系列文章主要为个人学习记录总结，若有错误，烦请斧正。

谈起三月份谁是互联网世界的焦点？Lapsus $ 黑客组织绝对“当仁不让”，该组织在二十多天内“疯狂作案”，英伟达、三星、育碧、微软等科技巨头都成了猎物。为了更好展现这个新兴黑客组织的疯狂，我们来“盘一盘”Lapsus$ 最近的攻击事件。

网络的是数字经济发展的基石和重要组成部分，它的快速发展衍生了许许多多的信息和数据，数据也成为了数字经济时代下的重要资产。网络安全和数据安全也牵动企业的心，并成为重要的关注点。

过去，我们认为企业如同一座被城墙（防火墙）、护城河（DMZ）和吊桥（访问控制）层层防护起来的坚固城池，但随着网络攻击手段的不断升级、犯罪贩子的日益猖獗、远程办公常态化所带来的攻击面增大等众多因素的影响下，零信任理念已经逐渐成为解决网络安全问题的重要推手。

“不可见，无安全”的防护理念已经成为行业共识，也让新兴的网络空间测绘技术受到了更多企业关注，它被认为能够实现对网络空间各类资源的全面掌握和全景展示，构筑起联通网络空间与现实世界的全息地图，对于掌握全球网络安全态势、提升网络空间社会治理能力具有十分重要的意义。从实际应用角度，我们应该如何评价网络空间测绘技术的价值？其未来发展又会面临哪些挑战？

“零”信任就是“无”信任，作为代表着“缺乏”的概念，零信任可谓是无处不在了。试水零信任项目的公司遭遇了各种挑战，却忽视了零信任方法原本的目标。零信任方法旨在以持续自适应的显式信任替换掉广泛存在于用户、设备、网络、应用和数据间的隐式信任，有效提升业务各环节的置信度。