有一个好消息和一个坏消息。好消息是，越来越多的企业正在使用诸如GitHub、Microsoft 365、Salesforce、Slack、SuccessFactors、Zoom等SaaS应用程序，使员工能够在最具挑战性的环境下，依然保持生产力。而坏消息是，许多公司都难以充分应对不断变化的应用程序安全风险。

互联网的快速发展，让数字化与企业的生产、运营紧密相连，大量的数据、业务开展都在数字化平台上进行流转，这就对企业的网络安全和数据安全提出了新的考验。很多企业由于刚刚步入数字化，在安全防御方面的工作还不是很好，下面的四个技术实践，可供参考。

据预测，到 2025 年底，区块链的商业增值将达到1760亿美元。此外，区块链为商业世界提供了一些实质性的优势，因此它被认为是许多行业的游戏规则改变者。区块链在数据安全方面的作用可能是决定性的，当然也并不意味着它是解决所有企业弊病的良药。那么区块链如何对数据安全产生有益的影响呢?

根据Gartner对威胁情报的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持

目前，横向移动（lateral movement）已成为需要留意的主要威胁之一。成功的横向移动攻击可以使攻击者闯入用户现有系统，并访问系统资源。

API是对公网暴露的系统入口，是直面网络攻击的最前线，如果不能将其做到坚不可摧，那它很容易会在qiang林弹雨的网络攻击中倒下 那怎样的API才算得上坚不可摧呢？下面我将分享一些自己在实际的工作的安全心得，希望对大家有启发！

近日，内容分发网络（CDN）运营商Akamai表示，一种使网站快速瘫痪的DDoS放大攻击新方法正在被不法分子所利用。这种方法是通过控制数量巨大的中间设备（middlebox，主要是指配置不当的服务器），可以将大量垃圾数据快速放大到之前无法想象的规模。

尽管密码管理器（Password Manager，简称“PM”）很可靠，且绝大多数网络安全专家都同意密码管理器确实是保护密码最安全的方法之一。但是随着攻击者技术和手段的不断迭代和更新，以及最新安全漏洞的出现，整个安全行业不可避免地会受到冲击，这其中也包括PM行业。

这里以比特币为例，所谓“挖矿”就是，将一段时间内比特币系统中发生的交易进行确认，并记录在区块链上，形成新的区块，挖矿的人叫做矿工。简单来说，挖矿就是记账的过程，矿工是记账员，区块链就是版本。比特币系统的记账权利是去中心化的，也就是每个矿工都有记账的权利，只要成功抢到记账权，矿工就能获得系统新生成的比特币奖励

如果你是第一次做链上测试相关内容，那么需要做一些准备工作。

CloudSplo是一个开源项目，支持云基础设施，包括支持人员研究检测基础账户中的安全风险：亚马逊服务（AWS）、微软Azure云平台（GCP）、甲骨文CP设施（OCI）和GitHub在该工具的帮助下，广泛研究人员可以轻松识别云设备中的错误配置和基础设施中的安全风险。

在做一次App渗透测试项目中，发现设置代理后使用BurpSuite抓不到包，尝试使用了Drony等工具都无法进行抓包，而且App也被加固，由于技术太菜无法脱壳...那该怎么办呢？放弃吗？不可能！作为一个刚满十八岁的帅气少年，怎么能轻易说放弃！（不测没钱恰饭 -_- ）于是便有了此文！

企业数据安全治理，除了熟悉法律法规条文，信息采集最小化，服务入口明确隐私协议外，更多的是需要建设内部基础能力，如数据识别、分类分级、数据加密、权限管控等数据安全的基础能力。

《中华人民共和国数据安全法》已于2021年9月1号正式实行，企业在数据的采集、传输、存储、使用和销毁等环节变得更加重视。众多企业下一步的重点工作将是数据的分类分级和数据生命周期管理，尤其和“个保法”紧密关切的个人敏感信息内容。在渗透测试过程中，加强敏感数据“脱敏”鉴别已然成为了我们工作的重点，敏感数据种类那么多，而全人工介入工作量巨大，能否实现半自动化来减轻工作量呢？

《中华人民共和国个人信息保护法》规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

Emotet 曾经是恶意软件领域的霸主，经常变换攻击模式。在 2021 年年底，研究人员就发现 Emotet 启用了一种新的攻击方法。攻击通过带有恶意 Excel 文件的鱼叉邮件发起，Excel 文档中包含混淆的 Excel 4.0 宏。激活宏代码后，样本会下载并执行一个 HTML 应用程序，再下载后续的 PowerShell 脚本以及 Emotet 恶意样本。

内部威胁早已不是什么新鲜概念，很多重大网络安全事件都是由内部因素所引发。但直到目前，企业对内部威胁问题仍然没有足够的重视，并且缺乏有效的应对措施。事实上，大多数安全团队面对内部威胁都只会事后补救。

恶意软件泛滥的年代，摆在网络安全负责人面前的一道难题是，如何确保威胁检测能力跟上日益复杂的恶意软件。那些基于恶意软件特征和规则的传统威胁检测技术，似乎已经跟不上时代的步伐，再也无法提供最有效的方法来保护企业免受现代恶意软件的侵扰。因为这种技术只适用于发现不复杂的恶意软件，但却发现不了没有相应特征的新威胁或未知威胁。

最近在学习K8S相关云原生技术，因为工作中正好接触到，便一直想找个机会深入学习一下这个方向的利用与防御，学习之后发现东西挺多。由于篇幅原因，决定将其整理成一个系列，拆分成几篇文章输出，本篇文章主要介绍K8s的搭建和概念的介绍，在理解概念之后，会逐步分享k8s中的攻击和防御措施。本系列文章主要为个人学习记录总结，若有错误，烦请斧正。

谈起三月份谁是互联网世界的焦点？Lapsus $ 黑客组织绝对“当仁不让”，该组织在二十多天内“疯狂作案”，英伟达、三星、育碧、微软等科技巨头都成了猎物。为了更好展现这个新兴黑客组织的疯狂，我们来“盘一盘”Lapsus$ 最近的攻击事件。