近日，上海碳泽信息科技有限公司完成新一轮融资。本轮融资金额达数千万元级别，由朗玛峰资本领投，领航新界资本跟投。此轮FA为光璞资本。本轮融资将主要用于产品精进打磨和市场拓展战略升级。（一）在近年来的国内与国际市场上，也已出现一些较有竞争力的安全编排自动化与响应产品。安全编排自动化与响应（Security

数字安全创新能力百强——“攻击面与资产管理领域”。同时，创新百强活动整合提炼行业专家、咨询机构人士、业界厂商等多方意见，深度梳理数字安全行业创新标杆力量，发布首个数字安全维基百科——《ISC

···

··

在处理潜在威胁时，规模、优化、快速响应、横向攻击传播、杀伤链和自动化都等同于当前的SecOps模型。即使在勒索软件、恶意软件和商业电子邮件泄露事件持续爆发之前，SecOps团队的角色仍在不断变化，试图了解他们在应对网络攻击方面的未来。全球人才的可用性来支持对训练有素和经验丰富的安全运营工程师的需求仍然是每个组织和国家的问题。即使利用海外托管服务提供商来实现“跟随太阳”模式，全球人才问题仍然存在。网络安全团队、风险管理人员和执行领导者必须定义SecOps对他们的组织来说是什么，以及他们如何应对这一业务挑战。01威胁趋势的发展速度超过了大多数告警工具的能力随着对组织的大量攻击，人类SecOps工程师处理、分析、研究、测试、补救和验证攻击向量和解决方案的时间仍然需要持续数天。随着更多的攻击，事件响应时间继续攀升。在确定大多数攻击的根本原因时，其他几种新的攻击变种已经通过其他类型的威胁影响了组织。02人工智能（AI）和机器学习（ML）是不是正确的方向假设CISO和CIO简单地统计了安全信息和事件管理工具（SIEM）处理的恶意活动、网络威胁和勒索软件攻击的数量。在这种情况下，AI和ML对未来的安全操作自动化至关重要。使SIEM与AI一起快速处理数据流并应用ML，SecOps可以创造大量的自动化能力。多年来，安全编排自动化和响应

在该系列的前两篇文章中，我们介绍了威胁狩猎的基础知识以及威胁猎手应具备的核心能力。这篇文章将向您展示我们在寻找威胁时遵循的结构化过程。任何威胁猎手都明白，没有结构的任务会变得很混乱。威胁狩猎流程不必很复杂。制定流程的目的是指导我们完成从建立初始假设到分析数据再到最终发现的每一步。在深入了解实际过程之前，我们想介绍威胁猎人可以应用于威胁狩猎过程的两种不同的心智模型。基于初始假设，我们使用这两个模型来区分不同类型的威胁狩猎。01基于攻击的狩猎基于攻击的狩猎适用于寻找某种攻击技术。在大多数情况下，我们发现正在寻找已知并记录在案的攻击。基于攻击的搜索速度更快，特别是如果攻击指标

Hammond下期预告：《威胁狩猎系列之威胁狩猎过程》，请持续关注！End碳泽信息

近年来，威胁狩猎已成为信息安全计划的重要组成部分。然而，威胁狩猎的定义仍然是一个问题，行业里对威胁狩猎及其使用方式有多种解释。在我们看来，威胁狩猎是在企业网络上寻找可疑活动的主动学科。这里想强调一下“主动”这个词，因为这是大多数人感到困惑的地方。后文会详细介绍。所有威胁狩猎任务都是在假设网络已被破坏并且威胁制造者已经存在的情况下执行的。威胁狩猎的目标是主动寻找和调查网络中的任何可疑行为。要做到这一点，必须对正常情况有很好的了解。然后，可以使用基于假设的过程来寻找异常行为。我们将在本系列的文章中详细讨论威胁狩猎过程。大多数情况下，威胁猎人都是经验丰富的个人，对威胁形势有很好的了解。他们知道对手是如何利用安全错误配置和漏洞的。他们还精通威胁制造者在不同攻击阶段使用的各种技术。有了这些知识，威胁猎手就会主动通过可用数据寻找任何突出的指标。在本系列的稍后部分，我们将整理一篇关于如何成为一名优秀威胁猎手的文章，更深入地介绍所需的技能和知识。许多人误以为威胁狩猎是一项被动任务。威胁狩猎不应将反应性任务作为触发因素。简而言之，威胁狩猎不应以检测告警作为触发器或一组失陷指标开始。这些活动应被视为分析师调查的一部分。我们在下面列举了一些例子进行说明：正确的例子（假设驱动的威胁狩猎）1、威胁制造者使用恶意计划任务来维持持久化。根据名称、任务运行和执行频率查找异常的计划任务。2、威胁制造者正在渗出大量数据。使用可用的网络遥测，查找上传到mega.io等网站的数据。错误的例子1、从最近的威胁情报报告中提取IOC，在我们的数据中运行它们，并寻找任何命中。2、调查对用户运行恶意Word文档触发的检测。基于前面的示例，我们假设威胁猎手可以访问必要的遥测数据。如果某些来源不可用，威胁猎手应记录这些问题，然后开始构建案例以添加它们。在开始狩猎之前，我们不需要访问所有可能的日志源。访问执行日志和简单形式的网络日志是一个很好的起点。在组建威胁狩猎团队之前，日志保留和访问是需要考虑的重要因素。一个集中的位置来存储（30天）和解析日志将是一个良好的开端。尽管人们对威胁狩猎赋予不同的含义，但总体目标保持不变。其中一些核心目标是：根据节省的时间和事件的潜在影响，组织可以期望获得高投资回报率

点击上方蓝字关注我们近日，国内安全行业门户FreeBuf旗下FreeBuf咨询正式发布《CCSIP

近日，为助力国内众多关键基础设施与企事业单位的监管与合规/安全/运营/采购等相关部门负责人及时了解供应链厂商基本成分信息与技术产品组成，以及国产化替代可选项，在合规梳理、安全体系建设和技术选型等环节辅助决策，斯元商业咨询现正式发布「网络安全科技供应链报告：厂商成分分析及国产化替代指南

01概述近日，软件公司Atlassian发布了漏洞预警：一个无需认证即可执行远程代码的漏洞，漏洞编号CVE-2022-26134。该漏洞影响Atlassian旗下知识库平台

月亮、地球和国际空间站网络安全，我更喜欢称之为信息安全，这是一个巨大的领域。大到一个人不可能成为整个网络安全方面的专家。成为“网络安全专家”并不比成为“医学专家”容易。许多专业人士，特别是当他们拥有特定领域的专业知识时，会被网络安全的一些表象所蒙蔽，有时会带着他们专业知识的“有色眼镜”看问题。

Go是为云和微服务构建的。它是为多核服务器设计的。它可以轻松地交叉编译成各种体系架构和操作系统，并且它是轻量级的。它编译的二进制文件比Java中的类似文件小10倍。它们不仅更小，而且编译速度也更快。

Gartner已开始将此称为“网络安全CARE标准”。该框架为安全指标或KPI的行业标准提供了建议。该框架由CARE首字母缩略词概述：一致、充分、合理、有效。与这些组一致的一些

以root用户权限执行命令，只要在需要执行的命令前面附加上：pkexec。成功利用CVE-2021-4034，也即Polkit本地提权漏洞允许任何非特权用户在未经漏洞修补的主机上获得

2存在远程代码执行漏洞，攻击者可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码。缓解方案：建议使用该组件的用户尽快参照下列描述采取安全措施。官方建议解决方案：及时将Log4j

点击上方蓝字，关注碳泽引言在当今快节奏的网络威胁环境中，您的组织网络会否遭到攻击、入侵，早就不是可以用“会不会”来回答的问题了——而是，网络会在何时受到破坏。为了本着“未雨绸缪、防微杜渐”的理念对类似事件做好准备，组织应努力尽可能减少攻击者的驻留时间。这就是为什么，诸如MTTR（平均响应时间）和MTTD（平均检测时间）之类的指标在时下对网络安全行业中变得越来越重要的原因。这些指标如此重要的原因在于，它们可以直观地代表您的安全团队在检测和补救威胁方面的表现——您一定不希望，潜在的攻击者在被发现和处置之前几天和几周内就早已渗透到您的系统中，造成严重破坏与无法弥补的损失。基于这样的目的，多数企业应该设法将MTTD（平均检测时间）和MTTR（平均响应时间）缩小到仅几分钟的量级；而只有您的安全运营团队配备了足够先进的自动化技术（例如SOAR）时，谈及改善MTTD与MTTR这一目标才是简单而又现实的。

点击上方蓝字，关注碳泽引言数字化转型对任何企业的好处都是显而易见的，但是新技术也扩展了攻击面，使攻击者无处不在，这种转换也会带来安全隐患。随着云计算、自动化和人工智能成为主流，攻击者可以在前所未有的复杂性和规模下，凭借最少的人工干预进行攻击活动。在不中断业务的情况下，在整个企业中实施和维持健康的安全状态变得越来越艰巨。这种情况下，安全运营中心（SOC）发挥着至关重要的作用。安全运营团队负责使用集成的安全技术、简化的流程和人力来检测、调查和响应高级网络威胁，以应对先进的网络威胁。不幸的是，由于缺乏网络安全技能、大量警报噪音、大量未连接的安全工具以及缺乏外部威胁环境，各种规模的安全团队都无法全力以赴地运作。为了应对这些挑战，我们首先需要分解安全运营团队的内部工作，并了解会发生什么。只有这样，我们才能体会到安全运营团队所面临的巨大挑战，并开始应用可行的解决方案。在大型组织中，成熟的安全运营团队有很多活动的内容。三个主要功能构成了有效的安全运营：安全运营人员、事件响应者和威胁情报分析师。安全运营人员图

点击上方蓝字，关注碳泽引言无论是因为当代有着太多的科幻电影描述了人工智能的实现过程，还是因为我们作为人类本能地害怕人工智能、自动化与机器学习的潜力，许多人往往认为，自动化技术的萌芽与发展，最终将使人类在信息安全这一体系中遭到淘汰。这也使得一部分信息安全行业从业者感到悲观与焦虑。站在技术前沿角度来看，尽管近年来出现的新安全技术（例如SOAR）以渐进式自动化的形式，配合某种程度的自学习能力，结合其他安全产品为使用者提供各种下一代安全能力，但唯一明确的事实是，人类将继续在信息安全这一领域保持领先地位，而不会为自动化技术所取代。这其中，SOAR作为新安全技术中更为“年轻”的代表，直至近年才在信息安全领域得到较为广泛的认知与运用，但也由于其相对革新性的功能而经常被误解。有关安全编排、自动化与响应…许多企业安全部门的安全运营人员，甚至专职分析师都常常淹没在重复，耗时的警报中。处理这些警报实际上占用了他们的大部分精力和时间。而与此同时，攻击者——或者我们俗称的黑客也非常了解这一事实。他们通过用过多的警报来轰炸SIEM/SOC，让企业既成的安全防御与处置体系过载，使得实际产生威胁的安全事件可能“从安全部门的眼皮下溜走”，同时让安全运营人员及分析师忙于无休止的警报评估。考虑到大多数警报实际上都是误报，这意味着分析师的大部分重复性劳动可能都是徒劳；而且，考虑到攻击者想要掩盖的威胁可能比以往任何时候都更加复杂和战术化，大多数企业也并无法承受能在信息系统中存在数天或数周的潜在威胁。因此，企业安全部门的的目标应该是：赶上攻击者的脚步，并在几分钟内评估威胁并及时进行处置。这也正是SOAR可以帮助大多数企业安全部门做的事情。SOAR并没有以取代人类为目标——它实际上在做相反的事情：它允许SOC自动执行那些花费大量时间的繁琐、耗时长且价值低的重复性任务，例如处理卷帙浩繁的告警；通过自动化技术，SOAR清除了企业安全部门中应接不暇的混乱局面，以便安全运营人员与分析师可以将他们的时间和精力投入更具挑战性的业务与研究中。SOAR并不能简单取代安全专业人员的专业性与专业手法，它是一个解决脏活累活的良方。如果手动执行，则事件文档、警报数据收集以及类似的重复又耗时的过程，将会十分繁琐。由于这些繁琐而又重复性的任务往往令人不堪重负，企业安全运营人员会在这一过程中经历“告警疲劳”形式的倦怠，并使他们对自己在企业安全运营体系中的作用感到失望，缺乏更进一步的动力，从而呈现一个“可观”的恶性循环。这就是为什么安全运营人员实际上迫切需要类似SOAR的技术的原因。SOAR的初衷是在安全运营方面向人类团队提供帮助，而不是取代人类团队；并且，这是它将一直保持发展下去的方式。碳泽®