一周安全技术（1127-1203）

攻防技术

2023 Cyber Threat Intelligence Conference(2023网络空间威胁情报会议)^[1]

First近期在柏林举办了第一届网络空间威胁情报会议，为期三天。TLP为Clear的议题基本有PDF。

Really Useful Logging and Event Repository (RULER) Project（十分有用的日志和事件仓库（RULER）项目）^[2]

传统的日志记录库都是关于常见操作系统、应用的日志记录位置，在有安全设备的企业先分析安全设备日志效率会更高，这个项目记录了常见杀毒软件以及远程管理工具日志的位置以及辅助取证的相关日志，

src黑白名单^[3]

对国内外SRC的厂商进行了评价，对象包括平台以及厂商。如果想把SRC作为主业的师傅，内容可能造成一定不适。

Extracting Training Data from ChatGPT^[4]

从 ChatGPT 中提取训练数据，不过成本有点奇妙，200美元提取几兆数据。

Stealth operations: The evolution of GitLab's Red Team^[5]

作者Chris Moberly有20年经验，主要讲述了2019年Gitlab红队建立以后的变化以及作者对红队目标的看法——帮助组织变得更加安全。另外文章还提及了Security at GitLab^[6]，包含了很多Gitlab安全建设情况。

Okta for Red Teamers — Perimeter Edition^[7]

介绍了红队如何针对启用OKTA的环境进行渗透。包括如何使用Evilginx进行钓鱼，对抗OKTA的一些OpSec技巧。

安全工具

IMDSpoof^[8]

IMDSPOOF 是一种网络欺骗工具，可欺骗 AWS IMDS 服务。当攻击者访问 /latest/meta-data/iam/security-credentials/ec2-admin 路径时，返回一个包含伪造 AWS 凭据响应。

安全看法

Key takeaways from the Wiz 2023 Kubernetes Security Report^[9]

WIZ基于20万以上的云账户扫描得出的K8s安全报告。几个比较有趣的点：

1. WIZ的报告数据源是20w云账户
2. 公网K8S资产的数量近三年持续增长
3. EKS在建立20分钟就会受到扫描
4. 一旦攻击者进入集群，就没有太多的措施来阻止他们

5. 托管集群比例大于自建集群（猜想：也许和WIZ客户群体有关）

State of cloud security^[10]

Datadog分析了9-10月几千个客户的云安全态势，得出了State of cloud security。反映了6个云安全现状：

1. 长期凭证仍然是一个风险
2. 云访问的 MFA 没有得到充分执行
3. AWS 的IMDSv2 仍未广泛执行，但采用率正在上升
4. 云存储服务中公共访问块的采用正在增加
5. 很大一部分云工作负载拥有过多的特权
6. 许多虚拟机仍然公开暴露在互联网上

参考