-
容器所遵循的共享内核模型架构同样会引入安全风险,评判其安全性能的好坏的因素在于主机操作系统能否对容器进行隔离一些商业产品引入了容器安全框架,能够在运行时监视容器并实施动态的控制策略。容器安全服务(Container Security Service, CSS)提供容器资产管理、镜像安全、运行时入侵检测等安全服务,保障容器从镜像生成、存储到运行时的全生命周期,帮助企业构建容器安全防护体系。Docker 具有一下优点:硬件成本低,虚拟化硬件损耗也较低,性能好;可以做到运行环境快速部署,启动极快,伸缩有弹性;支持打包管理,保证一致性;动态调度迁移成本低等。在本次尝试中从Ubuntu 下搭建 Dockers、 安装 Kubnernetes,并且进行了安全测试。一、VMware的安装方法一:去官网下载,然后去网上找相关的许可证方法二:http://mp.weixin.qq.com/s?__biz=MzIyNjU2NzIxNQ==&mid=2247485198&idx=1&sn=fb2461b340e6dd31895d0993ad72e4c4&chksm=e86f324edf18bb58d6f0f7cbd9d30caef8f2b6899a12f9303f9c83cc961f7900058373a1f36e&mpshare=1&scene=23&srcid=0222CQ5598w1CNpqZW61vgzL&sharer_sharetime=1645512785274&sharer_shareid=d91c96e983bc83094af7577cae27fc84#rd二、Ubuntu的安装清华镜像源清华大学开源软件镜像站 | Tsinghua Open Source Mirror三、Ubuntu虚拟机的创建考虑到以后运行服务器时的速度,建议在安装时将内存尽量选大一点,电脑允许的话选择4096MB或者更高吧。磁盘大小的话选择40G或者更大为了操作便捷,建议再安装一下vmware tools,可以参考下面那个链接中的方式安装,也可以自己百度一些其他的博客。关于如何知道是否安装成功vmware tools,可以尝试将自己主机中的一个txt文档拖拽进 Ubuntu中(拖进某个文件夹,直接拖到桌面好像不行),如果可以的话说明vmware tools已经安装好了。四:分析1.IAAS,PAAS,SAAS.如果给云计算服务分层的话,IaaS(Infrastructure as a Service,基础架构即服务)可以被看做第一层,有时候也叫做 Hardware-as-a-Service。该层可以提供给消费者的服务是对所有计算基础设施的利用,包括处理 CPU、内存、存储、网络和其它基本的计算资源,用户能够部署和运行任意软件,包括操作系统和应用程序。PaaS(Platform-as-a-Service,平台即服务)可以被看做第二层,某些时候也叫做中间件。该层可以为用户提供各种开发语36言和工具开发环境,让用户不需要在本地安装各种平台。SaaS(Software-as-a-service,软件即服务)可以被看做第三层,这一层是与用户接触最多的一层,大多数用户是通过网页浏览器来接入。该层可以提供运行在云计算基础设施上的应用程序,让用户在各种设备上通过客户端界面访问,如浏览器。消费者不需要管理或控制任何云计算基础设施,包括网络、服务器、操作系统、存储等。在这里,我拿做饭来举例对比这三种云服务计算。IaaS 就是提供了厨房、锅碗瓢盆等厨具、餐具等等的地方,但还需要用户购买蔬菜调料来做出适合自己的饭菜,如 Amazon、华为云、Mircrosoft 等等2. K8S 在华为云的对比根据查找浏览到的内容,对边缘 k8s 在华为云,华为云收费维度按照 App 数量收费,管理集群费用为 0,节点 Agent资源消耗较小,不兼容 Kubernetes 的 API,不提供 kubectl/命令行,不能远程登录容器调试,但有消息管理和端设备管理。五、 启动 Vulhub 搭建漏洞环境1. 让 windows10 和 docker 通讯如果此时在宿主机中 ping Docker 容器是 ping 不同的,因为在宿主机上没有通往 192.168.150.2 网络的路由,宿主机会将发往 192.168.150.2 网络的数据发往默认路由,这样就无法到达容器。具体操作如下:Cmd: route add -p 172.17.0.0 mask 255.255.255.0 192.168.150.131 //-p 表示永久添加查看添加的路由:route print 172.17.0.0 255.255.0.0 192.168.2.131 192.168.2.200 36docker容器中下载vulhub漏洞环境,Pip安装下载 docker 漏洞环境:VulhubVulhub 是一个面向大众的开源漏洞靶场,是基于 docker 和 docker-compose的漏洞环境集合,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。a) 搭建漏洞环境git clone https://github.com/vulhub/vulhub.githttps://github.com/vulhub/vulhub/archive/master.zip//直接下载地址b) 进入 vulhub-master/weblogic/CVE-2017-10271 目录c) 安装漏洞环境docker-compose up -ddocker ps //查看运行服务端口///////////待更新中
-
越来越多的人使用云安全,重要性也毋庸置疑
-
相信大家对于网络安全和云安全的关系不是很了解,今天小编就和大家来一起聊聊网络安全和云安全的区别与联系,仅供参考哦!网络安全和云安全的区别1、两者定义不同。网络安全通常指计算机网络的安全,实际上也可以指计算机通信网络的安全;而云安全是指在云计算环境下保护云计算资源和数据安全的一系列措施和技术。2、侧重点不同。云安全侧重点是保护云计算环境下的云资源和数据安全;而网络安全重点是保护计算机网络环境下的网络资源和数据安全。3、面临威胁不同。云安全主要面临的威胁是云计算环境中的安全漏洞和云资源和数据的非法访问、篡改和窃取等问题;而网络安全面临的主要威胁是网络攻击,包括计算机病毒、木马、钓鱼等攻击方式。4、安全防护方式不同。云安全主要防护方式是使用云安全解决方案,如数据加密等技术;而网络安全主要防护方式是使用网络安全解决方案,如防火墙、反病毒软件等技术。网络安全和云安全的联系1、两者最终目的都是保护用户保护企业信息安全;2、两者都是保护信息安全的手段,相互关联、相互影响;3、两者缺一不可,只有做好两者的管理,才能真正保护企业信息安全。名词解释网络安全:是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全,通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。云安全:也被称作云计算安全,顾名思义用以保护云中的应用、基础设施以及数据的任意工具、流程或策略,都称为云安全。云安全适用于所有云环境,包括私有云、公有云以及混合云。
-
文字识别有哪几个技术大类,现在的常用算法是怎么实现的
-
云安全的看法请写出你的文档格式(符合标准格式)+你对云安全的看法(上云业务如何保证自身安全性,可绘图,内容形式可自由发挥)企业上云的云安全风险外部入侵的风险网络攻击、漏洞攻击云平台内部的风险共享环境下得隔离问题,如何保障数据合法使用租户层的安全服务传统安全产品很难部署在云中管理安全的风险管理员权限提升的安全风险企业上云高可用设计线路:双线路冗余设计设备:主要设备及控制板卡、业务板卡冗余配置网络层:运营商网络设备BGP多路由技术、各个层面的网设备普遍采用级联+堆叠技术使用保障网络高可用数据层:可通过SDRS+CBR方式,构建本地容灾、异地容灾、两地三中心灾备模式平台层:通过 DRS等共有云服务对数据库进行灾备保护应用层:可通过HA、虚机热迁移、CSBS等公有云主机实例进行容灾保护网络安全风险应对运营商网络DDoS高防技术DC边界设置安全池,配置IPS+IDS+FW,交换设备可配置ACL+安全策略虚拟网络层面:利用VPC进行租户级别的隔离,安全组\ACL进行租户内部的控制隔离,内外网边界防护:vFw,外网边界防护:Anti-Ddos、云WAF,虚机防护:HSS主机安全服务、主机安装杀毒软件。管理安全风险开通CBH、LTS、CES、CTS等服务,对管理员的账号进行统一管理,对操作行为进行审计,对租户的资源性能及运行状况实时监控。匿名用户 发表于2022-12-07 14:36:03 2022-12-07 14:36:03 最后回复 匿名用户 2022-12-07 14:36:0387 0
-
-
今天突然接到一线工程师求助,客户反馈业务停机,无法正常使用。经过客户授权后联合OA厂商进行排查,发现ECS处于锁定状态。让本来今天摸鱼的我忙碌了起来。。。。。。先说结果,目前通过手动删除相关文件后客户的C盘数据没有被加密,数据盘目前无法进行验证(客户感觉分析时间较长直接通过备份回滚了)。如果客户没有备份,有需要提取相关数据,可以尝试这个方法。1、将客户中毒的机器关机,使用CBR按需 进行一次备份。(由于病毒锁定了系统内的所有进程,不关机无法完成备份)。2、按需计费发放一台windows 的ECS机器,将中毒机器的系统盘解绑,重新挂载到新的ECS上。3、具体排查过程比较复杂这里省略,,,各位就拿现成的就好了。客户环境描述:操作系统:windows 2012 R2。应用环境:某OA厂商软件。中毒表现:如下图(我称为嘲讽脸病毒,这个界面脸色的脸感觉一脸欠揍。QAQ)输入windows 账号密码后,弹出如下界面,所有操作无法进行,机器处于锁定状态。病毒文件描述:(共计11个) 1、类型:包含木马的压缩包文件 描述:包含至少 3 个木马程序 xmrig-6.18.0\xmrig.exe : Win64/Miner.Coinminer.H8oAJsYA xmrig-6.18.0\pool_mine_example.cmd : virus.js.qexvmc.2 xmrig-6.18.0\rtm_ghostrider_example.cmd : virus.js.qexvmc.1 位置:C:\Users\Administrator\Music\upx.pey.zip 2、类型:木马-Win64/Miner.Coinminer.H8oAJsYA 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 文件路径:C:\Users\Administrator\Music\upx.pey\xmrig-6.18.0\xmrig.exe 文件大小:5.14M (5,389,312 字节) 文件版本:6.18.0 文件描述:XMRig miner 文件指纹(MD5):2a0d26b8b02bb2d17994d2a9a38d61db 3、类型:被感染文件-Virus.Win32.Synaptics.A 描述:通过感染系统内的各种文件进行传播,具有隐蔽性强、感染和破坏力大、自身不断变换更新等特点。 扫描引擎:启发式引擎 文件路径:C:\Users\Administrator\Music\xhv.win\xhv\cmd.exe 文件大小:1.06M (1,115,648 字节) 文件版本:1.0.0.4 文件描述:Synaptics Pointing Device Driver 文件指纹(MD5):3fdad0b0fdc266ca71d098abe3ca077f 4、类型:木马-Virus.Win32.Synaptics.A 描述:通过感染系统内的各种文件进行传播,具有隐蔽性强、感染和破坏力大、自身不断变换更新等特点。 文件路径:C:\Users\Administrator\Music\xhv.win\xhv\DefenderControl.exe 文件大小:1.54M (1,617,408 字节) 文件版本:1.0.0.4 文件描述:Synaptics Pointing Device Driver 文件指纹(MD5):73a411796f43520a1e3273bbc4ac36bd 5、类型:木马-Win64/Miner.Generic.HgEASlgA 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 文件路径:C:\Users\Administrator\Music\xhv.win\xhv\Update.exe 文件大小:7.79M (8,170,496 字节) 文件版本: 文件描述:Update 文件指纹(MD5):0b941fa769356854be193c21c98d8b9e 6、类型:木马-Script/Miner.BitMiner.HhsASkwA 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 文件路径:C:\Users\Administrator\Music\upx.pey\xmrig-6.18.0\rtm_ghostrider_example.cmd 文件大小:1.2K (1,215 字节) 文件指纹(MD5):9b7762432e3ab03dc49b1989ec7b8d1c 数字签名: 数字签名是否有效:无效 7、类型:木马-Script/Miner.BitCoinMiner.HhsASOQA 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 文件路径:C:\Users\Administrator\Music\upx.pey\xmrig-6.18.0\start.cmd 文件大小:29B (29 字节) 文件指纹(MD5):6eb783bc229f92d0f8285500928ac8a1 数字签名: 数字签名是否有效:无效 8、类型:木马-Script/Miner.BitMiner.HhsASg0A 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 文件路径:C:\Users\Administrator\Music\xhv.win\xhv\rtm_ghostrider_example.cmd 文件大小:1K (1,037 字节) 文件指纹(MD5):1ca0541052731bcd4f381d5572c4563c 数字签名: 数字签名是否有效:无效 9、类型:木马-Script/Miner.BitCoinMiner.HhsASOQA 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 文件路径:C:\Users\Administrator\Music\xhv.win\xhv\start.cmd 文件大小:29B (29 字节) 文件指纹(MD5):6eb783bc229f92d0f8285500928ac8a1 数字签名: 数字签名是否有效:无效 10、类型:木马-Win32/Trojan.Generic.HwcBEpsA 描述:木马是一种伪装成正常文件的恶意软件,会盗取您的帐号、密码等隐私资料。 文件路径:C:\Windows\Logs\DISM\desktop locker\Desktop Locker.exe 文件大小:376.7K (385,712 字节) 文件指纹(MD5):32d21958d95f1a3e6051fd36807d31df 11、类型:包含木马的压缩包文件 描述:包含至少 1 个木马程序 Desktop Locker.exe : Win32/Trojan.Generic.HwcBEpsA 位置:C:\Users\Administrator\Music\desktop locker.zip 总结:建议客户的ECS在使用中不要裸奔,隐去3389端口,关闭443端口,使用华为云HSS(企业主机安全),定期进行备份避免悲剧的发生。
-
还记得小学课本里“我要的是葫芦”的农夫么?“我要的是葫芦,虫子与我何干?”到了收获的时候,葫芦被蛀完了,农夫悔不当初。现实中企业也会陷入这样的境地,关注业务增长而忽视了风险的存在。到了业务变现的时候,业务成果被截胡拿走了,企业追悔莫及。世上没有“后悔药”,但有“预防药”和“杀虫药”。随着企业的数字化转型愈加深化,传统边界安全问题显露。网络环境中的主机安全资产盲点成倍增加,黑客入侵、数据泄露、恶意软件感染等威胁随之攀升,企业的数字资产安全面临风险和不确定性。且看华为云主机安全HSS 2.0, 如何“预防”和“杀虫”双管齐下,助力企业种出业务“金葫芦”。场景一:应用防护2021年12月,Apache Log4j2远程代码执行漏洞攻击爆发,全球有一大半的互联网企业都受到影响。根据国家信息安全漏洞共享平台的数据显示,平台每月都会披露发现的数百个高危漏洞,漏洞的风险不容小觑。华为云主机安全应用防护,利剑出鞘三合一◆ 资产指纹 全面梳理Web框架和中间件资产。当出现网爆存在问题的中间件,用户通过该功能即可快速了解当前是否使用该问题版本,并准确定位问题资产所处服务器和路径;◆ 漏洞管理 全面覆盖应用漏洞、Windows系统漏洞、Linux软件漏洞、Web-CMS漏洞;主机安全每日凌晨进行全面扫描,及时发现漏洞并提供一键修复功能,协助用户做好风险管理;◆ 应用防护 结合RASP防护技术,在运行时将探针注入到微服务的关键监控&保护点,探针根据预定义规则,结合通过保护点的数据以及上下文环境,识别入侵行为(如SQL注入、命令注入、XSS和反序列化注入等)和漏洞利用攻击(如Log4j漏洞),为微服务提供强大的入侵检测能力。场景二:勒索病毒防治根据国家互联网应急中心通报的信息,企业遭受勒索软件攻击事件层出不穷。攻击者会利用企业的某台设备接入互联网访问的网线,根据暴露在公网的漏洞,对该设备进行了暴力破解,破解成功后以该设备为跳板对内网进行横向渗透,并向多台服务器植入勒索软件。攻击者通过开放端口对服务器进行暴力破解的攻击行为十分频繁。一旦被勒索攻击,企业将同时面临经济损失、数据泄露、业务中断等问题。华为云主机安全勒索病毒防治,事前、事中、事后全面防护闭环第一步:事前风险识别◆ 资产指纹检测服务器开放端口等资产,漏洞管理识别系统和应用的漏洞问题,帮助用户快速识别服务器脆弱点。◆ 基线检查检测系统中的口令复杂度及经典弱口令,通过加强口令降低暴力破解的风险。第二步:事中主动防御◆ 入侵检测实时检测全盘新增文件及运行中的进程,隔离查杀已知勒索病毒,防止病毒扩散蔓延。◆ 勒索病毒防护动态部署诱饵检测异常加密行为,结合AI算法识别未知勒索文件,快速降低未知勒索病毒的误报率。第三步:事后备份恢复◆ 勒索病毒防护基于自定义策略定期对服务器进行备份,降低勒索病毒带来的损失。【小Tips】开启企业主机安全旗舰版/网页防篡改版防护后,您需要配置勒索防护的相关策略。华为云主机安全2.0版本通过更大的检测范围、更强的检测能力、更好的界面体验,助力企业打造“百毒不侵”“灵活应变”的主机安全防护体系。了解更多:企业主机安全 HSS特惠通道:安全与合规专场_企业主机安全2.1元/天起
-
Vulnerability Report:Automatic and Device-independent IMU-based Eavesdropping on SmartphonesWe are researchers on the speech privacy. Our team finds the vulnerability of smartphones against eavesdropping via the built-in zero-permission inertial sensors. More information is referred to our paper that is submitted to IEEE INFOCOM 2022.IntroductionDo you know your smartphone may still be exposed to eavesdropping risk even if you don't give any privacy-related permission to the APPs or websites? The culprit is the built-in inertial measurement units (IMUs) on your smartphone. Different from sensors like microphones, cameras, and GPS that have been regarded as sensitive ones and have more rigorous permission control, accessing IMUs on a smartphone requires little or zero permission on both OS and user levels. With a high enough sampling rate, IMUs can pick up speech signals from the on-board loudspeakers in the same smartphone. Some reported attacks exploit this vulnerability to get access to IMUs data stealthy and perform private speech theft by eavesdropping. State-of-the-art attacks can obtain an alarming accuracy on speech recognition of 81% and speaker identification of 78%, so the phone calls, audio media, and responses of voice assistants that may mention locations and daily schedules are under high privacy threat.To minimize the risk of private speech leakage, Google has placed a restriction on IMUs that the sampling rate is limited to 200 Hz, which is commonly believed as an effective countermeasure. But does this restriction work? Unfortunately, our experiments proved that it seems to make no sense.ThreatWe observe IMUs still perform speech leakage because of aliasing distortions. Taking Huawei P40 as an example, its accelerometer can respond to audio signals of up to 6 kHz, which means part of the high-frequency components of the speech played on speakers would fall into low-frequency bands and makes it possible for us to recover the speech from IMUs' readings sampled within 200 Hz. Despite sampling rate limitations!With strictly limiting the sampling rate of IMUs to 200 Hz, we use our spy App to collects IMU readings in the background and achieve a high speech digits recognition accuracy of 78.8%. It proves that Google's restriction on IMUs' sampling rate cannot prevent this kind of eavesdropping on smartphones. To study the defending effectiveness of a restricted sampling rate against IMUs eavesdropping, we perform our attack under lower ones. We are shocked to find out that even the limitation of 40 Hz sampling rate is still at risk since our attack maintains the top-1 accuracy of 49.2% and the top-5 accuracy of exceeding 90%.Device-independent attacks!We train an ML-based model using data from one device and test it on other devices (12 different smartphones from mainstream brands like Huawei, Samsung, Apple, Google, Vivo, Oppo, etc.). By using a range of data process techniques to eliminate the influence of hardware diversity between different devices, our attack supports a cross-device accuracy of 33.1% on average, with a peak of 49.8%, which reveals that a high privacy leakage risk remains even when adversaries cannot identify user's device model. Despite volume settingWe further expand our attack on both the top and bottom speakers of smartphones and study the impact of volume settings. It shows out that our attack distinguishes fewer digits on both speakers as the volume reduces. But even at the worst conditions of the lowest volumes (20%), half of the digits can be recognized successfully, and it keeps top-5 accuracy of at least 89%.Motion robustnessTo evaluate the robustness of our attack against the motion, we collect IMUs data under various real-world scenarios. When the model is trained and tested using handhold setting data, the digits recognition accuracy slightly drops to 72.9%, which is still a threatening result. In an end-to-end attack case, we suppose that a spied victim requests a password from a remote caller while sitting or walking, it recognizes over 60% of digits in passwords in both scenarios. Moreover, with top-3 accuracy exceeding 80%, it affords a significant key space reduction in practical attacks on password eavesdropping.CountermeasureOur attack proves the scalability of IMUs-based zero-permission eavesdropping in reality. We appeal for people to take necessary countermeasures to resist its threat, so we summarize existing defenses and propose a practical method with neither additional hardware modification nor inconvenience for users at last.Sampling rate limitation and secure filtersAs mentioned above, the limitation on IMUs sampling rate shows poor performance for speech privacy protection. The aliasing distortion and insecure filters are to blame. It is a plausible solution to using a secure analogy filter and implementing access control on IMUs. However, the former requires hardware modification on the filter circuit, while a low sampling rate and additional access control on IMUs block their convenience and efficient perception.Damping and isolatingAnother idea is to shield built-in IMUs from speech signals. They are expected to be isolated physically or encircled by acoustic dampening materials. However, these methods are unpractical particularly in mobile devices for additional modification, space, and cost.Our suggestion: Resonant noiseAccelerometers and gyroscopes are sensitive to the acoustic noise of their resonant frequencies. Accelerometers in Samsung Galaxy S8, for instance, resonate with frequencies centered approximately 6.5 kHz. So, users can proactively induce resonant noise using on-board speakers at a low volume to jam IMUs during speeches. These resonant acoustics bring about significant noise into multiple axes simultaneously and effectively confuses recognition with miniature hearing interference on humans.
推荐直播
-
华为AI技术发展与挑战:集成需求分析的实战指南
2024/11/26 周二 18:20-20:20
Alex 华为云学堂技术讲师
本期直播将综合讨论华为AI技术的发展现状,技术挑战,并深入探讨华为AI应用开发过程中的需求分析过程,从理论到实践帮助开发者快速掌握华为AI应用集成需求的框架和方法。
去报名 -
华为云DataArts+DWS助力企业数据治理一站式解决方案及应用实践
2024/11/27 周三 16:30-18:00
Walter.chi 华为云数据治理DTSE技术布道师
想知道数据治理项目中,数据主题域如何合理划分?数据标准及主数据标准如何制定?数仓分层模型如何合理规划?华为云DataArts+DWS助力企业数据治理项目一站式解决方案和应用实践告诉您答案!本期将从数据趋势、数据治理方案、数据治理规划及落地,案例分享四个方面来助力企业数据治理项目合理咨询规划及顺利实施。
去报名
热门标签