vulnhub靶场breakout-2-morpheus
breakout-2-morpheus 本地虚拟机部署,攻击机Kali(IP:10.1.1.128) 主机发现 nmap -sn -T4 10.1.1.0/24 确定目标主机IP地址10.1.1.130 端口扫描 TCP端口扫描 nmap --min-rate 10000 -p- 10.1.1.13 ...
读数字时代的网络风险管理:策略、计划与执行13AI及其他(下)
1. NIST AI风险管理框架 1.1. 治理 1.1.1. 涉及AI风险的总体管理,目的是作为CRMP的一部分 1.1.2. 包括创建问责制、发展负责AI使用的内部组织,以及确保AI系统及其使用与企业既定的价值观相一致 1.2. 映射 1.2.1. 是识别和评估与开发、部署和使用AI系统相关的风 ...
读数字时代的网络风险管理:策略、计划与执行12AI及其他(上)
1. AI及其他 1.1. 一些曾经只有极少数专业的技术人员才知晓的术语,如区块链、加密货币、物联网、量子计算等,现在已经成为商业世界和个人生活中的日常话题 1.2. CRMP基于长期确立的风险管理原则,最重要的是,我们需要平衡风险与回报,在保护企业免受威胁的同时确保企业保持活力和竞争力,并将这些原 ...
读数字时代的网络风险管理:策略、计划与执行11运营韧性
1. 运营韧性 1.1. 像其他运营风险管理功能一样,网络风险管理的最终目标是实现风险与回报平衡的运营韧性 1.2. 决策者时不时会询问有关供应链风险、第三方风险、欺诈管理、业务连续性、危机管理、灾难恢复和IT风险等方面的问题 1.3. 关键问题是职能部门关注相同的结果,但都以分散而孤立的方式进行工 ...
读数字时代的网络风险管理:策略、计划与执行10实施计划(下)
1. 敏捷治理 1.1. 敏捷的网络风险治理对企业的成功至关重要 1.2. 在最初的30天内 1.2.1. 指定并召集一个由各业务单位代表组成的网络风险指导委员会,以指导敏捷治理和更广泛的网络风险管理计划的实施,并制订使命声明以及短期和长期目标 1.2.2. 根据“三道防线模型”,进一步明确治理角 ...
读数字时代的网络风险管理:策略、计划与执行09实施计划(上)
1. 实施计划 1.1. 网络风险管理计划(CRMP)由敏捷治理、风险指引体系、基于风险的战略和执行以及风险升级和披露四个部分组成 1.1.1. 不是一项一劳永逸的工作 1.1.2. 不是制订一次战略并获批后就可以不加质疑、不做更新地遵循 1.1.3. 不是可以随意应对或被动性处理的事务 1.1.4 ...
读数字时代的网络风险管理:策略、计划与执行08风险升级和披露(下)
1. 信息披露 1.1. 企业必须关注的问题 1.2. 三个基本类别 1.2.1. 股东和其他投资者(包括现有和潜在投资者) 1.2.1.1. 一个共同的目标:通过确保投资者获得透明、准确的信息,提高公众对市场的信任 1.2.2. 监管机构 1.2.2.1. 各行各业的企业出于各种原因,需要遵守的监 ...
读数字时代的网络风险管理:策略、计划与执行07风险升级和披露(上)
1. 风险升级和披露 1.1. 确保正确的人和实体在正确的时间以正确的方式获知风险问题 1.2. 有助于防止问题演变成灾难,并能保持或恢复公众和监管机构的信任 1.3. 网络风险升级和披露的必要性源于企业风险环境的变化特别迅速和不可预测 1.4. 法院和监管机构都在通过高达数亿甚至数十亿美元的罚款和 ...
读数字时代的网络风险管理:策略、计划与执行06战略和执行(下)
1. 确定基于风险的战略和执行方式 1.1. 在应对人工智能和其他数字技术带来的快速发展的攻击面和新兴风险方面,安全组织可以发挥独特而关键的作用,而正式的CRMP对于安全组织履行这一职责至关重要 1.2. 该计划还能确定一个商定过的、经得起推敲的预算,为人员和预算资源、工具、第三方互动和其他问题提供 ...
读数字时代的网络风险管理:策略、计划与执行05战略和执行(上)
1. 战略和执行 1.1. 需要一个明确的战略,并根据该战略持续执行 1.2. 网络风险管理—在数字世界中平衡风险与回报的艺术—比以往任何时候都更具挑战性 1.3. 投资的风险很大,而且越来越大,商业环境和风险状况都在不断变化 1.4. 风险管理工作往往各自为政,安全组织、风险管理团队、风险所有者和 ...
读数字时代的网络风险管理:策略、计划与执行04风险指引体系
1. 风险指引体系 1.1. 数字化并不是CRMP要解决的问题 1.2. 数字化肯定会带来风险,其中许多风险在短短几年前是无法想象的,但它也带来了非凡的新商机 1.3. 企业用于做出风险管理决策的信息 1.4. 丰田 1.4.1. 丰田首创了准时化生产技术(just-in-time producti ...
读数字时代的网络风险管理:策略、计划与执行03敏捷治理
1. 敏捷治理 1.1. 在网络或其他所有风险管理领域,很少有比建立适当的风险治理模式更复杂或更具挑战性的了 1.2. 有效的治理是建立企业流程的关键,以管理潜在的问题,预防可被识别的问题,并在问题发生时妥善处理 1.3. 是保护企业决策者(上至董事会成员,下至普通员工)在出现问题时免于承担法律和监 ...
读数字时代的网络风险管理:策略、计划与执行02网络风险管理计划
1. 网络风险管理计划 1.1. CRMP 1.2. 一套以明确界定的既定计划为代表的正规方法,只有通过它企业才有希望以最快的速度和最关键的方式应对所面临的风险,并获得所需的稳定和可靠的结果 1.3. 全球监管机构越来越明确地表示,将不再接受宽松或缺失的网络风险管理计划 1.4. P主要优势 1.4 ...
读数字时代的网络风险管理:策略、计划与执行01网络安全
1. 概述 1.1. 安全是风险管控功能的一部分 1.2. 风险管理是一种成熟的实践 1.2.1. 安全领域的风险实践并没有那么成熟 1.3. 大多数安全组织和从业者采用一种临时方法 1.3.1. 法律、监管机构和不断变化的经济环境正要求企业安全实践的期望发生转变,所有这些都指向采用更为成熟的风险功 ...
sqlilab —— 32关卡
sqlilab靶场 —— 第32关 使用宽字节的用法进行SQL注入 宽字节是什么 “宽字节” 本质是多字节字符编码(如 GBK、GB2312、Big5 等)的通俗叫法,这类编码以2 个字节为单位表示一个字符(区别于 ASCII 单字节编码,仅用 1 个字节)。 单字节(ASCII):仅覆盖 0-12 ...
读社会工程:防范钓鱼欺诈(卷3)05读后总结与感想兼导读
1. 基本信息 社会工程:防范钓鱼欺诈(卷3) (美)海德纳吉(Christopher Hadnagy) 肖诗尧 译,人民邮电出版社2016年9月 1.1. 读薄率 书籍总字数10.8万字,笔记总字数16311字。 读薄率16311÷108000≈15.1% 1.2. 读厚方向 当我点击时,算法在想 ...
读社会工程卷2:解读肢体语言05读后总结与感想兼导读
1. 基本信息 社会工程卷2:解读肢体语言 (美)海德纳吉(Christopher Hadnagy) 著;蔡筠竹 译,人民邮电出版社2015年2月 1.1. 读薄率 书籍总字数205千字,笔记总字数16866字。 读薄率16866÷205000≈8.23% 1.2. 读厚方向 当我点击时,算法在想什 ...
读社会工程:防范钓鱼欺诈(卷3)04工具包
1. 情绪和政策 1.1. 你需要关注你的员工,考虑他们的感受,以及他们会对你的钓鱼攻击有何反应 1.2. 体谅每个人的感受优先于教学需要是很糟糕的,因为它会限制你开展教学环节 1.3. 为了正确地训练你的钓鱼攻击肌肉,你需要随着时间推移来增加钓鱼攻击的“举重砝码” 1.4. 政策并非一个有趣的话 ...
读社会工程:防范钓鱼欺诈(卷3)03保护课程
1. 保护课程 1.1. 批判性思维 1.1.1. 很多时候人们把批判性思维和逆反、缺乏信仰或者为了质疑而质疑联系在一起 1.1.2. 告诫自己不要事事都信以为真 1.1.3. 攻击者不希望你思考,尤其不希望你进行批判性思考 1.1.3.1. 会利用情绪来阻止你的批判性思维或者逻辑思考,并且会试图唤 ...
读社会工程:防范钓鱼欺诈(卷3)02杏仁核
1. 当局者迷 1.1. 每个人在生活中都做出过错误的决定 1.2. 心脏滴血漏洞(Heartbleed)可能是2014年最大的安全事件之一,几乎影响了互联网上的每个人 1.3. 决策的质量并不总和我们是否对其满意有关 1.4. 决策是很多因素的总和,包括我们的认知和情绪 1.5. 我们每天都在不具 ...
