如何在云环境下做好安全运营的效果成为了大量企业面临的安全重要挑战。尤其是企业使用多家公有云时，多云环境下统一安全运营便成为难题，企业希望通过本地的一个安全运营中心SOC把所有云的安全都管理起来。我们从以下几个点来看看现在的好方法。

1、我们公司有多个公有云，本地也有私有云，我想把全部主机的访问关系都一盘棋看到。特别注意，我不想再额外部署任何其他安全厂商的主机安全，我在各个云上已经有不同品牌的主机安全了。

方案：利用安全运营平台SOC，与公有云平台运维API进行数据对接，从而获取云上全量资产和网络数据，结合图数据库技术最终进行拓扑图绘制与展示。

2、如果我还是想看流量侧的各个风险怎么做，云上很难像本地一样部署探针

1️⃣直接云厂商的NDR产生的各个安全告警等日志传到安全运营中心SOC进行综合分析。

2️⃣在云上部署传统安全厂商的虚拟化探针，云主机网卡转发流量到虚拟探针即可。或者把多个VPC的虚拟交换机流量镜像到虚拟话探针。需要注意的是部分云厂商有收费和可用区限制，且如果仅镜像虚拟交换机的流量那云主机的东西向流量便无法检测到了。

3️⃣安装传统厂商的终端探针，需要在云主机上安装Agent进行流量转发，需要注意的是有可能会影响云主机性能。

3、云上有啥比本地好的安全措施吗

由于本地很难去看东西向流量，而云上可以通过对接云API很容易拿到这部分数据，所以会有一个新能力：云攻击路径预测分析。即是基于云网络访问关系、云环境配置信息、云上漏洞信息，自动化的预测存在高危风险同时暴露外网的攻击入口，并预测入口资产实现后黑客可能横向移动方向，形成云攻击路径预测分析能力。云攻击路径区别于业界已有的“事后攻击链分析和还原”，旨在以攻击者视角事前预测云环境中存在的实际可利用攻击路径。

选自公众号：安全村SecUN

原文链接：https://mp.weixin.qq.com/s/0DDAKqWA7c5RzD3lox0rdw

网络安全AI说：原文更精彩，篇幅较长，很详细的讲述了自身对攻击面管理的看法，长江证券的老师们对这块的研究确实非常深入，感兴趣的各位建议可看下原文，很体系化。

       苹果公司会对其供应链体系内的公司，做网络安全现状的现状调查，安全要求较为具体，评估结果会和苹果给到的订单正相关。苹果会通过邮件的形式发送要求整改的文档给到供应商，让供应商对标进行整改。整改完成后会给到要求其使用对话框回复给到苹果官方，最后苹果官方评估是否符合要求，如审核通过后，会关闭该弹窗的对话框。如限期内无法完成整改，则会发邮件警告。

以下列举部分苹果的要求以及业内的解决方案

本篇的文字版出于敏感要求无法放出，劳烦各位听播客啦

从国内某领先安全厂商的网络安全大模型出发，看行业内的技术情况

一、网络安全大模型的构建过程，四个阶段

二、安全大模型利用 MoE 的设计思想，运行原理是怎么样的

三、MoE 架构包含多个专家模型是哪些

四、训练用到的数据是哪些

一、从输入输出角度看，大模型应用的风险

1、输入风险：

1️⃣提示注入攻击：不仅针对文本形式注入，也要关注通过多轮文本交互、文档、图片、代码等复杂形式进行的注入攻击。这种注入攻击通常会让模型绕过安全控制，生成一些不好的内容，或者生成一些非当前用户权限范围内能查看的数据。

2️⃣敏感或重要信息泄露：用户输入时可能存在企业数据泄漏。

2、输出风险：

1️⃣生成有害信息：如涉政、涉恐、涉暴、涉黄、违反伦理道德，尤其对公众提供服务时。

2️⃣敏感或重要信息泄露：模型输出核心代码、设计原理、经营数据、个人隐私等导致数据泄露

3️⃣输出影响范围扩大：生成错误的执行路径或重大策略建议，向下游设备或者工具下发异常指令。

二、防护类型分类

1、对于企业内部员工，访问企业内部自建大模型：

1️⃣防止输入风险：提示注入防护

2️⃣防止输出风险：信息泄漏防护、生成有害信息防护

2、对于企业内部员工，访问互联网大模型

1️⃣仅防止输入风险：信息泄漏防护

三、有什么解决方案

1、防护框架

从整体上看，其实有三层风险需要关注，由于比较新的是智能应用风险，所以本此重点讲解第三部分智能应用风险。

1️⃣模型开发风险：模型幻觉、数据投毒等

2️⃣系统平台风险：模型漏洞、访问权限失效等

3️⃣智能应用风险：提示注入、敏感信息泄漏、有害内容生成等

2、自建大模型防护

1️⃣将原本发送到业务大模型的提示内容，送入到安全系统中检测（这里的检测系统可以用“大模型防火墙”，也看到有专业安全企业在单独做此类“安全检测智能体”，这个单独的“安全检测智能体”就可以检测提示词注入攻击，或者信息泄漏，或者有害内容生成等）。 2️⃣如果检测结果正常，则将原始提示词发送给业务大模型；若结果异常，则拦截并提示。当然业务大模型生成的内容也可进行有害性与合规性的检测和拦截 3️⃣企业管理员可针对提示注入规则、重要或敏感字段/内容规则、有害/合规内容规则等进行自定义，匹配实际要求。

3、互联网大模型防护

 1️⃣直接用常见的防泄密方案即可，注意要做到影子AI应用发现、敏感文件上传管控等。

      奇安信、三六零、亚信、安恒、天融信、启明等陆续发布了DeepSeek接入的热点软文，本期探讨DeepSeek在网络安全大模型下的应用真的那么简单吗。

      本期文字内容不便发，劳烦各位听播客吧

第一阶段，1月3日、4日、6日、7日、13日，出现疑似HTTP代理攻击。

在该时间段，XLab可以看到大量通过代理去链接DeepSeek的代理请求，很可能也是HTTP代理攻击。

第二阶段，1月20日、22-26日，攻击方法转为SSDP、NTP反射放大。

该时间段，XLab监测发现的主要攻击方式是SSDP、NTP反射放大，少量HTTP代理攻击。通常SSDP、NTP反射放大这种攻击的防御要简单一些，容易清洗。

第三阶段，1月27、28号，攻击数量激增，手段转为应用层攻击。

从27日开始，XLab发现的主要攻击方式换成了HTTP代理攻击，此类应用层攻击模拟正常用户行为，与经典的SSDP、NTP反射放大攻击相比，防御难度显著增加，因此更加有效。值得注意的是，1月28日3点开始，本次DDoS攻击还伴随着大量的暴力破解攻击，暴力破解攻击IP全部来自美国。

Http代理攻击：大致是攻击者通过大量被控制的PC向Deepseek的主机不停的发送大量的貌似合法的请求，造成被攻击服务器资源耗尽。因为是貌似合法的请求，所以比较难检测，业内目前比较新的方式是用智能识别方式进行检测：压力学习模型会根据源站返回的HTTP状态码和时延等来实时地感知源站的压力，从而识别源站是否被CC攻击了，DDoS高防再根据异常检测模型实时地检测源站在HTTP协议上的特征的异常行为，然后基于这些异常特征，使用AI算法生成精准防护规则和CC防护规则，来防御CC攻击。

本次Deepseek遭受的DDOS攻击具体如何防护还待进一步实际细节资料发布。

选自公众号：信息安全D1net（企业网D1Net）

原文链接：https://mp.weixin.qq.com/s/rlm1xGrsw2sMUUsGrzY8_g

在日益增长的威胁环境中，CISO强调了网络安全团队需要理解并使用业务语言的重要性，并以战略眼光推动更大的客户和利益相关者价值。“这不是一个适合弱者的职业。” 这也是为什么这份职业如此令人振奋的原因，它不仅需要技术技能，还需要更多的能力来成功应对这一领域的挑战。

北极星：将网络安全与企业使命联系起来

凭借对企业的全局视角，网络安全企业处于一个独特的位置，能够预见问题和需求，影响业务战略，并主动推动业务变革和影响，然而，许多网络安全专业人士仍然埋头于细节，缺乏对自己在推动业务使命中所扮演角色的认知。最优秀的CISO会有意确保他们的团队理解自己的使命及其与业务的联系，这是他们如何将职能提升到超越战术执行者或值得信赖的顾问，成为具有前瞻性和创新性的合作伙伴的一部分。

ELC的Noaman一直将培养这种业务优先的意识作为其企业的重点。她说：“我告诉他们，无论你扮演什么角色，你都是拼图的一部分，没有这块拼图，拼图就不完整。你必须知道自己在拼图中的位置，这样才能说，‘如果我没有完成这部分工作，我们就无法实现那个目标。’了解你的位置，了解你所做的工作如何为最终目标做出贡献，这一切都至关重要。”

她表示，这种心态体现在团队成员与业务同事的互动方式中。他们不仅考虑所处理问题的价值，还考虑其总体使命，即以客户为中心的安全。

最终，她表示，这一切都是关于建立共识，而建立共识的首要利益相关者就是你的团队。

“Noaman说：“当你让他们理解你要实现的‘北极星’，也就是为什么要这么做——他们了解安全方面的原因，但他们是否理解业务方面的原因——这就是让他们专注并有动力朝同一方向前进、以相同速度划桨的关键。你必须告诉他们最终目标是什么。”

用业务语言沟通

以使命为导向、作为业务推动者出现是建立信誉并获得关键安全举措支持的关键，但如果你不懂业务语言，就无法与业务伙伴建立可信的联系。事实上，网络安全行业在各个层面上最大的技能差距并非技术，而是人际沟通。

Northwestern Mutual的Deaner说：“我有一支非常出色且技术过硬的团队。但当你与业务和其他战略利益相关者对话时，他们不一定知道什么是单点登录或多因素认证，他们只想知道如何解决问题。”

表达得越简单越好。网络安全专业人士常常陷入技术术语中，结果失去了听众的注意力。Noaman建议道：“要清晰、明确、直接。如果你一开始就直接说明你需要做什么并解释为什么这样做，就不必解释技术细节，因为现在每个人都理解了原因。”

在业务现实的背景下进行沟通也是必不可少的——这需要熟悉业务同事的日常经历。Deaner鼓励她的团队了解业务，参观呼叫中心，倾听电话交谈，“这样他们就能开始感受到另一端的人可能正在感受到的情绪。”

最重要的是，RAND的Rodgers表示，要记住这个基本而又重要的原则：“在每一次对话中都要牢记业务的优先事项。”

顶尖网络领导者的差异

在领导层面，高级沟通技能更加重要，而这种技能差距往往更大。网络安全和其他技术专业人士通常是基于作为技术人员的成就而被提拔到领导职位的。尽管他们的技术资质可能非常出色，但在核心领导能力方面，例如沟通、影响力、客户导向和商业敏锐度，他们往往缺乏发展或指导。

正如Rodgers所说：“把你带到这里的东西不会让你走得更远。你知道如何配置防火墙，但现在你必须向高管们进行沟通。你需要了解业务，并能够用业务语言谈论你的技术、安全和解决方案。能够进行这些对话是伟大领导者的区别所在。”

由于沟通技能对领导力的基础性作用，它们对领导效能产生了连锁反应。例如，透明度通常会建立更多的信任，从而促进更好的合作与协作。“质疑动机的情况会减少，”Noaman说，“我们在彼此交流，你理解我们为什么需要这么做。我认为，唯一能实现协作的方式就是通过信息的透明和简洁。因为我可能认为我们是一致的，但除非你和我在同一条船上一起划桨，否则我们并不一致。”

这些直觉性、以人为本的技能至关重要，尤其是在CISO们经常处理的高压、高风险情况下。正如Deaner所说：“我可以讨论CVSS评分，但归根结底，没有人愿意度过糟糕的一天。我认为，与其过于技术化，或者使用恐惧、不确定性和怀疑，或者不简化问题并在合适的时间地点与人沟通，远不如将问题定位为简单的‘没有人想要度过糟糕的一天’来得好。”

激发个人和团队的韧性

在信息安全领域，风险无处不在，攻击变得越来越复杂，责任重大。成功的CISO的一个定义性特征是他们的勇气。好消息是，勇气就像肌肉一样，可以像其他任何技能一样被培养出来，勇气也是一种心态。这个小组中的CISO们描述了各种内部动力，这些动力使他们即使面对艰难的挑战，依然保持在赛场上，保持韧性和适应性。他们明确表示，当你因热爱所做的事情而驱动，并始终保持对自己产生的影响的清晰认知时，勇敢变得更加容易。

一个共同点是他们专注于“关键时刻”，即网络安全与各种利益相关者之间的接触点。有意识地关注这些时刻的领导者发现，他们能够更好地预见问题，并更有策略地作为业务推动者出现。

Rodgers说，这是她在职业生涯早期工作在帮助台时学到的一课。整天处理投诉需要一种特殊的勇气。“但它的美妙之处在于，你会了解人们及其工作方式，”她说，“我到了一种程度，我能够预见他们会想要什么，所以我开始主动提供这些东西。现在，我在领导职位上运用同样的教训，来预见业务部门的需求。”

Deaner补充道：“了解我们的客户帮助我的团队快速上手，并帮助你理解你为什么要做这些工作。我们充满激情，但我们也有很多时候会感叹，这实在太疯狂了。获得那种‘我在产生影响并保护我的客户’的感觉，真是太好了。”

在这个行业，“总有些事情让你时刻保持警惕，”Noaman说，“这不仅是工作描述的一部分，也是我们这些在网络领域成长的人所具备的一部分。我们通过伤疤学会了这一点。”

伟大的领导者会创造一种文化，使人们能够在高压环境中茁壮成长，而不是被这种环境压垮。随着倦怠感的上升，培养、吸引、激励和留住最佳人才是顶尖CISO们的首要任务——因为他们知道，没有一支技术过硬、充满激情、目标一致的团队，他们无法保护利益相关者并完成使命。

“Noaman说：“我用跨国旅行来做比喻。我们正从A点到B点，我们有这些目标。我不会告诉你如何到达那里，也不会告诉你需要做什么，这是你们的工作。我的工作是让你们为这次旅行做好准备，因为这是一段旅程。作为领导者，我必须设定这个愿景，然后带领大家一起前行。”

领导力的平衡艺术

正如这三位CISO所展示的那样，最好的领导者以谦逊、同理心、适应力、韧性和透明度（HEART）来领导，同时要求他们的团队负责，并专注于交付成果，这是一种微妙的平衡艺术。过于关注结果，你会失去你的团队，但过于专注于HEART，你可能会失去工作。

在我们着眼于培养面向未来的网络安全领导者时，这一点尤其值得牢记。我们需要确保他们具备这项工作所需的技术、商业和领导能力。这意味着要在他们当前的水平上与他们接触，并为他们的旅程做好准备。

“我如何提升人们的能力曲线是有差异的，”Rodgers说，“这取决于识别领导技能的差距，也取决于个人及其想要达到的目标。此外，还很大程度上取决于你所处的环境，有时人们没有得到展示或发光的机会。要提升年轻领导者的能力，你必须有意为之。”

如果从这些领导者的成功中可以汲取一个总的教训，那就是：要有意图。考虑一下你当前所处世界中的变化有多大，这将是未来变化速度最慢的时候。对文化、人才和业务影响的有意关注从未如此重要。”