- 综合排序
- 最热优先
- 最新优先
- 来自专栏腾讯安全应急响应中心
攻防启示:Chromium组件风险剖析与收敛
基于对实战经历的复盘,本文将从Chromium架构及安全机制概况入手,剖析Chromium组件在多场景下给企业带来的安全风险并一探收敛方案。 II. 风险收敛方案 回到我们今天的主题:修复和防御。 如上我们知道,Chromium的安全问题是方方面面的,各类安全风险也会在不同的场景上产生,那么如何收敛就是企业安全建设永恒的话题;最后我们想分享我们的安全实践经验,力求解答在安全实践中我们遇到的以下几个问题 [b8a5f26e435763c267d7cba7aa6b9ae3.png] 通过白名单设置 Chrome 所需的 syscall 以最小化容器权限,避免容器逃逸的风险,同时也符合多租户容器集群的安全设计 总结 随着Chromium在企业各场景下的广泛应用,需要针对性地设置风险例行检测及应急响应方案,涉及的风险与应用场景、检查及修复方式,可概括如下: [58b422c066210aebac0fa12f5a3290d8
2.1K10编辑于 2022-03-31 腾讯暴露面管理服务:基于CTEM的持续风险收敛与降本增效实践
互联网暴露面风险趋势:攻击趋利化自动化(黑灰产、勒索软件、AI辅助攻击),隐匿攻击案例(存储桶盗刷、API泄露、Stealer凭据泄露)致资产损失与合规风险(来源: 互联网暴露面风险趋势)。 核心平台:腾讯EM暴露面管理平台,具备范围界定、持续发现、优先级划分、风险验证、动员修复能力(来源: 腾讯服务解决方案对比表)。 关键ROI指标2:数据泄漏监测覆盖4000+黑产渠道(含100+付费非公开渠道)、监控200+勒索组织,动态关联资产泄露风险(来源: 数据泄漏风险挖掘能力)。 典型客户暴露面收敛实践案例 案例1:XX集团API/敏感数据泄露。痛点:开发商JS文件含测试数据(账号密码、云密钥),红队渗透内网获生产数据。 漏扫关注自身漏洞;暴露面管理识别系统/平台/人员/供应链风险及内网进入路径(弱口令、Nday漏洞等)(来源: 案例2)。 案例3:一级集团暴露面收敛。
11910编辑于 2026-04-09腾讯云暴露面管理服务:从被动告警到主动风险收敛的实战转型
,存在资产盲区大、风险发现滞后、响应效率低等瓶颈。 腾讯CTEM解决方案:构建攻击者视角的持续风险治理体系 腾讯云暴露面管理服务(EM)基于Gartner持续威胁暴露面管理(CTEM)框架,融合腾讯安全实验室多年攻防实战经验,提供“发现-分析-验证-修复 其核心突破在于: 资产发现:覆盖互联网/暗网资产、云服务、API、小程序、代码仓库等15+维度; 风险验证:集成T-VPT优先级算法,结合漏洞库、攻防情报与业务上下文量化风险; 自动化修复:联动企业CMDB ,实现资产自动关联与风险预警; 客户平均风险收敛周期从14天缩短至48小时,重保期间事件响应效率提升70%。 专家证言:梁国锋(腾讯暴露面产品负责人)——“从0到1构建暴露面管理体系,核心是解决攻击者视角的资产盲区与风险滞后问题。”
16710编辑于 2026-04-09- 来自专栏联远智维
abaqus 不收敛问题
有限元分析的过程主要包括复杂模型建立、网格划分、材料赋予、边界条件设立以及外载荷添加等,在完成有限元模拟前处理过程后提交任务进行计算,有的时候会出现不收敛问题,常常让人很头大,这个时候应该如何来解决呢? 不收敛的种类:(1)提交任务后第一步就开始就出现不收敛问题,一般情况下是有限元模拟前处理过程中存在部分问题,这种不收敛性比较好解决,可能的原因有:边界条件问题(约束不足、接触属性定义相关问题等)以及材料参数设置问题 (在材料属性以及相关参数定义时单位没有统一,引起初始荷载过大等问题);(2)随着载荷步增量的不断增加,在中途出现不收敛问题,这一部分就需要根据已有的计算结果和模型进行判断,根据以往的相关经验,采用有限元方法模拟试件断裂 、材料软化、屈曲以及颈缩等问题时容易出现此种不收敛问题,一般情况下,单元网格划分方法、单元选择以及材料相关参数选用都对收敛性具有影响,有的时候需要引入相应的阻尼使得模型收敛,具体方法见下文;(3)随着加载的进行 在涉及不收敛问题时,有的时候要了解非线性有限元(ABAQUS)的求解过程,为深入了解不收敛本质提供基础: (1)有限元何时算收敛: For the body to be in equilibrium,
3.2K30编辑于 2022-01-20 - 来自专栏运维之路
风险感知(二)场景设计5要素
分析前,先回顾一下场景设计的一些要点: 场景的基础是实际运维工作,要用“连接、数据、赋能”的数字化思维重塑场景 按“人、事、时间、协同、环境”5要素梳理场景 场景强调多角色“组织”高效协同,是对线下流程的在线化 ,平台赋能场景生产力 再看看风险感知场景的要点: 在线感知风险状况,即时健康质检 赋能专家主动构建、调优风险感知模型 “数据指标+算法策略”(点)=》编排组装主题(面、兼顾非知风险) 建立风险识别(感知 )、决策、执行闭环 以下从“人、事、时间、协同、环境”5要素看看场景。 【归类】可以梳理哪些主题的运行风险感知? 【闭环】运行风险识别后,如何确保风险得到处置? 5.环境 环境包括显性环境与隐性环境。
1.5K20编辑于 2022-11-16 从被动防御到主动收敛:基于CTEM架构的持续暴露面风险管理与实战效能
其检测逻辑仅聚焦已知的系统端点漏洞(CVEs),无法识别开发商遗留的 JS 数据泄露及 API 越权风险。 多云架构导致的安全盲区:随着业务上云,传统的网段扫描机制对云资产大面积失效。 该架构深度对齐权威机构 Gartner 提出的 CTEM(持续威胁暴露面管理)方法论,构建了涵盖资产发现、风险验证与动员修复的闭环平台。 有效探测漏扫无法识别的云 API、云控制措施以及数据库服务等隐蔽风险节点。 第三章:量化风险收敛:高精度的资产测绘与情报挖掘效能 依托腾讯安全监测系统及规则优化,暴露面管理平台在实战中产出了明确、量化的安全运营提升指标: 准确率大幅提升降低 Ops Cost:依靠自研算法与持续运营的 VPT 量化分析加速响应决策:通过引入 T-VPT(基于历史漏洞行为的风险优先级算法) 分析模型,将风险评估维度从单一的“漏洞严重度”升级为结合业务影响、威胁等级与实施难度的多维研判,实现精准的动员与修复
23910编辑于 2026-04-08- 来自专栏Lauren的FPGA
时序收敛之Baseline
在ISE时代,很多工程师习惯使用SmartExplorer的方法实现时序收敛。首先,这种方法适用于时序接近收敛的情形;同时,这种方法其实是一种扫描策略的方法,无需工程师过多关注。 Vivado提供了一套完备的时序收敛方法,也就是我们这里说的Baseline,使得时序收敛变得有章可循,这得益于Vivado强大的设计分析能力。 而且,后期布局布线会有很多优化,可能会把真正的关键路径掩盖掉,例如:布局布线后发现逻辑级数为1的路径时序违例,反倒是逻辑级数较高的路径时序收敛了。 如果内部路径收敛,那么就可以添加I/O约束,再执行上图所示的步骤,确保内部路径和I/O路径时序收敛。最后,如果需要,可以对约束进行微调,比如添加多周期路径约束。 由此可见,Baseline的方法是分阶段有目的的添加约束,不同阶段关注不同类型的路径,再逐步完善约束,最终达到时序收敛。
1.4K20发布于 2020-06-17 - 来自专栏社区的朋友们
为了加速参数收敛。
为了加速参数收敛。 为了加速参数收敛。 为了加速参数收敛。假设我们的网络定义为:
65140编辑于 2022-07-18 - 来自专栏老张的求知思考世界
聊聊缺陷收敛率
什么是缺陷收敛率说到缺陷收敛率,就不得不先聊聊缺陷逃逸率。 与之对应的,无论是测试活动,还是研发规范,或者说编码质量,肯定存在很大的风险。而缺陷收敛率的作用,则是用来度量这一过程的工作结果,是否符合预期。 同时这一指标还可以提醒研发测试同学,避免潜在的风险向下游传递,放大影响范围和修复成本。再进一步来说,通过缺陷收敛率这一指标,来控制和降低产品验收以及线上发布的风险。 如何度量缺陷收敛率既然缺陷逃逸率可以度量,那么缺陷收敛率同样可以度量。 单纯的统计数据和度量其实比较简单,一般来说如果在某个统计阶段内,累计发现缺陷和累积解决缺陷的曲线接近一致,则说明缺陷收敛率数据较为良好。反之,则说明该阶段的质量存在一定的风险。
64210编辑于 2024-06-21 - 来自专栏Tungsten Fabric中文社区
Tungsten Fabric如何实现路由的快速收敛?收敛速度有多快?
两种变通的方法都能为我们提供南北向的快速收敛。无论如何,东西向的流量仍然容易出现收敛缓慢的情况,因为它依靠的是XMPP timer(默认情况下非常缓慢)。 现在,在Tungsten Fabric中实现快速收敛的解决方案应该很清楚了。 在这里,我们重点介绍基于nh可达性检查的快速收敛。 启用快速收敛是不够的。我们需要在控制节点和spine之间的BGP会话上增加family inet unicast: 有一个细节我们需要知道。 收敛速度到底有多快 现在,是时候验证一下收敛的速度了。 我的集群是TF+K8s集群。如你所见,有两个计算节点。 综上所述,收敛时间可能在450毫秒左右+叶子节点检测时间,正如我们所说,必须在真实环境中验证。只要这个检测时间在500ms左右,就可以说我们实现了亚秒级的收敛!
1.2K30发布于 2020-12-25 - 来自专栏FreeBuf
攻防演练之资产收敛
资产的梳理,暴露面收敛是前期必须做且要做好的工作。 那么护网前的资产梳理,暴露面收敛就是帮忙找到短板,可见其重要性,接下来就让我们一起来看看都要梳理那些资产。 原 则 资产收集的原则是所有的资产都在管控中,不存在暗资产;一切与公司相关的信息,包括域名,端口,IP,应用组件,github信息,人员信息等 收敛的原则就是最大化收敛,最小化暴露。 很重要的一点就是邮件的弱口令一定要进行排查,因为邮箱中会包含公司内的很多信息并可以用于钓鱼 敏感信息等数字资产的风险排查 攻击从来不都是纯技术的对抗,还是人与人之间的对抗。
55230编辑于 2023-09-18 - 来自专栏海风
时序收敛:基本概念
对于FPGA而言,时序收敛是一个很重要的概念。在我看来,时序约束是必要的,但不是在最重要的,我们应该在设计初始就考虑到时序问题,而不是完全的靠约束来获得一个好的结果。 5. 总结 时序收敛的目的是让FPGA design 按预设的逻辑正常的工作。
1.6K20发布于 2019-07-31 - 来自专栏大大的小数据
发散与收敛的漫谈2022.9.26
1、从几个对应的词组开始 发散、收敛 看到、行动 问题、过程结果 学习、分享 头脑风暴、PDCA分解执行 洞穴教育、找水行动 山顶看到方向、脚踏实地行动 看到问题、没有答案 务虚、置身事内 记忆、遗忘 混乱、分类 选项、投票 精神病人思路广、无限发散不收敛 智障儿童欢乐多、没有发散的收敛局部最优解 知识的悖论:(不正确的知识,不能影响行为。 六顶帽子:(发散:白帽子-信息,绿帽子-提出解决方案,收敛:黄帽子-优点,黑帽子-缺点,红帽子-直觉判断,蓝帽子-总结陈述决策) 头脑风暴 2、机器学习、深度学习、人工智能的发散和收敛 https:// LaoYuanPython/article/details/119712665 3、得到课程和书籍 4、很多玄学的东西:智商、领导力、灵感,或许在工具理性的数学、工程管理、人力资源管理方法中的发散和收敛能很好的解决 5、当我们遇到困难的时候,想一想发散和收敛的步骤,或许就有生机。
49920编辑于 2022-12-19 - 来自专栏王的机器
信用风险建模 in Python 系列 5 - 阈值模型概述
本文含 1845 字,2 图表截屏 建议阅读 10 分钟 引言 本文是「信用风险建模 in Python」系列的第五篇,其实在之前的 Cufflinks 那篇已经埋下了信用风险的伏笔, 信用组合可视化 信用风险 101 独立模型 - 伯努利模型 独立模型 - 泊松模型 混合模型 - 概述 注:由于每次我都是在 word 里写好,然后再在微信公众里编辑。
90120发布于 2020-08-20 - 来自专栏联远智维
内聚力模型——收敛性分析
有限元模拟过程中,由于收敛性问题通常涉及面广,甚至有时候因为解方程组引起的收敛性问题。 采用内聚力模型分析具体工程问题过程中,时常会遇到不收敛问题,研究表明,循环内聚力模型参数对有限元计算的收敛性具有一定的影响,在界面单元的初始刚度选取的非常大,容易引起结果震荡,造成收敛性问题。 根据相关参考文献,对简单的三单元模型进行分析,探究内聚力单元收敛的条件。 图1 三单元有限元模型示意图 其中:E’表示实体单元等效刚度,Λ表示实体单元刚度与内聚力单元刚度的比值。 对于不同的Λ值,内聚力单元具有不同的收敛性,我们对三单元进行求解,看位移边界U与内聚力单元法向内聚力之间的关系,具体如图2所示: 图2 Λ取值对收敛性的影响 如图2中所示,当Λ<1/e时,即使实体单元具有确定位移边界条件 ,内聚力单元张开位移也可能不具有唯一的数值,因此采用有限元方法在解方程组的时候会出现收敛性问题。
1.4K30编辑于 2022-01-20 - 来自专栏今天有没有多懂一点工业安全
5 种降低 OT 网络勒索软件风险的方法
为了适当地强化 OT 基础设施并降低勒索软件攻击的风险,这里有 5 条 建议: 1. 扩大风险治理的范围,包括任何网络物理资产我们必须知道我们公司拥有什么。 5. 对勒索的事件响应计划进行练习。要为勒索软件攻击做准备,公司必须创建攻防演练并定期练习。这些可以帮助了解风险和提高事件响应能力的好机会。 通过采取一些简单的基础步骤,可以降低勒索软件对工业环境造成的风险。
47510编辑于 2022-05-10 - 来自专栏云云众生s
外包开发的5大风险及如何规避
译自 5 Risks of Outsourcing Development and How to Avoid Them,作者 Liz Ryan。 但外包并非万无一失,依赖这种劳动力类型的公司会让自己面临各种风险。 5. 隐藏成本和预算超支 57% 的公司在其外包项目中出现财务超支,因此控制成本对于防止预算和时间表失控至关重要。预测隐藏成本(如意外许可费或为减轻意外情况所需的额外开发时间)可能具有挑战性。 随着软件支出预计将超过 5 万亿美元,企业必须保持警惕,在必要时降低成本。外包旨在成为一种缓解措施。防止额外成本潜入预算有助于确保此策略实现其目标。 在风险中取得成功 风险在任何商业活动中都是不可避免的。对于软件开发团队而言,与外包开发团队合作也不例外。当支出失控时,这种做法可以以较低的成本提高生产力。
1.3K10编辑于 2024-03-28 - 来自专栏FreeBuf
管理并购中网络安全风险的5个策略
管理并购中网络安全风险的5个策略 有效管理并购过程中的网络安全风险有助于避免买家后悔,以下是帮助企业在并购过程中管理网络安全风险的五种策略。 1. 5. 对目标公司的员工进行技能分析 重要的是要记住,除了收购目标公司的技术之外,收购方也在收购这些公司的员工。 结语 对于考虑收购的组织来说,重要的是要有一个更广阔的视野,并制定一个基本并购协议,其中的流程涵盖当前风险、潜在风险和收购后审核的所有方面。 最后还应提交一份报告,其中包括最新的风险态势和相关剩余风险,以及对风险偏好的评估。 换句话说,收购方就是要放眼全局,并系统地完成整个过程。而且最重要的是,需要在整个过程中持续监控和审计。 原文链接: https://www.csoonline.com/article/3692433/5-strategies-to-manage-cybersecurity-risks-in-mergers-and-acquisitions.html
1.4K40编辑于 2023-04-18 - 来自专栏智能时刻
5最糟糕的大数据隐私风险(以及如何防范)
大数据分析有巨大的收益,但也有巨大的潜在风险,可能会导致任何从尴尬到彻底歧视的事情。 鉴于这一点,专家认为隐私风险更加激烈,保护隐私的挑战变得更加复杂,这并不奇怪。 McNicholas认为,“最重大的风险是它被用来掩盖基于非法标准的歧视,并证明决定对脆弱人群的不同影响是合理的。” 5.你的数据被代理 许多公司收集和销售用于个人资料的消费者数据,没有太多的控制或限制。由于自动化决策,有一些着名的公司开始向孕妇推销产品,之后才告诉家里的其他人。像性取向或像癌症这样的疾病也是如此。 那些不是唯一的风险,没有办法消除它们。但是有办法限制它们。根据杰罗姆的说法,一个是使用大数据分析来解决问题。
2.2K50发布于 2018-04-09 混合云权限收敛技术指南
摘要 本文旨在解析混合云权限收敛技术的核心价值,探讨其在企业IT架构中的应用场景,并提供详细的操作指南。 同时,通过对比分析,展示腾讯云产品在实现混合云权限收敛中的效率和成本优势,并提供实际案例以供参考。 技术解析 核心价值 混合云权限收敛技术是指在不同的云环境(如公有云和私有云)之间实现统一的访问控制和权限管理,确保企业数据安全和合规性。 通过本文的技术指南,企业可以更好地理解和实施混合云权限收敛技术,利用腾讯云产品提升IT管理效率和安全性。
38510编辑于 2025-07-28
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号