时间：2021年12月15日19:30-21:00

地点：腾讯会议（ID：333561235）

主题：软件安全测试的战略与战术

主讲人：沈子力

内容简介：

渗透测试指网络安全专业人员模拟攻击者对目标进行攻击，以此来评估目标的安全防御能力。本报告试图通过ATT&CK矩阵(Adversarial Tactics, Techniques, and Common Knowledge)结合实战讲解攻击者渗透过程中的战略与战术。ATT&CK是由威胁建模公司MITRE提出的，ATT&CK与其他的模型并不相同，比如说CVSS它是侧重漏洞评估，还比如说DREAD它是侧重风险评估，而ATT&CK完全站在攻击者的视角来描述攻击中各阶段用到的技术模型。基于攻击者视角，通过红队经验案例中使用的攻击手法，将抽象化的攻击手段和防守措施相连接起来。以战略技术的角度整体分析攻击行为。

主讲人简介：

沈子力，高级软件安全测试工程师，奇安信科技集团有限公司软件安全测试组长，曾在航天软件测评中心等多家大型企业任职，具有丰富的渗透测试实战经验，对Metasploit、Appscan、Nessus、Fortify等渗透测试工具及自动化渗透测试方案有深入研究。另外，参与2021年护网行动、网络安全领域发明专利一项。

主办单位：应用技术学院（工匠学院）、教务处