入侵检测是一项非常复杂的任务，尤其是在数据量与日俱增的情况下。跟踪这些数据源及其适当的检测规则，或避免重复的检测规则，对于检测工程师来说是一项艰巨的任务。

对于SOC来说，最重要的是要对其实际能见度和检测覆盖率有一个良好的概述和清晰的理解，以便找出差距，确定新检测规则或新数据源的开发优先级。

目前，时间已经来到2022年第一季度末，我们不妨花一些时间来回顾一下2021年出现的安全案例，并总结去年观察到的一些顶级战术、技术及流程（tactics, techniques and procedures，TTP）。总的来说，我们在2021年报告了20起安全事件，其中绝大多数与初始访问代理恶意软件（Trickbot、IcedID、BazarLoader等）相关，这些恶意软件通常用于入侵全域和投放勒索软件。

近期，“5.33亿Facebook用户的电话号码遭泄露”之类的报道占据了各大社交网络的新闻头条。实际上，早在2020年，这些泄密信息就已经被黑客出售了；只是最近这些数据被免费发布到了一个黑客论坛上，其中包括用户的手机号码以及其他相关信息。这则消息甚至催生了像https://haveibeenzucked.com这样的网站，大家可以通过它们检查自己的Facebook数据是否已经泄露。另外，大家也可以通过https://haveibeenpwned.com检查相关泄露情况。

在本文中，我们将为读者详细介绍与影子票据漏洞相关的事宜。

最近，苹果公司在macOS 12 beta 6（以及随后的macOS 11.6）版本中修复了一个“有趣的”漏洞，其编号为CVE-2021-30853