应急响应和安全运营基础

admin 2022年8月14日15:07:18企业安全评论9 views879字阅读2分55秒阅读模式
  • 攻击向量分析

  • 应急响应基础

  • 应急响应标准和指南

  • 应急响应流程

  • 安全运营中心

        攻击向量分析攻击向量是攻击者用来访问漏洞的路径。换句话说,用于攻击资产的方法称为威胁向量或攻击向量。可以分析攻击向量。分析是通过研究攻击面来完成的,例如应用程序的入口点、API、文件、数据库、用户界面等。

        “应急响应是一种有组织的方法,用于解决和管理安全漏洞或网络攻击(也称为 IT 事件、计算机事件或安全事件)的后果。目标是以限制损害并减少恢复时间和成本的方式处理这种情况。”

        事件是系统或网络中任何可观察到的事件。事件包括连接到文件共享的用户、接收网页请求的服务器、发送电子邮件的用户以及阻止连接尝试的防火墙。应急是具有负面后果的事件,例如系统崩溃、数据包泛滥、未经授权使用系统权限、未经授权访问敏感数据以及执行破坏数据的恶意软件。应急响应操作期间,您需要收集大量工件资源。您可以使用不同的工件,例如:

  • IP 地址

  • 网站域名

  • 网址

  • 系统调用

  • 流程

  • 服务和端口

  • 文件哈希

应急响应流程

应急响应需要经过明确定义的步骤:

  1. 准备:在此阶段,团队部署所需的工具和资源以成功处理事件,包括开展意识培训。

  2. 检测分析:这是最困难的阶段。对于每个应急响应团队来说,这都是一个具有挑战性的步骤。此阶段包括网络和系统分析、日志保留策略、事件识别迹象和安全事件优先级。

  3. 遏制消灭和恢复:在此阶段,收集证据并维持遏制和恢复策略。

  4. 事后活动:在此阶段进行讨论以评估团队绩效、确定实际发生的情况、政策合规性等。

安全运营中心基础知识

维基百科对安全运营中心的定义如下:安全运营中心是在组织和技术层面处理安全问题的集中单位。建筑物或设施内的 SOC 是工作人员使用数据处理技术监督现场的中心位置。


应急响应和安全运营基础

安全运营中心不仅仅是技术工具的集合。SOC 是人员、流程和技术。

        评估您的 SOC 成熟度至关重要,因为您无法改进无法衡量的内容。根据您的业务需求和用例,有许多基于不同指标的成熟度模型。一些指标是:* 检测时间 (TTD) * 响应时间 (TDR)


原文始发于微信公众号(Khan安全攻防实验室):应急响应和安全运营基础

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月14日15:07:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  应急响应和安全运营基础 http://cn-sec.com/archives/1236347.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: