应急响应和安全运营基础

admin 2022年8月14日15:07:18评论20 views字数 879阅读2分55秒阅读模式
  • 攻击向量分析

  • 应急响应基础

  • 应急响应标准和指南

  • 应急响应流程

  • 安全运营中心

        攻击向量分析攻击向量是攻击者用来访问漏洞的路径。换句话说,用于攻击资产的方法称为威胁向量或攻击向量。可以分析攻击向量。分析是通过研究攻击面来完成的,例如应用程序的入口点、API、文件、数据库、用户界面等。

        “应急响应是一种有组织的方法,用于解决和管理安全漏洞或网络攻击(也称为 IT 事件、计算机事件或安全事件)的后果。目标是以限制损害并减少恢复时间和成本的方式处理这种情况。”

        事件是系统或网络中任何可观察到的事件。事件包括连接到文件共享的用户、接收网页请求的服务器、发送电子邮件的用户以及阻止连接尝试的防火墙。应急是具有负面后果的事件,例如系统崩溃、数据包泛滥、未经授权使用系统权限、未经授权访问敏感数据以及执行破坏数据的恶意软件。应急响应操作期间,您需要收集大量工件资源。您可以使用不同的工件,例如:

  • IP 地址

  • 网站域名

  • 网址

  • 系统调用

  • 流程

  • 服务和端口

  • 文件哈希

应急响应流程

应急响应需要经过明确定义的步骤:

  1. 准备:在此阶段,团队部署所需的工具和资源以成功处理事件,包括开展意识培训。

  2. 检测分析:这是最困难的阶段。对于每个应急响应团队来说,这都是一个具有挑战性的步骤。此阶段包括网络和系统分析、日志保留策略、事件识别迹象和安全事件优先级。

  3. 遏制消灭和恢复:在此阶段,收集证据并维持遏制和恢复策略。

  4. 事后活动:在此阶段进行讨论以评估团队绩效、确定实际发生的情况、政策合规性等。

安全运营中心基础知识

维基百科对安全运营中心的定义如下:安全运营中心是在组织和技术层面处理安全问题的集中单位。建筑物或设施内的 SOC 是工作人员使用数据处理技术监督现场的中心位置。


应急响应和安全运营基础

安全运营中心不仅仅是技术工具的集合。SOC 是人员、流程和技术。

        评估您的 SOC 成熟度至关重要,因为您无法改进无法衡量的内容。根据您的业务需求和用例,有许多基于不同指标的成熟度模型。一些指标是:* 检测时间 (TTD) * 响应时间 (TDR)


原文始发于微信公众号(Khan安全攻防实验室):应急响应和安全运营基础

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月14日15:07:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应和安全运营基础https://cn-sec.com/archives/1236347.html

发表评论

匿名网友 填写信息