第17章 事件的预防和响应 admin 122831文章 97评论 2024年9月27日11:13:02评论11 views字数 2036阅读6分47秒阅读模式 大家好,我是 Mike Chapple,这是 CISSP 官方学习指南第 17 章学习要点的音频复习。 以下是本章中关于预防和应对事件您需要了解的最重要的内容。 列出并描述事件管理步骤。 CISSP 安全操作域列出了事件管理步骤,例如检测、响应、缓解、报告、恢复、补救和经验教训。 在检测和验证事件后,第一个反应是限制或控制事件的范围,同时保护证据。 根据管辖法律,组织可能需要向官方机构报告事件,如果 PII 有效,则需要通知个人。 补救和经验教训阶段包括根本原因分析,以确定原因并推荐解决方案以防止再次发生。 了解基本的预防措施。 基本的预防措施可以防止许多事件发生。 这些措施包括保持系统最新、删除或禁用不需要的协议和服务、使用入侵检测和预防系统、使用具有最新签名的反恶意软件以及启用基于主机和基于网络的防火墙。 了解白名单和黑名单之间的区别。 软件白名单提供已批准软件的列表,并阻止安装列表中没有的任何其他软件。 黑名单提供未批准软件的列表,并阻止安装列表中的任何软件。 了解沙盒。 沙盒提供了一个隔离的环境,并防止在沙盒中运行的代码与沙盒外部的元素交互。 了解第三方提供的安全服务。 第三方安全服务可帮助组织增强内部员工提供的安全服务。 许多组织使用基于云的解决方案来增强其内部安全性。 了解拒绝服务 DoS 攻击。 DoS 攻击会阻止系统响应合法的服务请求。 常见的 DoS 攻击是 SYN 洪水攻击,它会破坏 TCP 三次握手。 尽管旧攻击如今已不那么常见,因为基本预防措施可以阻止它们,但您仍可能受到这些攻击的考验,因为许多新攻击都是旧方法的变种。 Smurf 攻击使用放大网络向受害者发送大量响应数据包,死亡 ping 攻击向受害者发送大量超大 ping 数据包,导致受害者的系统冻结、崩溃或重新启动。 了解零日漏洞。 零日漏洞是一种利用除了攻击者之外其他人都不知道或只有少数人知道的漏洞进行的攻击。 从表面上看,这听起来好像无法防范未知漏洞,但基本的安全措施对于防止零日漏洞大有裨益。 删除或禁用不需要的协议和服务可以减少攻击面,启用防火墙、阻止许多接入点以及使用入侵检测和预防系统有助于检测和阻止潜在攻击。 此外,使用蜜罐等工具有助于保护实时网络。 了解中间人攻击。 中间人攻击有时也称为路径攻击,是指恶意用户能够获得通信链路两个端点之间的逻辑位置。 尽管攻击者需要相当复杂的技术才能完成中间人攻击,但从攻击中获得的数据量可能非常大。 了解入侵检测和入侵预防。 IDS 和 IPS 是针对攻击的重要检测和预防措施。 了解使用类似于反恶意软件签名的数据库的基于知识的检测与基于行为的检测之间的区别。 基于行为的检测从基线开始识别正常行为,并将活动与基线进行比较以检测异常活动。 如果网络被修改,基线可能会过时,因此必须在环境发生变化时更新它。 描述蜜罐和蜜网。 蜜罐是一种通常具有伪缺陷和虚假数据以引诱入侵者的系统。 蜜网是网络中的两个或多个蜜罐。 管理员可以在攻击者进入蜜罐时观察他们的活动,只要攻击者进入蜜罐,他们就不会进入实时网络。 了解用于阻止恶意代码的方法。 可以使用多种工具来阻止恶意代码。 最明显的工具是安装在网络边界的每个系统和电子邮件服务器上的反恶意软件,其定义是最新的。 但是,强制执行基本安全原则(例如最小特权原则)的策略可以防止普通用户安装潜在的恶意软件。 此外,教育用户了解风险以及攻击者通常用来传播病毒的方法有助于用户了解和避免危险行为。 了解日志文件的类型。 日志数据记录在数据库和不同类型的日志文件中。 常见的日志文件包括安全日志、系统日志、应用程序日志、防火墙日志、代理日志和变更管理日志。 日志文件应通过集中存储和使用权限限制访问来保护,存档日志应设置为只读以防止修改。 监控是一种审计形式,侧重于主动审查日志文件数据。 监控用于让主体对其行为负责并检测异常或恶意活动。 它还用于监控系统性能。 IDS 或 SIEM 等监控工具可自动进行持续监控并提供事件的实时分析,包括监控网络内部发生的事情、进入网络的流量以及离开网络的流量(也称为出口监控)。 日志管理包括分析日志和归档日志。 能够解释审计线索。 审计线索是通过将有关事件和发生的信息记录到一个或多个数据库或日志文件中而创建的记录。 它们用于重建事件、提取有关事件的信息并证明或反驳罪责。 使用审计线索作为侦探安全控制的被动形式,审计线索是刑事起诉中必不可少的证据。 了解如何保持责任制。 通过使用审计来保持对各个主体的责任制。 日志记录用户活动,用户可以对其记录的行为负责。 这直接促进了良好的用户行为和对组织安全策略的遵守。 描述威胁源和威胁搜寻。 威胁源为组织提供稳定的原始数据流。 通过分析威胁源,安全管理员可以了解当前威胁。 然后,他们可以利用这些知识搜索网络,寻找这些威胁的迹象。 了解 SOAR 安全编排、自动化和响应技术的好处,自动响应事件。 主要好处之一是这减少了管理员的工作量。 它还通过让计算机系统响应来消除人为错误的可能性。 这些是第 17 章“预防和响应事件”需要了解的学习要点。 原文始发于微信公众号(晓说森林):第17章 事件的预防和响应 点赞 https://cn-sec.com/archives/3212757.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论