大家好,我是 Mike Chapple,这是 CISSP 官方学习指南第 17 章学习要点的音频复习。
以下是本章中关于预防和应对事件您需要了解的最重要的内容。
CISSP 安全操作域列出了事件管理步骤,例如检测、响应、缓解、报告、恢复、补救和经验教训。
在检测和验证事件后,第一个反应是限制或控制事件的范围,同时保护证据。
根据管辖法律,组织可能需要向官方机构报告事件,如果 PII 有效,则需要通知个人。
补救和经验教训阶段包括根本原因分析,以确定原因并推荐解决方案以防止再次发生。
这些措施包括保持系统最新、删除或禁用不需要的协议和服务、使用入侵检测和预防系统、使用具有最新签名的反恶意软件以及启用基于主机和基于网络的防火墙。
软件白名单提供已批准软件的列表,并阻止安装列表中没有的任何其他软件。
黑名单提供未批准软件的列表,并阻止安装列表中的任何软件。
沙盒提供了一个隔离的环境,并防止在沙盒中运行的代码与沙盒外部的元素交互。
第三方安全服务可帮助组织增强内部员工提供的安全服务。
常见的 DoS 攻击是 SYN 洪水攻击,它会破坏 TCP 三次握手。
尽管旧攻击如今已不那么常见,因为基本预防措施可以阻止它们,但您仍可能受到这些攻击的考验,因为许多新攻击都是旧方法的变种。
Smurf 攻击使用放大网络向受害者发送大量响应数据包,死亡 ping 攻击向受害者发送大量超大 ping 数据包,导致受害者的系统冻结、崩溃或重新启动。
零日漏洞是一种利用除了攻击者之外其他人都不知道或只有少数人知道的漏洞进行的攻击。
从表面上看,这听起来好像无法防范未知漏洞,但基本的安全措施对于防止零日漏洞大有裨益。
删除或禁用不需要的协议和服务可以减少攻击面,启用防火墙、阻止许多接入点以及使用入侵检测和预防系统有助于检测和阻止潜在攻击。
中间人攻击有时也称为路径攻击,是指恶意用户能够获得通信链路两个端点之间的逻辑位置。
尽管攻击者需要相当复杂的技术才能完成中间人攻击,但从攻击中获得的数据量可能非常大。
IDS 和 IPS 是针对攻击的重要检测和预防措施。
了解使用类似于反恶意软件签名的数据库的基于知识的检测与基于行为的检测之间的区别。
基于行为的检测从基线开始识别正常行为,并将活动与基线进行比较以检测异常活动。
如果网络被修改,基线可能会过时,因此必须在环境发生变化时更新它。
蜜罐是一种通常具有伪缺陷和虚假数据以引诱入侵者的系统。
管理员可以在攻击者进入蜜罐时观察他们的活动,只要攻击者进入蜜罐,他们就不会进入实时网络。
最明显的工具是安装在网络边界的每个系统和电子邮件服务器上的反恶意软件,其定义是最新的。
但是,强制执行基本安全原则(例如最小特权原则)的策略可以防止普通用户安装潜在的恶意软件。
此外,教育用户了解风险以及攻击者通常用来传播病毒的方法有助于用户了解和避免危险行为。
常见的日志文件包括安全日志、系统日志、应用程序日志、防火墙日志、代理日志和变更管理日志。
日志文件应通过集中存储和使用权限限制访问来保护,存档日志应设置为只读以防止修改。
IDS 或 SIEM 等监控工具可自动进行持续监控并提供事件的实时分析,包括监控网络内部发生的事情、进入网络的流量以及离开网络的流量(也称为出口监控)。
审计线索是通过将有关事件和发生的信息记录到一个或多个数据库或日志文件中而创建的记录。
它们用于重建事件、提取有关事件的信息并证明或反驳罪责。
使用审计线索作为侦探安全控制的被动形式,审计线索是刑事起诉中必不可少的证据。
这直接促进了良好的用户行为和对组织安全策略的遵守。
然后,他们可以利用这些知识搜索网络,寻找这些威胁的迹象。
了解 SOAR 安全编排、自动化和响应技术的好处,自动响应事件。
这些是第 17 章“预防和响应事件”需要了解的学习要点。
原文始发于微信公众号(晓说森林):第17章 事件的预防和响应
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3212757.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论