Loading...
墨滴

郭旺vanguo

2021/06/06  阅读:59  主题:默认主题

安全笔记

Effective CyberSecurity笔记

重点关注以下几部分:

第一篇 网络安全规划

第3章:信息风险评估

第二篇 管理网络安全功能

第15章:威胁与事故管理

安全评估

网络安全的目标:

  • 可用性。
  • 完整性(真实性和不可抵赖性)
    • 真实性,
    • 不可抵赖性
  • 机密性
  • 可追踪性

安全三要素CIA

  • Confidentiality 保密性
    三个方法:

    • 加密
    • 权限管理
    • 敏感信息保护
  • Integrity 完整性
    数据内容完整,没有被篡改

  • Availability 可用性

威胁的本质: 在可能破坏安全性并造成损害的情景、能力、行为或事件中存在的违反安全性的可能性。 威胁是一种可能利用漏洞的危险。

第三章,信息风险评估:

风险评估面临的挑战:

  • 资产。分析特定的威胁使得资产的价值变少
  • 威胁。
  • 漏洞。
  • 控制,

安全运营中心(Security Operation Center):跟踪和集成多个安全输入、确定风险、确定攻击目标,包含攻击所造成的影响,帮助进行威胁评估和风险处置

威胁分析STRIDE模型

【威胁】 - 【对应安全属性】

  • Spoofing 伪装 - 身份认证

使用他人的用户名和口令进行非法访问。针对此类威胁的安全措施属与身份认证。

  • Tampering 篡改 - 完整性

  • Repudiation 抵赖 - 不可抵赖性

电子签名将作为证据

  • Information Disclosure 机密信息泄露 - 机密性

  • Denial of Service Dos 拒绝服务 - 可用性

拒绝服务(Dos)攻击会令系统拒绝向有效用户提供服务。

  • Elevation of Privilege 权限提升 - 授权

漏洞识别

漏洞的固有特性:

  • 可利用性

    • 攻击向量。 攻击者与易受攻击者的距离
    • 攻击复杂度。 攻击者无法随意完成攻击,必须将复杂度提高
    • 所需权限。 攻击者利用漏洞所需要的权限
    • 用户交互。 攻击成功是否需要攻击者以外的用户参与
  • 影响

  • 范围

第15章 威胁与事故管理

15.1 技术漏洞管理

漏洞管理的步骤

  1. 计划

资产清单;威胁机构

  1. 发现 监控NVDB,国家漏洞数据库

  2. 扫描

自动扫描工具;验证模式;背靠背比较

  1. 记录和报告

漏洞排名;记录扫描结果

  1. 修复

15.2 安全事件日志

15.3 安全事件管理

15.4 威胁情报

或者称为网络情报,它是分析威胁组织潜在的或当前攻击的信息而建立的知识。其中信息来自应用程序、系统和网络日志、防火墙和入侵检测系统等安全产品和专门的威胁源。

15.4.1 威胁分类

15.4.2 威胁情报的重要性

威胁情报的主要目的是帮助了解最常见和最严重的外部威胁所带来的风险。如高级持续性威胁APT,漏洞利用和0-day威胁

  • APT,APT攻击的对象是具有高价值信息的部门,如制造业,金融业。APT的目标是被谨慎选择的,实施过程通常是隐蔽而长期的入侵。

  • 漏洞利用,

  • 0-day威胁,

典型的APT攻击分为以下步骤:

情报收集

  1. 背景研究。攻击者对潜在攻击目标的研究,以确定具体的攻击途径。

初始利用

  1. 执行初始攻击。将恶意内容嵌入即时消息,社交媒体,引诱目标打开链接,感染设备
  2. 建立立足点。

命令与控制

  1. 启动持续性攻击

  2. 对企业进行侦查

特权升级

  1. 横向移动到新系统

从新系统访问企业的新部分。APT可以直接安装命令和控制软件,扩展对环境的持续访问。

  1. 升级特权

数据获取

  1. 收集并加密感兴趣的数据

攻击者收集到感兴趣的信息之后,将数据加密,逃过企业数据包的检测。

  1. 从受攻击的系统中获取数据

APT使用各种工具和协议偷偷从目标系统将数据传输出去。

  1. 保持持续性攻击的存在

威胁情报是安全团队能够在真正的损害发生之前很好得了解威胁,即使没有在早期发现威胁,威胁情报也会缩短发现攻击已经成功所需的时间,加快补救措施的实施以及限制损害的蔓延。

15.5 网络攻击的防护

郭旺vanguo

2021/06/06  阅读:59  主题:默认主题

作者介绍

郭旺vanguo