网站技术制作流程图diy网站源码

当前位置： 首页 > news >正文

网站技术制作流程图,diy网站源码,装修免费出效果图,网站开发所需要的知识任务一#xff1a;Introduction to Defensive Security防御安全简介 此room的两个要点#xff1a; Preventing intrusions from occurring 防止入侵发生Detecting intrusions when they occur and responding properly 检测发生的入侵并正确响应 防御安全还有更多内容。 除上…任务一Introduction to Defensive Security防御安全简介 此room的两个要点 Preventing intrusions from occurring 防止入侵发生Detecting intrusions when they occur and responding properly 检测发生的入侵并正确响应 防御安全还有更多内容。 除上述内容外我们还将涵盖以下相关主题 安全运营中心 (SOC) 威胁情报 数字取证和事件响应 (DFIR) 恶意软件分析 任务二 Areas of Defensive Security防御安全领域 两个主题   Security Operations Center (SOC)安全运营中心我们在此负责威胁情报 Digital Forensics and Incident Response (DFIR)数字取证和事件响应 我们还涵盖恶意软件分析 1Security Operations Center (SOC)安全运营中心 (SOC) 简介soc是一群网络安全专业人员组成的安全团队负责监控网络及其系统以检测网络安全事件。 soc主要涉及的领域 1.漏洞每次发现漏洞的时候必须通过安装适当的更新以及补丁修复他当修复不可用时需要采取必要的措施防止攻击者利用他。尽管修复漏洞对于soc至关重要但也不一定会分配给他们。 2.策略违规安全策略是保护网络和系统所需要的一组规则。例如用户将公司的机密数据上传到在线的存储服务上就可能违反策略。 3.未授权的活动考虑用户的登录名和密码被盗用攻击者使用他们登录网络。 4.网络入侵当用户点击恶意链接或攻击这利用公共服务器可能会发现入侵我们需要尽快采取措施。 安全操作涵盖各种任务以确保保护;其中一项就是威胁情报Threat Intelligence 威胁情报 概念 情报指的是你收集的实际和潜在敌人的信息。 威胁指可能破坏系统或对系统产生不利影响的任何操作。  目的就是实现基于威胁的防御。 不同的公司有不同的对手。一些攻击者可能试图从移动运营商那里窃取客户数据;然而其他对手也有兴趣停止炼油厂的生产。示例攻击者包括出于政治原因工作的民族国家网络军队和出于财务目的行事的勒索软件组织。根据公司目标我们可以预期对手。 情报需要数据 这里必须收集、处理和分析数据。 1.数据是从本地来源如网络日志和公共来源如论坛收集的 2. 数据处理将其排列成适合分析的格式 3.分析阶段旨在查找有关攻击者及其动机的更多信息 了解你的对手可以让你了解他们的策略、技术和程序。根据威胁情报我们识别威胁行为者对手并预测其活动。因此我们可以减轻他们的攻击并准备响应策略。 2Digital Forensics and Incident Response (DFIR)数字取证和事件响应  1Digital Forensics数字取证 2Incident Response事件响应 3Malware Analysis恶意软件分析 1Digital Forensics数字取证 由来 法医是使用科学来调查犯罪和确定事实。随着计算机和智能手机等数字系统的使用和普及法医的一个新分支诞生了用于调查相关犯罪计算机取证后来演变为数字取证。 在防御性安全方面数字取证的重点转移到分析攻击及其肇事者的证据以及其他领域例如知识产权盗窃、网络间谍和拥有未经授权的内容。因此数字取证将侧重于不同的领域例如 文件系统分析系统存储的数字取证图像低级副本可以揭示许多信息例如已安装的程序、创建的文件、部分覆盖的文件和已删除的文件。系统内存如果攻击者在内存中运行恶意程序但未将其保存到磁盘则获取系统内存的取证图像低级副本是分析其内容并了解攻击的最佳方式。系统日志每个客户端和服务器计算机都维护着不同的日志文件说明发生了什么。日志文件提供了有关系统上所发生情况的大量信息。即使攻击者试图清除他们的痕迹一些痕迹也会保留下来。网络日志遍历网络的网络数据包的日志将有助于回答有关是否发生攻击及其后果的更多问题。 2Incident Response事件响应 事件通常是指数据泄露或网络攻击;但是在某些情况下它可能不太重要例如配置错误、入侵尝试或违反策略。网络攻击的示例包括攻击者使我们的网络或系统无法访问、污损更改公共网站以及数据泄露窃取公司数据。 您将如何应对网络攻击 事件响应 指定了处理此类情况应遵循的方法。目的是在尽可能短的时间内减少损害和恢复。理想情况下您将制定一个为事件响应做好准备的计划。 准备这需要一支经过培训并准备好处理事件的团队。理想情况下采取各种措施来从一开始就防止事件发生。检测和分析 团队拥有检测任何事件所需的资源;此外必须进一步分析检测到的任何事件以了解其严重性。遏制、根除和恢复一旦检测到事件就必须阻止它影响其他系统消除它并恢复受影响的系统。例如当我们注意到某个系统感染了计算机病毒时我们希望阻止遏制病毒传播到其他系统清理根除病毒并确保系统正确恢复。事件后活动成功恢复后将生成报告并分享经验教训以防止将来发生类似的事件。 3Malware Analysis恶意软件分析 恶意软件代表恶意软件。软件是指可以保存在磁盘上或通过网络发送的程序、文档和文件。恶意软件包括多种类型例如 病毒是将自身附加到程序上的一段代码程序的一部分。它旨在从一台计算机传播到另一台计算机其工作原理是在感染计算机后更改、覆盖和删除文件。结果范围从计算机变慢到无法使用。特洛伊木马是一种程序它显示一个理想的功能但在下面隐藏了一个恶意功能。例如受害者可能会从可疑网站下载视频播放器从而使攻击者能够完全控制其系统进行监视。勒索软件是一种加密用户文件的恶意程序。加密会使文件在不知道加密密码的情况下无法读取。如果用户愿意支付 “赎金”攻击者会向用户提供加密密码。比特币 木马和病毒的相同点和不同点 相同点木马和病毒都是人为编写的而已代码都会对用户造成危害。 不同点病毒是具有传染性的能偶自我复制感染文件拖慢计算机的速度造成破环而木马是不具备传染性的它的主要怕目的是监视获取用户相关的信息和隐蔽控制为主。 恶意软件分析旨在通过各种方式了解此类恶意程序 静态分析的工作原理是检查恶意程序而不运行它。这通常需要扎实的汇编语言处理器的指令集即计算机的基本指令的知识。动态分析的工作原理是在受控环境中运行恶意软件并监控其活动。它允许您观察恶意软件在运行时的行为方式。 任务三Practical Example of Defensive Security防御安全的实例 让我们假设您是负责保护银行的安全运营中心 (SOC) 分析师。该银行的 SOC 使用安全信息和事件管理SIEM工具该工具从各种来源收集与安全相关的信息和事件并将其呈现在一个仪表板中。如果 SIEM 发现可疑情况就会生成警报。 但是并非所有警报都是恶意警报。分析师可以利用他们在网络安全方面的专业知识来调查哪些是有害的。 例如您可能会遇到用户多次登录尝试失败的警报。虽然可疑但这种事情会发生尤其是当用户忘记了密码并继续尝试登录时。 此外可能会有与来自未知 IP 地址的连接相关的警报。IP 地址类似于计算机在 Internet 上的家庭地址它告诉其他计算机将您请求的信息发送到何处。当这些地址未知时可能意味着有新人正在尝试连接或有人试图进行未经授权的访问。 模拟 SIEM 我们准备了 SIEM 系统的简化交互式模拟为您提供类似于网络安全分析师所遇到的实践经验。 要开始此模拟请单击下面的“查看站点”按钮。 检查 SIEM 控制面板中的警报。从警报中找到恶意 IP 地址记下它然后单击警报以继续。 成功尝试从 IP 地址 143.110.250.149 对端口 22 进行 SSH 身份验证  检测到从 lP 地址进行未经授权的连接尝试143.110.250.149 到端口 22 用户 John Doe 成功登录事件 ID 4624 John Doe 多次登录尝试失败 登录失败指定帐户的密码已过期事件 ID 535  输入相应ip地址 市面上有许多开源数据库例如 AbuseIPDB 和 Cisco Talos Intelligence您可以在其中对 IP 地址执行声誉和位置检查。大多数安全分析师使用这些工具来帮助他们进行警报调查。您还可以通过报告 AbuseIPDB 等恶意 IP 来使 Internet 更安全。 现在我们知道 IP 地址是恶意的我们需要将其上报给工作人员 如果这是一次失败的身份验证尝试我们不应该太担心但您可能注意到来自恶意 IP 地址的成功身份验证尝试。让我们声明一个小事件事件并上报它。公司有一些很棒的员工但您不想将此事上报给不负责您的团队或部门的错误人员。 选择要将此事件上报的对象 Sales Executive 销售主管 Security Consultant安全顾问  Information Security Architect信息安全架构师 SOC Team LeadSOC 团队负责人 您已获得阻止恶意 IP 地址的权限现在可以继续并实施阻止规则。阻止防火墙上的恶意 IP 地址并找出他们给您留下的消息。 完成房间。