怎样找回网站备案密码错误,青岛专业网站建设推广报价,上海企业投资人名录,深圳网站营销公司声明#xff01; 学习视频来自B站up主 泷羽sec 有兴趣的师傅可以关注一下#xff0c;如涉及侵权马上删除文章#xff0c;笔记只是方便各位师傅的学习和探讨#xff0c;文章所提到的网站以及内容#xff0c;只做学习交流#xff0c;其他均与本人以及泷羽sec团队无关#…声明 学习视频来自B站up主 泷羽sec 有兴趣的师傅可以关注一下如涉及侵权马上删除文章笔记只是方便各位师傅的学习和探讨文章所提到的网站以及内容只做学习交流其他均与本人以及泷羽sec团队无关切勿触碰法律底线否则后果自负有兴趣的小伙伴可以点击下面连接进入b站主页B站泷羽sec
网络七杀伤链
七个阶段
网络杀伤链模型描述了网络攻击的七个阶段这些阶段共同构成了攻击者从信息收集到实现攻击目的的完整过程。以下是网络杀伤链的详细阶段 侦察(Reconnaissance): 攻击者对目标进行信息收集和探测了解目标的网络架构、系统配置、潜在漏洞以及用户活动等相关情况。这一阶段旨在为后续攻击做准备。
武器化(Weaponization) 根据侦察所获取的信息攻击者将恶意软件或攻击工具进行制和包装使其能够利用目标系统的特定漏洞。这一阶段将普通的恶意软件或工具转化为 具有攻击性的“武器”
投送(Delivery) 将经过武器化处理的恶意软件或攻击工具投送到目标系统或网络中常见的投送方式包括通过电子邮件附件、恶意链接、受感染的移动存储设备等。
利用(Exploitation) 一旦投送成功恶意软件会利用目标系统存在的漏洞来触发并扩行恶意代码从而获取对目标系统的初步访问权限或控制权
安装Installation): 在成功利用漏洞进入目标系统后攻击者会进一步在目标系统内安装额外的恶意软件组件如后门程序、远程控制工具等。这些组件允许攻击者长期、稳定地控制目标系统。
指挥与控制(CommandControl): 安装在目标系统内的恶意软件会与攻击者所控制的 部服务器建立连接。这一连接允许攻击者远程对目标系统下达指令、获取数据以及进行进一步的控。
行动(Action) 这是网络攻击的最后阶段。攻击者通过已经建立的指挥与控制通道在目标系统上执行其预期的恶意活动如窃取敏感信息、篡改数据、发起拒绝服务攻击等。这些活动旨在达成攻击者的目的。
日志收集
日志收集是网络安全监控的基础它涉及从各种关键日志来源收集数据。这些来源包括但不限于代理服务器、邮件服务器、Wb服务器、数据库、身份认证服务器、防火墙、路由和交换机以及应用程序服务器和工作站。为了有效地收集这些日志需要配置日志源以生成日志并将其转发给日志收集器然后上传到SIEM(安全信息和事件管理)系统。
在Windows系统中可以使用事件日志收集和转发机制来获取日志数据。而在Linux系统则通常使用syslog来收集和聚合日志并将其转发到指定的日志收集器。此外随着互联网技术的发展楼宇管理和工控网络日志也成为了重要的日志来源这些系统现在通岸连接到企业网络并可能成为攻击者的主要目标。
日志搜索与分析
收集到的日志数据需要进行有效的搜索和分析以便及时发现潜在的安全威胁。Splunk等日志管理工具提供了强大的日志收集、存储、搜索、分析和可视化功能。此外SIEM系统能够关联日志与活动识别可疑内容而Splunk也可以作为SIEM解决方案之一。
监控告警
监控告警是网络安全响应的重要组成部分。告警可以来自SIEM系统但也可以直接来自安装在系统和网络中的传感器实时告警系统如IDS入侵检测系统设备。此外事后告警系统如AIDE监视系统文件的修改等也可以提供重要的安全信息。在某些情况下事件可能不会从日志或警报中触发例如攻击者更改了用户密码后用户可能会直接联系管理员进行通告。
事件响应
事件响应是网络安全管理的关键环节。L2级分析师在收到L1级的工单后会进行分析评估并进行相应的事件响应流程。数字取证分析是网络安全的一个专门领域通常由L3级分析师处理。他们会对内存、硬盘等存储设备以合法方式进行取证以保护数据的完整性。
Cyber Hunting网络狩猎
网络狩猎是SOC安全运营中心L3级分析师的一门新兴学科。它假设网络已被渗透通过主动寻找恶意软件或入侵者争取在攻击造成损失之前发现。网络狩猎需要寻找一系列指标以还原网络攻击时间线。MITRE ATTCK框架是网络威胁猎人的一个关键资源它提供了攻击者行为方式及其使用工具的信息有助于发现攻击痕迹。网络威胁搜寻需要非常了解正常状态并能够识别入侵和异常活动。
威胁情报
威胁情报是网络安全管理的重要组成部分。妥协指标IOC是用于识别恶意软件或恶意活动的签名通常以文件名和哈希值的形式提供。考虑到新威胁信息的规模手动获取和记录威胁情报已不再可行。因此自动化威胁管理变得尤为重要。MITRE开发了结构化威胁信息表达STIX和可信智能信息自动交换TAXII协议以实现威胁信息的自动提供和摄取。这些协议允许自动获得威胁情报并将其输入IDS、SIEM等工具从而实现威胁情报的近乎实时更新以确保击败已知威胁。此外AlienVault OTX等开放威胁交换服务也提供了手动访问危害指标的功能。
安全管理
安全管理是一组确保公司业务安全的日常流程。它涵盖了多个方面包括身份管理IAM、访问控制、特权管理PAM、媒体消毒、人事安全、证书管理以及远程访问等。IAM是任何安全程序的基础也是黑客攻击的主要目标。访问控制需要配置和验证用户访问系统的权限并制定审计规则。PAM系统使非特权用户能够请求特权访问以提升权限。媒体消毒涉及在生命周期结束时对敏感数据进行安全清理和销毁。人事安全是公认的业务安全程序之一。证书管理对于维护PKI架构的完整性至关重要。而后疫情时代远程访问已成为攻击的重点因此需要加强对其的安全管理。
零信任网络
在2010年谷歌遭受极光行动网络攻击之后其内部网络管理方式发生了深刻变革并创造了“零信任”一词用以描述一种始终假设内部网络可能已被破坏的运行方式。这种全新的安全理念在NIST特别出版物800-207:零信任架构中得到了正式确立并现已成为所有美国政府机构必须强制实施的安全标准。
零信任架构的核心在于其四个关键特征
即时访问Just-In-Time Access, JITA用户或服务在需要时才被授予访问权限且权限具有时效性一旦任务完成或时间过期权限即被收回。 只需足够的访问权限Least Privilege Access, LPA 或 JEA, Just Enough Access用户或服务仅被授予完成特定任务所需的最小权限集以减少潜在的安全风险。 动态访问策略访问控制策略根据用户身份、设备状态、位置、时间等多种因素动态调整以适应不断变化的安全环境。 微观分割将网络划分为多个小型的、相互隔离的安全区域以限制攻击者在网络内的横向移动能力。
安全和基础设施
在构建零信任网络的同时还需关注以下安全和基础设施方面的要素
数据备份/恢复作为重要的运营技术数据备份在发生灾难或攻击事件时是恢复业务连续性和数据完整性的关键安全资产。 变更管理安全策略需要与系统的变化过程紧密关联确保在提交变更前已充分评估风险并制定详细的变更管理计划包括推出计划、回滚计划、影响评估和依赖关系清单。 管理物理环境数据中心环境的物理和电子安全同样重要包括物理访问控制、机房环境监控如功率、温度、气压等。
事件响应
有效的事件响应机制是零信任网络不可或缺的一部分。事件管理生命周期通常包括以下几个阶段
准备了解系统及现有控制措施通过培训和演练提高组织的应急响应能力。 响应识别安全事件、进行调查、采取行动以响应事件并恢复业务服务。 后续事后进一步调查、形成报告、总结经验教训并据此改进安全流程和策略。
SABSA多层控制策略
SABSASherwood Applied Business Security Architecture多层控制策略提供了一种全面的安全框架包括威慑、预防、遏制、检测和通知恢复等多个层次的控制措施。
