2021年2月27日
事件:指会对机构资产的保密性、完整性或可用性产生负面影响的任何事态。
事件响应步骤:
1.检测:***检测和预防系统;反恶意软件;审计日志;最终用户有时会检测非常规活动。
2.响应:计算机响应小组(CIRT)。
3.抑制:旨在遏制事件的发展,限制事件的影响或范围。
4.报告:在本单位通报所发生的事件并将情况上报机构外的相关部门和官员。
5.恢复:调查人员从系统收集了所有适当证据后,恢复系统。
6.补救:安全人员首先对事件进行分析研究,找出根本原因,防止再次发生。
7.总结教训。
基本预防措施:
1.保持系统和应用程序即时更新。
2.移除或禁用不需要的服务和协议。
3.使用***检测和预防系统。
4.使用最新版本反恶意软件程序。
5.使用防火墙。
6.执行配置管理和系统管理流程。
常见***:
1.僵尸网络
2.拒绝服务***:DOS、DDOS、DRDOS(分布式反射型拒绝服务)
3.SYN洪水***,可用SYN cookie应对。
4.Smurf和Fraggle***:都属于DoS***,利用回声回复。Smurf用ICMP泛洪,Fraggle利用UDP端口7和端口19,使用UDP数据包泛洪。
5.Ping洪水
6.死亡之Ping,Ping包通常只有32或64位,死亡之Ping将包改到64KB及以上。
7.泪滴:***者将通信流分隔成碎片,使系统无法重组。
8.零日利用:***者最先发现漏洞,供应商掌握漏洞情况当还未发补丁,供应商发布补丁但系统还没有打上。
9.恶意代码:偷渡式下载。
10.中间人***
11.蓄意破坏
12.间谍活动
如前检测和预防系统IDS:检测许多DoS和DDoS***的有效方法。
1.基于知识检测:基于签名或模式检测,最常用的方法。
2.基于行为检测(统计***检测):基于启发检测。
3.SIEM系统
4.IDS响应:被动响应:发消息给管理员,管理员决定如何阻止***。主动响应:修改环境,阻止***。
5.基于主机的IDS:检测一台计算机的活动。
6.基于网络的IDS:检测网络信息,不能检测主机系统异常。
7.***预防系统IPS:检测并阻断***。
具体预防措施:
1.蜜罐/蜜网:诱惑或诱捕问题。
2.警示:向用户和***者宣传基本安全方针策略。例如:所有在线活动都将接受审计。
3.反恶意软件
4.白名单、黑名单:iPhone的IOS是白名单的极端体现。
5.防火墙。
6.沙箱
7.第三方安全服务
8.***测试:风险是可能会导致系统运行中断;需要得到许可,必要时需要书面许可;采用技术,雇佣外部转角爱;保护报告;道德***行动。三类:零知识团队的黑盒测试、全知识团队的白盒测试、部分知识团队的灰盒测试。主要工具:Metasploit
日志记录:
1.日志记录技术:将有关事件的信息写进日志文件或数据库的过程。
2.日志类型:安全、系统、应用、防火墙、代理、变更。
3.保护日志类型:备份、认证、销毁。
监测:
1.审计踪迹:将事件及有关信息保存,审计踪迹是监测安全控制的一种被动形式。
2.监测和问责:威慑作用。
3.监测和调查:重建已发生过的事件
4.监测和问题识别。
监测技术:日志;信息安全和时间管理(SIEM);抽样(根据统计原理);剪切级(超过阈值的事件);击键监测(键盘记录器);通信流分析。
出口监测:数据丢失预防(DLP,网络、端点);隐写术(用散列函数防护);水印。
效果评价审计:
1.访问审查审计:通过访问确定权限。
2.用户权限审计
3.特权群组审计:高权限管理员组,管理员的两个账户(一个低权,用于日常;一个高权)
安全审计和审查:
1.补丁管理
2.漏洞管理
3.配置管理
4.变更管理
报告审计结果:
1.保护审计结果,分配分类标签,有权限的人才能访问。
2.分发审计报告,接受者需正式签收。
3.使用外部审计人员。外部人员进入系统、推出系统。
课后习题20题,错了3个。