任务一:Introduction to Defensive Security防御安全简介
此room的两个要点:
- Preventing intrusions from occurring
防止入侵发生 - Detecting intrusions when they occur and responding properly
检测发生的入侵并正确响应
防御安全还有更多内容。 除上述内容外,我们还将涵盖以下相关主题:
安全运营中心 (SOC)
威胁情报
数字取证和事件响应 (DFIR)恶意软件分析
任务二: Areas of Defensive Security(防御安全领域)
两个主题:
Security Operations Center (SOC)安全运营中心:我们在此负责威胁情报
Digital Forensics and Incident Response (DFIR)数字取证和事件响应 :我们还涵盖恶意软件分析
(1)Security Operations Center (SOC):安全运营中心 (SOC)
简介:soc是一群网络安全专业人员组成的安全团队,负责监控网络及其系统以检测网络安全事件。
soc主要涉及的领域:
1.漏洞:每次发现漏洞的时候,必须通过安装适当的更新以及补丁修复他,当修复不可用时,需要采取必要的措施防止攻击者利用他。尽管修复漏洞对于soc至关重要,但也不一定会分配给他们。
2.策略违规:安全策略是保护网络和系统所需要的一组规则。例如,用户将公司的机密数据上传到在线的存储服务上,就可能违反策略。
3.未授权的活动:考虑用户的登录名和密码被盗用,攻击者使用他们登录网络。
4.网络入侵:当用户点击恶意链接或攻击这利用公共服务器,可能会发现入侵,我们需要尽快采取措施。
安全操作涵盖各种任务以确保保护;其中一项就是威胁情报(Threat Intelligence)
威胁情报
概念:
情报指的是你收集的实际和潜在敌人的信息。
威胁指可能破坏系统或对系统产生不利影响的任何操作。
目的就是实现基于威胁的防御。
不同的公司有不同的对手。一些攻击者可能试图从移动运营商那里窃取客户数据;然而,其他对手也有兴趣停止炼油厂的生产。示例攻击者包括出于政治原因工作的民族国家网络军队和出于财务目的行事的勒索软件组织。根据公司(目标),我们可以预期对手。
情报需要数据
这里必须收集、处理和分析数据。
1.数据是从本地来源(如网络日志)和公共来源(如论坛)收集的
2. 数据处理将其排列成适合分析的格式
3.分析阶段旨在查找有关攻击者及其动机的更多信息
了解你的对手可以让你了解他们的策略、技术和程序。根据威胁情报,我们识别威胁行为者(对手)并预测其活动。因此,我们可以减轻他们的攻击并准备响应策略。
(2)Digital Forensics and Incident Response (DFIR):数字取证和事件响应
1)Digital Forensics数字取证
2)Incident Response事件响应
3)Malware Analysis恶意软件分析
1)Digital Forensics数字取证
由来: 法医是使用科学来调查犯罪和确定事实。随着计算机和智能手机等数字系统的使用和普及,法医的一个新分支诞生了,用于调查相关犯罪:计算机取证,后来演变为数字取证。
在防御性安全方面,数字取证的重点转移到分析攻击及其肇事者的证据,以及其他领域,例如知识产权盗窃、网络间谍和拥有未经授权的内容。因此,数字取证将侧重于不同的领域,例如:
- 文件系统:分析系统存储的数字取证图像(低级副本)可以揭示许多信息,例如已安装的程序、创建的文件、部分覆盖的文件和已删除的文件。
- 系统内存:如果攻击者在内存中运行恶意程序,但未将其保存到磁盘,则获取系统内存的取证图像(低级副本)是分析其内容并了解攻击的最佳方式。
- 系统日志:每个客户端和服务器计算机都维护着不同的日志文件,说明发生了什么。日志文件提供了有关系统上所发生情况的大量信息。即使攻击者试图清除他们的痕迹,一些痕迹也会保留下来。
- 网络日志:遍历网络的网络数据包的日志将有助于回答有关是否发生攻击及其后果的更多问题。
2)Incident Response事件响应
事件通常是指数据泄露或网络攻击;但是,在某些情况下,它可能不太重要,例如配置错误、入侵尝试或违反策略。网络攻击的示例包括攻击者使我们的网络或系统无法访问、污损(更改)公共网站以及数据泄露(窃取公司数据)。
您将如何应对网络攻击?
事件响应 指定了处理此类情况应遵循的方法。目的是在尽可能短的时间内减少损害和恢复。理想情况下,您将制定一个为事件响应做好准备的计划。
- 准备:这需要一支经过培训并准备好处理事件的团队。理想情况下,采取各种措施来从一开始就防止事件发生。
- 检测和分析: 团队拥有检测任何事件所需的资源;此外,必须进一步分析检测到的任何事件以了解其严重性。
- 遏制、根除和恢复:一旦检测到事件,就必须阻止它影响其他系统,消除它并恢复受影响的系统。例如,当我们注意到某个系统感染了计算机病毒时,我们希望阻止(遏制)病毒传播到其他系统,清理(根除)病毒,并确保系统正确恢复。
- 事件后活动:成功恢复后,将生成报告,并分享经验教训,以防止将来发生类似的事件。
3)Malware Analysis恶意软件分析
恶意软件代表恶意软件。软件是指可以保存在磁盘上或通过网络发送的程序、文档和文件。恶意软件包括多种类型,例如:
- 病毒是将自身附加到程序上的一段代码(程序的一部分)。它旨在从一台计算机传播到另一台计算机,其工作原理是在感染计算机后更改、覆盖和删除文件。结果范围从计算机变慢到无法使用。
- 特洛伊木马是一种程序,它显示一个理想的功能,但在下面隐藏了一个恶意功能。例如,受害者可能会从可疑网站下载视频播放器,从而使攻击者能够完全控制其系统,进行监视。
- 勒索软件是一种加密用户文件的恶意程序。加密会使文件在不知道加密密码的情况下无法读取。如果用户愿意支付 “赎金”,攻击者会向用户提供加密密码。(比特币)
木马和病毒的相同点和不同点
相同点:木马和病毒都是人为编写的而已代码,都会对用户造成危害。
不同点:病毒是具有传染性的,能偶自我复制,感染文件,拖慢计算机的速度,造成破环,而木马是不具备传染性的,它的主要怕目的是监视,获取用户相关的信息和隐蔽控制为主。
恶意软件分析旨在通过各种方式了解此类恶意程序:
- 静态分析的工作原理是检查恶意程序而不运行它。这通常需要扎实的汇编语言(处理器的指令集,即计算机的基本指令)的知识。
- 动态分析的工作原理是在受控环境中运行恶意软件并监控其活动。它允许您观察恶意软件在运行时的行为方式。
任务三:Practical Example of Defensive Security(防御安全的实例)
让我们假设您是负责保护银行的安全运营中心 (SOC) 分析师。该银行的 SOC 使用安全信息和事件管理(SIEM)工具,该工具从各种来源收集与安全相关的信息和事件,并将其呈现在一个仪表板中。如果 SIEM 发现可疑情况,就会生成警报。
但是,并非所有警报都是恶意警报。分析师可以利用他们在网络安全方面的专业知识来调查哪些是有害的。
例如,您可能会遇到用户多次登录尝试失败的警报。虽然可疑,但这种事情会发生,尤其是当用户忘记了密码并继续尝试登录时。
此外,可能会有与来自未知 IP 地址的连接相关的警报。IP 地址类似于计算机在 Internet 上的家庭地址,它告诉其他计算机将您请求的信息发送到何处。当这些地址未知时,可能意味着有新人正在尝试连接或有人试图进行未经授权的访问。
模拟 SIEM
我们准备了 SIEM 系统的简化交互式模拟,为您提供类似于网络安全分析师所遇到的实践经验。
要开始此模拟,请单击下面的“查看站点”按钮。
检查 SIEM 控制面板中的警报。从警报中找到恶意 IP 地址,记下它,然后单击警报以继续。
成功尝试从 IP 地址 143.110.250.149 对端口 22 进行 SSH 身份验证
检测到从 lP 地址进行未经授权的连接尝试143.110.250.149 到端口 22
用户 John Doe 成功登录(事件 ID 4624)
John Doe 多次登录尝试失败
登录失败:指定帐户的密码已过期(事件 ID 535)
输入相应ip地址
市面上有许多开源数据库,例如 AbuseIPDB 和 Cisco Talos Intelligence,您可以在其中对 IP 地址执行声誉和位置检查。大多数安全分析师使用这些工具来帮助他们进行警报调查。您还可以通过报告 AbuseIPDB 等恶意 IP 来使 Internet 更安全。
现在我们知道 IP 地址是恶意的,我们需要将其上报给工作人员!
如果这是一次失败的身份验证尝试,我们不应该太担心,但您可能注意到来自恶意 IP 地址的成功身份验证尝试。让我们声明一个小事件事件并上报它。公司有一些很棒的员工,但您不想将此事上报给不负责您的团队或部门的错误人员。
选择要将此事件上报的对象
Sales Executive :销售主管
Security Consultant:安全顾问
Information Security Architect:信息安全架构师
SOC Team Lead:SOC 团队负责人
您已获得阻止恶意 IP 地址的权限,现在可以继续并实施阻止规则。阻止防火墙上的恶意 IP 地址,并找出他们给您留下的消息。
完成房间。
