事件的预防和响应

事件管理的步骤：检测，响应，抑制，报告，恢复，补救，总结教训。
有安全事件的时候，计算机不能关闭。因为RAM的临时文件和数据会丢失。
DOS攻击
DDOS攻击
DRDos攻击
SYN洪水攻击
TCP复位攻击
smurf攻击
fraggle攻击
ping洪水
MITM攻击
员工蓄意破坏
IDS
IPS
基于知识检测/基于签名检测
基于行为检测
假阳性、假阴性、真阳性和真阴性
HIDS
DIDS
蜜罐、蜜网
反恶意软件
防火墙
下一代防火墙NGFW
沙箱
第三方安全服务
UTM设备
日志记录
SIEM、SEM、SIM
syslog
日志管理
DLP系统
SOAR
机器学习和AI工具
ATT&CK

DRDos攻击

DRDoS（Distributed Reflection Denial of Service）攻击是一种分布式反射型拒绝服务（DDoS）攻击的变种。在DRDoS攻击中，攻击者利用开放的网络服务，如DNS（域名系统）、NTP（网络时间协议）或SSDP（简单服务发现协议）等，将攻击流量反射到目标服务器上，从而造成目标服务器被大量的响应流量淹没，无法正常处理合法请求，导致服务不可用。

DRDoS攻击通常涉及以下步骤：

1. 攻击者使用大量的僵尸主机（也称为傀儡主机）构建一个分布式的攻击网络，这些主机可能被感染了恶意软件，成为了攻击者的控制节点。

2. 攻击者通过僵尸主机向多个开放的网络服务发送伪造的请求，将请求的源IP地址伪装成目标服务器的IP地址。

3. 这些网络服务在收到伪造请求后，会向目标服务器回复大量的响应，由于响应流量的源IP地址是目标服务器的IP地址，因此目标服务器会受到大量的响应流量，从而导致服务不可用。

DRDoS攻击的特点是攻击流量经过了伪装，使得目标服务器难以区分哪些请求是合法的，哪些是恶意的。这使得防御DRDoS攻击变得更加困难。为了防御DRDoS攻击，组织可以采取一系列防护措施，包括：

1. 配置网络设备，限制特定协议的反射响应，防止攻击流量的反射效应。

2. 使用防火墙、入侵防御系统（IDS）、入侵防御系统（IPS）等安全设备，对攻击流量进行过滤和清洗。

3. 实施流量分析和行为分析，及时发现和响应异常的流量模式。

4. 定期更新和维护网络设备的固件和软件，修复可能存在的漏洞。

5. 协同网络服务提供商和ISP（互联网服务提供商），共同抵御DRDoS攻击。

综合使用多种防护措施，可以提高组织抵御DRDoS攻击的能力，保护网络和服务的稳定运行。

Fraggle攻击

Fraggle攻击是一种网络攻击，它是DDoS（分布式拒绝服务）攻击的一种形式。Fraggle攻击是一种反射型DDoS攻击，类似于Smurf攻击和Fraggle攻击是在UDP（用户数据报协议）上执行的。

在Fraggle攻击中，攻击者向网络上的广播地址发送大量的UDP数据包。这些数据包的源地址被伪造为攻击目标的IP地址，导致响应被发送到攻击目标而不是真实的源地址。由于UDP是无连接的协议，所以没有建立连接的握手过程，这使得攻击者能够轻易地发送大量的伪造UDP数据包，造成目标系统的网络资源被耗尽。

Fraggle攻击与Smurf攻击类似，唯一的区别是它使用UDP而不是ICMP（Internet控制消息协议）。攻击者通常使用反射和放大技术，利用开放的UDP服务（如DNS、NTP、SSDP等）来放大攻击流量，使得攻击更具威力。

为了防御Fraggle攻击，网络管理员可以采取以下措施：

1. 关闭不必要的UDP服务，尽量减少被攻击者利用的放大机会。
2. 配置防火墙规则，限制对UDP服务的外部访问，尤其是来自不受信任网络的访问。
3. 使用DDoS防护设备和服务，监测和过滤异常的UDP流量，减轻攻击对目标系统的影响。
4. 在网络边界部署反射放大攻击检测系统，及时发现并阻止这类攻击。
5. 更新和维护网络设备的固件和软件，以弥补可能存在的漏洞。

总的来说，预防Fraggle攻击需要综合采取多种防御措施，以保护网络和系统免受DDoS攻击的影响。

smurf 攻击

Smurf攻击是一种网络攻击，属于DDoS（分布式拒绝服务）攻击的一种形式。该攻击利用了ICMP（Internet控制消息协议）的特性，通过向网络上的广播地址发送大量的ICMP Echo请求（ping请求），使得网络上的所有主机都向目标主机回复ICMP Echo应答（ping响应），导致目标主机被大量的响应信息淹没，最终导致其无法正常工作，从而实现拒绝服务的目的。

Smurf攻击利用了ICMP Echo请求的特性，即当一个主机向网络上的广播地址（例如255.255.255.255）发送ICMP Echo请求时，网络上的所有主机都会向该主机回复ICMP Echo应答。攻击者将自己的IP地址伪装成目标主机的IP地址，然后向网络上的广播地址发送大量的ICMP Echo请求。由于所有主机都会回复ICMP Echo应答给目标主机，造成目标主机收到大量的响应流量，从而导致其网络资源被耗尽，无法正常工作。

Smurf攻击属于反射型DDoS攻击，攻击者通过伪造源IP地址，将攻击流量反射到目标主机上，从而实现对目标主机的攻击。为了防御Smurf攻击，可以采取以下措施：

1. 禁止网络设备将广播地址作为源IP地址发送ICMP Echo请求。
2. 配置网络设备，禁止向外部网络发送ICMP Echo请求。
3. 在网络边界部署DDoS防护设备，过滤和清洗恶意的ICMP流量。
4. 更新和维护网络设备的固件和软件，以修复可能存在的漏洞。

防御Smurf攻击需要综合采取多种措施，以保护网络和系统免受DDoS攻击的影响。

IPS和IDS

IPS（入侵防御系统）和IDS（入侵检测系统）是用于网络安全的两种不同类型的系统，它们有一些关键的区别：

1. 功能：

   • IDS：入侵检测系统主要用于监测和检测网络中的潜在入侵或安全事件。它会监控网络流量、日志和其他活动，检测异常或恶意行为，并生成警报或通知。
   • IPS：入侵防御系统除了具备IDS的监测功能外，还具备主动阻止和防御恶意行为的能力。当IPS检测到入侵或攻击时，它可以采取预定的措施，例如阻止特定的IP地址、关闭特定的端口或断开连接，以阻止攻击进一步扩散。

2. 响应方式：

   • IDS：入侵检测系统只能监测和发出警报，但不能主动采取行动来阻止入侵。
   • IPS：入侵防御系统可以自动执行阻止和防御措施，减轻攻击对网络的影响。

3. 部署方式：

   • IDS：入侵检测系统通常部署在被保护网络的边界或关键节点，用于监测进出流量和内部流量。
   • IPS：入侵防御系统通常部署在网络边界或与受保护系统直接相连的位置，用于主动保护网络免受入侵和攻击。

4. 管理复杂性：

   • IDS：入侵检测系统通常更易于配置和管理，因为它只需要生成警报而不对网络进行主动修改。
   • IPS：入侵防御系统的配置和管理相对较复杂，因为它涉及到主动阻止攻击，需要谨慎考虑以避免误阻止合法流量。

综上所述，IDS主要用于监测和发现潜在的入侵或攻击，而IPS不仅具备监测功能，还能主动阻止和防御恶意行为，提供更主动的安全保护。选择部署IDS还是IPS取决于组织的安全需求和风险承受能力。

威胁情报

威胁情报（Threat Intelligence）是指从各种来源收集、分析和解释关于威胁行为和威胁漏洞的信息。这些信息可以用于帮助组织识别和理解潜在的网络安全威胁，预测攻击趋势，以及采取相应的安全措施。

威胁情报可以包含多种类型的信息，例如：

1. 恶意软件样本：包括病毒、木马、蠕虫、勒索软件等的样本，用于分析其行为和特征。

2. 漏洞信息：关于软件、操作系统或应用程序中已知漏洞的信息，包括漏洞的描述、影响范围和已有的安全补丁。

3. 攻击活动信息：关于实际攻击事件的信息，包括攻击者的行为、目标、使用的工具和技术等。

4. 攻击者组织信息：关于黑客组织、恶意软件开发者或其他威胁行为者的情报，用于了解其背景和动机。

5. 攻击目标信息：关于可能成为攻击目标的组织或个人的信息，用于评估其风险和安全状况。

威胁情报通常由专业的安全团队、安全厂商、政府机构、安全研究人员等收集和分析。这些信息可以通过威胁情报平台、安全厂商的订阅服务、开放的威胁情报共享机制等途径传递给组织，并用于指导安全决策和应对安全事件。

综合使用威胁情报可以帮助组织更早地发现潜在的威胁，更快速地做出反应，并加强其网络和系统的防御能力。然而，威胁情报的分析和使用需要专业知识和技能，以确保准确性和有效性。

DLP

DLP是数据丢失防护（Data Loss Prevention）的缩写，也被称为数据泄露防护或数据泄露预防。DLP是一种安全技术和策略，旨在帮助组织防止敏感数据在未经授权的情况下泄露或外泄。

DLP系统可以识别、监控和保护组织内部的敏感数据，例如个人身份信息（PII）、财务数据、知识产权、客户数据等。其主要功能包括：

1. 数据发现：DLP系统可以扫描组织的网络、终端设备和存储设备，发现存储在其中的敏感数据。这些数据可以是文档、电子邮件、数据库记录等。

2. 数据分类：DLP系统可以对已发现的敏感数据进行分类，区分出不同级别的敏感数据，从而有针对性地实施保护措施。

3. 数据监控：DLP系统可以监控数据在网络传输和存储过程中的流动，检测潜在的数据泄露或外泄事件。

4. 数据防护：DLP系统可以实施多种数据保护措施，例如加密、标记、阻止数据传输等，以防止敏感数据被未经授权的人员访问或传输。

5. 安全策略：DLP系统允许组织制定安全策略，规定对敏感数据的使用和传输规则，同时记录和报告相关的安全事件。

通过部署DLP系统，组织可以更好地保护其重要的敏感数据，预防数据泄露和数据外泄事件的发生，同时符合法规和合规要求。DLP技术通常结合了软件、硬件和策略的组合，形成全面的数据保护解决方案。

SOAR

SOAR是安全自动化与响应（Security Orchestration, Automation, and Response）的缩写。它是一种综合性的安全解决方案，旨在帮助组织提高安全运营的效率和准确性，同时降低安全风险。

SOAR平台整合了安全事件和威胁情报的收集、分析和响应功能，并结合了自动化技术来处理常见的安全事件。其主要特点包括：

1. 安全编排（Security Orchestration）：SOAR平台允许安全团队将不同的安全工具和系统整合在一起，实现自动化的安全编排和协调。这样可以实现不同安全工具之间的信息共享和交互，提高安全事件的处理效率。

2. 自动化（Automation）：SOAR平台可以自动执行预定的安全响应措施，例如隔离受感染的主机、封锁恶意IP地址、恢复备份数据等。这样可以大大减轻安全团队的工作负担，并加快安全事件的响应速度。

3. 响应（Response）：SOAR平台提供了丰富的响应动作，安全团队可以根据实际情况选择合适的响应措施来应对不同类型的安全事件。

通过SOAR平台，安全团队可以更快速地检测和响应安全事件，提高安全防御的效率和准确性。此外，SOAR还可以帮助组织建立更好的安全流程和自动化工作流程，加强对安全事件的监控和管理，提高整体的安全水平。

[11/20] 练习题测试结果

正确率 11/20

1. B 、C 、D 。检测、报告和总结教训是事件管理的有效步骤。预防是在事件发生之前做
   的事情。创建备份可帮助恢复系统，但是它不属千于事件管理步骤。事件管理的7 个步骤（按顺
   序排列）是：检测、响应、抑制、报告、恢复、补救和总结教训。

---

2. A。作为抑制阶段的一部分，你的下一步是把计算机与网络隔离开来。你可以稍晚些
   再查看其他计算机，但是你首先应该努力把问题抑制住。你也可以执行杀毒扫描，但同样要
   等稍晚些再进行。总结教训是在最后阶段进行的工作，到这时才可分析事件，找出原因。

---

4. A、C 、D 。所列3 个基本安全控制是：切保持系统和应用程序即时更新； ＠移除或禁
   用不需要的服务或协议； ＠使用最新的反恶意软件程序。SOAR 技术采用先进方法检测事件
   并自动对事件做出响应。组织可以在边界（互联网与内部网络之间）部署一个网络防火墙，但
   是Web 应用程序防火墙(VI/AF）应该只过滤到Web 服务器的通信流。

---

6. B 。第一步应该是把现有日志复制到另一个驱动器上以防它们丢失。如果启用滚动日
   志，你要对日志进行配置，使其可以覆盖旧条目。复制日志之前没有必要审查日志。如果你
   首先删除最早的条目，你可能会删掉有价值的数据。

---

7. A 。fraggle 是一种利用UDP 的拒绝服务(DoS)攻击。其他攻击，如SYN 洪水攻击等，
   利用的是TCP 。smurf 攻击与fraggle 攻击相似，但它利用的是ICMP 。SOAR 是一组可以自
   动响应常见攻击的技术，它不是协议。

---

13.D 。一些HIDS 有这样的缺点：它们会因为消耗过多资源而对一个系统的正常运行形成干扰。其他选项是不会被安装到用户系统上的应用程序。

---

16. B 。基于异常的IDS（也叫基于行为的IDS)可以检测新的安全威胁。基于签名的IDS
    只检测来自已知威胁的攻击。主动IDS 可以在检测出威胁后做出响应。基于网络的IDS 可以
    是基于签名的，也可以是基于异常的。

---

17. B 。安全信息和事件管理(SIEM)系统是一种集中式应用程序，可对多个系统实施监测。
    安全编排、自动化和响应(SOAR)是可以对常见攻击自动做出响应的一组技术。基于主机的入
    侵检测系统(HIDS)属于分散式的，因为它只在一个系统上工作。威胁馈送是有关当前威胁的
    数据流。

---

19. A 。威胁搜寻是在网络内主动搜索感染或攻击的过程。威胁情报是指对入站数据（如
    威胁馈送）进行分析后得出的可执行的情报。威胁搜寻者可以借助威胁情报搜索具体威胁。此
    外，他们还可以借助杀伤链模型抑制这些威胁。人工智能(AI)是指机器采取行动，但本题的
    场景表明是管理员在做这件事。

[13/20] CISSP官方学习手册（第9版）第17章练习题

以下哪些选项是 CISSP 目标列出的有效事件管理步骤或阶段？ （选出所有适用答案。）
A. 预防
B. 检测
C. 报告
D. 总结教训
E. 备份

1. A,B,C,D,E 正确答案B,C,D

---

2. A
3. A 正确答案D
   第一步是检测。 个步骤（按顺序排列）是：检测、响应、抑制、报告、恢复、补救和总结教训。
4. A,C,E 正确答案A,C,D

---

安全管理员在查看事件日志收栠的所有数据。以下哪一项是对这个数据体的最佳表述？
A. 身份识别
B. 审计踪迹
C. 授权
D．保密性
5. D 什么是数据体
正确答案B
审计踪迹可提供有关发生了什么事件、事件何时发生以及谁造成了事件的记录。
IT 人员通过查看日志创建审计踪迹。需要人员身份认证以确保审计踪迹可以提供日志所列身份的证据。
当一个人表明自己的身份时，就是在识别自己，但没有经过身份认证的身份识别并不具备可追责性。
授权根据个人已被证明的身份授予个人对资源的访问权。保密性确保未经授权的实体不能访问敏感数据，与本题无关。

---

6. B
7. A

---

你在修订安全管理员培训手册，准备添加有关零日利用的内容。以下哪一项是对零日
利用的最恰当描述？
A. 利用还没有补丁或修补程序的漏洞的攻击
B. 新近发现的还没有补丁或修补程序的漏涸
C. 对没有现成补丁的系统的攻击
D. 会在用户启动应用程序后释放其有效载荷的恶意软件

8. B
   正确答案A
   零日利用是利用还没有补丁或修补程序的漏洞的一种攻击。新发现的漏洞在有人
   尝试利用它之前，仅仅是一个漏洞而已。对未打补丁的系统的攻击不是零日利用。病毒是会
   在用户启动应用程序后释放其有效载荷的恶意软件。

---

9. C
10. D
11. B

---

你在安装一个系统，管理层希望它能减少网络上发生的事件。设置指令要求你把它
配置在承载通信流的内联线路上，以使所有通信流必须在经过它之后才能到达内部网络。以下哪个选项最适合标明这个系统？
A. 基于网络的入侵预防系统(NIPS)
B. 基于网络的入侵检测系统(NIDS)
C. 基于主机的入侵预防系统(HIPS)
D. 基于主机的入侵检测系统(HIDS)

12. B
    正确答案A
    这里描述的是 NIPS 。它监测网络通信流，而且被部署在承载通信流的线路上。
    NIDS 不会被安放在承载通信流的线路上，因此它不是最佳选择。基于主机的系统只监测发送给特定主机的通信流，而不监测网络通信流。

---

13. D
14. B
15. B
16. B

---

你供职的组织最近配置了一个用于监测的集中式应用程序。这种情况最符合以下哪
项描述？
A. SOAR
B. SIEM
C. HIDS
D. 威胁馈送

17. A
    正确答案B
    安全信息和事件管理(SIEM) 系统是一种集中式应用程序，可对多个系统实施监测。
    安全编排、自动化和响应(SOAR)是可以对常见攻击自动做出响应的一组技术。
    基于主机的入侵检测系统(HIDS)属于分散式的，因为它只在一个系统上工作。
    威胁馈送是有关当前威胁的数据流。
18. D
19. A
20. A

page 720/904