ToB企服应用市场:ToB评测及商务社交产业平台

标题: 域七安全运营 [打印本页]

作者: 商道如狼道 时间: 2025-2-19 00:07
标题: 域七安全运营
19调查

电子取证eDiscovery流程：
信息管理（确保信息系统针对将来的取证妥善管理信息）、识别（当发生诉讼时，确定可满足取证要求的信息）、保存（确保潜在的取证信息不会受到篡改或删除）、收集（将用于电子取证的相关信息收集起来）、处置惩罚（过滤收集到的信息，删除无关信息）、查抄（确定和取证哀求相关的信息，并移除受律师-客户特权掩护的信息）、分析（对剩余信息进行深入调查）、产生（生成可分享的标准格式的信息）、出现（向其他当事方展示信息）
计算机犯罪的种别：军事和情报攻击、商业攻击、财务攻击、恐怖攻击、恶意攻击、高兴攻击
17事故预防和响应

事故指的是计算机安全事故
事故管理步调：检测（确定事故的发生）、响应、克制（限制影响）、陈诉（陈诉给组织外的相关方）、恢复、补救（根本原因分析，防止事故再次发生）、总结教训
DoS攻击：SYN洪水攻击（TCP协议）、smurf攻击（借助ICMP协议）、fraggle攻击（UDP数据包）
零日漏洞、零日利用（供应商知晓单位发布补丁被利用）
中间人攻击（MITM攻击）
IDS系统（intrusion入侵检测系统）使用基于知识检测（匹配数据库中的攻击工具署名）和基于行为检测（分析通讯流活动，要求起首建立一条基线用作比对,可以用于检测新的威胁）来检测恶意行为
IDS分为基于主机的HIDS和基于网络的NIDS（中央控制台监控大型网络的活动，只能检测攻击，但无法得知攻击的实际影响）
NIDS和NIPS的区别是NIPS是安放在承载通讯流的内联线路上，所有通讯流都颠末NIPS
17.3
安全日志：记录对文件、文件夹等资源的访问
系统日志：记录系统变更事故
应用日志：记录有关详细应用程序的信息
审计踪迹：是将有关事故的信息写入数据库或日志文件时创建的记录
安全信息和事故管理（SIEM）系统可以主动持续进行检测并提供对事故的实时分析，是一种会合式应用程序，可用于检测多个系统
安全编排、主动化和响应（SOAR）教唆组织主动响应某些事故的一组技术，可以减轻管理员的负担
基于网络的数据丢失预防（DLP）系统监测出站通讯流，可以防止数据外泄
抽样是按比例随机抽取，剪切是预先设定一个阈值，只选择超过阈值的事故
21恶意代码和应用攻击

主引导记录（MBR）病毒，MBR用于计算机启动时加载操作系统。
文件感染病毒、同伴病毒
服务注入病毒（将恶意代码注入可信的操作系统运行历程中）
蠕虫：不必要人为干预，可以依靠自身力气在系统间流传（不必要邮件、共享文件等等）
特洛伊木马：伪装成有效的程序，但实际上包含了在后台运行的恶意代码
长途访问特洛伊木马（RAT）：授予攻击者对系统的长途管理访问权限
加密恶意软件：专门用于潜伏自身，并窃取计算能力来挖掘加密钱币
病毒隐形：覆盖系统记录
多态病毒：每次感染后病毒特性会略有改变（通过修改自身代码），以应对基于特性的反病毒软件
加密病毒：每个感染过程都使用不同的密钥加密病毒，因此在每个系统上出现都不同
逻辑炸弹：感染系统并在满足某些条件前保持休眠的恶意代码
用户和实体行为分析（UEBA）功能：生成个人行为文档，然后监控用户行为与这些文档的偏差
端点检测和响应（EDR）包帮助端点抵抗攻击，托管式EDR（MDR）包括安装、配置和监控服务，可以减轻客户安全团队的负担
21.3
XSS：跨站脚本攻击，制造一个包含XSS漏洞的网站，再伪造一个银行网站，让用户点击银行网站并跳转到XSS网站
CSRF：跨站哀求伪造，制造一个伪链接，用户点击后会跳转到银行网站执行转账操作
缓冲区溢出：溢出后，大概会覆盖系统指令，使攻击者在服务器上执行目标代码
TOC/TOU：查抄时间和使用时间的差异，在会话期间无法查抄用户的权限是否已撤销
WEB应用程序防火墙（WAF），工作在应用层
弹性允许主动增长和释放配置资源，不必要关闭系统。相对地，可扩展性必要手动干预。
16安全运营管理

两个标准IT安全原则：最小特权：主体仅被授予执行指定工作所必要的特权，包括访问数据的权限以及执行系统使命的权限。与此对应地，因需可知（need to know）只实用于访问数据，不实用于访问系统。
管理员应该为新用户授予的数据库默认访问权限是无访问权限
云服务提供商对产品的责任：软件即服务SaaS>平台即服务PaaS>底子架构即服务IaaS
SaaS提供电子邮件等服务，PaaS提供操作系统，IaaS提供服务器
服务水平协议（service level agreement，SLA）是组织与外部实体之间的协议，规定了绩效预期以及相应罚款
镜像是一种通例基线技术
系统变更的管理流程：
1.哀求变更
2.考核变更
3.批准/拒绝变更
4.测试变更
5.安排并实施变更
6.记录变更
监控特权的分配
3业务一连性计划 business continuity，BCP

职员的安全具有最高优先级
BCP更加战略性的关注上层，以业务流程为中心；DRP更具战术性，详细地描述恢复，备份等活动。
BCP流程：项目范围和计划、业务影响分析、一连性计划、计划批准和实施
负责BCP的人起首要进行业务组织分析，目标是确定哪些部分和个人到场BCP
BCP团队的必要成员：
来自每个运营和支持部分的代表
IT部分的技术专家
具备BCP技能的物理和IT技术职员
熟悉公司法律、监管和条约责任的法律代表
高级管理层的代表
业务影响分析（business impact analysis, BIA）的五个步调：确定业务优先级（MTD,maximum tolerable downtime,最大允许中断时间，恢复时间目标(RTO，中断后实际恢复业务功能所需的时间)，恢复点目标(RPO，组织进行数据备份的间隔时间)），风险识别，大概性评估，影响分析(暴露因子EF，风险对资产造成的侵害程度，以百分比计算；单一损失期望SLE是风险造成的钱币损失，SLE=AV资产价值EF；年度损失期望ALE=SLEARO风险预期每年发生的次数)，资源优先级排序
举例：火灾预计每30年发生一次，因此ARO为0.03，AV为10000元，EF为70%，则SLE=7000,ALE=7000*0.03=210元
定量分析：涉及使用公式和数字得出结论的过程
定性分析：考虑非数字因素，如声誉、员工稳定性
BCP文档化的作用：紧急情况下BCP成员有一份书面文件可以参考
BCP提供了许多备用计划以防止灾难发生时业务中断，但假如真的中断了，DRP从BCP停止的地方开始，DRP会指导响应团队积极将业务运营快速恢复至正常水平。
18灾难恢复计划disaster recovery，DRP

各类恢复设施：
冷站点：简易备用设施，如仓库，比力自制
热站点：保持恒定工作状态的设施，保持最新数据
温站点：有所有必要设施，但是没有数据
以及移动站点、云计算
相互救济协议（MMA）
优点：提供了相对廉价的灾难恢复备用站点
缺点：1.无法强制对方实施，存在风险 2.必要两方间隔较近，大概遭受相同灾害 3.出于数据保密性
数据库离站备份技术（必要匹配RPO的范围）：
电子链接：通过批量传输的方式将数据传输到长途站点
长途日志处置惩罚：比电子链接更加频仍
长途镜像：只存在于热站点中，可以实时备份数据
数据备份的方式：
完备备份：创建服务器上所有数据的备份
增量备份：生成最近一次完备备份或增量备份以来被修改过的所有文件的备份
差异备份：生成最近一次完备备份以来被修改过的所有文件的备份
对DRP的定期测试方式：
通读测试：让DRP成员定期阅读DRP的内容，并判定是否存在不妥的地方
结构化演练：聚集在集会室中模拟灾难的发生
模拟测试：结构化演练的底子上，职员做出的响应会被测试，大概会中断某些业务活动
并行测试：保持紧张设施运营，将职员部署到备用站点进行灾难恢复
完全中断测试：关闭主站点的运营，进行灾难恢复测试
磁盘冗余阵列（RAIP）为磁盘提供容错功能
不间断电源（UPS）提供一种电池供电的电源，可以或许在短停息电时保持运营。
软件托管协议：软件开发商将源码副本提供给独立第三方，当软件开发商出意外时，第三方向终极用户提供源码副本。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)