tryhackme-Pre Security-Introduction to Cyber Security-Defensive Security Intro
房间地址:https://tryhackme.com/room/defensivesecurityintro
这是网络安全入门的基础模块的计算机科学基础知识:Defensive Security Intro(防御性安全简介),序号 01 表示第一篇文章,当你不知道从哪里开始的时候,你可以按照数字顺序来进行参考即可。
Defensive Security Intro
介绍防御性和相关主题,例如威胁情报(Threat Intelligence)、SOC、DFIR、恶意软件分析和 SIEM。
Task 1 Introduction to Defensive Security
在上一课中,我们学习了进攻性安全,其目的是识别和利用系统漏洞来增强安全措施。这包括利用软件漏洞、利用不安全的设置、利用非强制的访问控制策略等策略。红队和渗透测试人员擅长这些进攻性技术。
在本课中,我们将探讨与之对应的防御性安全。它主要涉及两项任务:
防止入侵
在入侵发生时检测入侵并做出适当响应
蓝队是防御性安全领域的一部分。
-
与防御性安全相关的一些任务包括:
用户网络安全意识:对用户进行网络安全培训有助于防范针对其系统的攻击。
记录和管理资产:我们需要充分了解必须管理和保护的系统和设备。
更新和修补系统:确保计算机、服务器和网络设备正确更新并修补任何已知漏洞(弱点)。
设置预防性安全设备:防火墙和入侵防御系统 (IPS) 是预防性安全的关键组成部分。防火墙控制哪些网络流量可以进入系统或网络,哪些流量可以离开系统或网络。IPS 会阻止任何符合现有规则和攻击特征的网络流量。
设置日志记录和监控设备:正确的网络日志记录和监控对于检测恶意活动和入侵至关重要。如果我们的网络上出现新的未经授权的设备,我们应该能够检测到它。 -
防御性安全远不止于此。除上述内容外,我们还将涵盖以下相关主题:
Security Operations Center 安全运营中心 (SOC)
Threat Intelligence 威胁情报
Digital Forensics and Incident Response 数字取证与事件响应 (DFIR)
Malware Analysis 恶意软件分析
Task 2 Areas of Defensive Security
在本任务中,我们将涵盖与防御性安全相关的两个主要主题:
安全运营中心 (SOC),涵盖威胁情报
数字取证和事件响应 (DFIR),涵盖恶意软件分析
- Security Operations Center (SOC) 安全操作或运营中心
安全运营中心 (SOC) 是由网络安全专业人员组成的团队,负责监控网络及其系统,以检测恶意网络安全事件。SOC 的主要关注领域包括:
Vulnerabilities 漏洞: 一旦发现系统漏洞(弱点),必须通过安装适当的更新或补丁进行修复。当无法修复时,应采取必要措施防止攻击者利用漏洞。虽然修复漏洞对 SOC 至关重要,但这项工作并非由其负责。
Policy violations 策略违规: 安全策略是保护网络和系统所需的一组规则。例如,如果用户将公司机密数据上传到在线存储服务,则可能构成策略违规。
Unauthorized activity 未授权的活动: 假设用户的登录名和密码被盗,攻击者使用它们登录网络。SOC 必须尽快检测并阻止此类事件,以免造成进一步损害。
Network intrusions 网络入侵: 无论您的安全性多么完善,入侵的可能性始终存在。当用户点击恶意链接或攻击者利用公共服务器时,都可能发生入侵。无论哪种情况,当入侵发生时,我们都必须尽快检测到,以防止进一步的损害。
安全操作涵盖各种任务以确保保护;其中一项任务就是威胁情报。
- Threat Intelligence 威胁情报
在此语境下,情报是指你收集的有关实际和潜在敌人的信息。威胁是指任何可能扰乱或对系统造成不利影响的行为。威胁情报收集信息是为了帮助公司更好地应对潜在对手。其目的是实现基于威胁的防御。不同的公司有不同的对手。一些对手可能试图窃取移动运营商的客户数据;然而,其他对手则有意停止石油炼油厂的生产。例如,对手包括出于政治目的而活动的民族国家网络军队和出于经济目的而活动的勒索软件组织。根据公司(目标),我们可以预测对手的可能情况。
情报需要数据。数据需要收集、处理和分析。数据收集自本地来源,例如网络日志,也来自公共来源,例如论坛。数据处理将数据整理成适合分析的格式。分析阶段旨在发现更多关于攻击者及其动机的信息;此外,它还旨在创建一系列建议和可行步骤。
了解对手可以让你了解他们的策略、技术和流程。通过威胁情报,我们可以识别威胁行为者(对手)并预测他们的活动。因此,我们可以缓解他们的攻击并制定应对策略。
-
Digital Forensics and Incident Response 数字取证与事件响应 (DFIR)
本节介绍数字取证和事件响应 (DFIR),我们将涵盖:
Digital Forensics 数字取证
Incident Response 事件响应
Malware Analysis 恶意软件分析 -
Digital Forensics 数字取证
取证是运用科学手段调查犯罪和确立事实。随着计算机和智能手机等数字系统的使用和普及,一个新的取证分支应运而生,用于调查相关犯罪:计算机取证,后来演变为数字取证。
在防御性安全领域,数字取证的重点转向分析攻击及其实施者的证据,以及其他领域,例如知识产权盗窃、网络间谍活动和持有未经授权的内容。因此,数字取证将重点关注不同的领域,例如:
文件系统: 分析系统存储的数字取证映像(低级副本)可以揭示大量信息,例如已安装的程序、创建的文件、部分覆盖的文件以及已删除的文件。
系统内存: 如果攻击者在内存中运行恶意程序而未将其保存到磁盘,则获取系统内存的取证映像(低级副本)是分析其内容并了解攻击的最佳方法。
系统日志: 每台客户端和服务器计算机都会维护不同的日志文件,记录正在发生的事情。日志文件提供了大量有关系统事件的信息。即使攻击者试图清除痕迹,一些痕迹仍会残留。
- Incident Response 事件响应
事件通常指数据泄露或网络攻击;然而,在某些情况下,它也可能不那么严重,例如配置错误、入侵企图或违反政策。网络攻击的例子包括攻击者使我们的网络或系统无法访问、破坏(更改)公共网站以及数据泄露(窃取公司数据)。您将如何应对网络攻击?事件响应规定了处理此类情况应遵循的方法。其目标是减少损失并在尽可能短的时间内恢复。理想情况下,您应该制定一个随时可用的事件响应计划。
事件响应流程的四个主要阶段是:
准备:这需要一支训练有素、随时准备处理事件的团队。理想情况下,应该采取各种措施,从一开始就防止事件发生。
检测和分析:团队拥有检测任何事件所需的资源;此外,进一步分析检测到的任何事件以了解其严重程度至关重要。
遏制、根除和恢复:一旦检测到事件,至关重要的是阻止其影响其他系统,消除事件并恢复受影响的系统。例如,当我们注意到某个系统感染了计算机病毒时,我们希望阻止(遏制)病毒传播到其他系统,清除(根除)病毒,并确保系统能够正常恢复。
事件后活动:成功恢复后,我们会生成报告并分享经验教训,以防止将来再次发生类似事件。
- Malware Analysis 恶意软件分析
恶意软件 (Malware) 指的是恶意的软件。软件是指可以保存在磁盘上或通过网络发送的程序、文档和文件。恶意软件包含多种类型,例如:
病毒是一段附加在程序上的代码(程序的一部分)。病毒旨在从一台计算机传播到另一台计算机,一旦感染计算机,就会通过修改、覆盖和删除文件来运作。其后果包括计算机运行缓慢甚至无法使用。
特洛伊木马是一种表面上看似功能正常,实则隐藏恶意功能的程序。例如,受害者可能会从可疑网站下载视频播放器,从而使攻击者完全控制其系统。
勒索软件是一种加密用户文件的恶意程序。加密后,如果用户不知道加密密码,文件将无法读取。如果用户愿意支付“赎金”,攻击者就会向用户提供加密密码。
恶意软件分析旨在通过多种方式了解此类恶意程序:
静态分析是在不运行恶意程序的情况下对其进行检查。这通常需要扎实的汇编语言(处理器的指令集,即计算机的基本指令)知识。
动态分析是在受控环境中运行恶意软件并监控其活动。它可以让您观察恶意软件运行时的行为。
Task 3 Practical Example of Defensive Security
防御性安全的实际例子
- 场景
假设您是一位负责保护银行的安全运营中心 (SOC) 分析师。这家银行的安全运营中心使用安全信息和事件管理 (SIEM) 工具,该工具从各种来源收集安全相关信息和事件,并将它们呈现在一个仪表板上。如果 SIEM 发现可疑情况,就会生成警报。
然而,并非所有警报都是恶意的。分析师需要运用其网络安全专业知识来调查哪些警报是有害的。
例如,您可能会遇到用户多次登录失败的警报。虽然可疑,但这种情况确实会发生,尤其是在用户忘记密码并继续尝试登录的情况下。
此外,还可能存在与来自未知 IP 地址的连接相关的警报。IP 地址就像您计算机在互联网上的家庭地址一样——它告诉其他计算机将您请求的信息发送到何处。如果这些地址未知,则可能意味着有人正在尝试连接或有人正在尝试未经授权的访问。
- 模拟 SIEM
我们准备了一个简化的交互式 SIEM 系统模拟,为您提供与网络安全分析师所遇到的情况类似的亲身体验。
要开始此模拟,请点击下方的“查看网站”按钮。
此操作将在屏幕右侧打开一个“静态网站”。按照模拟中提供的分步说明,浏览事件并找到“标记”。标记是一系列字符,格式如下:“THM{RANDOM_WORDS}”。使用此标记来回答 TryHackMe 课程中的问题,例如以下问题。
检查 SIEM 仪表板中的警报。从警报中找到恶意 IP 地址,记下它,然后单击警报继续。
以上日志告警总结即:登录失败,多次尝试失败,登录成功,从IP 143.110.250.149进行未授权的22端口连接,最后进行了22端口的SSH身份认证登录成功(自己注意时间,半小时内)
此刻,我们检查一下IP 143.110.250.149 是什么情况:互联网上有一些网站允许您检查 IP 地址的信誉,以查看它是否是恶意的或可疑的。
市面上有很多开源数据库,例如 AbuseIPDB 和 Cisco Talos Intelligence,您可以在其中对 IP 地址进行信誉和位置检查。大多数安全分析师使用这些工具来协助他们进行警报调查。您还可以通过举报恶意 IP(例如在 AbuseIPDB 上举报)来提升互联网安全。
既然我们知道该 IP 地址是恶意的,我们就需要将其上报给工作人员!下一步
上报给安全运营中心进行调查
您已获得阻止恶意 IP 地址的权限,现在可以继续执行阻止规则了。在防火墙上阻止恶意 IP 地址,并查看他们给您留下了什么信息。
经典的应急响应,封IP。。
拉黑IP之后拿到flag。。
-
封IP
不要在威胁情报网站上一查到该IP被打标签为“恶意”就马上封掉它,你需要综合自己资产的所有情况,向业务部门发送该IP并确认它是否为业务交互中的IP。确认该IP并非公共基础设施(比如DNS服务器114.114.114.114)。最好在威胁情报网站中,详细了解该IP为什么被标签为“恶意”的上下文或来龙去脉,在当下的时间点中是否还存在该情况。
如果你想一把梭:该IP与你司无关,你可以拉黑整个世界的IP。 -
下一步是什么?
在本课中,我们讨论了不同的子领域(SOC、威胁情报、恶意软件分析和DFIR),并亲身体验了如何在模拟SIEM环境中处理警报。虽然我们已经涵盖了很多内容,但该领域的深度和复杂性意味着还有更多内容需要学习和探索。随着网络威胁的不断演变,需要持续学习、保持警惕和适应,这里学到的经验将作为您的基础。
继续阅读本系列的下一课“搜索技巧”,继续学习。本课将教您一些有价值的在线信息搜索技巧,以帮助您进行调查和学习。