CISSP學習：第17章事件的預防和響應

2021年2月27日

事件：指會對機構資產的保密性、完整性或可用性產生負面影響的任何事態。
事件響應步驟：
1.檢測：***檢測和預防系統；反惡意軟件；審計日誌；最終用戶有時會檢測很是規活動。
2.響應：計算機響應小組（CIRT）。
3.抑制：旨在遏制事件的發展，限制事件的影響或範圍。
4.報告：在本單位通報所發生的事件並將狀況上報機構外的相關部門和官員。
5.恢復：調查人員從系統收集了全部適當證據後，恢復系統。
6.補救：安全人員首先對事件進行分析研究，找出根本緣由，防止再次發生。
7.總結教訓。

基本預防措施：
1.保持系統和應用程序即時更新。
2.移除或禁用不須要的服務和協議。
3.使用***檢測和預防系統。
4.使用最新版本反惡意軟件程序。
5.使用防火牆。
6.執行配置管理和系統管理流程。

常見***：
1.僵屍網絡
2.拒絕服務***：DOS、DDOS、DRDOS（分佈式反射型拒絕服務）
3.SYN洪水***，可用SYN cookie應對。
4.Smurf和Fraggle***：都屬於DoS***，利用回聲回覆。Smurf用ICMP泛洪，Fraggle利用UDP端口7和端口19，使用UDP數據包泛洪。
5.Ping洪水
6.死亡之Ping，Ping包一般只有32或64位，死亡之Ping將包改到64KB及以上。
7.淚滴：***者將通訊流分隔成碎片，使系統沒法重組。
8.零日利用：***者最早發現漏洞，供應商掌握漏洞狀況當還未發補丁，供應商發佈補丁但系統尚未打上。
9.惡意代碼：偷渡式下載。
10.中間人***
11.蓄意破壞
12.間諜活動

如前檢測和預防系統IDS：檢測許多DoS和DDoS***的有效方法。
1.基於知識檢測：基於簽名或模式檢測，最經常使用的方法。
2.基於行爲檢測（統計***檢測）：基於啓發檢測。
3.SIEM系統
4.IDS響應：被動響應：發消息給管理員，管理員決定如何阻止***。主動響應：修改環境，阻止***。
5.基於主機的IDS：檢測一臺計算機的活動。
6.基於網絡的IDS：檢測網絡信息，不能檢測主機系統異常。
7.***預防系統IPS：檢測並阻斷***。

具體預防措施：
1.蜜罐/蜜網：誘惑或誘捕問題。
2.警示：向用戶和***者宣傳基本安全方針策略。例如：全部在線活動都將接受審計。
3.反惡意軟件
4.白名單、黑名單：iPhone的IOS是白名單的極端體現。
5.防火牆。
6.沙箱
7.第三方安全服務
8.***測試：風險是可能會致使系統運行中斷；須要獲得許可，必要時須要書面許可；採用技術，僱傭外部轉角愛；保護報告；道德***行動。三類：零知識團隊的黑盒測試、全知識團隊的白盒測試、部分知識團隊的灰盒測試。主要工具：Metasploit

日誌記錄：
1.日誌記錄技術：將有關事件的信息寫進日誌文件或數據庫的過程。
2.日誌類型：安全、系統、應用、防火牆、代理、變動。
3.保護日誌類型：備份、認證、銷燬。

監測：
1.審計蹤影：將事件及有關信息保存，審計蹤影是監測安全控制的一種被動形式。
2.監測和問責：威懾做用。
3.監測和調查：重建已發生過的事件
4.監測和問題識別。

監測技術：日誌；信息安全和時間管理（SIEM）；抽樣（根據統計原理）；剪切級（超過閾值的事件）；擊鍵監測（鍵盤記錄器）；通訊流分析。

出口監測：數據丟失預防（DLP，網絡、端點）；隱寫術（用散列函數防禦）；水印。

效果評價審計：
1.訪問審查審計：經過訪問肯定權限。
2.用戶權限審計
3.特權羣組審計：高權限管理員組，管理員的兩個帳戶（一個低權，用於平常；一個高權）

安全審計和審查：
1.補丁管理
2.漏洞管理
3.配置管理
4.變動管理

報告審計結果：
1.保護審計結果，分配分類標籤，有權限的人才能訪問。
2.分發審計報告，接受者需正式簽收。
3.使用外部審計人員。外部人員進入系統、推出系統。

課後習題20題，錯了3個。