上海网站建设最佳方案,合击版手游带月灵,新手练习做网站哪个网站比较合适,松江品划企业网站建设偶然之间了解到了TryHackMe这个网站#xff0c;尝试跟着其中的学习路径进行学习#xff0c;发现还是挺适合入门网络安全这一领域的。但是这个网站包含了很多内容#xff0c;如果不用一些东西记录下来#xff0c;那么很容易忘记#xff0c;所以打算在此记录一下学习过程。 …偶然之间了解到了TryHackMe这个网站尝试跟着其中的学习路径进行学习发现还是挺适合入门网络安全这一领域的。但是这个网站包含了很多内容如果不用一些东西记录下来那么很容易忘记所以打算在此记录一下学习过程。
目前因为刚开始学习路径中的内容都还比较基础有些内容之前我也了解但是“温故而知新”所以也就打算快速过一遍复习的同时也进行一些查漏补缺。
由于网站里的所有内容都是英文因此都是借助翻译软件和自己的理解来翻译的可能有不太准确的地方。
Introduction to Cyber Security
这一部分简要地介绍了 Offensive security 攻击性安全 和 Defensive security 防御性安全的概念。
Offensive security 就如同“角色扮演”“扮演”一个黑客去寻找漏洞、利用漏洞、入侵系统。
Defensive security 刚好相反它如同“守卫”保护网络和计算机系统使其免受恶意攻击影响。
Offensive security
这一部分介绍了 Offensive security 中比较常见的三个领域
Web application securityWeb应用程序安全Operating system security操作系统安全Network security网络安全
Web application security
Web应用程序可以被理解为“在远程服务器上运行的程序”有些Web程序可能会和数据库有所关联。Web程序在我们的生活中十分常见比如 网页版邮箱、在线Office、网上银行等都属于Web应用程序的范畴。
常见的Web程序漏洞有如下几种注意这并不代表Web程序漏洞只包含下述几种 Identification and Authentication Failure识别和认证失效。Identification 意为唯一识别用户的能力Authentication 意为证明用户身份的能力。该漏洞很可能由于密码被爆破、使用弱密码、明文传输密码等原因导致。 Broken Access Control被破坏的权限控制。权限控制能确保每个用户只能访问到自己权限内能访问到的文件。当权限控制出现问题时可能会让信息被本不该允许访问的用户获取比如使用他人ID查看或修改其信息或者未登录就可以访问本该登录才能访问的页面。 Injection注入。注入指用户可以通过Web程序中的漏洞插入恶意代码。这种漏洞的起因之一是未对用户的输入做验证和消毒。 Cryptographic failures失效加密。这一类漏洞与密码学相关。一般来说数据的加密将明文加密为密文如果没有解密密钥的话是无法理解密文的含义的。失效加密顾名思义就是数据加密失效就算没有解密密钥也可以得知密文含义。像明文传输、使用弱加密算法、使用简单的解密密钥等都会导致加密失效。
Operating system security
不管电脑还是手机它们都由硬件构成如CPU、内存等。我们无法直接在硬件上面运行程序所以就需要操作系统进行控制使程序可以按照特定规则访问硬件。
在我们的手机或者电脑上存储着许多数据有些可能普通有些则可能涉及隐私。倘若操作系统出现了漏洞那么我们存储在设备上的数据将十分危险。围绕着数据我们需要保证如下三件事情简称“CIA”
Confidentiality机密性。确保隐私和秘密数据只提供给指定人员。Integrity完整性。任何人都无法篡改系统中存储的数据或在网络上传输的数据。Availability可用性。我们希望这些数据随时可用。
这三点同时也是操作系统安全所关注的。
在操作系统安全中主要面临如下几点威胁 Authentication and Weak Passwords身份验证中的弱密码。身份验证一般通过三个方式用户所知如密码、用户所有如门禁卡、用户特征如指纹。其中密码是最常见也是最容易受攻击的方式因为很多用户倾向于使用易于猜测的密码或者在许多网站上都使用同一个密码。 Weak file permissions薄弱的文件权限。一般而言对于用户权限都要遵循“最小特权”原则即“用户被分配的特权刚好可以满足他们工作所需要的”。薄弱的文件权限就容易使攻击者访问到本不能让他们访问到的文件从而影响数据的机密性和完整性。 Access to malicious programs恶意软件入侵。木马病毒就是恶意软件的其中一种这些恶意软件可以破坏数据的完整性、机密性和可用性。防范措施有提高自身安全意识、安装杀毒软件等。
Network security
这里的“网络”不是指互联网而是指“一组相互连接的计算机和设备”。此处的网络安全也是指 保护计算机网络及其数据的机密性、完整性和可用性的设备、技术和流程。
实现网络安全的硬件设备包括但不限于
Firewall防火墙Intrusion detection system (IDS)入侵检测系统Intrusion prevention system (IPS)入侵防御系统Virtual private network (VPN)虚拟专用网络
软件也有
Antivirus software杀毒软件Host firewall主机防火墙。比如Windows自带的 Windows defender就是 Host firewall。
“未知攻焉知防”维护网络安全前得先知晓一次网络攻击是如何进行的。一图以蔽之 上图是TryHackMe网站自带的图片十分清晰地展示了一次网络攻击的行动路径。
Recon信息收集。在该阶段将获取目标的信息如IP地址、操作系统版本、邮箱地址、用户名等等。Weaponization武器化。这一步将准备一个带有恶意组件的文件。Delivery传输。将上一步“武器化”的恶意文件发送给目标比如通过电子邮件或USB。Exploitation利用。传输成功后当用户点击该恶意文件当中的恶意组件就被激活了。Installation安装。在进行上一步时恶意文件就会在目标系统中安装恶意软件以方便后续攻击利用。Command Control (C2)命令与控制。成功安装恶意软件后攻击者就能对目标系统执行命令并控制它。Actions on objectives目标行动。获得一个目标的控制权后攻击者就达到了目的。
Defensive security
这一部分主要讲解了两个领域
Digital forensics数字取证Security operations安全运维
Digital forensics
随着计算机和智能收集等数字系统的普及法证学诞生了一个新分支来调查相关犯罪数字取证。
假设在调查一个嫌疑人时发现他拥有诸多电子设备如台式电脑、平板电脑、智能手机、数码相机和USB。那么这些电子设备中的任何一个都可能包含有助于调查的信息因此需要将这些设备作为证据处理。
在这一部分的讨论中数字取证主要指为法律目的应用计算机科学调查数字证据实际上企业也可以通过指派私人调查员来进行数字取证这样的调查一般由违反公司政策引发。
数字取证一般需要如下步骤
获取证据。收集数码设备。建立监管链。保证数码设备在每一阶段都有负责人确保只有获得授权的调查人员才能接触证据维护证据的完整性。将数码设备放到安全的容器中保存。将数码设备运输到数字取证实验室进行取证。
Security operations
Security operations center (SOC)安全运维中心由IT安全专业人员组成的团队他们的任务是每周 7 天每天24小时监控公司的网络和系统。
SOC的目标有如下几点
寻找网络中的漏洞。SOC可能会在网络上的任何设备上找到漏洞然后针对漏洞发布特定补丁。严格来说漏洞不一定是SOC的责任不过既然有漏洞还是要去解决不是吗。检测未授权的行为。假如有员工的用户名和密码泄露了SOC需要在其产生损失前检测出该未授权行为。发现违反政策的行为。安全政策是一套规则和程序旨在帮助公司防范安全威胁并确保合规。SOC需要及时发现违反安全政策的行为比如下载盗版文件和使用不安全的方法发送公司机密文件。入侵检测。顾名思义。应急响应支持。应急响应并非易事SOC团队可以为应急响应团队提供支持和帮助。
那么SOC团队要凭借什么得知恶意行为的发生呢
Data sources
SOC可以通过许多数据源来监控网络寻找入侵迹象并检测任何恶意行为。这些数据源包括
Server logs服务器日志。日志包含有关各种活动的信息如登录成功或失败的尝试等。DNS activityDNS活动。DNS用于将域名解析为IP地址当DNS服务器进行解析时会将查询记录起来。SOC只需要检查DNS查询记录就可以收集到内部系统试图通信的域名信息。Firewall logs防火墙日志。防火墙日志可以揭示有关通过或试图通过防火墙的数据包的许多信息。DHCP logsDHCP日志。DHCP用于为连接到网络中的系统分配IP地址。通过检查DHCP日志我们可以了解加入网络的设备。
上述这些都是最常见的数据源还有其他数据源可用于协助网络安全监控和SOC的其他任务比如 Security information and event management (SIEM安全信息和事件管理系统)。SIEM会汇总来自不同来源的数据这样SOC就能有效地关联数据并应对攻击。 SOC需要提供的服务分为 reactive services被动式服务 和 proactive services 主动式服务。
Reactive services 指检测到入侵或恶意事件后启动的任务包括但不限于以下
监控安全状况。这是SOC的主要职责包括监控网络和计算机的安全警报和通知并根据需要做出响应。漏洞管理。查找公司系统中的漏洞并进行修复。SOC可以协助完成这项任务但不一定要执行。恶意软件分析。SOC可能会还原网络中的恶意程序将其置于受控环境中执行基本分析。但是更高级的分析需要交给专门的团队进行。入侵检测。维护入侵检测系统IDS监控其警报并根据需要查看其日志。报告。报告事件与警报至关重要这是确保工作流程顺畅和支持合规要求的必要条件。
Proactive services 指没有任何入侵迹象的情况下处理的任务包括但不限于以下
Network security monitoring (NSM)网络安全监控。重点是监控网络数据并分析流量以发现入侵迹象。与监控安全状况不同后者是监控网络中的警报和通知。Threat hunting威胁猎取。通过威胁猎取SOC假定入侵已经发生并开始猎取来确认是否能证实这一假设。Threat intelligence威胁情报。威胁情报的重点是了解潜在威胁对象的信息、战术和技术以改进公司的防御。目的是建立一种了解威胁的防御体系。
除这些服务外SOC偶尔还会进行网络安全培训提高用户安全意识从而减少数据泄露和入侵事件的发生。
