TryHackMe-SOC-Section 1:蓝队介绍
本篇文章开始学习网络安全运营-SOC 相关知识,我这里用国外的一个靶场作为学习路径/目标,网址是:
https://tryhackme.com/,一开始的一些room靶场房间是免费的,可能你会学着学着后续的房间需要开通会员,那这时候可以自行去闲某鱼上买一些激活码或者你有人脉问大佬拿几个会员码激活,一般买一个月即可,够学了,然后就可以和我一样开启SOC的学习之旅了。
SOC部分的路径如下图所示:
Section 1:蓝队介绍
开启您的防御性安全职业生涯,从探索蓝队及其核心——安全运营中心 (SOC) 开始。您将了解防御性安全为何至关重要,以及它如何帮助组织抵御攻击。
初级安全分析师简介
体验初级安全分析师的日常生活、他们的职责以及担任分析师所需的资格。
初级(助理)安全分析师的职业生涯
初级安全分析师的职位是分类专家。您将花费大量时间进行分类或监控事件日志和警报。
初级安全分析师或一级SOC分析师的职责包括:
- 监控并调查警报(大多数情况下,这是一个 24x7 SOC运营环境)
- 配置和管理安全工具
- 开发和实施基本的 IDS(入侵检测系统)签名
- 参加SOC工作组、会议
- 如有需要,创建工单并将安全事件上报给第 2 层和团队负责人
所需资格(最常见):
- 0-2 年安全运营经验
- 对网络(OSI 模型(开放系统互连模型)或 TCP /IP 模型(传输控制协议/互联网协议模型))、操作系统(Windows、Linux)以及 Web 应用程序有基本的了解。如需进一步了解 OSI 和TCP /IP 模型,请参阅网络入门教室。
- 具备脚本/编程技能者优先
所需认证:
随着您作为初级安全分析师的进步和技能的提高,您最终将晋升至第 2 级和第 3 级。
安全运营中心 ( SOC ) 三层模型概述:
回答以下问题
作为初级安全分析师,您的职责是什么?
Triage Specialist
安全运营中心 (SOC)
那么,SOC到底是什么?
SOC (安全运营中心)的核心功能是全天候(24/7)调查、监控、预防和响应网络威胁。根据Trellix对 SOC:https://www.trellix.com/security-awareness/operations/what-is-soc/ 的定义,“安全运营团队负责监控和保护多项资产,包括知识产权、人员数据、业务系统和品牌完整性”。作为组织整体网络安全框架的实施组成部分,安全运营团队是协调监控、评估和防御网络攻击的协作中心。SOC的工作人员数量可能因组织规模而异。
SOC的职责包括哪些?
准备和预防
作为一名初级安全分析师,你应该随时了解当前的网络安全威胁(Twitter 和Feedly是了解网络安全相关新闻的绝佳资源)。检测和追踪威胁、制定安全路线图以保护组织安全,并为最坏的情况做好准备至关重要。
预防方法包括收集有关最新威胁、威胁行为者及其TTP (战术、技术和程序)的情报数据。它还包括维护程序,例如更新防火墙签名、修补现有系统中的漏洞、将应用程序、电子邮件地址和IP列入黑名单和安全列表。
为了更好地理解TTP,您应该查看美国网络安全与基础设施安全局 (CISA) 发布的关于 APT40(中国高级持续性威胁)的警报之一。更多信息请访问以下链接: https://us-cert.cisa.gov/ncas/alerts/aa21-200a。
监测与调查
SOC团队会主动使用SIEM(安全信息和事件管理)和EDR(端点检测和响应)工具来监控可疑和恶意的网络活动。想象一下,你是一名消防员,遇到一场多重火灾——一级火灾、二级火灾、三级火灾;这些等级决定了火灾的严重程度,在我们这个案例中,火灾构成了威胁。作为一名安全分析师,你将学习如何根据警报级别(低、中、高和严重)对警报进行优先级排序。当然,很容易猜到你需要从最高级别(严重)开始,逐渐向最低级别(低级别警报)靠拢。正确配置安全监控工具将为你提供最佳的威胁缓解机会。
初级安全分析师在调查过程中扮演着至关重要的角色。他们通过探索和理解特定攻击的运作方式,并尽可能地阻止不良事件的发生,对持续收到的警报进行分类。在调查过程中,重要的是提出“如何?何时?为什么?”的问题。安全分析师通过深入研究数据日志和警报,并结合使用开源工具来寻找答案,我们将在本路径的后续部分中探讨这些工具。
回复
调查结束后,SOC团队会协调并对受感染的主机采取行动,包括将主机与网络隔离、终止恶意进程、删除文件等。
初级(助理)安全分析师的一天
为了了解初级(助理)安全分析师的工作职责,让我们首先向您展示初级安全分析师的日常生活以及为什么这是一段令人兴奋的职业生涯。
身处一线并非易事,而且可能极具挑战性,因为您将使用来自不同工具的各种日志源,我们将在本教程中为您讲解。您将有机会监控网络流量,包括IPS(入侵防御系统)和IDS(入侵检测系统)警报、可疑电子邮件,提取取证数据以分析和检测潜在攻击,并利用开源情报帮助您根据警报做出适当的决策。
最令人兴奋和有成就感的事情之一,莫过于处理完事件并成功修复威胁。事件响应可能需要数小时、数天或数周;这完全取决于攻击的规模:攻击者是否成功窃取了数据?攻击者窃取了多少数据?攻击者是否试图入侵其他主机?这其中有很多问题需要思考,也需要进行大量的检测、遏制和修复工作。我们将带您了解每位初级(助理)安全分析师成为一名成功的网络防御者所需的一些基础知识。
几乎每个初级(助理)安全分析师轮班时做的第一件事就是查看票据,看看是否生成了任何警报。
警报中的恶意 IP 地址是什么?
221.181.185.159
蓝队中的 SOC 角色
介绍
学习目标
- 理解蓝队的概念和目的
- 探索SOC在公司架构中的位置
- 了解您作为SOC L1 分析师的职业发展路径
先决条件 - 完成初级安全分析师入门: https://tryhackme.com/room/jrsecanalystintrouxo课程
- 回顾一下安全运营中心(SOC)的角色和流程: https://tryhackme.com/room/socfundamentals
安全层级
每家公司的网络安全优先事项都不尽相同。对律师事务所而言,目标是保护法律文件的隐私;对工厂而言,目标是确保生产线的正常运行;对医院而言,目标是保障患者安全。正因如此,每家公司都有其独特的安全策略和安全团队架构。让我们来看一个高层次的例子:
从上图可以看出,像首席执行官这样的高层管理者通常专注于全球业务目标,而不负责技术方面的管理。因此,他们会聘请首席信息安全官(CISO)或类似职位,由了解业务需求并能组建最合适的安全部门的人员来负责。
安保部门:
在小型公司中,IT 部门负责公司安全。中小型企业可能设有一个综合性的“信息安全”团队,负责处理各种任务。本次讨论,我们将重点关注规模较大的公司,这些公司通常由首席信息安全官 (CISO) 领导,负责多个安全团队,每个团队负责特定的任务。例如:
- 红队:攻击型安全专家、渗透测试人员或道德黑客,他们负责寻找安全问题。
- GRC团队:负责管理政策并确保符合PCI DSS等法规的专家:https://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard
- 蓝队:防御型安全专家,例如安全运营中心分析师、工程师或事件响应人员。
请回答以下问题。
通常由哪个高级职位负责关键的网络安全决策?
CISO
SOC分析师和工程师这类角色的通用名称是什么?
Blue Team
认识蓝队
蓝队负责防御性安全,这意味着它会持续监控攻击并迅速做出响应。根据公司规模和行业,蓝队可能包含许多不同的角色和子部门,通常共有 3 到 50 名成员。现在,让我们来了解一下最常见的蓝队部门。
安全运营中心(SOC)
这里很可能就是您网络安全之旅的起点!安全运营中心(SOC)是组织网络安全的核心枢纽——他们是第一道防线,负责处理各种警报并应对大多数攻击。您可以在此了解更多关于:https://tryhackme.com/room/socfundamentals SOC结构的信息,但一个高效的SOC通常由以下角色组成:
- L1分析师:负责对警报进行分类并将复杂案例转交给二级分析师的初级成员。
- L2分析师:经验丰富的成员,负责调查更高级的攻击
- 工程师:精通配置EDR或SIEM等安全工具。
- 经理:负责管理整个安全运营中心团队的人
网络事件响应小组(CIRT)
如果安全运营中心 (SOC) 的专业知识不足以应对危机,或者事件失控,您需要紧急呼叫“救火队”——网络安全事件响应小组 (CIRT),也称为 CSIRT 或 CERT。CIRT 成员应具备广泛的网络威胁知识,并能在不依赖EDR或SIEM等工具的情况下处理安全漏洞。CIRT 的工作压力大、责任重大,但也极具成就感。以下是一些 CIRT 的例子:
- JPCERT(https://www.jpcert.or.jp/english):日本负责处理全国性安全漏洞的计算机应急响应小组
- Mandiant(https://www.mandiant.com/):一支应对全球网络安全事件的私人团队
- AWS CIRT(https://aws.amazon.com/security-incident-response):调查AWS客户
专业防守角色
大型企业、以技术为核心的初创公司和政府机构通常需要一些专业性强、职责明确的蓝队成员——这些角色令人兴奋且极具价值,但需要深厚的专业知识和在安全运营中心(SOC)或信息技术 (IT)等更广泛领域的丰富经验。这些专业性强的角色可能包括:
- 数字取证分析师:揭露磁盘和内存中的隐藏威胁
- 威胁情报分析师:收集有关新兴威胁组织的数据
- 应用安全工程师:维护安全的软件开发生命周期
- 人工智能研究员:研究人工智能威胁及其防御方法
请回答以下问题。
蓝队侧重于防御性安全还是进攻性安全?
# 防御性
Defensive
哪个部门负责处理正在发生的或紧急的网络安全事件?
CIRT
提升SOC职业发展
SOC职业路径
从SOC L1 分析师做起,或许是拓展网络安全视野、深入了解更专业岗位的绝佳途径。此外,即使是入门级的SOC L1 职位也充满乐趣和挑战:您将处理真实的攻击,保护公司免受高级威胁组织的侵害,并在过程中学习到很多知识。让我们来看看如何开启您的职业生涯:
- 掌握并练习核心安全运营中心(SOC)技能。具备红队演练或通用IT技能等相关技能也会有所帮助!: https://tryhackme.com/path/outline/soclevel1
- 积极主动,尝试参加 CTF 比赛,关注网络安全新闻,并考虑考取 SAL1 认证: https://tryhackme.com/certification/security-analyst-level-1!
- 准备面试,了解内部SOC和 MSSP 之间的区别,然后申请工作!
- 在初级职位工作一段时间后,可以考虑为晋升到更高级别的职位做好准备!
内部SOC与托管MSSP对比
并非所有组织都具备独立运营安全运营中心 ( SOC )的专业知识,它们通常会依赖托管安全服务提供商 (MSSP)。MSSP 是一家为客户提供外包安全服务(最常见的是SOC)的公司。在 MSSP 工作通常压力很大,但也是快速开启职业生涯的好选择。虽然我们建议您将任何SOC职位作为您的第一份工作,但了解不同职位之间的差异也很重要:
| 话题 | 内部SOC | MSSP |
|---|---|---|
| 场景 示例 |
你在银行的安全运营中心(SOC)团队工作,负责保护银行的系统。 | 您就职于一家全球性托管安全服务提供商 (MSSP),负责保护其在欧洲的 60 位客户。 |
| 工作 节奏 |
你通常轮班比较轻松,时间压力也不大。 | 你的班次通常从分析一系列紧急警报开始。 |
| 安全 工具 |
你只需要用到几种工具,但必须非常精通它们。 | 你需要使用六十种不同的安全工具和平台。 |
| 事故 演练 |
去年仅两起重大网络攻击事件就让你大开眼界,吸取了教训。 | 每周你都会遇到攻击和数据泄露事件,并从中吸取教训。 |
后续步骤
完成L1认证后,最自然的下一步是成为SOC L2分析师,但您也可以选择其他发展道路!在处理SIEM警报的过程中,您可能会发现自己更倾向于工程类工作。在网络攻击事件中,您可能会对CIRT(网络安全响应小组)的行动着迷。您也可能发现自己很适合担任管理职位,并逐步晋升为CISO(首席信息安全官)。无论如何,您最初的一两年都是为了积累实际工作经验,为了有效地利用这段时间,请遵循以下建议!
请回答以下问题。
你会如何称呼一家提供安全运营中心(SOC)服务的网络安全公司?
MSSP
哪个职位最能自然地延续您的 SOC L1 分析师职业生涯?
SOC L2 Analyst
测试挑战
假设您是大型跨国公司 TrySecureMe 的首席信息安全官 (CISO)。您负责多个部门,每月都会处理安全事件。这次,同时发生了多达七起安全事件,您需要挑选合适的人员来处理每一起事件。您对安全角色足够了解,能够完成这项挑战吗?
请回答以下问题。
完成最终挑战后,你获得了哪面旗帜?
THM{trysecureme_is_secured!}
人类作为攻击载体
介绍
安全运营中心(SOC)听起来或许很专业也很厉害,但它究竟能保护我们免受哪些威胁?在这个房间里,你将深入了解现代攻击者的手段,并探究他们如何将攻击目标锁定在网络安全最薄弱的环节——人。
- 学习目标
- 了解人为因素在网络安全中的作用
- 了解安全运营中心 (SOC)在检测和缓解攻击方面的作用
- 在两个真实场景中实践所学知识
人的因素
你是一名试图入侵公司的攻击者。你更愿意:
- 花好几天时间利用漏洞并试图绕过防火墙防御?
- 或者直接向 IT 管理员发送钓鱼邮件,获取所需的访问权限?
计算机网络就像一座堡垒,拥有高耸的石墙和坚固的大门。攻克它的方法之一是突破大门,但还有一种更简单的方法——直接请求守门人为你开门。在网络世界里,人类往往扮演着这些天真的“守门人”的角色——他们是网络安全中最薄弱的环节,也是最容易帮助网络威胁者的人。
为什么人类会成为攻击目标
人类之所以成为攻击目标,是因为他们能够提供访问权限——访问网站、邮箱或数据库。一些攻击者会寻找特定的访问权限,而另一些则没有那么挑剔,他们会尽可能多地入侵账户,然后再决定如何使用这些账户。以下是一些攻击者试图入侵人类账户时所希望获得的结果示例:
| 攻击示例 | 攻击者的下一步行动 |
|---|---|
| 入侵人力资源经理的谷歌账户 | 窃取并出售整个员工数据库 |
| 诱骗富人运行恶意软件 | 劫持他们电脑上的网上银行会话 |
| 入侵 IT 管理员的VPN帐户 | 进入大型企业网络的核心 |
| 诱骗政府工作人员泄露机密 | 利用这些信息简化接下来的攻击。 |
请回答以下问题。
网络安全中最薄弱的环节是什么或谁?
# 人
Humans
网络攻击者在以人为目标的网络攻击中寻求的是什么?
# 访问权限
Access
对人类的攻击
针对人类的攻击有一个共同的特点:它们依赖于操纵受害者,使其在知情或不知情的情况下帮助攻击者。这种策略被称为社会工程学,它利用的是人性的弱点,而非技术漏洞。为了使这种策略奏效,它必须具备以下特点:
- 可信度: 攻击者必须看起来合法,才能赢得受害者的信任。
- 情感层面: 攻击必须引发诸如紧迫感、恐惧感或好奇心之类的情绪。
网络钓鱼攻击
你收到一封邮件,上面写着:“您的账户已被盗用。点击此处查看详情! ”当你点击链接时,它会将你带到一个看起来很真实的虚假登录页面,但实际上却会将你的登录凭证发送给攻击者。这就是网络钓鱼的典型案例。电子邮件钓鱼是社会工程攻击中最常见的形式,据估计,每天有高达 34 亿封恶意邮件被发送。
恶意软件下载
你是否曾经在电脑上搜索并安装过某个应用程序?如果是,那么你很可能已经将恶意软件安装到了电脑上。为了提高攻击的成功率,不法分子会使用一些创新技术,例如伪造验证码、恶意二维码和搜索引擎优化(SEO)投毒。
深度伪造
人工智能生成的视频或音频的迅速发展,使得冒充家人、同事或公司合作伙伴变得更加有效。曾有一名金融从业人员接到一个看似是其老板的深度伪造视频电话,并被骗汇款2500万美元,用于所谓的“紧急商业交易”。
-
冒充
即使不使用深度伪造技术,攻击者也能相当成功地冒充他人。近期许多勒索软件攻击都始于攻击者冒充企业IT部门打来的简单电话,他们要求受害者接管自己的账户,以便进行快速的“系统修复”。 -
其他攻击
这项任务涵盖了一些常见的社会工程攻击方法,但远不止这些!U盘投放攻击、物理攻击、内部威胁,甚至是虚假招聘信息——所有这些都对员工构成持续的风险,而作为一名安全运营中心(SOC)分析师,你应该做好应对准备!
请回答以下问题。
利用人类心理进行攻击的策略叫什么名字?
# 社会工程学
Social Engineering
哪种社会工程学方法是指假装成另一个人?
# 冒充、假冒
Impersonation
捍卫人类
防御威胁包含两项关键任务: 缓解和检测。缓解旨在预防或降低攻击发生的概率和影响,例如通过培训员工或部署有效的反钓鱼解决方案。然而,无论缓解措施多么完善,总有一天会被突破。这时,安全运营中心 (SOC)的技能就显得至关重要,它能够检测和调查那些漏网的高级攻击:
- 捍卫人类
作为一名安全运营中心 (SOC)分析师,您的任务是 检测和调查攻击。然而,您很快就会厌倦分析层出不穷的攻击,并开始思考如何自动预防常见威胁。因此,了解关键的 缓解措施至关重要。如果您的缓解方案获得 IT 部门和高层管理人员的批准,您将简化SOC 的日常工作,并提高公司的安全性!以下是一些保护员工安全的示例:
| 减轻 | 描述 |
|---|---|
| 反钓鱼解决方案 | 有了能在用户察觉之前就拦截钓鱼邮件的工具,安全运营中心 (SOC) 的日常工作就变得轻松多了。 |
| 防病毒/ EDR解决方案 | 在所有企业主机上安装可靠的防病毒软件是防止人为运行恶意软件的有效措施。 |
| “信任但要核实”原则 | 指导员工如何识别深度伪造视频,并验证来自“CEO”或“IT”的可疑请求。 |
| 安全意识培训 | 教导员工如何识别网络钓鱼,并通过网络钓鱼模拟来强化培训。 |
请回答以下问题。
哪个流程旨在预防或降低攻击发生的几率?
# 缓解
Mitigation
哪项缓解措施是关于对员工进行网络安全培训的?
# 安全意识培训
Security awareness training
实践
每个组织都面临着针对其员工的持续攻击。然而,安全运营中心 (SOC)在应对这些攻击中的角色可能有所不同。在一些团队中,分析师仅负责监控警报。而在另一些团队中,他们会深度参与公司的流程。分析师可能:
- 与其他团队保持紧密联系,例如IT团队或人力资源团队。
- 提出安全改进建议并开展全公司范围的培训
- 甚至还可以接听员工打来的热线电话,他们怀疑自己遭到了袭击。
员工风险
选择隔离
选择阻止邮件并开始分析
禁用Ben的账户
还是先禁用账户
(实际业务中会直接先和客户确认登录是否为本人)
完成“员工风险”挑战后,你获得了什么标记?
THM{anyone_else_at_risk?}
安全策略
完成“安全策略”挑战后,你获得了什么标志?
THM{human_protection_expert!}
结论
在这个房间里,你们探讨了针对人类的攻击,这是网络安全中最薄弱的环节。你们已经了解了攻击者如何以及为何将目标锁定在人身上,以及作为安全运营中心 (SOC)分析师,你们如何检测和预防此类攻击。但你们的探索之旅不应止步于此。随着威胁的不断演变,及时了解最新的攻击趋势对于你们在SOC 工作中取得成功至关重要。以下是一些值得关注的优秀网站:
- Krebs on Security - https://krebsonsecurity.com
- Hacker News - https://thehackernews.com
- BleepingComputer - https://www.bleepingcomputer.com
系统作为攻击载体
介绍
继续探索安全运营中心 (SOC)在保护数字世界方面的作用,本次重点关注作为攻击载体的系统。在本环节中,您将了解什么是系统,威胁组织为何以及如何攻击这些系统,以及作为SOC分析师,您可以采取哪些措施来保障公司安全。
- 学习目标
- 了解系统在现代数字世界中的作用
- 探索针对系统的各种真实世界攻击
- 在两个真实场景中实践所学知识
系统定义
想象一下,一座城堡,只不过这次守卫训练有素,懂得识别网络钓鱼和打击深度伪造技术。然而,如果大门上的锁脆弱廉价,守卫的技能就毫无用处,因为敌人可以趁人不备潜入城堡。在网络安全领域,威胁行为者可以直接攻击不安全的系统,而用户却毫不知情。
银行将您的银行卡信息存储在哪里?您的电子邮件又存储在哪里?答案是:在某个系统中:可能是物理服务器、虚拟机,也可能是像 Microsoft 365 这样的云平台。保护这些系统至关重要:如果攻击者通过网络钓鱼入侵了某个用户的邮箱,他们只能控制一个邮箱;但如果他们攻破了邮件服务器,就能控制成千上万个邮箱。每种系统类型对攻击者的价值可能不同,例如:
| 系统遭到入侵 | 攻击值 |
|---|---|
| 一名学生的个人笔记本电脑 | 窃取Steam用户资料并将电脑添加到僵尸网络中 |
| 银行高级IT管理员的笔记本电脑 | 获取内部银行系统的访问权限 |
| 一家刑事律师事务所的邮件服务器 | 清空所有邮箱并以此勒索受害者 |
| 工业网络核心的服务器 | 使用勒索软件加密整个网络 |
| 政府网站管理面板 | 破坏网站内容(涂改/恶意破坏) |
请回答以下问题。
网络攻击能否在受害者未干预的情况下发生 (Yea/Nay)?
# 可以
Yea
单个系统的漏洞是否会导致灾难性后果 (Yea/Nay)?
# 可以
Yea
对系统的攻击
在大多数严重的攻击中,首要目标是获取目标系统的访问权限。接下来的行动取决于攻击者的动机:窃取数据、部署勒索软件,甚至彻底销毁信息且无法恢复。然而,几乎所有攻击的开端都大同小异。让我们来看三个系统遭受攻击的例子。
人为攻击
系统用户往往是攻击的始作俑者,这并不令人意外:他们可能插入在街上捡到的恶意U盘,从盗版资源下载恶意软件,或者只是到处重复使用弱密码。81%的数据泄露事件都与被盗或泄露的密码有关—— 你也应该检查一下自己的密码!
漏洞
任何软件都可能存在安全漏洞。2024年,已公布的软件漏洞超过4万个,其中300多个漏洞在重大攻击中被积极利用。此外,IT管理员常常通过设置弱密码和允许对系统进行不受限制的访问来增加风险。
供应链
您的电脑上安装了数百个应用程序,包括网页浏览器、即时通讯软件、开发软件和娱乐软件。每个应用程序都依赖于数千个库。如果攻击者成功入侵其中一个应用程序或库,并向所有用户推送更新,那么所有用户都将受到影响。这种攻击手法被称为供应链攻击。最著名的例子是SolarWinds和3CX 的数据泄露事件,这些事件影响了数千家公司。
- 供应链面临的新威胁
由于您无法始终控制笔记本电脑、服务器和 Web 应用程序上的所有软件,因此很难防范供应链攻击。就连 TryHackMe 也曾因 Lottie Player(一个用于房间动画的库)的供应链攻击而遭受损失。作为安全运营中心(SOC)分析师,您必须做好应对此类情况的准备,并知道如何应对!
请回答以下问题。
可以被利用来入侵系统的安全漏洞的名称是什么?
Vulnerability
当恶意软件来自受信任的应用程序或库时,这种攻击的名称是什么?
# 供应链
Supply Chain
漏洞
软件漏洞
任何软件都存在缺陷,但有些缺陷需要数年才能被发现。例如,Shellshock是一个严重的Linux漏洞,它早在 1992 年就已存在,但直到 2014 年才被发现。在最糟糕的情况下,攻击者会比其他人更早发现该漏洞。这种情况被称为零日漏洞,只有安全运营中心 (SOC)的专业技能才能判断该漏洞是否能及时被发现。
一旦漏洞被公开,就会被分配一个通用漏洞披露 ( CVE ) 编号。从那时起,一场争分夺秒的竞赛就开始了:攻击者开发漏洞利用程序,而防御者则争分夺秒地更新系统。以下是 Windows 漏洞每年演变的详细时间线:
应对漏洞
应对CVE 漏洞的办法始终是发布补丁——即软件供应商提供的更新。即使是零日漏洞,你也必须等待补丁发布,密切监控漏洞利用痕迹,并努力熬过补丁发布前的这段紧张时期。例如:
- 限制系统访问权限,仅允许受信任的IP 地址访问。
- 采用供应商提供的临时措施
- 在IPS或 WAF上阻止已知的攻击模式。
请回答以下问题。
名为“ToolShell”的严重 SharePoint 漏洞的 CVE 编号是多少?
# [CVE-2025-53770](https://nvd.nist.gov/vuln/detail/CVE-2025-53770)
CVE-2025-53770
如果检测到系统中存在漏洞,您会如何应对?
# 打补丁
Patch
配置错误
另一方面,配置错误并非软件漏洞,而是系统设置过程中的错误,通常是IT团队造成的。这类错误经常发生,通常是为了简化操作,例如每次都使用“1111”而不是输入长密码。让我们来看一些实际案例。
- “123456”密码如何泄露了6400万份麦当劳求职申请的聊天记录
- AWS云配置错误如何导致1.06亿银行客户数据泄露
- 配置不当的 智能冰箱如何被悄无声息地用于大规模僵尸网络攻击
另一种常见情况是,IT 部门在不知情的情况下,在安全系统中引入了新的漏洞。以下是一个简单的示例,说明由于不安全的配置,关键数据库是如何被攻破的:
应对配置错误
配置错误并不需要软件更新,只需要更合理的设置即可。作为安全运营中心 (SOC)分析师,您通常只有在攻击者利用这些错误之后才会发现它们。然而,在规模较小的公司中,您可能还需要负责更积极主动的响应,例如:
- 渗透测试:聘请道德“黑客”模拟攻击并报告发现的安全漏洞。
- 漏洞扫描:定期运行能够检测默认密码或过时软件的工具。
- 配置审核:手动审查系统,使其符合最佳实践,例如CIS基准
请回答以下问题。
系统补丁或软件更新能否修复这些配置错误(Yea/Nay)?
# 不可以,因为这是配置的问题,并不是软件缺陷漏洞
Nay
哪项活动涉及经授权的网络攻击,以检测错误配置?
# 渗透测试
Penetration Testing
实践
还记得我们之前提到的堡垒比喻吗?攻击者都是机会主义者。他们通常会寻找最便捷的途径,无论是利用建筑物本身的漏洞,还是操纵他人打开大门。攻击者并不把“人为攻击”和“系统攻击”区分开来,因此,您应该在保护人员和系统方面投入同等的精力,将 缓解措施和检测措施结合起来。
与人类不同,你无法训练系统来识别攻击。但是,你可以培训你的IT部门来配置系统,并解释如何避免一些简单的错误。以下是保护系统的最常见缓解措施:
| 减轻 | 描述 |
|---|---|
| 补丁管理 | 追踪并修复漏洞系统的过程可以显著降低攻击成功的几率。 |
| IT培训 | 如果您的IT部门了解配置错误的风险,他们就不太可能让系统处于未受保护的状态。 |
| 网络保护 | 如果将系统访问权限限制在受信任的人员或 IP 地址范围内,则该系统更难被攻破。 |
| 防病毒保护 | 与针对人类的攻击一样,一款优秀的杀毒软件可以阻止或至少检测到许多不同的攻击。 |
系统风险
打补丁
更换安全密码
打补丁,确保没有CVE漏洞
供应链攻击
完成“系统风险”挑战后,你获得了什么标志?
THM{patch_or_reconfigure?}
补救计划
完成“补救计划”挑战后,你获得了什么标记?
THM{best_systems_defender!}
结论
尽管安全运营中心 (SOC)分析师通常不直接管理系统,但了解常见的攻击和防御措施,并与 IT 部门分享,是拓宽网络安全视野的关键。如果您想快速成长并成为优秀的团队成员,请随时关注最新的威胁,并与他人分享相关信息!
本文来自博客园,作者:竹等寒,转载请注明原文链接。
浙公网安备 33010602011771号