谷歌网络安全-II-笔记-全-
谷歌网络安全 II 笔记(全)
001:课程介绍
在本节课中,我们将要学习《安全风险管理》课程的整体框架与核心目标。我们将回顾已学知识,并预览本课程将深入探讨的关键主题,包括安全域、框架、控制、审计以及基础安全工具。
课程回顾与展望
上一节我们介绍了网络安全的基础概念与入门级分析师的核心职责。本节中,我们来看看本课程的具体学习路径。
我的名字是阿什莉,我是谷歌安全运营销售部门的客户工程赋能负责人。我很荣幸能担任本课程的讲师。
让我们先快速回顾一下目前已经涵盖的内容。此前,我们定义了安全的概念,并探讨了入门级分析师的一些常见工作职责。我们也讨论了分析师需要培养的核心技能与知识。接着,我们分享了一些关键事件,例如“爱虫”病毒和莫里斯蠕虫攻击,这些事件推动了安全领域的发展与持续演进。我们还向您介绍了用于降低风险的框架、控制措施和CIA三要素(机密性、完整性、可用性)。
在本课程中,我们将讨论注册信息系统安全专家所关注的八个安全域。我们还将更详细地介绍安全框架与控制措施,重点是美国国家标准与技术研究院的风险管理框架。此外,我们将探讨安全审计,包括内部审计的常见要素。之后,我们将介绍一些基础的安全工具,您将有机会探索如何使用安全工具来保护资产和数据免受威胁、风险和漏洞的影响。
保护组织安全的重要性
保护组织及其资产免受威胁、风险和漏洞的影响,是维持业务运营的重要步骤。根据我作为安全分析师的经验,我曾协助应对一次严重的违规事件,该事件给组织造成了近25万美元的损失。因此,我希望您能保持动力,继续您的安全学习之旅。我知道我已充满期待。
让我们开始吧。
总结
本节课中,我们一起学习了《安全风险管理》课程的概述。我们回顾了安全基础、CIA三要素等前期知识,并明确了本课程将深入学习的核心内容:安全域、NIST风险管理框架、安全审计以及基础工具的应用。这些知识将为我们后续构建系统的安全风险管理能力打下坚实基础。
002:欢迎来到第一周 🛡️
在本节课中,我们将学习网络安全的基础知识,包括CISSP的八个安全域、威胁、风险与漏洞的概念、网络的三层结构,以及如何使用NIST风险管理框架来管理风险。这些内容是安全领域的核心知识,掌握它们将帮助你理解和应对组织日常面临的安全挑战。
理解安全领域与核心概念
网络安全的世界非常广阔。确保你拥有成功驾驭这个世界所需的知识、技能和工具,正是我们学习本课程的目的。
在接下来的视频中,你将了解CISSP八个安全域的重点内容。
深入探讨威胁、风险与漏洞
上一节我们介绍了安全领域的概况,本节中我们来看看更具体的安全要素。我们将更详细地讨论威胁、风险和漏洞。
我们还将向你介绍网络的三层结构,并分享一些示例,以帮助你理解在本课程中将讨论的不同类型的攻击。
风险管理框架
最后,我们将研究如何通过使用美国国家标准与技术研究院的风险管理框架来管理风险,该框架被称为 NIST RMF。
因为这些主题及相关技术技能被视为安全领域的核心知识,持续加深对它们的理解,将帮助你缓解和管理组织日常面临的风险与威胁。
总结与预告
本节课中,我们一起学习了网络安全的基础框架、核心概念以及NIST风险管理框架。在下一个视频中,我们将进一步讨论在第一门课程中介绍的八个安全域的重点内容。
003:探索CISSP安全领域(上)
在本节课程中,我们将学习CISSP(国际信息系统安全认证联盟)定义的八个安全领域中的前四个。了解这些领域有助于安全团队组织日常工作、识别安全漏洞,并建立组织的安全态势。
概述
安全态势指的是一个组织管理其关键资产和数据防御,并应对变化的能力。CISSP的八个安全领域为系统化地构建和维护这种能力提供了框架。接下来,我们将详细探讨前四个领域。
安全与风险管理
第一个领域是安全与风险管理。该领域主要关注通过定义目标、降低风险、确保合规性等方式,来保护组织的资产和数据。
以下是该领域的几个核心关注点:
- 定义安全目标与目的:通过明确目标,组织可以减少对关键资产(如个人身份信息PII)和数据带来的风险。
- 风险缓解:指制定正确的流程和规则,以快速降低风险(如数据泄露)带来的影响。
- 合规:是制定组织内部安全政策的主要方法,需遵循监管要求和独立标准。
- 业务连续性:涉及组织通过建立风险灾难恢复计划来维持日常生产力的能力。
- 法律法规:尽管全球范围内与安全及风险管理相关的法律各不相同,但总体目标相似。作为安全专业人员,这意味着要遵守道德行为的规则和期望,以最大限度地减少疏忽、滥用或欺诈。
资产安全
上一节我们介绍了如何从管理层面规划安全,本节中我们来看看如何具体保护资产。资产安全领域专注于保护数字和物理资产,同时也涉及数据的存储、维护、保留和销毁。
这意味着,无论是存储在计算机中、通过互联网等网络传输,还是以物理方式收集,像PII或敏感个人身份信息这样的资产都应得到安全处理和保护。
组织还需要制定确保数据被妥善存储、维护、保留和销毁的政策与流程。了解你拥有哪些数据以及谁有权访问这些数据,对于建立强大的安全态势、降低关键资产和数据的风险至关重要。
之前我们曾举过几个涉及数据处置的例子。例如,一个组织可能会让你作为安全分析师,监督硬盘的销毁过程,以确保它们被妥善处理。这可以确保存储在那些驱动器上的私人数据不会被威胁行为者访问。
安全架构与工程
第三个领域是安全架构与工程。该领域侧重于通过确保使用有效的工具、系统和流程来保护组织的资产和数据,从而优化数据安全。
安全设计架构的核心概念之一是共担责任。
共担责任 = 组织内的所有个人都积极承担起降低风险、维护物理和虚拟安全的责任。
通过制定鼓励用户识别和报告安全问题的政策,许多问题可以得到快速有效的处理。
通信与网络安全
在了解了如何设计安全系统后,我们接下来关注具体的网络保护。第四个领域是通信与网络安全,主要侧重于管理和保护物理网络及无线通信。
安全的网络能保护组织的数据和通信安全,无论是在现场、在云端,还是在远程连接服务时。例如,在公共空间远程工作的员工需要受到保护,避免因使用不安全的蓝牙连接或公共Wi-Fi热点而遭受攻击。
通过在组织层面让安全团队成员限制对此类通信渠道的访问,可以劝阻员工采取可能被威胁行为者利用的不安全行为。
总结
本节课中,我们一起学习了CISSP八个安全领域中的前四个:安全与风险管理、资产安全、安全架构与工程以及通信与网络安全。每个领域都从不同角度为构建全面的安全防御体系提供了指导。下一节我们将继续探讨剩下的四个领域。
004:探索CISSP安全领域(下)🔐
在本节课程中,我们将继续学习CISSP的八个安全领域,重点介绍身份与访问管理、安全评估与测试、安全运营以及软件开发安全这四个领域。理解这些领域对于构建全面的安全知识体系至关重要。
上一节我们介绍了前四个安全领域,本节中我们来看看剩下的四个领域。
身份与访问管理 👤
身份与访问管理(IAM)专注于通过确保用户遵循既定策略来控制和访问资产,从而保障数据安全。其核心目标是降低系统和数据的整体风险。
IAM包含四个主要组成部分:
- 身份识别:用户通过提供用户名、门禁卡或指纹等生物特征数据来声明其身份。
- 身份验证:验证用户身份的过程,例如输入密码或PIN码。
- 授权:在用户身份确认后,根据其在组织中的角色,确定其访问权限级别。
- 可问责性:监控和记录用户行为(如登录尝试),以证明系统和数据被正当使用。
安全评估与测试 🧪
安全评估与测试领域侧重于进行安全控制测试、收集分析数据以及执行安全审计,以监控风险、威胁和漏洞。
以下是该领域的核心活动:
- 安全控制测试:帮助组织识别缓解威胁、风险和漏洞的新方法及改进措施。
- 数据收集与分析:定期进行有助于预防组织面临的威胁和风险。
- 报告与改进:分析师利用评估和报告来改进现有控制措施或实施新的控制措施,例如引入多因素认证。
安全运营 🛡️
安全运营领域侧重于进行调查和实施预防措施。调查在安全事件被识别后立即开始,需要高度紧迫感以最小化对组织的潜在风险。
安全运营的关键步骤包括:
- 事件响应:若存在主动攻击,缓解攻击并防止其升级对保护私有信息至关重要。
- 证据收集:威胁被消除后,开始收集数字和物理证据以进行取证调查。
- 取证调查:必须进行数字取证调查,以确定入侵发生的时间、方式和原因。
- 改进预防:这有助于安全团队确定需要改进的领域以及可采取的预防措施,以减轻未来的攻击。
软件开发安全 💻
软件开发安全领域专注于使用安全编码实践。安全编码实践是用于创建安全应用程序和服务的推荐指南。
将安全集成到软件开发生命周期(SDLC)中至关重要。SDLC是团队用于快速构建软件产品和功能的高效流程,安全应作为其中的一个附加步骤。
通过在SDLC的每个阶段进行安全审查,可以将安全完全集成到软件产品中。例如:
- 设计阶段:执行安全设计评审。
- 开发与测试阶段:执行安全代码评审。
- 部署与实施阶段:进行渗透测试。
这种方法确保安全在每一步都嵌入到软件产品中,从而保护软件安全、保护敏感数据并减轻组织的不必要风险。
熟悉这些领域可以帮助您更好地理解它们如何用于提升组织的整体安全,以及安全团队所扮演的关键角色。
本节课中我们一起学习了CISSP的剩余四个安全领域:身份与访问管理、安全评估与测试、安全运营以及软件开发安全。每个领域都提供了保护组织资产和数据的特定框架与方法。
005:阿什利的网络安全职业道路
在本节课中,我们将跟随谷歌员工阿什利的分享,了解她非传统的职业发展路径,并从中学习进入网络安全领域所需的关键技能与心态。她的经历表明,成功之路并非总是线性的,核心技能也远不止于技术。
我的名字是阿什利,我在谷歌的职位是SEOP销售客户工程师赋能负责人。这意味着我负责为支持我们产品的客户工程师设立培训项目。
我从小就喜欢电脑和互联网。我拥有历史上最早的AOL屏幕名之一,并为此感到非常自豪。我父亲是一名工程师,我想我一直对科技有兴趣。但当我高中毕业时,并没有一条清晰的路径进入这个行业。我的道路完全不是线性的。
我成长过程中有点像个“愣头青”。我在十年级就放弃了,很长一段时间对什么都不在乎,经常惹麻烦。我几乎告诉自己,如果我不参军离开这里,继续这样下去,我可能两三年内就不在这里了。于是,我高中一毕业就加入了陆军。六月毕业,四天后我就在南卡罗来纳州的杰克逊堡新兵训练营了——信不信由你,我当时是一名小号手。
退伍回来后,我需要找一份工作。那时我甚至没有关注科技类的工作。我曾在大型五金店拉购物车、卖电子游戏、在货运公司做零售装箱工。在所有这些经历之后,我才意识到科技是一个选择。
军队很好心地让我接受了IT再培训。这可以说是我获得的第一波正式教育,让我能够说:“嘿,我至少具备了成为一名PC技术员的技能。”之后,我回到社区大学,并找到了一个网络安全副学士学位项目,学习了一些认证。我参加了第一次Defcon大会(一个大型黑客会议),这就像点亮了一盏明灯,让我真正看清了未来的道路可能是什么样子。
我在2017年找到了第一份安全分析师的工作。我参加了上一家公司的一个退伍军人培训项目(该项目对退伍军人免费),并从培训中直接被录用。在来到谷歌之前,我在那家公司工作了将近五年。
进入网络安全领域的关键技能
上一节我们了解了阿什利的职业转折点,本节中我们来看看她认为进入该领域需要掌握哪些核心技能。她特别强调了非技术能力的重要性。
如果你是新入行者,你必须知道如何与团队合作。我认为我们很多人是在客户服务环境中学会这一点的。我在零售业工作中学到的一些技能,比如应对难缠的客户、学习如何与人沟通、甚至在人们不满时如何化解局面,这些与人打交道的技能在IT领域同样需要。如今,我们需要的不仅仅是技术技能,更需要成为“T型人才”——即同时具备软技能、人际交往能力和技术技能。
你必须具备良好的分析能力。同样,这甚至不一定是技术分析。如果你能阅读一本书并剖析其中的修辞手法,你就能做分析工作。
核心公式:T型人才 = 软技能 + 人际技能 + 技术技能
克服常见障碍与心态建议
了解了所需技能后,初学者常会遇到一些心理障碍。阿什利对此给出了直接而鼓舞人心的建议。
对我们许多人来说,存在一种对数学的恐惧,编程也是一大障碍。但我们的工作是与人打交道、与流程打交道。你并不一定需要编码知识来理解人或流程。进入这个领域的方式有很多,所以不要气馁,也不要害怕跳出框框思考,以迈出第一步。
核心心态:if (mathFear || codingHurdle) { 不要气馁; 跳出框框思考; }
本节课中,我们一起学习了阿什利从迷茫青年到谷歌网络安全专家的非典型职业路径。她的经历告诉我们:职业道路可以是非线性的,早期各种经历(甚至是军队、零售业)都能转化为宝贵技能。成功进入网络安全领域的关键在于成为“T型人才”,即结合技术能力、分析思维与卓越的软技能。同时,不必被数学或编程吓倒,该领域存在多种切入点,保持开放心态和持续学习的态度至关重要。
006:威胁、风险与漏洞
在本节课中,我们将学习网络安全领域的三个核心概念:威胁、风险与漏洞。理解这些概念是评估和保护组织资产安全的基础。
概述
作为初级安全分析师,您的职责之一是处理组织的数字与物理资产。资产是被组织认为具有价值的项目。在其生命周期中,组织会获取各类资产,包括物理办公空间、计算机、客户个人身份信息、知识产权(如专利或受版权保护的数据)等等。然而,组织运营的环境充满了对其资产构成安全威胁、风险和漏洞的因素。接下来,我们将逐一审视这些概念并讨论其常见示例。
威胁
上一节我们提到了资产,本节中我们来看看可能损害资产的威胁。威胁是指任何可能对资产产生负面影响的状况或事件。
以下是威胁的一个常见示例:
- 社会工程学攻击:这是一种利用人为错误来获取私人信息、访问权限或贵重物品的操纵技术。其中一种被称为网络钓鱼的方法,会使用看似来自合法公司或个人的恶意链接和电子邮件信息。网络钓鱼是一种用于获取敏感数据(如用户名、密码或银行信息)的技术。
风险
风险与威胁不同。风险是指任何可能影响资产机密性、完整性或可用性的事物。您可以将风险视为威胁发生的可能性。
以下是组织可能面临的风险示例:
- 缺乏备份协议:确保在发生事故或安全事件时能够恢复存储的信息。如果缺乏此类协议,数据丢失的风险就会增加。
组织倾向于根据潜在威胁和资产价值,将风险划分为不同等级:低、中、高。
以下是各风险等级的简要说明:
- 低风险资产:指如果泄露,不会损害组织声誉或持续运营,也不会造成财务损失的信息。这包括网站内容或已发布的研究数据等公开信息。
- 中风险资产:指不向公众开放,如果泄露可能对组织的财务、声誉或持续运营造成一定损害的信息。例如,公司季度收益的提前发布可能会影响其股票价值。
- 高风险资产:指受法规或法律保护的任何信息,如果泄露,将对组织的财务、持续运营或声誉造成严重的负面影响。这可能包括包含敏感个人身份信息、个人身份信息或知识产权的泄露资产。
漏洞
现在让我们讨论漏洞。漏洞是可能被威胁利用的弱点。值得注意的是,必须同时存在漏洞和威胁,才会构成风险。
以下是漏洞的一些示例:
- 过时的防火墙、软件或应用程序
- 弱密码
- 未受保护的机密数据
人也可以被视为一种漏洞。无论是客户、外部供应商还是员工,其行为都可能显著影响组织的内部网络安全。因此,维护安全必须是一项共同努力。
所以,初级分析师需要教育和赋能人员,提高其安全意识。例如,教育人们如何识别钓鱼邮件就是一个很好的起点。使用门禁卡授予员工进入物理空间的权限,同时限制外部访客,是另一项良好的安全措施。
组织必须在识别和缓解漏洞方面持续改进,以最小化威胁和风险。初级分析师可以通过鼓励员工报告可疑活动,并积极监控和记录员工对关键资产的访问来支持这一目标。
总结
本节课中,我们一起学习了网络安全的核心概念:威胁、风险和漏洞。我们明确了威胁是可能损害资产的事件,风险是威胁发生的可能性及其影响,而漏洞则是可能被利用的弱点。理解这三者之间的关系对于有效进行安全风险管理至关重要。
007:威胁、风险与漏洞的关键影响 🔐
在本节课程中,我们将探讨一种代价高昂的恶意软件——勒索软件,并分析威胁、风险与漏洞对组织运营产生的三个关键影响。
勒索软件攻击
勒索软件是一种恶意攻击,攻击者会加密组织的数据,然后索要赎金以恢复访问权限。一旦攻击者部署了勒索软件,它可以冻结网络系统,使设备无法使用,并加密或锁定机密数据,导致设备无法访问。攻击者随后会要求支付赎金,才会提供解密密钥,让组织恢复正常业务运营。
您可以将解密密钥理解为用于重新获取数据访问权限的密码。
请注意,当赎金谈判发生或攻击者泄露数据时,这些事件可能通过暗网进行。
网络的层次
虽然许多人使用搜索引擎访问社交媒体或在线购物,但这只是网络真实面貌的一小部分。网络实际上是一个由三层结构相互链接的在线内容网络:表层网、深层网和暗网。
- 表层网:这是大多数人使用的一层。它包含可以通过网页浏览器访问的内容。
- 深层网:通常需要授权才能访问。组织的内部网络就是深层网的一个例子,因为它只能由员工或被授予访问权限的人访问。
- 暗网:只能通过特殊软件访问。暗网通常带有负面含义,因为其提供的隐秘性使其成为犯罪分子的首选网络层。
威胁、风险与漏洞的三个关键影响
上一节我们介绍了勒索软件和网络层次,本节中我们来看看威胁、风险与漏洞对组织产生的具体影响。以下是三个关键方面:
1. 财务影响
当组织的资产(例如因恶意软件攻击)受到损害时,其财务后果可能非常严重,原因多样。这些原因包括:
- 生产和服务中断。
- 解决问题的成本。
- 若因不遵守法律法规导致资产受损,可能面临的罚款。
2. 身份盗窃
组织必须决定是否存储客户、员工及外部供应商的私人数据,以及存储多久。存储任何类型的敏感数据都会给组织带来风险。敏感数据包括个人身份信息(PII),这些信息可能通过暗网被出售或泄露。这是因为暗网提供了一种隐秘感,攻击者可能在那里出售数据而无需承担法律后果。
3. 对组织声誉的损害
稳固的客户基础支持着组织的使命、愿景和财务目标。一个被利用的漏洞可能导致客户转向与竞争对手建立新的业务关系,或产生负面报道,对组织的声誉造成永久性损害。客户数据的丢失不仅影响组织的声誉和财务状况,还可能导致法律处罚和罚款。
总结与展望
本节课中,我们一起学习了勒索软件的运作方式、网络的三个层次(表层网、深层网、暗网),以及威胁、风险与漏洞带来的财务影响、身份盗窃风险和声誉损害这三个关键影响。组织被强烈建议采取适当的安全措施并遵循特定协议,以预防威胁、风险和漏洞带来的重大影响。通过运用安全工具箱中的所有工具,安全团队能更好地应对诸如勒索软件攻击等事件。
接下来,我们将介绍NIST风险管理框架中管理风险的七个步骤。
008:赫伯特谈管理威胁、风险与漏洞
在本节课中,我们将跟随谷歌安全工程师赫伯特的分享,了解网络安全分析师如何在实际工作中管理威胁、风险和漏洞。我们将学习到日常安全工作的核心内容、常见的安全问题以及团队协作的重要性。
我的名字是赫伯特,我是谷歌的一名安全工程师。我认为我一直对安全领域很感兴趣。高中时,学校给我们发了这些巨大的戴尔笔记本电脑。那些电脑里并没有太多的安全措施,所以我的很多朋友都有像《光环》这类视频游戏的破解版本。那确实是我开始学习如何操控电脑,让它按我的意愿行事的地方。
我日常工作包括分析安全风险,并为这些风险提供解决方案。网络安全分析师的一项典型任务通常是处理例外请求,分析某人是否因其角色或正在进行的项目,而需要获得对某个设备或文档的特殊访问权限。
我们遇到的一个更常见的威胁是配置错误,或是请求他们并不真正需要的访问权限。例如,我最近遇到一个案例,与我们合作的一个供应商更改了他们的OAuth范围请求。这基本上意味着,他们请求使用谷歌服务的权限比过去更多。我们之前不确定该如何处理,因为这是我们以前没有遇到过的情况。所以这件事仍在处理中,但我们正在与合作伙伴团队合作,以制定一个解决方案。
我认为我们看到的另一个问题是系统过时,即需要打补丁的机器。
这听起来像是一个IT问题,但它也绝对是一个网络安全问题。拥有过时的机器,没有适当的设备管理策略。
与一个团队或许多团队合作是这项工作的一个重要部分。为了真正完成任何事情,你不仅需要与你所在的团队沟通,还需要与其他团队沟通。十年前,我在一家披萨店工作。十年后,我在这里,在谷歌担任安全工程师。如果我告诉16岁的自己,我会在这里,我自己都不会相信。但这是可能的。
核心概念与工作流程
上一节我们了解了赫伯特的日常工作内容,本节中我们来看看其中涉及的一些核心概念和典型工作流程。
以下是网络安全分析师处理安全请求的基本分析步骤:
- 接收请求:收到关于特殊访问权限或变更的请求。
- 分析上下文:评估请求者的角色和项目需求。公式表示为:
访问权限必要性 = f(角色, 项目需求)。 - 风险评估:判断授予权限可能引入的风险,例如数据泄露或系统滥用。
- 制定方案:与相关团队协作,制定既满足业务需求又控制风险的解决方案。
- 执行与监控:实施解决方案,并持续监控其效果。
常见安全威胁示例
除了处理访问请求,识别和应对常见威胁也是关键工作。以下是赫伯特提到的两类主要威胁:
- 配置错误与权限泛滥:例如供应商过度请求API权限(
OAuth scope过大)。代码示例可能表现为一个过宽的权限范围请求:// 不安全的过宽权限请求示例 { "scope": "https://www.googleapis.com/auth/cloud-platform" } // 应遵循最小权限原则,请求具体所需的权限 { "scope": "https://www.googleapis.com/auth/drive.file" } - 系统过时与未打补丁:运行未安装最新安全补丁的软件或操作系统,使已知漏洞可被利用。
团队协作与沟通
正如赫伯特所强调的,解决安全问题很少能单打独斗。有效的团队协作和沟通是成功的关键。安全工程师需要与IT部门、软件开发团队、法务部门以及外部合作伙伴等多个团队紧密合作,共同制定和执行安全策略。
本节课中我们一起学习了网络安全分析师的实际工作缩影。我们了解到,这份工作不仅仅是技术分析,更涉及基于风险的管理决策、对常见威胁(如错误配置和系统过时)的持续警惕,以及跨团队协作沟通的软技能。赫伯特的经历也表明,进入这个充满挑战的领域有多种路径,关键在于保持学习热情和动手实践。
009:NIST风险管理框架 📊
在本节课程中,我们将学习美国国家标准与技术研究院(NIST)的风险管理框架(RMF)。该框架为安全专业人员提供了一套系统化的流程,用于管理组织面临的风险、威胁和漏洞。掌握这一基础框架,能帮助你在安全领域的求职中脱颖而出。
你可能还记得,NIST为安全专业人员提供了许多用于管理风险、威胁和漏洞的框架。本节视频,我们将重点介绍NIST的风险管理框架(RMF)。作为初级分析师,你可能不会参与所有步骤,但熟悉这个框架非常重要。
风险管理框架的七个步骤
RMF包含七个步骤:准备、分类、选择、实施、评估、授权和监控。让我们从第一步开始。
第一步:准备 🛡️
“准备”指的是在安全事件发生前,为管理安全和隐私风险所必需的活动。作为初级分析师,你可能会在这一步中监控风险,并识别可用于降低这些风险的控制措施。
上一节我们介绍了准备阶段,接下来我们看看如何对风险进行分类。
第二步:分类 📂
“分类”用于制定风险管理流程和任务。安全专业人员通过思考系统的机密性、完整性和可用性如何受到风险影响,来使用这些流程并制定任务。作为初级分析师,你需要能够理解如何遵循组织建立的流程,以降低关键资产(如客户私人信息)的风险。
在明确了风险类别后,下一步就是选择具体的控制措施。
第三步:选择 ✅
“选择”意味着选择、定制并记录保护组织的控制措施。选择步骤的一个例子是保持操作手册的更新,或帮助管理其他文档,使你和你的团队能更高效地处理问题。
以下是选择控制措施时可能涉及的文档类型:
- 安全策略与程序手册
- 事件响应操作手册
- 系统配置基线文档
选定了控制措施,接下来就需要将它们付诸实践。
第四步:实施 🚀
第四步是为组织实施安全和隐私计划。制定完善的计划对于最小化持续安全风险的影响至关重要。例如,如果你注意到员工频繁需要重置密码的模式,实施密码要求的变更可能有助于解决此问题。
计划实施后,我们必须评估其有效性。
第五步:评估 🔍
“评估”意味着确定已建立的控制措施是否正确实施。组织总是希望尽可能高效地运作,因此花时间分析已实施的协议、程序和控制措施是否满足组织需求至关重要。在此步骤中,分析师会识别潜在弱点,并确定是否应更改组织的工具、程序、控制和协议,以更好地管理潜在风险。
评估确认控制措施有效后,就需要获得正式授权。
第六步:授权 📝
“授权”意味着对组织中可能存在的安全和隐私风险承担责任。作为分析师,授权步骤可能涉及生成报告、制定行动计划,以及建立与组织安全目标一致的项目里程碑。
获得授权后,持续监控是确保长期安全的关键。
第七步:监控 📈
“监控”意味着了解系统的运行状况。评估和维护技术操作是分析师日常完成的任务。维持组织低风险水平的一部分,是了解当前系统如何支持组织的安全目标。如果现有系统无法满足这些目标,则可能需要进行变更。虽然建立这些程序可能不是你的工作,但你需要确保它们按预期工作,以最小化对组织本身及其所服务人员的风险。
总结
本节课中,我们一起学习了NIST风险管理框架(RMF)的七个核心步骤:准备、分类、选择、实施、评估、授权和监控。理解这个框架能帮助你系统化地思考安全风险,并为你在实际工作中遵循组织流程、有效识别和管理风险奠定坚实基础。记住,即使作为初级分析师,熟悉这些基础概念也对你的职业发展大有裨益。
010:总结
在本节课程中,我们回顾了安全风险管理基础部分的核心内容。现在,让我们一起来总结所学知识。
课程内容回顾
上一节我们介绍了安全风险管理的多个核心概念。本节中,我们来系统回顾一下已讨论的关键点。
以下是本阶段课程涵盖的主要主题:
- CISSP八大安全域:我们探讨了这些安全域如何构成信息安全的基础框架。
- 威胁、风险与漏洞:我们分析了这三者的定义、区别以及它们对组织可能产生的具体影响。
- 勒索软件:我们深入研究了这种特定威胁的运作机制和危害。
- 网络三层结构:我们介绍了应用层、传输层和网络层这三层基本模型。
- NIST风险管理框架:我们重点学习了该框架的七个步骤,即RMF。
学习成果与展望
你出色地完成了本阶段学习,为你的安全分析师工具箱增添了新知识。
在接下来的课程中,我们将深入探讨入门级安全分析师常用的一些工具。你将有机会分析这些工具生成的数据,以识别风险、威胁或漏洞。你还将有机会使用事件响应手册来模拟处理安全事件。
本节课中,我们一起学习了安全风险管理的基础模块,包括核心概念、框架和特定威胁。请继续保持出色的学习状态。
011:安全风险管理
概述
在本节课中,我们将学习安全框架、安全控制措施以及安全设计原则。这些知识是安全分析师工作的基础,能帮助我们通过安全审计来保护组织和个人的安全。
欢迎回来。作为一名安全分析师,你的工作不仅仅是保护组织的安全。你的角色更为重要。你也在帮助保护人们的安全。影响客户、供应商和员工数据的泄露,可能会对人们的财务稳定性和声誉造成重大损害。作为一名分析师,你的日常工作将有助于保护个人和组织的安全。
在本课程的这个部分,我们将更详细地讨论安全框架、控制措施和设计原则,以及如何将它们应用于安全审计,以帮助保护组织和人员。
在谷歌,保护客户信息的机密性是我日常工作的关键部分,而NIST网络安全框架在其中扮演了重要角色。该框架通过使用安全控制措施,确保了对客户工具和个人工作设备的保护与合规性。
欢迎来到安全框架与控制措施的世界。让我们开始吧。
总结
本节课中,我们一起学习了安全分析师角色的重要性,并引入了安全框架、控制措施和设计原则的核心概念。这些工具是进行有效安全审计、保护组织与个人免受数据泄露风险的基础。
012:安全框架
在本节课程中,我们将学习什么是安全框架,以及组织如何利用它们来制定安全策略和流程,以应对各种威胁、风险和漏洞。
什么是安全框架?
上一节我们介绍了组织面临的各种安全挑战。本节中,我们来看看组织如何系统地构建防御计划。安全框架正是为此而生的指导方针。
安全框架是用于构建计划的指导方针,旨在帮助减轻对数据和隐私的风险与威胁,例如社会工程学攻击和勒索软件。
安全框架的范畴
安全不仅涉及虚拟空间,也包括物理空间。因此,许多组织都有计划来维护工作环境的安全。例如,进入大楼可能需要使用门禁卡或工牌。
其他安全框架则提供了关于如何预防、检测和响应安全漏洞的指导。这在试图保护组织免受针对其员工的社会工程学攻击(如网络钓鱼)时尤为重要。
框架的核心:人员教育
请记住,人员是安全的最大威胁。因此,可以利用框架来创建计划,以提高员工的意识,并教育他们如何保护组织、同事和他们自己。
以下是利用框架进行人员教育的关键点:
- 对员工进行现有安全挑战的教育,对于最小化漏洞可能性至关重要。
- 对员工进行如何识别危险信号或潜在威胁的培训至关重要。
- 制定计划以便快速报告和处理安全问题同样重要。
作为分析师,理解和实施组织为保护组织、员工及其服务对象免受社会工程学攻击、数据泄露和其他有害安全事件影响而制定的计划,对你来说非常重要。
总结与过渡
本节课中,我们一起学习了安全框架的定义、范畴及其在人员安全教育中的核心作用。安全框架为组织构建全面的安全防御体系提供了起点和蓝图。
接下来,我们将回顾和讨论安全控制措施,它们与框架协同使用,共同实现组织的安全目标。
013:控制
在本节课程中,我们将学习安全控制措施。控制措施是用于降低特定安全风险的具体手段。我们将探讨三种常见的控制类型:加密、身份验证和授权,并了解它们如何共同构成CIA安全模型的基础。
概述
框架用于制定应对安全风险、威胁和漏洞的计划,而控制措施则用于降低特定风险。如果未实施适当的控制措施,组织可能因暴露于风险(如非法入侵、创建虚假员工账户或提供免费福利)而面临重大的财务影响和声誉损害。
让我们回顾一下控制措施的定义。安全控制措施是为降低特定安全风险而设计的保护措施。在本视频中,我们将讨论三种常见的控制类型。
加密
上一节我们提到了风险管理的框架,本节中我们来看看具体的安全控制措施。首先从加密开始。
加密是将数据从可读格式转换为编码格式的过程。通常,加密涉及将数据从明文转换为密文。密文是原始的编码信息,对人类和计算机来说都是不可读的。密文数据在被解密回其原始的明文形式之前无法被读取。
加密用于确保敏感数据的机密性,例如客户的账户信息或社会安全号码。
身份验证
除了加密,另一种用于保护敏感数据的控制措施是身份验证。
身份验证是验证某人或某物身份的过程。一个现实世界中的身份验证例子是使用用户名和密码登录网站。这种基本形式的身份验证证明你知道用户名和密码,因此应被允许访问该网站。
更高级的身份验证方法,例如多因素身份验证,会要求用户同时提供密码和另一种身份验证形式(如安全码或指纹、声音、面部扫描等生物特征),以证明他们是其所声称的身份。
以下是关于生物特征身份验证的更多信息:
- 生物特征是可用于验证个人身份的唯一物理特征。
- 生物特征的例子包括指纹、眼纹扫描或掌纹扫描。
- 一种可能利用生物特征的社会工程攻击是语音钓鱼。语音钓鱼是利用电子语音通信来获取敏感信息或冒充已知来源的行为。例如,语音钓鱼可用于模仿一个人的声音以窃取其身份,然后实施犯罪。
授权
另一个非常重要的安全控制措施是授权。
授权指的是授予访问系统内特定资源权限的概念。
本质上,授权用于验证一个人是否有权限访问某个资源。举个例子,如果你作为一名初级安全分析师为联邦政府工作,你可能被授权访问通过深网或其他内部数据,这些数据只有联邦雇员才能访问。
总结与过渡
今天我们讨论的安全控制措施只是一个核心安全模型——CIA三要素——中的一个组成部分。接下来,我们将更多地讨论这个模型以及安全团队如何使用它来保护他们的组织。
本节课中,我们一起学习了三种核心的安全控制措施:加密用于保护数据机密性,身份验证用于确认身份,授权用于管理资源访问权限。理解这些控制措施是构建有效安全防御的基础。
014:探索CIA三元模型 🔐
在本节课中,我们将要学习信息安全领域的核心模型——CIA三元模型。我们将了解其三个组成部分,并探讨如何运用该模型来保护组织的敏感资产和数据免受威胁。
概述
作为一名初级安全分析师,你的主要职责是帮助保护组织的敏感资产和数据免受威胁行为者的侵害。CIA三元模型是一个核心的安全模型,它将帮助你完成这项任务。本节视频将探索CIA三元模型,并讨论其每个组成部分对于保护组织免受威胁、风险和漏洞侵害的重要性。
什么是CIA三元模型?
CIA三元模型是一个帮助组织在建立系统和安全策略时评估风险的基础模型。该模型由三个核心原则构成,它们分别是:
- 保密性:指只有经过授权的用户才能访问特定的资产或数据。敏感数据应遵循“需要知道”的原则,确保只有被授权处理特定资产或数据的人员才能访问。
- 完整性:指数据是正确、真实且可靠的。作为安全专业人员,确定数据的完整性并分析其使用方式,将帮助你判断数据是否可信。
- 可用性:指数据能够被授权访问的人员获取。无法访问的数据是无用的,并且可能妨碍人们正常工作。确保系统、网络和应用程序正常运行,以提供及时可靠的访问,可能是你日常工作职责的一部分。
如何应用CIA三元模型?
上一节我们介绍了CIA三元模型的定义,本节中我们来看看如何运用它来保护一个组织。
假设你在一家拥有大量私人数据的组织(例如银行)工作,CIA三元模型的应用至关重要。以下是每个原则的具体体现:
- 保密性原则至关重要。银行必须确保客户的个人和财务信息安全。
- 完整性原则也是优先事项。例如,如果一个人的消费习惯或消费地点发生剧烈变化,银行很可能会暂时禁用账户访问权限,直到他们能够验证是账户所有者本人而非威胁行为者在进行交易。
- 可用性原则同样关键。银行投入大量精力确保人们能够通过网络轻松访问其账户信息。同时,为了保护这些信息免受威胁行为者侵害,银行会使用验证流程,以便在怀疑客户账户被盗用时,帮助将损害降至最低。
作为一名分析师,你将经常运用三元模型的每个组成部分来帮助保护你的组织及其服务对象。时刻牢记CIA三元模型,将帮助你保护敏感数据和资产免受各种威胁、风险和漏洞的侵害,包括我们之前讨论过的社会工程攻击、恶意软件和数据盗窃。
总结
本节课中我们一起学习了CIA三元模型——一个由保密性、完整性和可用性构成的核心安全框架。我们探讨了每个原则的含义,并通过银行案例了解了如何在实际工作中应用这些原则来评估风险和保护数据。掌握这个模型,将为你在后续学习具体的安全框架和原则,以更好地保护组织免受威胁、风险和漏洞侵害,打下坚实的基础。
015:NIST框架 🛡️
在本节课中,我们将学习两个由美国国家标准与技术研究院(NIST)制定的重要网络安全框架。这些框架为全球各类组织管理网络安全风险提供了标准、指南和最佳实践。
框架的目的与概述
上一节我们介绍了框架的基本概念。本节中,我们来看看两个具体的NIST框架。
组织使用框架作为制定计划的起点,以降低敏感数据和资产所面临的风险、威胁和脆弱性。幸运的是,全球有许多组织创建了框架,安全专业人员可以利用这些框架来制定相应的安全计划。
NIST网络安全框架(CSF)
我们将要讨论的第一个框架是NIST网络安全框架(CSF)。CSF是一个自愿性框架,包含用于管理网络安全风险的标准、指南和最佳实践。无论您为何种组织工作,该框架都广受尊重且对维护安全至关重要。
CSF包含五个核心功能,我们将在后续视频中详细讨论。以下是这五个功能:
- 识别
- 保护
- 检测
- 响应
- 恢复
现在,我们通过一个工作场景来重点了解CSF如何使组织受益,以及如何用它来防范威胁、风险和脆弱性。
CSF应用实例
想象一下,某天早晨你收到一个高风险通知,称一台工作站已被入侵。你识别出该工作站,并发现有一个未知设备连接在上面。你远程阻止了该未知设备以阻止潜在威胁,从而保护组织。接着,你隔离受感染的工作站以防止损害扩散,并使用工具检测任何额外的威胁行为,识别该未知设备。你通过调查事件来做出响应,以确定谁使用了该未知设备、威胁是如何发生的、影响了什么以及攻击源自何处。😡 在这个案例中,你发现一名员工使用工作笔记本电脑的USB端口为其受感染的手机充电。最后,你尽力恢复任何受影响的文件或数据,并修复威胁对工作站本身造成的任何损害。
如前一示例所示,NIST CSF的核心功能为安全专业人员提供了具体的指导和方向。该框架用于制定计划,以适当且快速地处理事件,从而降低风险、保护组织免受威胁并缓解任何潜在的脆弱性。
NIST特别出版物 800-53
NIST CSF的适用范围还扩展到了美国联邦政府的保护领域,具体体现在NIST特别出版物(SP)800-53中。它为保护联邦政府内部信息系统的安全提供了一个统一的框架,包括私营公司为联邦政府使用而提供的系统。该框架提供的安全控制用于维护政府所用系统的CIA三要素(机密性、完整性、可用性)。
所有这些框架和控制措施协同工作的方式非常精妙。我们在本视频中讨论了一些非常重要的安全主题,这些主题在你继续安全之旅时将非常有用,因为它们是安全专业的核心要素。
NIST CSF是一个大多数安全专业人员都熟悉的实用框架。而如果你有兴趣为美国联邦政府工作,理解NIST SP 800-53则至关重要。
总结
本节课中,我们一起学习了NIST网络安全框架(CSF)及其五个核心功能,并通过一个实例了解了其应用。我们还简要介绍了NIST特别出版物800-53,它专门用于保护美国联邦政府的信息系统安全。这些框架为系统化地管理网络安全风险提供了坚实的基础。
接下来,我们将继续深入探讨NIST CSF的五个功能,以及组织如何利用它们来保护资产和数据。
谷歌网络安全专业证书:第二课:安全风险管理:P16:探索NIST网络安全框架的五个核心功能 🔍
在本节课程中,我们将深入学习NIST网络安全框架的五个核心功能。这些功能构成了组织管理网络安全风险、实施策略并从过往事件中学习的基础。理解这五个功能对于构建有效的安全防御体系至关重要。
上一节我们介绍了NIST CSF的用途与益处。本节中,我们将具体探讨其五个核心功能:识别、保护、检测、响应和恢复。
NIST CSF框架围绕五个核心功能构建:识别、保护、检测、响应和恢复。这些核心功能帮助组织管理网络安全风险、实施风险管理策略并吸取以往教训。本质上,在安全运营中,NIST CSF功能是确保组织免受潜在威胁、风险和漏洞侵害的关键。
现在,让我们花些时间逐一探讨每个功能如何用于提升组织的安全性。
以下是五个核心功能的详细说明:
- 识别:此功能涉及管理网络安全风险及其对组织人员与资产的影响。例如,作为安全分析师,你可能需要监控组织内部网络的系统和设备,以识别潜在的安全问题,如网络上的受感染设备。
- 保护:此功能指通过实施策略、流程、培训和工具来帮助减轻网络安全威胁,从而保护组织。例如,作为安全分析师,你和你的团队可能会遇到新的、不熟悉的威胁和攻击。因此,研究历史数据并改进策略和流程至关重要。
- 检测:此功能意味着识别潜在的安全事件,并提升监控能力以加快检测速度与效率。例如,作为分析师,你可能被要求审查新设置的安全工具,确保它能标记低、中、高风险,并就任何潜在威胁或事件向安全团队发出警报。
- 响应:此功能确保使用正确的程序来遏制、消除和分析安全事件,并实施安全流程的改进。例如,作为分析师,你可能需要与团队合作收集整理数据以记录事件,并提出流程改进建议以防止事件再次发生。
- 恢复:此功能是将受影响的系统恢复正常运营的过程。例如,作为初级安全分析师,你可能会与安全团队合作,恢复因泄露等事件而受影响的系统、数据及资产(如财务或法律文件)。
本节课中,我们一起学习了NIST CSF及其五个核心功能的价值。从主动措施到被动措施,所有五个功能对于确保组织拥有有效的安全策略都至关重要。安全事件总会发生,但组织必须具备从事件造成的损害中快速恢复的能力,以将风险水平降至最低。
接下来,我们将讨论与NIST框架和CIA三要素相辅相成、共同保护关键数据和资产的安全原则。
017:OWASP安全原则
概述
在本节课中,我们将学习开放网络应用安全项目(OWASP)提出的几项核心安全原则。这些原则是安全分析师用于保护组织数据和资产、最小化威胁与风险的重要指南,它们与NIST框架和CIA三要素相辅相成。
理解如何保护组织的数据和资产至关重要,因为这将是您作为安全分析师职责的一部分。幸运的是,有一些原则和指南可以与NIST框架及CIA三要素一同使用,以帮助安全团队最小化威胁和风险。
1. 最小化攻击面 🎯
上一节我们提到了安全原则的重要性,本节中我们首先来看看“最小化攻击面”原则。
攻击面是指威胁行为者可能利用的所有潜在漏洞,例如攻击向量——即攻击者用于渗透安全防御的途径。常见的攻击向量包括钓鱼邮件和弱密码。
为了最小化攻击面并避免由这类向量引发的事件,安全团队可以采取以下措施:
- 禁用不必要的软件功能。
- 限制对特定资产的访问权限。
- 建立更复杂的密码要求。
2. 最小权限原则 🔐
在了解了如何缩小攻击范围后,接下来我们关注如何控制内部访问。“最小权限原则”意味着确保用户仅拥有完成其日常工作所需的最小访问权限。
限制对组织信息和资源访问的主要原因是减少安全漏洞可能造成的损害。例如,作为一名初级分析师,您可能有权访问日志数据,但无权更改用户权限。因此,如果威胁行为者盗用了您的凭证,他们也只能获得对数字或物理资产的有限访问权限,这可能不足以让他们部署其预谋的攻击。
3. 纵深防御 🛡️
除了控制权限,建立多层次的防护也至关重要。我们将要讨论的下一个原则是“纵深防御”。
纵深防御意味着组织应具备多种安全控制措施,以不同的方式应对风险和威胁。安全控制的一个例子是多因素认证(MFA),它要求用户在输入用户名和密码之外,还需采取额外步骤才能访问应用程序。
以下是其他可用于建立多层防御的安全控制措施:
- 防火墙
- 入侵检测系统
- 权限设置
4. 职责分离 ⚖️
建立防御体系后,我们还需考虑内部制衡。“职责分离”原则可用于防止个人进行欺诈或非法活动。
该原则意味着不应赋予任何人过多的特权,以致其可能滥用系统。例如,公司里签署支票的人不应同时是准备支票的人。
5. 保持安全措施简单 ✨
接下来是“保持安全措施简单”的原则。顾名思义,在实施安全控制时,应避免不必要的复杂解决方案,因为它们可能变得难以管理。
安全控制措施越复杂,人们就越难进行协作。
6. 正确修复安全问题 🔧
最后一项原则是“正确修复安全问题”。技术是强大的工具,但也可能带来挑战。当安全事件发生时,安全专业人员需要快速识别根本原因。
此后,重要的是纠正任何已识别的漏洞并进行测试,以确保修复成功。一个典型的问题是用于访问组织Wi-Fi的密码过于简单,因为这可能导致入侵。
要修复此类安全问题,可以实施更严格的密码策略。公式表示为:弱密码 → 潜在入侵风险。修复方案是建立强密码策略。
总结
本节课中,我们一起学习了OWASP的六项核心安全原则:最小化攻击面、最小权限、纵深防御、职责分离、保持简单以及正确修复。虽然内容很多,但理解这些原则将提升您的整体安全知识,并帮助您作为一名安全专业人员脱颖而出。
018:了解最新网络安全威胁
📚 课程概述
在本节课中,我们将跟随谷歌数字取证部门的安全工程师瓦吉赫,学习如何了解并跟进最新的网络安全威胁与趋势。课程将涵盖获取信息的策略、专业发展的建议,并鼓励初学者积极进入网络安全领域。
👤 人物介绍
我的名字是瓦吉赫,是谷歌数字取证部门的一名安全工程师。
❓ 进入网络安全领域需要背景吗?
不需要网络安全背景。我过去的经历包括在水上乐园操作制冰机,以及在大学期间在电影院售卖爆米花和零食。我本科一年级时主修生物专业。
🚌 兴趣的起源
我在公交车上遇到一个人,他提到了一家很酷的网络安全初创公司。这听起来非常酷。
🔍 跟进趋势的策略
以下是我用来跟进最新网络安全趋势的一些策略:
我利用在线论坛进行研究,例如 Medium,以探索不同的安全趋势和主题。我个人经常使用 Medium,因为我可以按标签筛选,例如查找与网络安全或云安全相关的文章。
基于其筛选算法,我可以浏览并了解其他人正在讨论的内容,这帮助我保持信息更新。
🤝 拓展人脉网络
如果你更期待拓展人脉网络,那么我强烈建议直接参加那些行业会议。
💡 给新人的建议
对于想要进入网络安全领域的人,我的建议是:不要因为试图理解网络安全内的每一个专业方向而感到不知所措。
网络安全领域在趋势方面内容非常丰富,及时了解所有这些信息固然很好,但有时你需要退一步,优先确定你最想跟进的网络安全细分主题。
❤️ 职业热情与行业现状
我热爱这份工作,也热爱其中的挑战。根据过去的经验以及从计算机科学领域其他朋友那里听到的信息,我感觉目前网络安全专业人才存在短缺。
他们中的大多数人说,进入这个领域太难、太复杂。
✨ 最后的鼓励
不要听信那些人的话。我鼓励你坚持下去,这绝对是非常值得的。首先掌握好基础知识,并保持持之以恒。
📝 课程总结
本节课中,我们一起学习了网络安全工程师瓦吉赫分享的行业见解。我们了解到进入该领域无需特定背景,可以通过在线论坛和行业会议跟进趋势,并且给新人的核心建议是:打好基础,保持专注,持之以恒。网络安全领域充满挑战与机遇,值得你投身其中。
019:计划安全审核 🔍
概述
在本节课中,我们将学习如何将不同的安全框架、控制措施、安全原则和合规法规整合起来。核心方法是进行安全审核。我们将重点介绍内部安全审核,并详细讲解其计划阶段的两个关键要素:确定审核范围与目标,以及进行风险评估。
我们已经介绍了不同的框架、控制措施、安全原则和合规法规。随之而来的问题是:它们如何协同工作?
这个问题的答案是:通过执行安全审核。安全审核是根据一系列预期标准,对组织的安全控制措施、政策和程序进行的审查。
安全审核主要有两种类型:外部审核和内部审核。我们将聚焦于内部安全审核,因为这是初级分析师可能被要求参与的类型。
内部安全审核通常由一个团队执行,团队成员可能包括组织的合规官、安全经理和其他安全团队成员。
内部安全审核用于帮助改善组织的安全状况,并帮助组织避免因不合规而遭受监管机构的罚款。它们帮助安全团队识别组织风险、评估控制措施并纠正合规问题。
上一节我们讨论了内部审核的目的,本节中我们来看看内部审核的一些常见要素。
以下是内部安全审核的常见要素:
- 确定审核的范围和目标。
- 对组织资产进行风险评估。
- 完成控制措施评估。
- 评估合规性。
- 向利益相关者传达结果。
在本视频中,我们将介绍前两个要素,它们是审核计划过程的一部分:确定范围与目标,然后完成风险评估。
范围指的是内部安全审核的具体标准。范围要求组织识别可能影响其安全状况的人员、资产、政策、程序和技术。
目标是组织安全目标的概要,即他们希望实现什么以改善其安全状况。虽然通常由更高级别的安全团队成员和其他利益相关者确定审核的范围和目标,但初级分析师可能会被要求审查和理解这些范围与目标,以完成审核的其他要素。
例如,本次审核的范围涉及:
- 评估用户权限。
- 识别现有的控制措施、政策和程序。
- 核算组织当前使用的技术。
概述的目标包括:
- 实施如NIST CSF等框架的核心功能。
- 建立确保合规的政策和程序。
- 加强系统控制。
下一个要素是进行风险评估,其重点是识别潜在的威胁、风险和漏洞。这有助于组织考虑应实施和监控哪些安全措施,以确保资产的安全。
与确定范围和目标类似,风险评估通常由经理或其他利益相关者完成。然而,你可能会被要求分析风险评估中提供的细节,以考虑需要建立哪些类型的控制措施和合规法规来帮助改善组织的安全状况。
例如,这份风险评估强调,目前缺乏足够的控制措施、流程和程序来保护组织资产。具体而言:
- 对物理和数字资产(包括员工设备)的管理不当。
- 用于存储数据的设备没有得到妥善保护。
- 对存储在组织内部网络中的私人信息的访问可能需要更严格的控制措施。
总结
本节课中我们一起学习了安全审核,特别是内部安全审核的计划阶段。我们明确了审核的范围定义了审查的边界,目标指明了改善安全状况的方向,而风险评估则是识别潜在威胁与漏洞的关键步骤,为后续的控制措施评估和合规性检查奠定了基础。
020:完成安全审核
在本节中,我们将学习如何完成一次内部安全审核。我们将重点介绍审核计划阶段之后的三个核心要素:控制措施评估、合规性评估以及结果沟通。通过本节的学习,你将了解作为一名初级安全分析师,在审核收尾阶段需要完成的具体任务。
上一节我们讨论了内部安全审核的初步规划要素。本节中,我们将介绍初级分析师可能需要完成的后续要素。
回顾一下,内部安全审核的规划要素包括:确定范围与目标,然后进行风险评估。剩下的三个要素是:完成控制措施评估、评估合规性以及沟通结果。
在完成最后这三个要素之前,你需要重新审视审核的范围、目标以及风险评估结果,并向自己提出一些问题。例如:
- 本次审核旨在达成什么目标?
- 哪些资产面临的风险最高?
- 现有的控制措施是否足以保护这些资产?
- 如果不足,需要实施哪些控制措施和合规性法规?
思考这些问题有助于你完成下一个要素:控制措施评估。
控制措施评估需要仔细审查组织现有的资产,然后评估这些资产面临的潜在风险,以确保内部控制和流程是有效的。
以下是初级分析师可能需要完成的任务,即将控制措施分为以下几类:
- 管理控制:这类控制与网络安全中的人力因素相关。它包括定义组织如何管理数据的政策和程序,例如实施密码策略。
- 技术控制:这类控制是用于保护资产的硬件和软件解决方案,例如使用入侵检测系统或加密技术。
- 物理控制:这类控制是指为防止对受保护资产进行物理访问而采取的措施,例如监控摄像头和门锁。
下一个要素是确定组织是否遵守了必要的合规性法规。
回顾一下,合规性法规是组织为确保私人数据安全而必须遵守的法律。
在本示例中,该组织在欧盟开展业务并接受信用卡支付,因此它需要遵守 GDPR 和 支付卡行业数据安全标准。
内部安全审核的最后一个常见要素是沟通。
一旦内部安全审核完成,需要将结果和建议传达给相关方。通常,这类沟通会总结审核的范围和目标,然后列出已识别的风险,并注明这些风险需要被解决的速度。此外,它还会明确组织需要遵守的合规性法规,并为改善组织的安全状况提供建议。
内部审核是发现组织内部安全漏洞的有效方法。在我之前工作的公司,我和我的团队进行了一次内部密码审核,发现许多密码强度不足。一旦我们识别出这个问题,合规团队便牵头开始执行更严格的密码策略。
审核是一个机会,可以确定组织已具备哪些安全措施,以及哪些领域需要改进以实现组织期望的安全状态。安全审核过程虽然复杂,但对组织具有极高的价值。在本课程后续部分,你将有机会为一家虚构公司完成内部安全审核的部分要素,这可以作为你职业作品集的一部分。
在本节课中,我们一起学习了如何完成内部安全审核。我们详细探讨了控制措施评估、合规性评估以及结果沟通这三个关键步骤。掌握这些知识,将帮助你作为一名初级安全分析师,有效地参与并支持组织的安全风险管理流程。
021:安全风险管理总结
在本节课中,我们学习了帮助组织保护数据和资产的关键安全概念。这些知识将为你进入安全专业领域打下坚实的基础。
课程回顾
上一节我们介绍了多种安全工具,本节我们来回顾本课程涵盖的核心安全概念。
我们首先定义了安全框架,并解释了它们如何帮助组织保护关键信息。
接着,我们探讨了安全控制措施及其在防范风险、威胁和漏洞方面的重要作用。这包括对核心安全模型CIA三元组的讨论,以及两个NIST框架:网络安全框架和SP 800-53。
然后,我们介绍了OWASP安全设计原则中的部分内容。
最后,我们引入了安全审计,重点介绍了你可能需要完成或参与的内部审计的要素。
核心概念与工具
以下是本课程涉及的核心模型与框架:
- CIA三元组:这是信息安全的基石模型,代表机密性、完整性和可用性。
- NIST网络安全框架:一个广泛采用的框架,帮助组织管理网络安全风险。
- NIST SP 800-53:一套为联邦信息系统提供安全控制措施的综合指南。
- OWASP安全设计原则:一系列指导安全系统设计的最佳实践。
知识的应用与展望
安全专业人员运用我们讨论的这些概念来帮助保护组织的资产、数据、系统和人员。在你进入安全专业领域的过程中,许多这些概念会反复出现。我们现在所做的是为你提供安全实践和主题的基础理解,这将对你未来的发展有所帮助。
在课程的下一部分,我们将讨论你未来作为分析师可能使用的具体安全工具。我们将介绍它们如何用于改善组织的安全状况,以及它们如何帮助你实现保护组织和人员安全的目标。
总结
本节课中,我们一起学习了安全框架、控制措施、核心模型以及审计流程。这些是构建有效安全策略和管理风险的基础模块。期待与你继续这段学习旅程,我们很快再见。
022:安全工具入门 🛠️
在本节课中,我们将要学习安全专业人员如何利用各种工具来应对特定的安全挑战,例如收集安全数据、检测分析威胁以及自动化任务。这些工具有助于组织构建更全面的安全态势。
上一节我们介绍了安全框架、控制措施和设计原则。本节中,我们来看看安全专业人员在实际工作中使用的一些关键工具。
日志类型与用途 📝
安全工具的基础之一是日志。日志是系统、应用程序或网络设备自动生成的记录文件,用于追踪发生的事件。
以下是几种常见的日志类型及其作用:
- 系统日志:记录操作系统级别的事件,如用户登录、系统启动和关闭。
- 应用程序日志:由特定软件生成,记录其运行状态、错误和用户活动。
- 安全日志:专门记录与安全相关的事件,例如失败的登录尝试、权限变更和策略违反。
- 网络日志:由防火墙、路由器等网络设备产生,记录网络流量、连接尝试和潜在攻击。
这些日志是进行安全监控和事件调查的原始数据来源。
安全信息与事件管理仪表盘 📊
仅仅拥有日志数据是不够的。为了高效地分析海量信息,安全专业人员使用安全信息与事件管理系统。
SIEM 的核心功能可以概括为以下公式:
SIEM = 安全信息收集 + 事件关联分析 + 实时仪表盘展示
SIEM 仪表盘将来自不同来源的日志数据聚合起来,进行关联分析,并以可视化的方式呈现,帮助安全团队快速识别异常模式和潜在威胁。
常见的 SIEM 工具 🧰
了解了 SIEM 的概念后,我们来看看行业中一些常用的 SIEM 工具。它们的功能和复杂度各不相同,适用于不同规模的组织。
以下是部分常见的 SIEM 工具示例:
- Splunk:一个强大的数据平台,广泛用于日志搜索、监控和分析。
- IBM QRadar:提供高级安全智能,能够关联来自数千个设备的事件。
- ArcSight:以其强大的事件关联引擎和合规性报告功能而闻名。
- 开源工具:例如 ELK Stack,它由 Elasticsearch、Logstash 和 Kibana 组成,是一个流行的日志管理解决方案。
选择哪种工具取决于组织的具体需求、技术栈和预算。
本节课中,我们一起学习了安全工具的基础知识。我们了解了不同类型的日志及其用途,探讨了 SIEM 系统如何通过仪表盘整合与分析安全数据,并介绍了几种业界常见的 SIEM 工具。掌握这些工具是有效实施安全监控和威胁响应的关键一步。
023:日志与SIEM工具
在本节课中,我们将要学习日志的基础知识以及安全信息与事件管理工具的作用。我们将了解常见的日志来源,并探讨SIEM工具如何帮助安全分析师高效地监控和应对安全威胁。
日志概述
作为安全分析师,您的职责之一可能包括分析日志数据,以缓解和管理威胁、风险和漏洞。
需要记住,日志是组织系统和网络内发生事件的记录。安全分析师需要访问来自不同来源的各种日志。
以下是三种常见的日志来源:
- 防火墙日志:记录来自互联网的入站流量尝试或已建立的连接,同时也记录网络内部向互联网发出的出站请求。
- 网络日志:记录所有进入和离开网络的计算机和设备,同时也记录网络上设备与服务之间的连接。
- 服务器日志:记录与网站、电子邮件或文件共享等服务相关的事件,包括登录、密码和用户名请求等操作。
通过监控如上图所示的日志,安全团队可以识别漏洞和潜在的数据泄露。
SIEM工具简介
理解日志非常重要,因为SIEM工具依赖日志来监控系统并检测安全威胁。
安全信息与事件管理工具,或称SIEM工具,是一种收集和分析日志数据以监控组织关键活动的应用程序。
SIEM工具提供实时可见性、事件监控与分析以及自动化警报。它还将所有日志数据存储在集中位置。
由于SIEM工具会对日志进行索引并减少安全专业人员必须手动审查和分析的日志数量,因此它们提高了效率并节省了时间。
SIEM工具的配置与定制
但是,SIEM工具必须经过配置和定制,以满足每个组织独特的安全需求。
随着新的威胁和漏洞不断出现,组织必须持续定制其SIEM工具,以确保威胁能够被检测到并得到快速处理。
在本证书课程的后续部分,您将有机会练习使用不同的SIEM工具来识别潜在的安全事件。
接下来,我们将探索SIEM仪表板,以及网络安全专业人员如何使用它们来监控威胁、风险和漏洞。
本节课中我们一起学习了日志的三种主要来源(防火墙、网络和服务器日志),并了解了SIEM工具如何通过集中收集、分析和警报日志数据来提升安全监控的效率和响应速度。我们还认识到,为了有效应对不断演变的威胁,对SIEM工具进行持续配置和定制至关重要。
024:SIEM仪表板
在本节课中,我们将要学习SIEM工具的另一个重要功能:仪表板。我们将探讨仪表板如何以直观的图表形式呈现安全数据,帮助安全分析师快速识别威胁并做出决策。
仪表板概述
上一节我们介绍了SIEM工具如何收集和分析日志数据。然而,这只是SIEM在网络安全中的众多用途之一。SIEM工具还可以用来创建仪表板。
你可能在手机或其他设备的应用程序中遇到过仪表板。它们以易于理解的格式呈现关于你的账户或位置的信息。例如,天气应用程序使用图表、图形和其他视觉元素来显示温度、降水量、风速和预报等数据。这种格式使你能够快速识别天气模式和趋势,从而做好准备并相应地计划你的一天。
SIEM仪表板的作用
就像天气应用帮助人们基于数据做出快速、明智的决策一样,SIEM仪表板帮助安全分析师以图表、图形或表格的形式快速、轻松地访问其组织的安全信息。
以下是SIEM仪表板的一个典型应用场景:
- 例如,一名安全分析师收到一个关于可疑登录尝试的警报。
- 该分析师访问其SIEM仪表板以收集有关此警报的信息。
- 通过使用仪表板,分析师发现尤拉的账户在五分钟内发生了500次登录尝试。
- 他们还发现,这些登录尝试发生的地理位置超出了尤拉通常的位置,也超出了她通常的工作时间。
通过使用仪表板,安全分析师能够快速查看登录尝试时间线、位置和活动确切时间的可视化呈现,然后确定该活动是可疑的。
仪表板的定制化与指标
除了提供安全相关数据的全面摘要外,SIEM仪表板还为利益相关者提供不同的指标。
指标是关键的技术属性,例如响应时间、可用性和故障率,用于评估软件应用程序的性能。
SIEM仪表板可以进行定制,以显示与组织中不同成员相关的特定指标或其他数据。例如,安全分析师可以创建一个仪表板,用于显示监控日常业务运营的指标,如进出网络流量的量。
总结
本节课中我们一起学习了SIEM仪表板的功能。我们探讨了安全分析师如何使用SIEM仪表板,通过可视化的数据呈现来快速识别异常活动(如可疑登录),从而帮助组织维持其安全态势。我们还了解了仪表板可以定制化显示关键性能指标,以满足不同角色的需求。
干得好。
接下来,我们将讨论网络安全行业中一些常见的SIEM工具,我们下一节见。
025:可访问性与安全性的相似之处 🎯
在本节课中,我们将跟随谷歌Chrome团队工程副总裁帕里萨的分享,探讨可访问性与网络安全之间的重要联系。我们将理解为何在设计安全措施时必须考虑不同用户的能力差异,并学习如何将这种包容性思维应用到网络安全实践中。
我的名字是帕里萨,我是工程副总裁,并负责领导Chrome团队。
作为Chrome团队的总经理,我领导着一个由全球工程师、产品经理和设计师组成的团队,共同构建Chrome浏览器并确保所有用户的安全。
我认为可访问性对技术的各个方面都至关重要。
当我们思考它与网络安全的相关性时,我们最终的目标是保护每个人的安全。
我将可访问性理解为,使信息、活动甚至环境对尽可能多的人而言有意义、可感知且可用。
当我们从技术角度讨论这一点时,它通常是指让残障人士也能获取信息或服务。
我们基于自身能力做出的安全增强决策,实际上可能对他人无效。
例如,你有时会看到用红色来表示警告,但对于色盲人士来说,这种方式将是无效的。因此,在我们试图保护人们安全时,充分考虑可访问性,对于措施的有效性至关重要。
我在安全领域工作了很长时间,确实看到了这两个领域之间的一些相似之处。
当你试图解决一个非常具体的安全问题或可访问性问题时,我确实看到了创新被驱动。
隐藏式字幕最初是为了帮助听力障碍人士而设计和构建的,但最终它帮助了所有人。
对于网络安全领域的新手来说,非常重要的一点是记住,你希望服务的用户拥有不同的能力范围。
上一节我们了解了可访问性的基本概念,接下来我们看看如何将其原则应用到安全实践中。
获取用户研究和反馈,并在测试安全缓解措施有效性时涵盖不同能力范围,这一点非常重要。
我知道在早期这对我来说很可怕,我看起来和其他人不一样,我真的很挣扎于自己是否属于这里。
找到可以成为导师的人,鼓起勇气提问,并认识到你很少是唯一有那个问题的人,有时只是坚持度过艰难时刻,就能带来突破,也能增长信心。
我学到的一件事是,我拥有与这个领域其他人不同的背景,这恰恰是我的超能力。
我不应专注于我与房间里“常态”之间的差距,而应该为我自身的独特性,以及我为团队带来的独特技能和视角感到自豪。
本节课中我们一起学习了可访问性与网络安全之间的深刻联系。核心在于,有效的安全设计必须是包容性的设计。我们不能仅凭自己的经验假设所有用户都有相同的能力,而必须主动考虑多样性,通过用户研究和包容性测试来确保安全措施对每个人都有效。记住,独特的视角和背景是你的优势,它们能帮助你构建出更强大、更普适的安全解决方案。
026:探索常见的SIEM工具 🔍
在本节课中,我们将要学习几种行业领先的安全信息与事件管理工具。了解这些工具的类型和特点,对于安全分析师监控系统、检测威胁至关重要。
上一节我们讨论了SIEM工具如何帮助安全分析师监控系统和检测安全威胁。本节中,我们来看看一些在行业中处于领先地位的SIEM工具,这些工具是安全分析师在工作中很可能会遇到的。
首先,我们来讨论组织根据其独特的安全需求可以选择的几种不同类型的SIEM工具。
以下是SIEM工具的三种主要部署类型:
- 自托管SIEM工具:这类工具要求组织使用自己的物理基础设施(如服务器容量)来安装、运行和维护。这些应用程序由组织内部的IT部门而非第三方供应商管理和维护。当组织需要对机密数据保持物理控制时,自托管SIEM工具是理想的选择。
- 云托管SIEM工具:这类工具由SIEM供应商维护和管理,可通过互联网访问。对于不想投资创建和维护自身基础设施的组织而言,云托管SIEM工具是理想的选择。
- 混合解决方案:组织也可以选择结合使用自托管和云托管的SIEM工具,这被称为混合解决方案。组织选择混合SIEM解决方案,是为了在利用云服务优势的同时,也能对机密数据保持物理控制。
Splunk Enterprise、Splunk Cloud和Chronicle是许多组织用来帮助保护其数据和系统的常见SIEM工具。
接下来,我们逐一了解这些具体的工具。让我们从Splunk开始讨论。Splunk是一个数据分析平台,其Splunk Enterprise产品提供了SIEM解决方案。
以下是Splunk系列工具的介绍:
- Splunk Enterprise:这是一个自托管工具,用于保留、分析和搜索组织的日志数据,以实时提供安全信息和警报。
- Splunk Cloud:这是一个云托管工具,用于收集、搜索和监控日志数据。对于那些运行混合云或纯云环境(即组织的部分或全部服务在云端)的组织来说,Splunk Cloud非常有帮助。
最后,我们来介绍谷歌的Chronicle。Chronicle是一个云原生工具,旨在保留、分析和搜索数据。
Chronicle提供日志监控、数据分析和数据收集功能。与云托管工具类似,云原生工具也完全由供应商维护和管理。但云原生工具是专门为充分利用云计算的各项能力(如可用性、灵活性和可扩展性)而设计的。
由于威胁行为者不断改进其策略,以破坏目标的机密性、完整性和可用性,因此组织使用多种安全工具来帮助防御攻击至关重要。我们刚刚讨论的SIEM工具只是安全团队可用于帮助防御其组织的众多工具中的几个例子。
在本证书课程的后续部分,你将有机会亲身体验使用Splunk Cloud和Chronicle,这是一个令人兴奋的实践机会。
本节课中,我们一起学习了SIEM工具的几种主要部署类型(自托管、云托管和混合方案),并介绍了Splunk Enterprise、Splunk Cloud和Google Chronicle这三款行业领先的SIEM工具及其特点。理解这些工具是构建有效安全监控能力的基础。
027:关于网络安全领域的误解
在本节课程中,我们将跟随谷歌隐私安全与防护团队的工程师塔利亚,一起探讨关于网络安全职业的几个常见误解。了解这些真相,将帮助你更清晰地规划自己的职业道路。
我是塔利亚,是谷歌隐私安全与防护部门的一名工程师。
网络安全领域存在很多误解。
误解一:必须精通编码、黑客技术或数学
一个很大的误解是,你必须会编程、必须懂黑客技术,或者必须是个数学天才。
我不会编程,尽管随着时间推移我学会了阅读代码。
我不是黑客。我不在安全领域的“红队”(攻击方),而更像是在“蓝队”(防御方)。
我也不是数学天才。我走的是商业路线,不是数学家,那并非我的道路。
因此,我的很多优势实际上在于建立人际关系的能力、快速学习的能力、进行深入研究的能力以及提出正确问题的能力。我认为这些才是我的最强项。
误解二:必须拥有网络安全学位
另一个重大误解是,你必须拥有网络安全学位。
我实际上在大学学的是商科。学位并非必需,尽管我后来确实回去深造了,但那是我个人的选择。
你不需要为了被视为网络安全领域的优秀候选人而去攻读这个学位。
误解三:网络安全工作意味着孤立
还有一个误解是,网络安全工作意味着孤立。
这实际上取决于你选择的道路,但我发现这远非事实。我的工作需要大量的团队协作与沟通。
核心建议:勇于开创自己的道路
我对任何对网络安全感兴趣的人的最大建议是:勇于开创自己的道路。
每个人的道路看起来都不同。如果你和五个不同的人交谈,他们的旅程都会各不相同。
在你的旅程中,识别那些能够支持你的人,让他们知道你在攻读这个证书,看看在你启程时能获得什么样的支持。
总结
本节课中,我们一起学习了关于网络安全职业的三个常见误解:
- 网络安全不等于必须会编程、当黑客或精通数学,软技能同样至关重要。
- 进入该领域并不强制要求拥有网络安全专业学位。
- 网络安全工作并非孤立无援,团队合作是常态。
最重要的是,塔利亚鼓励我们勇于开创属于自己的独特职业道路,并积极寻求支持。记住,你的技能、热情和学习能力才是成功的关键。
028:总结
在本节课程中,我们回顾了日志管理、安全仪表盘和常见安全信息与事件管理工具的核心内容。
课程回顾
上一节我们介绍了安全信息与事件管理工具,本节我们来总结本模块的核心要点。
我们首先讨论了日志在网络安全中的重要性。
以下是几种关键的日志类型:
- 防火墙日志:记录网络边界上的允许和拒绝的流量。
- 网络日志:记录网络设备(如路由器和交换机)的活动。
- 服务器日志:记录服务器操作系统和应用程序的事件。
接下来,我们探讨了SIEM仪表盘。这些仪表盘使用图表和图形等可视化方式,为安全团队提供关于组织安全状况的快速、清晰的洞察。
最后,我们介绍了网络安全行业中常用的SIEM工具。
以下是两个主流的SIEM工具示例:
- Splunk:一个广泛使用的平台,用于搜索、监控和分析机器生成的数据。
- Chronicle:谷歌云旗下的安全分析平台,专注于大规模威胁检测。
后续展望
在本课程后续部分,我们将探索更多的安全工具,并提供实践使用的机会。
紧接着,我们将讨论剧本,以及它们如何帮助安全专业人员对已识别的威胁、风险和漏洞做出恰当的响应。我们下一节再见。
总结
本节课中,我们一起学习了网络安全中日志的核心作用、SIEM仪表盘的可视化价值,以及Splunk和Chronicle等常见SIEM工具。这些是安全风险监控与分析的基础组成部分。
谷歌网络安全专业证书:第二课:安全风险管理:P29:欢迎来到第四周
在本节课中,我们将学习安全团队用于应对威胁和漏洞的重要工具——剧本。我们将探讨剧本如何与SIEM工具协同工作,并详细介绍事件响应的六个标准阶段。
上一节我们讨论了安全信息与事件管理工具及其如何帮助组织提升安全态势。本节中,我们将继续探索安全专业人员使用的另一个关键工具:剧本。
剧本是安全团队遵循的详细行动指南,用于应对SIEM工具识别出的威胁、风险或漏洞。它们确保响应行动一致、高效且可重复。
以下是剧本通常包含的核心组成部分:
- 目标:明确说明剧本旨在解决的具体安全事件或问题。
- 触发条件:定义启动该剧本所需满足的特定警报或条件。
- 所需工具:列出执行剧本步骤所需的软件、访问权限或其他资源。
- 行动步骤:按顺序详细说明响应团队需要执行的具体操作。
- 结果与报告:说明事件处理完毕后需要记录的信息和生成的报告。
为了系统化地处理安全事件,行业普遍采用结构化的事件响应流程。该流程通常包含六个阶段。
以下是事件响应的六个阶段:
- 准备:此阶段是基础,涉及制定事件响应计划、组建团队、准备工具和资源,并进行培训与演练。
- 检测与分析:在此阶段,团队通过监控工具(如SIEM)发现潜在安全事件,并收集数据进行分析以确认其性质、范围和影响。
- 遏制、根除与恢复:这是核心响应阶段。遏制指采取措施防止事件扩大;根除指找到并彻底移除事件的根本原因;恢复指将受影响的系统和服务安全地恢复到正常运营状态。
- 事后总结:事件处理后,团队会回顾整个响应过程,分析哪些做得好、哪些需要改进,并更新剧本和计划。
- 协调:此阶段强调在整个响应过程中,与组织内部其他部门(如法律、公关)及外部相关方(如执法机构)进行有效沟通与协作。
- 合规:确保整个事件响应过程符合相关的法律、法规及行业标准的要求。
本节课中,我们一起学习了安全剧本的概念及其组成部分,并系统了解了事件响应的六个标准阶段:准备、检测与分析、遏制根除与恢复、事后总结、协调与合规。掌握这些知识有助于构建系统化、高效的安全事件应对能力。
030:P30 事件响应手册的阶段 🛡️
在本节课中,我们将要学习一个在网络安全领域至关重要的工具——事件响应手册。我们将了解它的定义、重要性,并详细拆解其包含的六个核心阶段。
概述
上一节我们介绍了SIEM工具如何帮助保护组织的关键资产和数据。本节中,我们来看看另一个用于维护组织安全的重要工具——手册。
手册是一份提供任何操作行动细节的指南。在安全领域,手册明确了应对安全事件时应使用何种工具。手册至关重要,因为快速识别并缓解安全威胁需要紧迫性、效率和准确性,以降低潜在风险。手册确保无论由谁处理事件,人们都能按照规定的、一致的行动列表来操作。
有多种类型的手册,包括用于事件响应、安全警报、特定团队和特定产品的手册。这里我们将重点介绍网络安全中常用的一种手册,称为事件响应手册。
事件响应是组织快速识别攻击、控制损害并纠正安全漏洞影响的尝试。事件响应手册是一个包含六个阶段的指南,用于帮助从头到尾缓解和管理安全事件。
事件响应手册的六个阶段
以下是事件响应手册的六个关键阶段。
第一阶段:准备
组织必须通过记录程序、建立人员配置计划以及教育用户,为缓解安全事件的可能性、风险和影响做好准备。准备为成功的事件响应奠定基础。
例如,组织可以创建事件响应计划和程序,概述每个安全团队成员的角色和职责。
第二阶段:检测与分析
此阶段的目标是使用定义的流程和技术来检测和分析事件。在此阶段使用适当的工具和策略,有助于安全分析师确定是否发生了违规行为,并分析其可能的影响范围。
第三阶段:遏制
遏制的目标是防止进一步的损害,并减少安全事件的直接影响。在此阶段,安全专业人员采取行动遏制事件并最小化损害。遏制对组织来说是高度优先的事项,因为它有助于防止对关键资产和数据的持续风险。
第四阶段:根除与恢复
此阶段涉及完全清除事件的痕迹,以便组织能够恢复正常运营。在此阶段,安全专业人员通过移除恶意代码和修复漏洞来消除事件的痕迹。一旦他们履行了应尽的职责,就可以开始将受影响的环境恢复到安全状态。这也被称为IT恢复。
第五阶段:事后活动
此阶段包括记录事件、通知组织领导层,并应用经验教训,以确保组织能更好地应对未来事件。根据事件的严重程度,组织可以进行全面的事件分析,以确定事件的根本原因,并实施各种更新或改进,以增强其整体安全态势。
第六阶段:协调
协调涉及根据组织既定的标准,在整个事件响应过程中报告事件和共享信息。协调非常重要,原因有很多。它确保组织满足合规要求,并允许进行协调的响应和解决。
工具协同与总结
安全专业人员可以通过多种方式获知事件。您最近学习了SIEM工具及其如何收集和分析数据。它们利用这些数据检测威胁并生成警报,从而通知安全团队潜在事件。然后,当安全分析师收到类似的警报时,他们可以使用相应的事件响应手册来指导响应流程。
SIEM工具和手册协同工作,为响应潜在安全事件提供了一种结构化且高效的方式。在整个课程中,您将有机会继续加深对这些重要概念的理解。
本节课中,我们一起学习了事件响应手册的六个核心阶段:准备、检测与分析、遏制、根除与恢复、事后活动以及协调。理解并遵循这些阶段,是有效管理和缓解安全事件的关键。
031:事件响应与预案手册的价值 🛡️
在本节课中,我们将跟随谷歌软件工程师扎克的分享,了解事件响应流程中“预案手册”的核心价值,以及它对网络安全从业者,尤其是初学者的重要性。我们将学习预案手册的定义、应用场景,并探讨进入网络安全领域的实用建议。
概述
预案手册是指导团队应对各类事件的标准操作流程文档。对于网络安全领域的新人而言,它是将集体经验转化为个人行动的关键工具。
预案手册的定义与作用
上一节我们概述了课程内容,本节中我们来看看预案手册的具体定义。扎克指出,预案手册是谷歌软件工程师及其他人员使用的一种文档。
预案手册用于确定如何响应发生的各种情况,无论是安全事件、隐私事件还是主动攻击。它包含一系列指导方针或算法,用于确定最佳行动方案,以确保妥善管理用户的数据和安全。
预案手册对初学者的重要性
了解了预案手册是什么之后,我们来看看它为何如此重要。扎克分享了他作为行业新人的体会。
扎克在网络安全领域相对较新,担任软件工程师约两年。他坦言自己没有足够的知识来应对可能遇到的所有情况,无论是在值班时还是在协助修复漏洞时。
因此,预案手册对于像他这样的新人以及其他刚加入行业的人员来说至关重要。因为它能让你借助经验更丰富人员的智慧来解决问题。本质上,你可以在自己的问题解决过程中,依赖这份手册和他人的建议,获得相当于数十年的经验。
预案手册的应用场景
那么,预案手册具体用在哪些地方呢?以下是其主要应用的一些情况:
- 公开攻击
- 隐私事件
- 数据泄露
- 拒绝服务攻击
- 服务警报 等
一个新手案例:修复漏洞
理论需要结合实际。扎克回忆了他初入团队时的一次亲身经历,这很好地说明了预案或指导的价值。
扎克在安全团队的第一个任务是修复一个外部报告的漏洞。这意味着某位安全研究人员在测试他们的应用时,发现了可能泄露用户数据的潜在问题。
回顾当时,这虽然是一个相对容易解决的问题,但在接到任务时他感到压力巨大。幸运的是,当他们收到漏洞报告时,通常会附带修复指南。提交给他的漏洞报告中包含了步骤说明,指出了他们认为应该采取的措施。
给网络安全新人的建议
基于自身经历,扎克为有志于进入网络安全领域的人提供了以下建议:
核心建议是尽可能多地与行业内的从业者交流。通过交流,你可以:
- 了解工作的真实情况。
- 明确需要掌握哪些技能才能进入这个领域。
- 获悉开放的职位和角色信息。
- 了解在不同公司工作的体验。
扎克希望在他大学毕业时,就有人能告诉他这些工作的真实面貌。他曾经以为编程工作就是每天在昏暗的办公室里对着电脑埋头苦干12小时。
但现实完全不是那样。实际上,大约50%的时间是在与他人沟通,例如评审设计、讨论想法等。这非常吸引人。他认为如果一开始就有人告诉他这一点,他的职业生涯可能会完全不同。
网络安全行业的前景
最后,我们来展望一下这个领域的未来。扎克对网络安全行业的前景持乐观态度。
有些技术团队可能会随着潮流兴起又衰落,但安全领域始终存在。它现在非常重要,并且只会变得越来越重要。因此,在安全团队工作本身就带有一定的“安全感”。
这绝对是一个值得投身的好领域。
总结
本节课中,我们一起学习了事件响应中预案手册的核心价值。我们明确了预案手册是指导应急行动的标准流程,理解了它对初学者整合集体经验、高效解决问题的重要性。通过扎克的个人案例,我们看到了实践指南如何帮助新人克服最初的挑战。最后,我们获得了进入网络安全领域的实用建议,并了解了该领域稳定且持续增长的良好前景。记住,沟通、学习和利用现有资源(如预案手册)是在这个领域成功起步的关键。
032:使用Playbook应对威胁、风险或漏洞 🛡️
在本节课中,我们将学习安全信息和事件管理工具如何与事件响应手册协同工作,以降低组织面临的威胁、风险和漏洞。我们将了解手册的结构、作用,并通过一个具体的恶意软件攻击应对示例,来理解安全分析师如何遵循手册步骤进行有效响应。
概述
事件响应手册是一份指南,它帮助安全专业人员在保持准确性的同时,以更高的紧迫感来缓解安全问题。手册创建了结构,确保了合规性,并概述了沟通和文档流程。组织可能根据具体情况使用不同类型的事件响应手册。
Playbook的作用与重要性
上一节我们提到了SIEM工具,本节中我们来看看如何结合Playbook来应对具体威胁。Playbook为安全团队提供了可遵循的一致性流程,这对于高效、准确地处理安全事件至关重要。
需要注意的是,Playbook是“活文档”。这意味着安全团队会频繁地进行更改、更新和改进,以应对新的威胁和漏洞。此外,组织会从过去的安全事件中学习,以改善其安全状况、完善策略和程序,并降低未来事件发生的可能性和影响,然后相应地更新他们的Playbook。
使用Playbook应对恶意软件攻击示例
以下是一个安全分析师可能使用Playbook来应对潜在恶意软件攻击的步骤示例。在这种情况下,Playbook对于指导分析师采取必要行动以正确处理警报具有无可估量的价值。
第一步:评估警报
这意味着通过分析SIEM生成警报的原因,来确定该警报是否确实有效。这可以通过分析日志数据和相关指标来完成。
第二步:遏制与止损
接下来,Playbook概述了用于遏制恶意软件并减少进一步损害的行动和工具。例如,该手册可能指示分析师隔离或断开受感染网络系统的连接,以防止恶意软件传播到网络的其他部分。
第三步:根除与恢复
在遏制事件之后,Playbook的第三步描述了消除事件所有痕迹并将受影响系统恢复正常运行的方法。例如,手册可能指示分析师恢复受影响的操作系统,然后使用在恶意软件爆发前创建的干净备份来恢复受影响的数据。
第四步:事后活动与总结
最后,一旦事件得到解决,Playbook的第四步指示分析师执行各种事后活动并与安全团队进行协调。一些行动包括创建最终报告向利益相关者通报安全事件,或将事件报告给适当的当局,例如美国联邦调查局或其他调查网络犯罪的机构。
总结
本节课中我们一起学习了事件响应Playbook的核心概念及其在网络安全实践中的应用。作为入门级安全分析师,您可能需要频繁使用Playbook,尤其是在监控网络和响应事件时。理解Playbook为何重要以及它们如何帮助您实现工作目标,将有助于确保您在该领域取得成功。记住,Playbook提供了清晰、一致的流程,是安全团队有效管理和响应安全事件的基石。
033:安全团队多样性的重要性 👥
概述
在本节课程中,我们将跟随谷歌隐私工程师艾琳,探讨安全与隐私团队中多样性的核心价值。我们将了解,构建安全可靠的技术产品不仅需要技术专长,更需要多元化的视角和生活经验。
正文
大家好,我是艾琳,目前在谷歌担任隐私工程师。
我的工作聚焦于前瞻性与新兴技术领域,主要研究那些尚未面世、预计在未来两到五年内出现的技术。我的职责是审视我们正在创造的所有技术,并确保隐私保护理念被嵌入其中。我的思考始于用户接触产品之前,确保他们在使用产品时,能够信任与产品的互动,并知晓我们正在保护他们的隐私——那些他们不愿分享或公开的信息——确保他们在接触产品前就已充分知情。
我一直强调,软技能比技术技能更为重要。因为技术可以传授,但如何与人建立联系、理解他人是无法教授的,这是你自身带来的独特价值。思维的多样性和视角的多元性,对于我们理解所处的世界非常有用。
既然我们是为普罗大众设计产品,就需要大众来帮助我们理解这些多元视角。我可能以一种方式看待事物,但我的同事基于其自身经历可能会有不同的看法。当来自不同背景的你们协同工作时,实际上能为所审视的事物带来更广泛的代表性和更深刻的见解。
你所带来的视角,是让产品变得更好的关键声音。例如,看看那些从事新闻工作的人,或者像我一样曾在娱乐行业工作过的人,他们带来了解决问题的新颖视角。假设我们有一个产品方案,需要说服产品团队“也许我们不该这么做”,这时如果说“从一位前新闻从业者的角度看,我们真的希望这个功能登上《纽约时报》的头条吗?很可能不希望”,这就是一种能让一线团队成员深刻理解其后果的有效沟通方式。
你从出生至今所拥有的全部经历,构成了你独一无二的经验。在面向广大人群进行技术开发时,我们必须考虑到这一点。你的经验,很可能也是他人的经验。因此,如果房间里没有你,我们就失去了为整个等式增添一份美好元素的机会。
正因如此,我鼓励大家:请加入我们,投身于技术领域,参与到STEM(科学、技术、工程、数学)中来。因为无论是产品、安全、隐私,还是软件工程等任何领域,广泛的代表性都至关重要。
总结
本节课我们一起学习了安全与隐私团队中多样性的重要性。我们认识到,多元化的背景和视角是构建可信、包容技术产品的关键。技术能力可以学习,但每个人独特的生活经验和思维方式是不可替代的宝贵资产,它们能帮助团队预见风险、理解用户,并创造出更负责任、更优秀的产品。
034:总结
在本节课程中,我们回顾了安全事件响应手册的核心内容。我们将总结手册的目的、六个阶段及其重要性,以巩固你的理解。
回顾手册的目的
上一节我们介绍了安全事件响应手册的基本概念。手册的核心目的是为安全分析师提供一套结构化的、一致的流程,用于处理各类安全事件。其目标是帮助团队快速响应,并最大限度地减少事件对组织及其服务对象造成的潜在影响和损害。
事件响应手册的六个阶段
以下是事件响应手册通常包含的六个关键阶段,我们将逐一回顾:
- 准备:此阶段涉及建立响应能力,例如组建团队、制定政策和获取必要工具。
- 检测与分析:此阶段专注于识别潜在的安全事件并确定其性质和范围。
- 遏制、根除与恢复:此阶段旨在限制事件影响、消除威胁根源,并使系统恢复正常运行。
- 事后总结:在事件处理后,团队需回顾整个过程,总结经验教训,并改进未来的响应计划。
手册的应用与价值
手册是安全分析师必备的关键工具之一。遵循手册的步骤并与团队进行适当沟通,将确保你作为一名安全专业人员的有效性。知道如何以及何时使用手册,能使你在安全事件发生时,就如何响应做出明智的决策。
本节课中,我们一起学习了安全事件响应手册的完整框架。我们明确了手册旨在提供结构化方法以快速处理事件,并详细回顾了其包含的六个核心阶段:准备、检测与分析、遏制、根除、恢复及事后总结。掌握手册的应用,对于有效应对安全事件、保护组织安全至关重要。
网络安全风险管理:课程总结
在本课程中,我们系统性地学习了网络安全风险管理的基础知识。现在,让我们回顾一下所涵盖的核心内容。
首先,我们回顾了CISSP的8个安全域,并将重点放在了可能影响业务运营的威胁、风险和漏洞上。
随后,我们探讨了安全框架与控制措施,理解了它们是如何作为制定安全管理策略和流程的起点。这包括了对CIA三元组(机密性、完整性、可用性)、NIST框架以及安全设计原则的讨论,并分析了它们如何使整个安全社区受益。
在理解了框架和原则之后,我们进一步探讨了它们与安全审计之间的关系。
接着,我们探索了基本的安全工具,例如SIEM仪表盘,并了解了它们如何被用于保护业务运营。
最后,我们学习了如何通过使用应急预案手册来保护资产和数据。
作为一名安全分析师,你可能需要同时处理多项任务。理解你所掌握的工具及其使用方法,将提升你在此领域的专业知识,并帮助你成功完成日常工作。
在接下来的课程中,我的同事Chris将为本课程所涵盖的主题提供更多细节,并向你介绍一些新的核心安全概念。
很高兴能与你一同走过这段学习旅程。
谷歌网络安全专业证书课程:第二课:安全风险管理概述
在本课程中,我们将深入学习安全风险管理的核心概念,包括安全框架、控制措施、安全审计以及基本安全工具。这些知识对于保护组织免受威胁至关重要。
回顾与衔接
上一节我们介绍了安全的基本定义、入门级分析师职责以及安全领域的演进历史。本节中,我们将正式开启第二课《安全风险管理》的学习。
我是Ashley,在谷歌担任安全运营销售部门的客户工程赋能主管。我很荣幸能担任本课程的讲师。
首先,我们快速回顾已学内容。此前,我们定义了安全,并探讨了入门级分析师的一些常见职责。我们还讨论了分析师需要培养的核心技能与知识。接着,我们分享了“爱虫”病毒和莫里斯蠕虫等关键事件,这些事件推动了安全领域的发展与持续演进。我们也向大家介绍了用于降低风险的框架、控制措施和CIA三要素(机密性、完整性、可用性)。
本课程核心内容
在本课程中,我们将深入探讨以下主题:
- CISSP八大安全域:了解认证信息系统安全专家的知识体系框架。
- 安全框架与控制措施:更详细地探讨安全框架与控制,重点是美国国家标准与技术研究院的风险管理框架。
- 安全审计:探索安全审计,包括内部审计的常见要素。
- 基本安全工具:介绍一些基本的安全工具,您将有机会探索如何使用这些工具来保护资产和数据免受威胁、风险和漏洞的影响。
学习动机与重要性
保护组织及其资产免受威胁、风险和漏洞的侵害,是维持业务运营的重要步骤。根据我作为安全分析师的经验,我曾协助应对一次严重的违规事件,该事件给组织造成了近25万美元的损失。因此,我希望大家能保持动力,继续您的安全学习之旅。我已经迫不及待了,让我们开始吧。
总结
本节课中,我们一起回顾了前期基础,并概述了《安全风险管理》课程将要涵盖的核心内容:CISSP安全域、NIST风险管理框架、安全审计以及基本安全工具。掌握这些知识是构建有效安全防御体系的第一步。
037:欢迎来到第一周 🛡️
在本节课中,我们将学习网络安全领域的核心知识框架,包括安全域、威胁、风险、漏洞以及风险管理的基本方法。这些内容是构建安全专业能力的基础。
概述
网络安全领域非常广阔。确保你拥有成功驾驭这个领域所需的知识、技能和工具,正是我们在此学习的目的。在接下来的视频中,你将了解CISSP的八个安全域的重点。然后我们将更详细地讨论威胁、风险和漏洞。我们还将向你介绍网络的三层结构,并分享一些示例,以帮助你理解本课程中将讨论的不同类型的攻击。最后,我们将研究如何使用美国国家标准与技术研究院的风险管理框架来管理风险。
因为这些主题及相关技术技能被认为是安全领域的核心知识,持续加深对它们的理解将帮助你缓解和管理组织日常面临的风险与威胁。
安全域简介
上一段我们概述了本周的学习目标。本节中,我们来看看构成网络安全知识体系的基础框架——安全域。
在下一个视频中,我们将进一步讨论在第一门课程中介绍的八个安全域的重点。
谷歌网络安全专业证书课程:第二课:探索CISSP安全域(第一部分)
在本节课程中,我们将学习CISSP(国际信息系统安全认证联盟)定义的八个安全域中的前四个。理解这些领域有助于安全团队组织日常工作、识别安全漏洞并建立组织的安全态势。
安全态势指的是一个组织管理其关键资产和数据防御,并应对变化的能力。
安全与风险管理
第一个领域是安全与风险管理。该领域主要关注以下几个核心方面。
以下是该领域的主要关注点:
- 定义安全目标:通过设定明确的安全目标,组织可以减少对关键资产和数据(如PII,即个人可识别信息)的风险。
- 风险缓解:指建立正确的流程和规则,以快速降低风险(如数据泄露)带来的影响。
- 合规性:这是制定组织内部安全政策、满足法规要求和独立标准的主要方法。
- 业务连续性:涉及组织通过建立风险灾难恢复计划来维持日常生产力的能力。
- 法律法规:尽管全球范围内与安全及风险管理相关的法律各不相同,但总体目标相似。对安全专业人员而言,这意味着要遵守道德行为的规则和期望,以最大限度地减少疏忽、滥用或欺诈。
资产安全
上一节我们介绍了如何从宏观层面管理风险,本节中我们来看看如何具体保护资产。资产安全领域专注于保护数字和物理资产,同时也涉及数据的存储、维护、保留和销毁。
这意味着,无论是存储在计算机中、通过互联网等网络传输,还是物理收集的资产(如PII或SPII),都应得到安全处理和保护。
以下是资产安全的关键实践:
- 组织需要制定政策和程序,确保数据得到妥善的存储、维护、保留和销毁。
- 了解组织拥有哪些数据以及谁有权访问这些数据,对于建立强大的安全态势、缓解对关键资产和数据的风险至关重要。
此前,我们曾举过几个涉及数据处置的例子。例如,组织可能让你作为一名安全分析师,监督硬盘的销毁过程,以确保它们被正确处理。这可以防止威胁行为者访问存储在那些驱动器上的私人数据。
安全架构与工程
第三个领域是安全架构与工程。该领域专注于通过确保使用有效的工具、系统和流程来保护组织的资产和数据,从而优化数据安全。
安全设计架构的核心概念之一是共担责任。
共担责任意味着组织内的所有个人都积极承担起降低风险、维护物理和虚拟安全的责任。通过制定鼓励用户识别和报告安全问题的政策,许多问题可以得到快速有效的处理。
通信与网络安全
在了解了如何设计安全系统后,我们接下来看看如何保护组织的信息流通渠道。第四个领域是通信与网络安全,主要侧重于管理和保护物理网络及无线通信。
安全的网络能保护组织的数据和通信安全,无论是在本地、云端,还是在远程连接服务时。
例如,在公共空间远程办公的员工需要受到保护,避免因使用不安全的蓝牙连接或公共Wi-Fi热点而产生漏洞。通过在组织层面让安全团队成员限制对此类通信渠道的访问,可以劝阻员工采取可能被威胁行为者利用的不安全行为。
总结
本节课中,我们一起学习了CISSP八个安全域中的前四个:安全与风险管理、资产安全、安全架构与工程以及通信与网络安全。每个领域都对应着网络安全工作的一个关键方面,共同构成了组织建立强大安全防御体系的基础。理解这些领域有助于你系统地思考和组织安全任务。
039:探索CISSP安全域(第二部分)🔐
在本节课程中,我们将学习CISSP安全框架的最后四个核心领域。这些领域涵盖了从身份验证到软件开发的完整安全生命周期,是构建组织整体安全策略的基础。
上一节我们介绍了前四个安全域,本节中我们来看看剩下的四个:身份与访问管理、安全评估与测试、安全运营以及软件开发安全。
身份与访问管理(IAM)👤
身份与访问管理(IAM)专注于通过确保用户遵循既定策略来控制和访问资产,从而保障数据安全。其核心目标是降低系统和数据的整体风险。
例如,如果公司所有人都使用同一个管理员账户登录,就无法追踪谁访问了哪些数据。一旦发生安全事件,将无法区分合法用户活动与威胁行为者的行为。
IAM包含四个主要组成部分:
以下是身份与访问管理的四个核心组件:
- 身份识别:用户通过提供用户名、门禁卡或指纹等生物特征数据来声明其身份。
- 身份验证:验证用户身份的过程,例如输入密码或PIN码。
- 授权:在用户身份确认后,根据其在组织中的角色,确定其访问权限级别。
- 可问责性:监控和记录用户行为(如登录尝试),以证明系统和数据被正确使用。
安全评估与测试🔍
安全评估与测试领域侧重于进行安全控制测试、收集分析数据以及执行安全审计,以监控风险、威胁和漏洞。
定期进行安全控制测试能帮助组织找到缓解威胁、风险和漏洞的更好方法。这涉及检查组织目标,并评估现有控制措施是否真正实现了这些目标。
同样,定期收集和分析安全数据也有助于预防组织的威胁和风险。安全分析师可能会利用安全控制测试评估和安全评估报告来改进现有控制措施,或实施新的控制措施。
例如,实施一项新控制措施可以是要求使用多因素认证(MFA),以更好地保护组织免受潜在的威胁和风险。
安全运营🚨
安全运营领域侧重于进行调查和实施预防措施。调查在安全事件被识别后立即开始,此过程需要高度的紧迫感,以最小化对组织的潜在风险。
如果存在主动攻击,缓解攻击并防止其升级对于保护私人信息免受威胁行为者侵害至关重要。一旦威胁被消除,将开始收集数字和物理证据以进行取证调查。
必须进行数字取证调查,以确定入侵发生的时间、方式和原因。这有助于安全团队确定需要改进的领域,并采取预防措施以减轻未来的攻击。
软件开发安全💻
软件开发安全领域侧重于使用安全编码实践。安全编码实践是用于创建安全应用程序和服务的推荐指南。
软件开发生命周期(SDLC)是团队用于快速构建软件产品和功能的高效流程。在此流程中,安全是一个额外的关键步骤。
通过确保软件开发生命周期的每个阶段都经过安全审查,可以将安全完全集成到软件产品中。例如:
以下是确保安全融入SDLC各阶段的示例:
- 在设计阶段执行安全设计评审。
- 在开发和测试阶段执行安全代码评审。
- 在部署和实施阶段执行渗透测试。
这些步骤确保了安全在每一步都嵌入到软件产品中,从而使软件保持安全、敏感数据得到保护,并减轻组织不必要的风险。
本节课中我们一起学习了CISSP安全框架的最后四个领域:身份与访问管理(IAM)、安全评估与测试、安全运营以及软件开发安全。熟悉这些领域可以帮助你更好地理解它们如何被用于提升组织的整体安全性,以及安全团队所扮演的关键角色。
接下来,我们将讨论安全威胁、风险和漏洞,包括勒索软件,并向你介绍网络的三个层次。
040:网络安全从业者的职业路径分享
在本节课中,我们将跟随谷歌员工Ashley的分享,了解她进入网络安全领域的非传统职业路径。她的经历将展示,进入这一行业并不总是需要直线式的规划,多样化的技能和经历同样宝贵。
个人背景与早期经历
我的名字是Ashley,我在谷歌的职位是Seop销售部门的客户工程师赋能负责人。我的主要工作是帮助为支持我们产品的客户工程师设立培训项目。
我从小就喜欢电脑和互联网。我拥有历史上最早的AOL屏幕名之一,并为此感到非常自豪。我的父亲是一名工程师,因此我一直对科技抱有浓厚兴趣。然而,高中毕业时,我并没有找到一条清晰的路径进入这个领域。
转折点与军旅生涯
我的成长道路并非一帆风顺。我在十年级时放弃了努力,在很长一段时间里对什么都漠不关心,并且经常惹麻烦。我告诉自己,如果不参军离开这里,继续这样下去,我可能两三年后就不在这里了。因此,高中毕业后,我在六月毕业,四天后就前往南卡罗来纳州的杰克逊堡新兵训练营报到,成为一名小号手。
初入职场与发现机遇
退伍回来后,我需要找一份工作。当时我甚至没有关注科技类的工作。我做过大型五金店的购物车回收员、卖过电子游戏、还在货运公司做过零售装箱工。在所有这些经历之后,我才意识到科技是一个可行的职业选项。
军队慷慨地为我提供了IT领域的再培训。这是我获得的第一波正式学校教育,让我至少能够说:“嘿,我具备了成为一名PC技术员的技能。”
教育与职业起步
我回到社区大学,并找到了一个网络安全副学士学位项目。我学习了一些认证课程,并参加了我的第一次Defcon大会,这是一个大型的黑客会议。这次经历让我豁然开朗,真正看清了未来的职业路径可能是什么样子。
我在2017年找到了第一份安全分析师的工作。我参加了上一家公司的一个退伍军人培训项目,该项目对退伍军人是免费的。我从培训中脱颖而出并被聘用,在那家公司工作了近五年,之后才来到谷歌。
给新人的核心建议
如果你是新入行者,你必须知道如何与团队合作。我认为我们很多人是在客户服务环境中学会这一点的。我在零售业工作中学到的一些技能,比如应对难缠的客户、学习如何与人沟通、甚至在人们不满时如何化解紧张局势,这些都非常有用。在IT领域,我们同样需要这些技能。这不再仅仅是技术能力,我们需要成为“T型人才”——即同时具备软技能、人际交往能力和技术技能。
你必须具备良好的分析能力。同样,这甚至不一定是技术分析。如果你能阅读一本书并剖析其中的修辞手法,你就能做分析工作。你不需要成为一名软件工程师才能进入这个领域。
克服障碍与保持开放心态
对我们许多人来说,数学恐惧和编程是很大的障碍。但我们的工作是与人打交道、与流程打交道。你并不一定需要编码知识来理解人或流程。进入这个领域有很多途径,所以不要气馁,也不要害怕跳出思维定式来获得入门的机会。
总结
本节课中,我们一起学习了Ashley从非传统路径进入网络安全行业的经历。她的故事强调了软技能、持续学习和多样化经历的重要性。关键启示在于:职业路径 = 技术技能 + 人际技能 + 分析能力 + 开放心态。进入网络安全领域没有单一固定的路线,勇于尝试并从各种经历中学习,是成功的关键。
041:威胁、风险与漏洞 🔐
在本节课中,我们将学习网络安全领域的三个核心概念:威胁、风险与漏洞。我们将明确它们的定义、区别,并通过具体例子来理解它们如何影响组织的资产安全。
作为初级安全分析师,你的众多职责之一将是处理组织的数字和物理资产。需要记住,资产是指被组织认为具有价值的任何物品。在组织的生命周期中,会获取各种类型的资产,包括物理办公空间、计算机、客户个人身份信息、知识产权(如专利或受版权保护的数据)等等。
不幸的是,组织运营的环境中存在多种对其资产构成安全威胁、风险和漏洞的因素。接下来,我们来回顾一下威胁、风险与漏洞分别是什么,并讨论一些常见的例子。
威胁:潜在的负面事件 🚨
威胁是指任何可能对资产产生负面影响的状况或事件。
以下是威胁的一个例子:
- 社会工程学攻击:这是一种利用人为错误来获取私人信息、访问权限或贵重物品的操纵技术。其中一种被称为网络钓鱼的方法,会使用看似来自合法公司或个人的恶意链接和电子邮件信息。需要记住,网络钓鱼是一种用于获取敏感数据(如用户名、密码或银行信息)的技术。
风险:威胁发生的可能性 ⚖️
风险与威胁不同。风险是指任何可能影响资产机密性、完整性或可用性的事物。你可以将风险视为威胁发生的可能性。
以下是组织可能面临的风险例子:
- 缺乏备份协议:无法确保在发生事故或安全事件时能够恢复其存储的信息。
组织倾向于根据可能的威胁和资产的价值,将风险划分为不同等级:低、中、高。
- 低风险资产:指如果受损,不会损害组织声誉或持续运营,也不会造成财务损失的信息。这包括网站内容或已发布的研究数据等公开信息。
- 中风险资产:可能包括不向公众开放的信息,如果泄露可能对组织的财务、声誉或持续运营造成一定损害。例如,公司季度收益的提前发布可能会影响其股票价值。
- 高风险资产:指受法规或法律保护的任何信息,如果泄露,将对组织的财务、持续运营或声誉造成严重的负面影响。这可能包括包含敏感个人身份信息、个人身份信息或知识产权的泄露资产。
漏洞:可以被利用的弱点 🕳️
现在我们来讨论漏洞。漏洞是可能被威胁利用的弱点。值得注意的是,必须同时存在漏洞和威胁,才会构成风险。
以下是漏洞的一些例子:
- 过时的防火墙、软件或应用程序。
- 弱密码。
- 未受保护的机密数据。
人也可能被视为一种漏洞。无论是客户、外部供应商还是员工,人的行为都可能显著影响组织的内部网络安全。因此,维护安全必须是一项共同努力。初级分析师需要教育和赋能人员,提高他们的安全意识。
以下是提高安全意识的措施:
- 教育人们如何识别网络钓鱼邮件是一个很好的起点。
- 使用门禁卡授予员工进入物理空间的权限,同时限制外部访客,是另一项良好的安全措施。
组织必须在识别和缓解漏洞方面不断改进其工作,以最小化威胁和风险。初级分析师可以通过鼓励员工报告可疑活动,并积极监控和记录员工对关键资产的访问来支持这一目标。
既然你已经熟悉了分析师经常遇到的一些威胁、风险和漏洞,在接下来的内容中,我们将讨论它们如何影响业务运营。
本节课总结:我们一起学习了网络安全中的三个基本概念。威胁是可能造成损害的潜在事件(如网络钓鱼攻击),风险是威胁发生的可能性及其影响的严重程度(如缺乏备份),而漏洞是可能被威胁利用的系统或流程中的弱点(如弱密码)。理解这三者之间的关系对于有效管理组织安全至关重要。
042:威胁、风险与漏洞的关键影响
在本视频中,我们将讨论一种名为勒索软件的昂贵恶意软件。然后,我们将探讨威胁、风险和漏洞对组织运营的三个关键影响。
勒索软件简介
勒索软件是一种恶意攻击,攻击者会加密组织的数据,然后要求支付赎金以恢复访问权限。一旦攻击者部署了勒索软件,它可以冻结网络系统、使设备无法使用,并加密或锁定机密数据,导致设备无法访问。攻击者随后会要求支付赎金,然后才提供解密密钥,让组织恢复正常业务运营。
您可以将解密密钥视为一个用于重新获取数据访问权限的密码。
请注意,当赎金谈判发生或攻击者泄露数据时,这些事件可能通过暗网进行。
网络的三层结构
虽然许多人使用搜索引擎访问社交媒体账户或在线购物,但这只是网络真实面貌的一小部分。网络实际上是一个由三层结构组成的相互链接的在线内容网络:表层网、深层网和暗网。
以下是各层的简要说明:
- 表层网:这是大多数人使用的层面。它包含可以通过网页浏览器访问的内容。
- 深层网:通常需要授权才能访问。组织的内网就是深层网的一个例子,因为它只能由员工或被授予访问权限的其他人访问。
- 暗网:只能通过特殊软件访问。暗网通常带有负面含义,因为其提供的隐秘性使其成为犯罪分子的首选网络层面。
威胁、风险与漏洞的三个关键影响
上一节我们介绍了网络的不同层面,本节中我们来看看威胁、风险和漏洞对组织运营的三个关键影响。
1. 财务影响
当组织的资产因攻击(例如使用恶意软件)而受损时,其财务后果可能因多种原因而非常严重。
以下是可能产生的财务影响:
- 生产和服务中断。
- 解决问题的成本。
- 如果因不遵守法律法规而导致资产受损,则可能面临罚款。
2. 身份盗窃
组织必须决定是否存储客户、员工和外部供应商的私人数据,以及存储多久。存储任何类型的敏感数据都会给组织带来风险。
敏感数据可能包括个人身份信息,这些信息可以通过暗网出售或泄露。这是因为暗网提供了一种隐秘感,攻击者可能能够在那里出售数据而无需承担法律后果。
3. 对组织声誉的损害
稳固的客户基础支持着组织的使命、愿景和财务目标。一个被利用的漏洞可能导致客户转而寻求与竞争对手建立新的业务关系,或产生负面新闻,对组织的声誉造成永久性损害。
客户数据的丢失不仅影响组织的声誉和财务状况,还可能导致法律处罚和罚款。
总结与展望
本节课中,我们一起学习了勒索软件的工作原理、网络的表层网、深层网和暗网三层结构,以及威胁、风险和漏洞可能带来的财务影响、身份盗窃风险和对组织声誉的损害。组织被强烈建议采取适当的安全措施并遵循特定协议,以预防威胁、风险和漏洞的重大影响。通过利用其工具包中的所有工具,安全团队能更好地应对诸如勒索软件攻击等事件。
接下来,我们将介绍NIST风险管理框架中管理风险的七个步骤。
043:安全风险管理
概述
在本节课中,我们将跟随谷歌安全工程师赫伯特的分享,学习如何管理威胁、风险和漏洞。我们将了解安全工程师的日常工作内容,分析常见的安全问题,并探讨团队协作在网络安全工作中的重要性。
章节 1:个人背景与兴趣起源 🧑💻
我的名字是赫伯特,我是谷歌的一名安全工程师。
我认为我一直对安全领域感兴趣。在高中时,学校给我们配备了这些巨大的戴尔笔记本电脑。那些电脑内部并没有太多的安全措施,所以我很多朋友都拥有像《光环》这类游戏的破解版本。正是在那里,我学会了如何开始操纵电脑,让它按照我的意愿运行。
章节 2:日常工作与风险分析 🔍
上一节我们介绍了我的兴趣起源,本节中我们来看看我的日常工作内容。
我的日常工作包括分析安全风险,并为这些风险提供解决方案。
网络安全分析师的一项典型任务通常是处理例外请求,分析某人是否因其角色或正在进行的项目而需要特殊访问某个设备或文档。
章节 3:常见威胁与漏洞 🚨
在了解了日常工作后,我们来看看工作中遇到的一些常见威胁。
我们遇到的一个更常见的威胁是配置错误,或是请求访问他们实际上并不需要的东西。
例如,我最近遇到一个案例,我们合作的一个供应商更改了他们的OAuth范围请求。这基本上意味着,他们请求使用谷歌服务的权限比过去更多。我们之前不确定如何处理这种情况,因为这是我们以前没有遇到过的情况。所以这件事仍在处理中,但我们正在与合作伙伴团队合作,共同制定一个解决方案。
我认为我们看到的另一个问题是过时的系统,即需要打补丁的机器。
章节 4:跨团队协作的重要性 🤝
上一节我们讨论了具体威胁,本节中我们来看看解决这些问题所需的关键能力。
这听起来像是一个IT问题,但它也绝对是一个网络安全问题。拥有过时的机器,没有适当的设备管理策略。
与一个团队或许多团队合作是这项工作的一个重要部分。为了真正完成任何事情,你不仅需要与你所在的团队沟通,还需要与其他团队沟通。
章节 5:职业发展与总结 🌟
以下是赫伯特分享的个人职业发展历程。
十年前,我在一家披萨店工作。
十年后,我在这里,作为谷歌的一名安全工程师。
如果我告诉16岁的自己,我会在这里,我可能不会相信。但这是可能的。
总结
本节课中,我们一起学习了安全风险管理的基本视角。通过赫伯特的经历,我们了解到安全工程师的日常工作涉及分析风险和提供解决方案,常见威胁包括配置错误和系统过时,而跨团队协作是成功管理这些风险的关键。从披萨店员工到谷歌安全工程师的历程也表明,网络安全领域充满了机遇与可能。
谷歌网络安全专业证书课程:第二课:《安全风险管理》:P44:NIST风险管理框架(RMF)详解
在本节中,我们将深入学习美国国家标准与技术研究院(NIST)的风险管理框架。该框架为安全专业人员提供了一套结构化流程,用于系统地管理组织面临的风险、威胁和脆弱性。作为入门级分析师,虽然可能不会参与所有步骤,但理解此框架对于建立扎实的风险管理基础至关重要。
NIST风险管理框架(RMF)概述
正如您可能在本课程前期所了解到的,NIST提供了众多框架,帮助安全专业人员管理风险、威胁和脆弱性。本节视频将聚焦于NIST的风险管理框架,简称RMF。
掌握如何缓解和管理风险的核心知识,能帮助您在开启安全领域求职时从众多候选人中脱颖而出。
RMF包含七个步骤:准备、分类、选择、实施、评估、授权和监控。
第一步:准备 🛡️
“准备”指的是在安全事件发生前,为管理安全和隐私风险所必需的活动。
作为入门级分析师,您很可能会在此步骤中监控风险,并识别可用于降低这些风险的控制措施。
第二步:分类 📂
“分类”用于制定风险管理流程和任务。
安全专业人员随后会运用这些流程,并通过思考系统的机密性、完整性和可用性如何受到风险影响来制定具体任务。其核心关系可概括为:风险 → 可能影响 → (C)机密性 / (I)完整性 / (A)可用性。
作为分析师,您需要理解如何遵循组织建立的流程,以降低关键资产(如客户私人信息)所面临的风险。
第三步:选择 ✅
“选择”意味着为保护组织而选择、定制并记录控制措施。
此步骤的一个例子是保持应急预案(playbook)处于最新状态,或帮助管理其他文档,使您和您的团队能更高效地处理问题。
第四步:实施 🚀
此步骤是为组织实施安全和隐私计划。
制定完善的计划对于最小化持续安全风险的影响至关重要。例如,如果您注意到员工频繁需要重置密码的模式,实施密码要求的变更可能有助于解决此问题。
第五步:评估 🔍
“评估”旨在确定已建立的控制措施是否正确实施。
组织始终希望尽可能高效地运作,因此花时间分析已实施的协议、程序和控制措施是否满足组织需求至关重要。
在此步骤中,分析师会识别潜在弱点,并判断是否应更改组织的工具、程序、控制和协议,以更好地管理潜在风险。
第六步:授权 📝
“授权”意味着对组织中可能存在的安全和隐私风险承担责任。
作为分析师,授权步骤可能涉及生成报告、制定行动计划,并建立与组织安全目标一致的项目里程碑。
第七步:监控 📈
“监控”意味着持续了解系统的运行状况。
评估和维护技术运营是分析师日常完成的任务。为组织维持低风险水平的一部分,在于了解当前系统如何支持组织的安全目标。如果现有系统无法满足这些目标,则可能需要进行变更。
虽然建立这些程序可能不是您的工作职责,但您需要确保它们按预期工作,从而将组织自身及其服务对象所面临的风险降至最低。
总结
本节课我们一起学习了NIST风险管理框架的七个核心步骤:准备、分类、选择、实施、评估、授权和监控。理解这个结构化流程能帮助您系统地思考和管理安全风险,这是网络安全领域一项重要的基础技能。记住,即使作为入门级分析师,熟悉这些概念也能让您在监控风险、遵循流程和支持团队方面发挥关键作用。
045:课程回顾与总结
在本节课程中,我们将回顾并总结已学习的关键安全风险管理概念,并为后续内容做好铺垫。
概述
我们已经完成了本课程第一章节的学习。现在,让我们回顾一下到目前为止讨论过的核心内容。
章节内容回顾
上一节我们介绍了安全风险管理的基础。本节中,我们来系统地总结已涵盖的知识点。
以下是我们在第一章节中探讨的核心主题:
- CISSP的8个安全域:我们首先探讨了CISSP(注册信息系统安全专家)认证所关注的八个核心安全领域,它们构成了信息安全实践的广泛框架。
- 威胁、风险与漏洞:我们讨论了威胁、风险和漏洞的定义及其相互关系。核心关系可以概括为:风险 ≈ 威胁 × 漏洞。我们分析了它们如何对组织造成影响。
- 勒索软件与Web三层架构:课程包含了对勒索软件的深入剖析,并介绍了Web三层架构(表现层、逻辑层、数据层)的基本概念。
- NIST风险管理框架:最后,我们重点学习了美国国家标准与技术研究院的风险管理框架的七个步骤,该框架常被称为 RMF。
学习成果与展望
你做得非常出色,为你的安全分析师工具箱增添了新的知识。
在接下来的视频中,我们将更详细地介绍一些入门级安全分析师常用的工具。然后,你将有机会分析这些工具生成的数据,以识别风险、威胁或漏洞。你还将有机会使用事件响应预案来模拟应对安全事件。
本节课中,我们一起回顾了安全风险管理的基础,包括核心概念、常见威胁以及NIST RMF框架。这些知识为后续学习具体的安全工具和分析技术奠定了坚实的基础。
请继续保持出色的学习状态。
046:第2周导论
欢迎回来。作为一名安全分析师,你的工作不仅仅是保护组织安全。你的角色更为重要。你也在帮助保护人们的安全。影响客户、供应商和员工数据的泄露,可能对人们的财务稳定性和声誉造成重大损害。作为一名分析师,你的日常工作将有助于保护人员与组织的安全。
在本课程的这个部分,我们将更详细地讨论安全框架、控制措施和设计原则,以及如何将它们应用于安全审计,以帮助保护组织和人员。
在谷歌,保护客户信息的机密性是我日常工作的关键部分,而NIST网络安全框架在其中扮演了重要角色。该框架通过使用安全控制措施,确保客户工具和个人工作设备的保护与合规性。
欢迎来到安全框架与控制的世界。让我们开始吧。
047:安全框架
概述
在本节课中,我们将要学习安全框架的概念及其在组织风险管理中的核心作用。安全框架是构建安全策略和流程的指导方针,旨在帮助组织应对各种威胁、风险和漏洞。
什么是安全框架?
上一节我们介绍了安全风险管理的重要性,本节中我们来看看用于构建安全计划的具体工具——安全框架。
安全框架是用于构建计划的指导方针,旨在帮助减轻对数据和隐私的风险与威胁,例如社会工程攻击和勒索软件。
安全不仅涉及虚拟空间,也包括物理空间。因此,许多组织都有计划来维护工作环境的安全。例如,进入大楼可能需要使用门禁卡或工牌。
安全框架的用途
理解了安全框架的基本定义后,我们来看看它的具体应用场景。
其他安全框架则为如何预防、检测和响应安全漏洞提供指导。这在试图保护组织免受针对其员工的社会工程攻击(如网络钓鱼)时尤为重要。请记住,人是安全的最大威胁。
因此,框架可用于创建计划,以提高员工的意识并教育他们如何保护组织、同事及自身。对员工进行现有安全挑战的教育,对于最小化漏洞发生的可能性至关重要。
以下是安全框架在人员管理方面的关键应用:
- 提供员工培训,教导他们如何识别危险信号或潜在威胁。
- 制定计划,以便快速报告和处理安全问题。
分析师的角色
作为分析师,理解并实施组织为保护组织、员工及其服务对象免受社会工程攻击、数据泄露和其他有害安全事件影响而制定的计划,对你来说至关重要。
总结
本节课中我们一起学习了安全框架。我们了解到,安全框架是组织制定自身安全策略的起点,它提供了应对虚拟和物理威胁的指导方针,并特别强调了通过员工教育和流程建设来管理“人为因素”这一最大安全风险。
接下来,我们将回顾和讨论安全控制措施,它们与框架协同使用,以实现组织的安全目标。
048:安全控制措施
在本节课程中,我们将学习安全控制措施。框架用于制定应对安全风险、威胁和弱点的计划,而控制措施则用于降低具体风险。如果未实施适当的控制措施,组织可能因暴露于风险(如非法入侵、创建虚假员工账户或提供免费福利)而面临重大的财务影响和声誉损害。
什么是安全控制措施?🔒
上一节我们介绍了风险管理框架,本节中我们来看看具体的安全控制措施。安全控制措施是为降低特定安全风险而设计的防护机制。在本视频中,我们将讨论三种常见的控制类型:加密、身份验证和授权。
加密:保护数据机密性 🔐
首先,我们来了解加密。加密是将数据从可读格式转换为编码格式的过程。通常,加密涉及将数据从明文转换为密文。
- 密文是原始的编码信息,对人类和计算机来说都是不可读的。
- 密文数据在被解密回其原始的明文形式之前无法被读取。
加密用于确保敏感数据(如客户账户信息或社会安全号码)的机密性。其核心过程可以用以下公式表示:
加密过程:明文 + 加密密钥 → 密文
解密过程:密文 + 解密密钥 → 明文
身份验证:确认身份 ✅
另一种用于保护敏感数据的控制措施是身份验证。身份验证是确认某人或某物身份的过程。
一个现实生活中的身份验证例子是使用用户名和密码登录网站。这种基本形式的身份验证证明你知道用户名和密码,因此应被允许访问该网站。
更高级的身份验证方法,例如多因素身份验证,会要求用户同时提供密码和另一种身份验证形式(如安全码或指纹、语音、面部扫描等生物特征),以证明其身份。
- 生物特征是可用于验证个人身份的唯一生理特征。
- 生物特征的例子包括指纹、虹膜扫描或掌纹扫描。
一种可能利用生物特征的社会工程攻击是语音钓鱼。语音钓鱼是利用电子语音通信来获取敏感信息或冒充已知来源。例如,攻击者可能模仿一个人的声音来窃取其身份并实施犯罪。
授权:管理资源访问权限 🚪
另一个非常重要的安全控制措施是授权。授权指的是授予访问系统内特定资源的权限的概念。
本质上,授权用于验证一个人是否有权限访问某个资源。
举个例子,如果你作为一名初级安全分析师为联邦政府工作,你可能被授权访问深网数据或其他仅限联邦雇员访问的内部数据。这体现了授权控制如何根据用户的角色和权限来限制对资源的访问。
总结与展望 📚
本节课中我们一起学习了三种核心的安全控制措施:加密用于保护数据机密性,身份验证用于确认用户身份,授权用于管理对系统资源的访问权限。
今天讨论的这些安全控制措施,只是一个核心安全模型——“CIA三要素”——中的一个组成部分。接下来,我们将更详细地探讨这个模型,以及安全团队如何利用它来保护其组织。
049:探索CIA三要素
在本节课中,我们将要学习CIA三要素这一核心安全模型。它定义了信息安全的三个基本目标,是初级安全分析师保护组织敏感资产和数据的重要工具。我们将详细探讨其每个组成部分的含义及其在实践中的重要性。
概述CIA三要素
CIA三要素是一个安全模型,它帮助组织在建立系统和安全策略时评估风险。该模型由三个核心原则组成:保密性、完整性和可用性。作为初级分析师,你将在日常工作中频繁运用这些原则来保护组织及其服务对象。
详解CIA三要素
上一节我们介绍了CIA三要素的整体概念,本节中我们来看看每个组成部分的具体含义。
保密性
保密性意味着只有经过授权的用户才能访问特定的资产或数据。敏感数据应遵循“需要知道”的原则进行管理,确保只有被授权处理特定资产或数据的人员才能访问。
完整性
完整性意味着数据是准确、真实且可靠的。作为安全专业人员,判断数据的完整性并分析其使用方式,将帮助你决定这些数据是否可信。
可用性
可用性意味着数据对授权访问者是可访问的。无法访问的数据是无用的,并且可能妨碍人们完成工作。确保系统、网络和应用程序正常运行,以提供及时可靠的数据访问,可能是你日常工作职责的一部分。
应用CIA三要素
现在我们已经定义了CIA三要素及其组成部分,接下来让我们探索如何运用它来保护组织。
假设你在一家拥有大量私人数据的银行工作,保密性原则至关重要,因为银行必须保护客户的个人和财务信息安全。完整性原则也是优先事项,例如,如果一个人的消费习惯或消费地点发生剧烈变化,银行很可能会禁用账户访问权限,直到他们能确认是账户所有者而非威胁行为者在进行交易。可用性原则同样关键,银行投入大量精力确保人们能通过网络轻松访问账户信息。
为了保护信息免受威胁行为者侵害,银行会使用验证流程,以在怀疑客户账户被盗用时帮助最小化损失。
作为分析师,你将定期运用三要素的每个部分来保护你的组织及其服务对象。时刻牢记CIA三要素,将帮助你保护敏感数据和资产免受各种威胁、风险和漏洞的影响,包括我们之前讨论过的社会工程攻击、恶意软件和数据盗窃。
总结
本节课中我们一起学习了CIA三要素——保密性、完整性和可用性。这是一个核心安全模型,能指导你评估风险并制定保护措施。牢记这些原则,是保护组织资产和数据安全的基础。
接下来,我们将探索更多具体的框架和原则,它们也将帮助你保护组织免受威胁、风险和漏洞的侵害。
050:NIST框架介绍 🛡️
在本节课中,我们将要学习两个由美国国家标准与技术研究院(NIST)制定的重要网络安全框架。这些框架为全球各类组织提供了管理网络安全风险、应对威胁和漏洞的标准化起点与最佳实践指南。
框架概述
上一节我们介绍了框架的基本概念。本节中,我们来看看NIST的两个核心框架。
组织使用框架作为制定计划的起点,以降低敏感数据和资产所面临的风险、威胁和漏洞。幸运的是,全球有许多组织创建了可供安全专业人员用来制定这些计划的框架。
NIST是一个美国机构,但其提供的指导可以帮助世界各地的分析师理解如何实施必要的网络安全实践。
NIST网络安全框架(CSF)
我们将要讨论的第一个NIST框架是NIST网络安全框架(CSF)。CSF是一个自愿性框架,包含用于管理网络安全风险的标准、指南和最佳实践。该框架广受尊重,对于维护任何组织的安全都至关重要。
CSF包含五个重要的核心功能:识别、保护、检测、响应和恢复。我们将在后续视频中详细讨论这些功能。
现在,我们通过一个工作场所的例子,重点了解CSF如何使组织受益,以及如何用它来防范威胁、风险和漏洞。
想象一下,某天早晨你收到一个高风险通知,称一台工作站已被入侵。你识别出该工作站,并发现有一个未知设备连接在上面。你远程阻止该未知设备以阻止任何潜在威胁,从而保护组织。然后,你隔离受感染的工作站以防止损害扩散,并使用工具检测任何额外的威胁行为者活动,识别该未知设备。你通过调查事件来做出响应,以确定谁使用了该未知设备、威胁是如何发生的、什么受到了影响以及攻击源自何处。😡 在这个案例中,你发现一名员工使用工作笔记本电脑的USB端口为其受感染的手机充电。最后,你尽力恢复任何受影响的文件或数据,并修复威胁对工作站本身造成的任何损害。
如前面的例子所示,NIST CSF的核心功能为安全专业人员提供了具体的指导和方向。该框架用于制定计划,以适当且快速地处理事件,从而降低风险、保护组织免受威胁并缓解任何潜在的漏洞。
NIST特别出版物 800-53(SP 800-53)
NIST CSF的影响力还扩展到了对美国联邦政府的保护,具体体现在NIST特别出版物800-53(SP 800-53)中。它为保护联邦政府内部信息系统的安全提供了一个统一的框架,包括私营公司为联邦政府使用而提供的系统。该框架提供的安全控制措施用于维护政府所用系统的CIA三要素(机密性、完整性、可用性)。
所有这些框架和控制措施协同工作的方式令人惊叹。我们在本视频中讨论了一些非常重要的安全主题,这些主题在你继续安全之旅时将非常有用,因为它们是安全职业的核心要素。
NIST CSF是一个大多数安全专业人员都熟悉的实用框架。如果你有兴趣为美国联邦政府工作,理解NIST SP 800-53至关重要。
总结
本节课中我们一起学习了NIST网络安全框架(CSF)及其五个核心功能(识别、保护、检测、响应、恢复)如何通过实际案例指导安全事件处理。我们还了解了NIST特别出版物800-53(SP 800-53)如何为联邦政府信息系统提供统一的安全控制框架。接下来,我们将继续深入探讨NIST CSF的五个功能,以及组织如何利用它们来保护资产和数据。
051:探索NIST网络安全框架的五大功能
在本节课程中,我们将深入学习NIST网络安全框架的五大核心功能。这些功能构成了组织管理网络安全风险、实施策略并从过往事件中学习的基础。
上一节我们介绍了NIST CSF的用途与优势。本节中,我们将具体聚焦于该框架的五大核心功能。
NIST CSF框架围绕五大核心功能构建:识别、保护、检测、响应和恢复。这些核心功能帮助组织管理网络安全风险、实施风险管理策略并吸取以往的经验教训。简而言之,在安全运营方面,NIST CSF的功能是确保组织免受潜在威胁、风险和漏洞侵害的关键。
接下来,我们花些时间逐一探讨每个功能如何用于提升组织的安全性。
以下是五大核心功能的详细介绍:
- 识别:此功能涉及管理网络安全风险及其对组织人员与资产的影响。例如,作为安全分析师,你可能需要监控组织内部网络的系统和设备,以识别潜在的安全问题,如网络上的受感染设备。
- 保护:此功能指通过实施策略、流程、培训和工具来帮助减轻网络安全威胁,从而保护组织。例如,作为安全分析师,你和你的团队可能会遇到新的、不熟悉的威胁和攻击。因此,研究历史数据并改进策略和流程至关重要。
- 检测:此功能意味着识别潜在的安全事件,并提升监控能力以加快检测速度与效率。例如,作为分析师,你可能需要审查新设置的安全工具,确保它能正确标记低、中、高风险,并就任何潜在威胁或事件向安全团队发出警报。
- 响应:此功能确保使用正确的程序来遏制、消除和分析安全事件,并对安全流程进行改进。例如,作为分析师,你可能需要与团队合作,收集和整理数据以记录事件,并提出流程改进建议以防止事件再次发生。
- 恢复:此功能是将受影响的系统恢复正常运行的过程。
例如,作为初级安全分析师,你可能会与安全团队合作,恢复因入侵等事件而受影响的系统、数据及资产(如财务或法律文件)。
本节课中,我们一起学习了关于NIST CSF及其五大核心功能的大量信息。从主动措施到被动措施,所有五个功能对于确保组织拥有有效的安全策略都至关重要。安全事件总会发生,但组织必须具备从事件造成的损害中快速恢复的能力,以将风险水平降至最低。
接下来,我们将讨论与NIST框架和CIA三要素相辅相成的安全原则,这些原则有助于保护关键数据和资产。
052:OWASP安全原则
在本节课程中,我们将学习开放Web应用安全项目(OWASP)提出的几项核心安全原则。这些原则是安全团队在最小化威胁和风险时,可以结合NIST框架和CIA三要素(机密性、完整性、可用性)共同使用的实用指南。
理解如何保护组织的数据和资产至关重要,因为这将是您作为安全分析师职责的一部分。幸运的是,除了NIST框架和CIA三要素,还有一些原则和指南可以帮助安全团队最小化威胁和风险。
接下来,我们将逐一探讨这些对初级分析师非常有用的OWASP安全原则。
最小化攻击面
上一节我们提到了安全防护的基础,本节中我们来看看如何缩小被攻击的范围。攻击面指的是威胁行为者可能利用的所有潜在漏洞,例如攻击媒介——即攻击者用于渗透安全防御的途径。常见的攻击媒介包括网络钓鱼邮件和弱密码。
为了最小化攻击面并避免由这类媒介引发的事件,安全团队可以采取以下措施:
- 禁用不必要的软件功能。
- 限制对特定资产的访问权限。
- 建立更复杂的密码要求。
最小权限原则
在限制了攻击面之后,我们还需要从内部控制访问权限。最小权限原则意味着确保用户仅拥有完成其日常工作所必需的最小访问权限。
限制对组织信息和资源访问的主要原因是,为了减少安全漏洞可能造成的损害程度。例如,作为一名初级分析师,您可能有权访问日志数据,但无权更改用户权限。因此,如果威胁行为者盗用了您的凭证,他们也只能获得对数字或物理资产的有限访问权限,这可能不足以让他们部署其预谋的攻击。
纵深防御
单一防线容易被突破,因此我们需要建立多层防护。纵深防御是指组织应设置多种以不同方式应对风险和威胁的安全控制措施。
一个安全控制的例子是多因素认证(MFA),它要求用户在输入用户名和密码之外,还需完成额外的步骤才能访问应用程序。
其他控制措施包括:
- 防火墙
- 入侵检测系统
- 权限设置
这些控制措施可用于创建威胁行为者必须突破的多重防御点,才能入侵组织。
职责分离
除了技术控制,管理上的制衡同样重要。职责分离原则可用于防止个人进行欺诈或非法活动。
该原则意味着不应赋予任何人过多的特权,以致其能够滥用系统。例如,公司里签发工资支票的人,不应同时是准备工资支票的人。
保持安全措施简单
在实施安全控制时,应避免不必要的复杂解决方案,因为它们可能变得难以管理。安全控制措施越复杂,人们就越难进行协作。
正确修复安全问题
技术是强大的工具,但也可能带来挑战。当发生安全事件时,安全专业人员需要快速识别根本原因。此后,重要的是纠正任何已识别的漏洞,并进行测试以确保修复成功。
一个典型的问题是用于访问组织Wi-Fi的弱密码,因为它可能导致安全漏洞。😡
要修复此类安全问题,可以实施更严格的密码策略。
总结
本节课中,我们一起学习了六项关键的OWASP安全原则:最小化攻击面、最小权限、纵深防御、职责分离、保持简单以及正确修复。虽然涵盖内容很多,但理解这些原则将提升您的整体安全知识,并帮助您作为一名安全专业人员脱颖而出。
053:安全风险管理
概述
在本节课中,我们将跟随谷歌安全工程师Waji的分享,学习如何持续跟进最新的网络安全威胁与趋势。课程将介绍实用的信息获取渠道、学习策略以及给初学者的职业建议。
保持对最新网络安全威胁的了解
我的名字是Waji,我是谷歌数字取证部门的一名安全工程师。
进入网络安全领域需要背景吗?
你不需要网络安全背景。我过去的经历包括在水上乐园操作制冰机,在电影院本科期间售卖爆米花和零食。我大一时的专业是生物。我在公交车上遇到一个人,他提到了一家很酷的网络安全初创公司,这听起来非常酷。
跟进趋势的策略
以下是我用来跟进最新网络安全趋势的一些策略。
- 利用在线论坛:我使用像Medium这样的在线论坛来研究不同的安全趋势和主题。我经常使用Medium,因为你可以通过标签过滤,例如查找与网络安全或云安全相关的文章。基于其过滤算法,我可以浏览并了解其他人正在讨论什么,这帮助我保持信息更新。
- 参加行业会议:如果你更期待的是建立人际网络,那么我强烈建议去参加那些行业会议。
给初学者的建议
对于想要进入网络安全领域的人,我的建议是不要因为试图理解网络安全内的每一个专业方向而感到不知所措。网络安全领域在趋势方面内容非常丰富,跟进所有这些信息固然很好,但有时你需要退一步,优先确定你最想跟进网络安全中的哪些主题。
我非常热爱这份工作,热爱其中的挑战。根据过去的经验以及从计算机科学领域其他朋友那里听到的,我感觉目前网络安全专业人员存在短缺。他们中的大多数人说进入这个领域太难、太复杂。不要听信这些话。我鼓励你坚持下去,这绝对非常值得。首先掌握基础知识,并保持持之以恒。
总结
本节课中,我们一起学习了安全工程师Waji关于跟进网络安全动态的实践经验。我们了解到,进入该领域无需特定背景,可以通过在线论坛(如Medium) 和行业会议等渠道获取信息。关键在于不要贪多,应优先关注自己感兴趣的细分领域,掌握基础知识并保持坚持。网络安全领域充满挑战与机遇,值得为之努力。
054:规划安全审计
概述
在本节课中,我们将学习如何规划一次内部安全审计。我们将了解安全审计的定义、目的,并详细探讨审计规划阶段的两个核心要素:确定范围与目标以及进行风险评估。
我们已经介绍了不同的安全框架、控制措施、安全原则和合规法规。随之而来的问题是:它们如何协同工作?
这个问题的答案是:通过执行安全审计。
安全审计是根据一系列预期标准,对组织的安全控制措施、策略和程序进行的审查。安全审计主要有两种类型:外部审计和内部审计。我们将重点关注内部安全审计,因为这是初级分析师可能被要求参与的类型。
内部安全审计通常由一个团队执行,团队成员可能包括组织的合规官、安全经理以及其他安全团队成员。内部安全审计有助于改善组织的安全状况,并帮助组织避免因不合规而遭受监管机构的罚款。内部安全审计能帮助安全团队识别组织风险、评估控制措施并纠正合规问题。
在讨论了内部审计的目的之后,接下来我们看看内部审计的一些常见要素。
以下是内部安全审计通常包含的要素:
- 确立审计的范围与目标
- 对组织资产进行风险评估
- 完成控制措施评估
- 评估合规性
- 向利益相关者传达结果
在本视频中,我们将介绍前两个要素,它们属于审计规划过程的一部分:确立范围与目标,然后进行风险评估。
范围指的是内部安全审计的具体标准。它要求组织识别可能影响其安全状况的人员、资产、政策、程序和技术。
目标是组织安全目标的概要,即他们希望通过审计实现什么来改善安全状况。虽然通常由更高级别的安全团队成员和其他利益相关者来确立审计的范围与目标,但初级分析师可能会被要求审查和理解这些范围与目标,以便完成审计的其他部分。
例如,一次审计的范围可能包括:
- 评估用户权限
- 识别现有的控制措施、政策和程序
- 统计组织当前使用的技术
而设定的目标可能包括:
- 实施如NIST CSF等框架的核心功能
- 建立确保合规的政策和程序
- 加强系统控制措施
上一节我们介绍了如何确立审计的范围与目标,本节中我们来看看规划阶段的第二个关键要素:进行风险评估。
下一个要素是进行风险评估,其重点是识别潜在的威胁、风险和漏洞。这有助于组织考虑应该实施和监控哪些安全措施,以确保资产的安全。
与确立范围和目标类似,风险评估通常由经理或其他利益相关者完成。然而,你可能会被要求分析风险评估中提供的细节,以考虑需要建立哪些类型的控制措施和合规法规,来帮助改善组织的安全状况。
例如,一份风险评估报告可能突出显示以下问题:
- 存在保护组织资产的控制措施、流程和程序不足的情况。
- 具体而言,对物理和数字资产(包括员工设备)的管理不当。
- 用于存储数据的设备没有得到妥善保护。
- 对存储在组织内部网络中的私人信息的访问,可能需要更严格的控制措施。
总结
本节课中,我们一起学习了内部安全审计规划阶段的核心内容。我们明确了安全审计是通过审查控制措施、策略和程序来整合各种安全要素的关键活动。我们重点探讨了规划审计的两个初始步骤:确立审计范围与目标,以及进行风险评估,理解了它们对于指导后续审计工作、识别风险以及制定改进措施的重要性。在接下来的课程中,我们将继续学习审计的后续要素。
055:完成安全审计 🛡️
在本节中,我们将学习如何完成一次内部安全审计。我们将重点介绍审计规划阶段之后的三个核心要素:控制措施评估、合规性评估以及结果沟通。这些步骤对于识别组织安全漏洞和提升整体安全态势至关重要。
上一节我们讨论了内部安全审计的初始规划要素。本节中,我们将介绍初级分析师可能需要完成的后续要素。
作为回顾,内部安全审计的规划要素包括确立范围与目标,以及进行风险评估。剩余的三个要素是:完成控制措施评估、评估合规性以及沟通结果。
在完成最后这三个要素之前,你需要回顾审计的范围、目标以及风险评估,并向自己提出一些问题。
例如,本次审计旨在实现什么目标?哪些资产面临的风险最高?现有的控制措施是否足以保护这些资产?如果不足,需要实施哪些控制措施和合规性法规?
思考这类问题有助于你完成下一个要素:控制措施评估。
控制措施评估涉及仔细审查组织的现有资产,然后评估这些资产的潜在风险,以确保内部控制和流程是有效的。
以下是初级分析师可能需要完成的任务,将控制措施分为以下几类:
- 管理控制:与网络安全中的人员因素相关。它们包括定义组织如何管理数据的政策和程序,例如实施密码策略。
- 技术控制:用于保护资产的硬件和软件解决方案,例如使用入侵检测系统或加密技术。
- 物理控制:为防止对受保护资产的物理访问而采取的措施,例如监控摄像头和门锁。
下一个要素是确定组织是否遵守了必要的合规性法规。
作为提醒,合规性法规是组织为确保私人数据安全而必须遵守的法律。
在此示例中,该组织在欧盟开展业务并接受信用卡付款,因此他们需要遵守GDPR和支付卡行业数据安全标准。
内部安全审计的最后一个常见要素是沟通。
一旦内部安全审计完成,需要将结果和建议传达给相关方。
通常,此类沟通会总结审计的范围和目标。然后,它会列出已识别的风险,并注明这些风险需要解决的速度。此外,它还会明确组织需要遵守的合规性法规,并为改善组织的安全态势提供建议。
内部审计是识别组织内部漏洞的好方法。在我之前工作的公司,我和我的团队进行了一次内部密码审计,发现许多密码都很弱。一旦我们发现了这个问题,合规团队就牵头开始执行更严格的密码政策。
审计是一个机会,可以确定组织已具备哪些安全措施,以及哪些领域需要改进以实现组织期望的安全态势。安全审计过程相当复杂,但对组织具有极高的价值。在本课程后续部分,你将有机会为一家虚构公司完成内部安全审计的部分要素,这可以纳入你的专业作品集。
在本节课中,我们一起学习了完成内部安全审计的三个关键步骤:控制措施评估、合规性评估和结果沟通。理解这些步骤能帮助你系统地评估和提升组织的安全防御能力。
网络安全基础:第二课:安全风险管理总结
在本节课中,我们学习了帮助组织保护数据和资产的核心安全概念。这些知识将为你进入安全专业领域奠定坚实的基础。
我们首先定义了安全框架及其如何帮助组织保护关键信息。
接着,我们探讨了安全控制措施及其在防范风险、威胁和漏洞方面的重要作用。这包括对核心安全模型CIA三要素(保密性、完整性、可用性)的讨论,以及两个NIST框架:网络安全框架和SP 800-53。
然后,我们介绍了一些OWASP安全设计原则。
最后,我们引入了安全审计,重点介绍了你可能需要完成或参与的内部审计的要素。
安全专业人员运用我们讨论的这些概念来保护组织的资产、数据、系统和人员。在你进入安全专业领域的过程中,这些概念会反复出现。我们现在所做的是为你提供安全实践和主题的基础理解,这将对你未来的学习有所帮助。
在课程的下一部分,我们将讨论你未来作为分析师可能使用的具体安全工具。
我们将介绍这些工具如何用于改善组织的安全状况,以及它们如何帮助你实现保护组织和人员安全的目标。很高兴能继续与你一同学习,我们下次见。
057:安全工具入门 🛠️
在本节课中,我们将学习安全专业人员用于收集数据、检测威胁和自动化任务的各种工具。这些工具有助于组织构建更全面的安全态势。
日志类型与用途 📝
上一节我们介绍了安全框架、控制措施和设计原则。本节中,我们来看看安全工具,特别是日志。日志是记录系统、网络或应用程序活动的文件,用于追踪事件和识别异常。
以下是几种常见的日志类型及其用途:
- 系统日志:记录操作系统事件,如启动、关机、服务状态和错误信息。
- 网络日志:记录网络设备(如路由器、防火墙)的活动,包括连接尝试、数据包流量和访问控制事件。
- 应用程序日志:记录特定软件应用程序的运行事件,如用户登录、事务处理和错误报告。
- 安全日志:专门记录与安全相关的事件,例如登录成功/失败、权限更改和文件访问。
安全信息与事件管理仪表板 📊
了解了基础日志后,我们继续探索如何集中管理和分析它们。安全信息与事件管理仪表板是实现这一目标的核心工具。
SIEM(安全信息与事件管理)仪表板是一个集中式界面,用于实时收集、关联和分析来自整个组织的日志和安全警报。它帮助安全团队快速可视化安全状态、识别潜在威胁并做出响应。
常见SIEM工具 🧰
最后,我们来了解一些行业中常用的具体SIEM工具。这些工具将我们之前讨论的概念付诸实践。
以下是几种广泛使用的SIEM工具:
- Splunk:一个强大的平台,用于搜索、监控和分析机器生成的大数据,包括日志文件。
- Chronicle:谷歌云旗下的安全分析平台,专注于利用云端基础设施进行威胁检测和调查。
- IBM QRadar:一个集成的SIEM解决方案,提供日志管理、异常检测和事件响应功能。
本节课中我们一起学习了安全工具的基础知识,包括不同类型的日志及其作用、SIEM仪表板的核心功能,以及几种常见的行业工具。掌握这些工具是有效实施安全监控和威胁分析的关键步骤。
058:日志与SIEM工具
在本节课中,我们将要学习日志和SIEM工具。日志是记录系统与网络事件的关键数据源,而SIEM工具则是安全分析师用于收集、分析这些日志以监控威胁的核心平台。理解这两者对于有效进行安全风险管理至关重要。
日志:安全事件的基础记录
上一节我们介绍了安全风险管理的基本概念,本节中我们来看看安全分析的基础——日志。作为安全分析师,你的职责之一可能包括分析日志数据,以缓解和管理威胁、风险和漏洞。
需要记住,日志是组织系统和网络内发生事件的记录。安全分析师会访问来自不同来源的各种日志。
以下是三种常见的日志来源:
- 防火墙日志:记录来自互联网的入站流量尝试或已建立的连接,也包括网络内部向互联网发出的出站请求。
- 网络日志:记录所有进入和离开网络的计算机与设备,也记录网络内设备与服务之间的连接。
- 服务器日志:记录与网站、电子邮件或文件共享等服务相关的事件,包括登录、密码和用户名请求等操作。
通过监控如上图所示的日志,安全团队能够识别漏洞和潜在的数据泄露。
SIEM工具:日志的集中分析与监控
理解了日志的重要性后,我们来看看如何高效地利用它们。SIEM工具正是依赖日志来监控系统和检测安全威胁的利器。
安全信息与事件管理工具,即SIEM工具,是一种收集和分析日志数据以监控组织关键活动的应用程序。它的核心功能可以概括为:
- 提供实时可见性、事件监控与分析以及自动化警报。
- 将所有日志数据存储在集中位置。
由于SIEM工具能够对日志进行索引,并减少安全专业人员必须手动审查和分析的日志数量,因此它们提高了效率并节省了时间。但需要注意的是,SIEM工具必须经过配置和定制,以满足每个组织独特的安全需求。
随着新的威胁和漏洞不断出现,组织必须持续定制其SIEM工具,以确保威胁能被检测并得到快速处理。
在本证书课程的后续部分,你将有机会练习使用不同的SIEM工具来识别潜在的安全事件。
总结与展望
本节课中我们一起学习了日志的三种主要类型(防火墙、网络、服务器日志)以及SIEM工具的核心功能与价值。日志是原始的安全数据,而SIEM工具则是处理这些数据、提供洞察和警报的强大平台。
接下来,我们将探索SIEM仪表板,了解网络安全专业人员如何利用它们来监控威胁、风险和漏洞。
059:SIEM仪表盘
概述
在本节课中,我们将要学习SIEM工具的另一个重要功能:创建仪表盘。我们将了解仪表盘如何帮助安全分析师快速、直观地访问和分析安全信息,从而做出更明智的决策。
仪表盘简介
我们已经探讨了SIEM工具如何用于收集和分析日志数据。然而,这只是SIEM工具在网络安全中的众多用途之一。SIEM工具还可用于创建仪表盘。
你可能在手机或其他设备的应用程序中遇到过仪表盘。它们以易于理解的格式呈现关于你的账户或位置的信息。例如,天气应用程序使用图表、图形和其他视觉元素来显示温度、降水量、风速和预报等数据。这种格式使你能够快速识别天气模式和趋势,从而做好准备并相应地规划你的一天。
SIEM仪表盘的作用
正如天气应用程序帮助人们根据数据做出快速、明智的决策一样,SIEM仪表盘帮助安全分析师以图表、图形或表格的形式快速、轻松地访问其组织的安全信息。
例如,一位安全分析师收到关于可疑登录尝试的警报。该分析师访问其SIEM仪表盘以收集有关此警报的信息。通过使用仪表盘,分析师发现Yura的账户在五分钟内发生了500次登录尝试。他们还发现,这些登录尝试发生的地理位置超出了Yura通常的位置和她通常的工作时间。
通过使用仪表盘,安全分析师能够快速查看登录尝试时间线、位置和活动确切时间的可视化呈现,从而确定该活动是可疑的。
仪表盘中的指标
除了提供安全相关数据的全面摘要外,SIEM仪表盘还向利益相关者提供不同的指标。
指标是关键的技术属性,例如响应时间、可用性和故障率,用于评估软件应用程序的性能。
SIEM仪表盘可以进行自定义,以显示与组织中不同成员相关的特定指标或其他数据。
以下是仪表盘可以定制的一些常见指标示例:
- 网络流量监控:显示传入和传出网络流量的数据。
- 系统可用性:展示关键系统的正常运行时间百分比。
- 安全事件数量:按类型或严重性分类显示的事件计数。
总结
本节课中我们一起学习了SIEM仪表盘的功能和重要性。我们了解到,仪表盘不仅提供了安全数据的可视化摘要,还能通过自定义指标帮助安全分析师监控日常业务运营,例如网络流量,从而协助组织维持其安全态势。
干得好。
接下来,我们将讨论网络安全行业中一些常见的SIEM工具,我们那里见。
060:P60 无障碍与安全的共通之处
在本节课程中,我们将探讨网络安全与无障碍设计之间的重要联系。我们将了解,在设计安全措施时,考虑不同用户的能力差异至关重要,这不仅能提升安全性,还能让技术惠及更广泛的人群。
我的名字是Parissa,我是工程副总裁,并负责领导Chrome团队。作为Chrome团队的总经理,我领导着一个由全球工程师、产品经理和设计师组成的团队,共同构建Chrome浏览器并确保所有用户的安全。
我认为无障碍设计对技术的各个方面都很重要。当我们思考它与网络安全的相关性时,我们最终的目标是保护每个人的安全。我将无障碍设计理解为,使信息、活动甚至环境对尽可能多的人而言有意义、可感知、可使用。从技术角度来看,这通常意味着让残障人士也能获取信息或服务。
我们基于自身能力做出的安全增强决策,实际上可能效果不佳。例如,有时会用红色来表示警告,但对于色盲人士来说,这将是无效的。因此,在我们试图保护人们安全时,充分考虑无障碍性,对于安全措施的有效性至关重要。
安全与无障碍的共通之处 🧩
上一节我们提到了考虑无障碍性的重要性,本节中我们来看看安全与无障碍设计领域之间的具体相似之处。
我在安全领域工作了很长时间,确实看到了这两个领域之间的一些共通点。当你试图解决一个非常具体的安全问题或无障碍问题时,我真正看到了创新的驱动力。隐藏式字幕最初是为了帮助听力障碍人士而设计和构建的,但最终它帮助了所有人。
对于刚进入网络安全领域的人来说,记住你想要服务的用户能力范围是至关重要的。获取用户研究和反馈,并在测试安全缓解措施有效性时涵盖不同能力范围,这一点非常重要。
给初学者的建议与鼓励 💪
了解了核心概念后,以下是给网络安全领域新人的一些建议。
我知道在早期这很可怕,我和其他人看起来不一样,我真的很挣扎于我是否属于这里。找到可以成为导师的人,鼓起勇气提问,并认识到你很少是唯一有那个问题的人,有时只是坚持度过艰难时刻就能带来突破,也能逐渐建立信心。
我学到的一点是,我拥有与这个领域其他人不同的背景,这恰恰是我的超能力。我不应专注于我与房间里常态之间的差距,而应该为我自身的独特性以及我为团队带来的独特技能和视角感到自豪。
总结 📝
本节课中我们一起学习了网络安全与无障碍设计的紧密联系。核心在于,有效的安全措施必须考虑所有用户的能力差异,安全设计 = 普适性设计。同时,作为从业者,独特的背景和视角是宝贵的财富。记住,创新往往源于解决特定人群的具体问题,并最终惠及所有人。
061:探索常见SIEM工具 🛡️
在本节课程中,我们将学习几种行业领先的SIEM工具。这些工具是安全分析师用于监控系统、检测威胁的核心平台。了解它们的不同类型和特点,将帮助你为未来的实际工作做好准备。
上一节我们讨论了SIEM工具如何帮助安全分析师监控系统和检测安全威胁。本节中,我们来看看一些你作为安全分析师很可能会遇到的行业领先的SIEM工具。
首先,我们来讨论组织根据其独特的安全需求可以选择的不同类型的SIEM工具。
以下是SIEM工具的几种主要部署类型:
- 自托管SIEM工具:要求组织使用自己的物理基础设施(如服务器容量)来安装、运行和维护该工具。这些应用程序由组织的IT部门而非第三方供应商管理和维护。当组织需要对机密数据保持物理控制时,自托管SIEM工具是理想的选择。
- 云托管SIEM工具:由SIEM提供商维护和管理,可通过互联网访问。云托管SIEM工具适合那些不想投资创建和维护自身基础设施的组织。
- 混合解决方案:组织也可以选择结合使用自托管和云托管SIEM工具,这被称为混合解决方案。组织选择混合SIEM解决方案,是为了在保持对机密数据物理控制的同时,也能利用云的优势。
Splunk Enterprise、Splunk Cloud和Chronicle是许多组织用来帮助保护其数据和系统的常见SIEM工具。
接下来,我们具体了解这些工具。让我们从讨论Splunk开始。
Splunk是一个数据分析平台,其Splunk Enterprise提供SIEM解决方案。
以下是Splunk系列的主要产品:
- Splunk Enterprise:这是一个自托管工具,用于保留、分析和搜索组织的日志数据,以实时提供安全信息和警报。
- Splunk Cloud:这是一个云托管工具,用于收集、搜索和监控日志数据。对于那些运行混合或纯云环境(组织的部分或全部服务在云中)的组织来说,Splunk Cloud非常有帮助。
最后,还有谷歌的Chronicle。
Chronicle是一个云原生工具,专为保留、分析和搜索数据而设计。它提供日志监控、数据分析和数据收集功能。与云托管工具类似,云原生工具也完全由供应商维护和管理。但云原生工具是专门为充分利用云计算的各项能力(如可用性、灵活性和可扩展性)而设计的。
由于威胁行为者不断改进其策略,以破坏目标的机密性、完整性和可用性,因此组织使用多种安全工具来帮助防御攻击至关重要。我们刚刚讨论的SIEM工具只是安全团队可用于帮助防御其组织的众多工具中的几个例子。
在本证书课程的后续部分,你将有机会练习使用Splunk Cloud和Chronicle,这是一个令人兴奋的实践机会。
本节课中,我们一起学习了SIEM工具的几种主要类型(自托管、云托管、混合及云原生),并介绍了Splunk Enterprise、Splunk Cloud和Chronicle这三款行业主流工具的特点与适用场景。理解这些工具的区别是构建有效安全监控体系的基础。
谷歌网络安全专业证书:第二课:网络安全领域的常见误区
在本节课中,我们将探讨网络安全领域普遍存在的几个误区,并了解如何根据个人兴趣和技能规划自己的职业道路。
我是塔莉亚,是谷歌隐私、安全与保障部门的一名工程师。
网络安全领域存在很多误区。
误区一:必须精通编程、黑客技术或数学
一个很大的误区是,你必须会编程、必须懂黑客技术,或者必须是数学天才。我不会编程,尽管随着时间推移我学会了阅读代码。我也不是黑客,我并非从事安全领域的“红队”(攻击方)工作,而更像是“蓝队”(防御方)。我更不是数学天才,我走的是商业路线,而非数学家的道路。
误区二:必须拥有网络安全学位
另一个重大误区是,你必须拥有网络安全学位。我实际上在大学攻读的是商科。学位并非必需,尽管我后来重返校园,但那是我个人的选择。你不需要为了被视为网络安全领域的优秀候选人而必须攻读相关学位。
误区三:网络安全工作意味着孤立无援
还有一个误区是,网络安全工作意味着孤立无援。这实际上取决于你选择的职业路径。但我发现,这远非事实。我的工作需要大量协作。
上一节我们澄清了几个常见误区,本节中我们来看看如何规划个人职业发展路径。
规划你的网络安全职业道路
以下是我对任何对网络安全感兴趣的人的最大建议:
- 乐于开创自己的道路:每个人的道路看起来都不同。如果你和五个不同的人交谈,他们的旅程都会有所不同。
- 识别并寻求支持者:在你的旅程中,识别那些能够支持你的人,让他们知道你正在攻读这个证书,看看在你启程时能获得什么样的支持。
本节课中我们一起学习了网络安全领域的几个常见误区,包括对编程、学位和工作性质的误解。重要的是认识到,网络安全职业道路是多样化的,关键在于发挥个人优势,如建立关系、快速学习和善于提问,并勇于开创属于自己的独特路径。
谷歌网络安全专业证书课程:第二课:安全风险管理:P63:章节回顾与总结
在本节课程中,我们重点探讨了安全信息管理中的核心组成部分。我们首先了解了日志在网络安全中的基础作用,然后学习了如何通过SIEM工具及其可视化仪表板来高效地分析和呈现这些安全数据。
上一节我们介绍了SIEM工具的基本功能,本节中我们来快速回顾一下本部分涵盖的核心内容。
我们首先讨论了日志在网络安全中的重要性。日志是系统和网络活动的详细记录,是安全分析的基础数据源。
接下来,我们探讨了不同的日志类型,例如:
- 防火墙日志
- 网络日志
- 服务器日志
在理解了日志之后,我们进一步探索了SIEM仪表板。SIEM仪表板利用图表、图形等视觉化呈现方式,为安全团队提供快速、清晰的组织安全态势洞察。
最后,我们介绍了网络安全行业中常用的SIEM工具,其中两个典型的代表是:
- Splunk
- Chronle
本课程后续部分将深入探索更多安全工具,并提供实践使用的机会。接下来,我们将讨论预案手册,以及它们如何帮助安全专业人员对已识别的威胁、风险和漏洞做出恰当的响应。我们下一节再见。
总结
本节课我们一起学习了网络安全中日志的核心作用、常见的日志类型、SIEM仪表板的可视化优势以及业界主流的SIEM工具。这些知识构成了安全监控与事件分析的基础。
064:欢迎来到第四周
在本节课中,我们将学习安全团队用于应对威胁和漏洞的重要工具——剧本。我们将探讨剧本如何与SIEM工具协同工作,并详细介绍事件响应的六个阶段。
上一节我们讨论了安全信息与事件管理工具及其如何帮助组织提升安全态势。本节中,我们来看看安全专业人员使用的另一个工具:剧本。
剧本帮助安全团队响应由SIEM工具识别出的威胁、风险或漏洞。接下来,我们将讨论事件响应的六个阶段。
让我们开始吧。
065:事件响应手册的六个阶段 🛡️
概述
在本节课中,我们将要学习一个在网络安全领域至关重要的工具——事件响应手册。我们将了解它的定义、重要性,并详细拆解其标准化的六个响应阶段。
上一节我们介绍了SIEM工具如何帮助保护组织的关键资产和数据。本节中,我们来看看另一个用于维护组织安全的重要工具:事件响应手册。
什么是事件响应手册?
事件响应手册是一份提供任何操作行动细节的手册。在安全领域,手册明确了应对安全事件时应使用何种工具。
手册至关重要。快速识别并缓解安全威胁以减少潜在风险,需要紧迫性、高效性和准确性。手册确保无论由谁处理事件,人们都能以规定的方式遵循一致的行动列表。
组织会使用不同类型的手册,包括用于事件响应、安全警报、特定团队和特定产品的手册。这里我们将重点介绍网络安全中常用的一种手册:事件响应手册。
事件响应是组织为识别攻击、控制损害并纠正安全漏洞影响而进行的快速尝试。事件响应手册则是一个包含六个阶段的指南,用于帮助从头到尾缓解和管理安全事件。
以下是事件响应手册的六个阶段。
六个阶段详解
第一阶段:准备
组织必须通过记录程序、建立人员配置计划以及教育用户,为减轻安全事件的可能性、风险和影响做好准备。准备为成功的事件响应奠定了基础。
例如,组织可以创建事件响应计划和程序,概述每个安全团队成员的角色和职责。
第二阶段:检测与分析
此阶段的目标是使用已定义的流程和技术来检测和分析事件。在此阶段使用适当的工具和策略,有助于安全分析师确定是否发生了违规行为,并分析其可能的影响范围。
第三阶段:遏制
遏制的目标是防止进一步的损害,并减少安全事件的直接影响。在此阶段,安全专业人员采取行动来遏制事件并最小化损害。遏制对组织来说是高度优先的事项,因为它有助于防止对关键资产和数据的持续风险。
第四阶段:根除与恢复
此阶段涉及完全移除事件的所有痕迹,以便组织能够恢复正常运营。在此阶段,安全专业人员通过移除恶意代码和修复漏洞来消除事件的痕迹。一旦他们履行了应有的勤勉,就可以开始将受影响的环境恢复到安全状态。这也被称为IT恢复。
第五阶段:事后活动
此阶段包括记录事件、通知组织领导层,以及应用经验教训,以确保组织能更好地应对未来事件。根据事件的严重程度,组织可以进行全面的事件分析,以确定事件的根本原因,并实施各种更新或改进,以增强其整体安全态势。
第六阶段:协调
协调涉及根据组织既定的标准,在整个事件响应过程中报告事件和共享信息。协调非常重要,原因有很多。它确保组织满足合规性要求,并允许进行协调的响应和解决。
手册与工具的协同
安全专业人员可以通过多种方式获知事件。您最近学习了SIEM工具及其如何收集和分析数据。它们利用这些数据来检测威胁并生成警报,从而通知安全团队潜在事件。然后,当安全分析师收到类似的警报时,他们可以使用相应的事件响应手册来指导响应过程。
SIEM工具和事件响应手册协同工作,为响应潜在安全事件提供了一种结构化且高效的方式。
总结
本节课中,我们一起学习了事件响应手册的核心概念。我们了解到,手册是一套标准化的操作指南,它通过准备、检测与分析、遏制、根除与恢复、事后活动、协调这六个阶段,系统地指导安全团队应对安全事件,确保响应过程的效率、一致性与合规性。手册与SIEM等工具结合,共同构成了组织安全防御体系的关键组成部分。
066:事件响应与预案手册的价值
概述
在本节课中,我们将跟随谷歌Workspace安全团队的软件工程师Zach,学习事件响应流程以及预案手册在网络安全工作中的核心价值。我们将了解预案手册的定义、用途,以及它们如何帮助从业者,尤其是新手,高效、规范地应对各类安全事件。
预案手册:安全响应的路线图
上一节我们介绍了安全风险管理的基本概念,本节中我们来看看一个具体的实践工具:预案手册。
我的名字是Zach,我是谷歌Workspace安全团队的一名软件工程师。我拥有非传统的职业背景。大学毕业后,我原本打算攻读法律,但被录取后我决定放弃。我加入了谷歌的招聘部门。在那段工作中,我进行了一些策略分析,期间自学了网络爬虫技术并对此产生了浓厚兴趣。因此,我参加了谷歌的一个内部培训课程,这帮助我从招聘岗位转到了软件工程领域。
预案和手册是软件工程师以及谷歌其他员工使用的文档,用于确定我们如何应对发生的各种事件。无论是安全或隐私事件,还是正在进行的攻击,我们都有一套指导方针或算法,用来确定最佳行动方案,以确保我们妥善管理用户的数据和安全。
预案手册对新手的价值
由于我涉足网络安全领域的时间相对较短,作为一名软件工程师在这里工作大约两年,我并没有足够的知识来应对所有可能遇到的问题。当我在值班或协助修复漏洞时,预案手册对于像我这样的新人以及其他刚加入这个行业的人来说至关重要。因为它们让你能够借助经验更丰富的人的智慧来解决问题。本质上,你可以依靠这份手册和他人的建议,将数十年的经验融入到自己的解决方案中。
以下是预案手册常见的应用场景:
- 公开攻击
- 隐私事件
- 数据泄露
- 拒绝服务攻击
- 服务警报及其他情况
一个实战案例:修复漏洞
了解了预案手册的用途后,我们通过一个具体案例来看看它是如何发挥作用的。
我刚加入谷歌安全团队时,第一个任务是修复一个外部报告的漏洞。这意味着某位安全研究人员在测试我们的应用时,发现了一个可能泄露用户数据的潜在问题。回顾起来,这虽然是一个相对容易解决的问题,但在当时接到这个任务时,我感到压力巨大。
然而,当我们收到漏洞报告时,通常会附带修复指南。提交给我的漏洞报告中就包含了步骤说明,指出了他们认为我应该采取的措施。
给网络安全新人的建议
基于我的个人经历,我想给那些对网络安全感兴趣并希望入门的人一些建议。
我会告诉有志于从事网络安全的人,尽可能多地与行业内的从业者交流。你可以了解到这份工作的真实情况,了解到你需要掌握哪些技能才能进入这个领域(如果你对此感兴趣的话),还能了解到开放的职位和角色,以及在不同公司工作的体验。
我多么希望在我大学毕业时,就有人告诉我这些工作的真实面貌。我曾以为编程工作就是每天在昏暗的办公室里对着电脑埋头苦干12个小时。但事实完全不是那样。你知道吗?大约50%的时间是在与他人沟通,比如评审设计、讨论想法。这真的很有吸引力。我认为如果一开始就有人告诉我这些,我的职业生涯可能会完全不同。
网络安全:一个持久且重要的领域
最后,我们来谈谈网络安全领域的职业前景。
有些团队会随着技术潮流兴起或衰落,但安全领域始终存在。它在当下非常重要,并且只会变得越来越重要。因此,加入安全团队本身也带来了一定的职业安全感。
这绝对是一个值得投身的好领域。
总结
本节课中,我们一起学习了预案手册在网络安全事件响应中的核心作用。我们了解到预案手册是为应对安全事件、隐私泄露、攻击等而制定的标准化操作指南,尤其能为行业新人提供宝贵的经验支持。通过Zach分享的亲身经历,我们看到了预案手册在实际漏洞修复中的应用,并获得了关于进入网络安全领域的实用建议。最后,我们认识到网络安全是一个持续重要且充满机遇的领域。
067:使用剧本应对威胁、风险或漏洞 🛡️📘
在本节课中,我们将学习安全信息与事件管理工具如何与事件响应剧本结合使用,以降低组织面临的威胁、风险和漏洞。我们将探讨剧本的结构、作用,并通过一个具体的恶意软件攻击应对示例,了解安全分析师如何遵循剧本步骤进行有效响应。
上一节我们介绍了SIEM工具的基本概念,本节中我们来看看如何利用剧本为安全响应工作提供结构化指导。
事件响应剧本是一份指南,它能帮助安全专业人员以高度的紧迫感和准确性来缓解安全问题。剧本能创建结构、确保合规性,并概述沟通与文档记录的流程。
组织可能会根据具体情况使用不同类型的事件响应剧本。
以下是几种常见的剧本类型:
- 用于应对勒索软件攻击的剧本。
- 用于应对恶意软件攻击的剧本。
- 用于应对分布式拒绝服务攻击的剧本。
现在,让我们讨论一下安全分析师如何利用剧本来应对类似潜在恶意软件攻击的情况。
在这种情况下,剧本对于指导分析师采取必要行动以正确处理警报至关重要。
剧本的第一步是评估警报。
这意味着通过分析SIEM生成警报的原因,来确定警报是否真实有效。这可以通过分析日志数据和相关指标来完成。
接下来,剧本概述了用于遏制恶意软件并减少进一步损害的行动和工具。
例如,该剧本会指示分析师隔离或断开受感染网络系统的连接,以防止恶意软件扩散到网络的其他部分。
在遏制事件之后,剧本的第三步描述了消除事件所有痕迹并将受影响系统恢复正常运行的方法。
例如,剧本可能指示分析师恢复受影响的操作系统,然后使用在恶意软件爆发前创建的干净备份来恢复受影响的数据。
最后,一旦事件得到解决,剧本的第四步指示分析师执行各种事后活动并与安全团队进行协调。
一些行动包括创建最终报告向利益相关者通报安全事件,或将事件报告给适当的当局,如美国联邦调查局或其他调查网络犯罪的机构。
这只是遵循剧本步骤的一个示例,因为各组织会制定自己的内部程序来处理安全事件。最重要的是要理解,剧本为安全专业人员提供了一个可遵循的一致流程。
请注意,剧本是“活”的文档,这意味着安全团队会频繁地进行更改、更新和改进,以应对新的威胁和漏洞。
此外,组织会从过去的安全事件中吸取教训,以改善其安全状况、完善政策和程序,并降低未来事件发生的可能性和影响。然后,他们会相应地更新剧本。
作为一名初级安全分析师,你可能需要频繁使用剧本,尤其是在监控网络和响应事件时。理解剧本的重要性以及它们如何帮助你实现工作目标,将有助于确保你在这个领域取得成功。
本节课中我们一起学习了事件响应剧本的核心价值与应用方法。我们了解到剧本是结构化、可更新的行动指南,能帮助安全团队一致、高效地应对各类安全事件,并通过具体的恶意软件响应步骤,直观地感受了剧本在实际工作中的作用。掌握剧本的使用,是安全分析师有效开展工作的重要基础。
068:视角多样性在安全团队中的重要性
概述
在本节课程中,我们将探讨安全团队中视角多样性的重要性。我们将了解不同的个人背景和思维方式如何为技术产品的开发,尤其是在隐私和安全方面,带来更全面、更公平的解决方案。
主讲人介绍
大家好,我是艾琳,谷歌的一名隐私工程师。
我的工作聚焦于推测性和新兴技术领域,主要研究那些目前尚不存在,但预计在未来两到五年内会出现的技术。我的核心职责是审视我们正在创造的所有技术,并确保隐私保护从一开始就被嵌入其中。
核心理念:隐私前置
我的工作是在用户接触产品之前,就为他们考虑周全。目标是确保当用户使用我们的产品时,他们能够信任与产品的互动,并且知道我们正在保护他们的隐私——那些他们不希望分享或公开的信息——确保他们在接触产品之前就已充分知情。
软技能 vs. 技术技能
我始终认为,软技能比技术技能更重要。原因在于,技术可以教授,但如何与人建立联系、理解他人是无法被简单教授的,这是你个人带来的独特价值。
视角多样性的价值
思想与视角的多样性对于理解我们所处的世界非常有用。因为如果我们为普罗大众设计产品,就需要大众来帮助我们理解这些视角。
- 个人视角差异:我可能以一种方式看待事物,但我的同事基于其自身经历可能会有不同的看法。
- 协作产生深度:当来自不同环境的人一起工作时,你们实际上为所审视的事物带来了更多的公平性和深度。
你的视角是产品改进的关键
你所带来的视角,是让产品变得更好的必要声音。例如,团队中如果有来自新闻业或娱乐业背景的成员(就像我一样),他们会带来截然不同的处理问题的视角。
假设我们有一个产品方案,需要说服产品团队“也许我们不应该这样做”。这时,如果有来自新闻业的同事提出:“从新闻工作者的角度看,我们真的希望这个功能登上《纽约时报》的头条吗?很可能不希望。”这种基于实际经验的论证方式,更能让团队成员理解问题的严重性。
你的经历独一无二
从你出生到现在,所有的经历都构成了你独特的经验库。在面向广大人群进行技术开发时,我们必须考虑到这一点。
你的经验,可能就是他人的经验。 如果讨论室里没有你,我们就失去了为解决方案增添一份独特而宝贵视角的机会。这正是我鼓励人们加入技术行业、参与STEM(科学、技术、工程、数学)领域的原因。
总结
本节课我们一起学习了视角多样性在安全与隐私团队中的核心作用。无论是产品开发、安全还是隐私保护,乃至软件工程等所有领域,都需要不同的声音,而其中必不可少的就是你的声音。你的背景、经历和独特视角,是构建更公平、更全面、更值得信赖的技术产品的关键要素。
069:章节回顾与总结 🎯
在本节中,我们探讨了安全分析师在处理事件时使用的一种关键工具——预案手册。接下来,让我们一起回顾本节的核心内容。
本节内容回顾 📝
我们首先讨论了预案手册的目的。预案手册为安全团队提供了一套结构化的操作指南,确保在面对安全事件时能够采取一致且有效的应对措施。
随后,我们详细分析了事件响应预案手册的六个阶段。这六个阶段构成了一个完整的响应循环,指导分析师从事件发现到事后总结的全过程。
为了加深理解,我们还研究了一个具体的示例,展示了如何运用预案手册来实际处理一起安全事件。这个示例帮助我们直观地理解了理论在实践中的应用方式。
核心要点总结 💡
预案手册是安全分析师必备的核心工具之一。它通过提供结构化的、一致的方法来处理安全事件,能帮助你快速响应。
掌握何时以及如何使用预案手册,将使你能够在安全事件发生时,就如何响应做出明智的决策。这有助于最大限度地减少事件可能对你的组织及其服务对象造成的影响和损害。
遵循预案手册的步骤,并与你的团队进行恰当的沟通,将确保你作为一名安全专业人员的有效性。
本节课中,我们一起学习了预案手册的重要性、其包含的六个响应阶段,以及如何通过实际应用来有效管理安全风险。掌握这些知识是成为一名合格安全分析师的基础。
070:课程总结 🎯
在本节课中,我们一起回顾了《安全风险管理》课程的核心内容,涵盖了从基础概念到实用工具的关键知识。
课程内容回顾 📚
首先,我们回顾了CISSP的8个安全域,并重点关注了威胁、风险和对业务运营的脆弱性。
上一节我们介绍了安全的基础范畴,本节中我们来看看如何构建防御体系。我们探讨了安全框架与控制措施,以及它们如何作为创建安全管理策略和流程的起点。这包括对CIA三要素(机密性、完整性、可用性)、NIST框架和安全设计原则的讨论,并分析了它们如何使整个安全社区受益。
在理解了框架和原则之后,我们进一步探讨了它们与安全审计的关系。我们研究了安全审计如何评估这些控制措施的有效性。
以下是本课程涉及的基本安全工具:
- 安全信息和事件管理仪表盘等工具。
- 这些工具如何被用于保护业务运营。
最后,我们学习了如何通过使用预案来保护资产和数据。
知识应用与展望 🚀
作为一名安全分析师,你可能需要同时处理多项任务。理解你所掌握的工具及其使用方法,将提升你在该领域的专业知识,同时帮助你成功完成日常工作。
在接下来的课程中,我的同事Chris将提供更多关于本课程所涵盖主题的细节,并向你介绍一些新的核心安全概念。
总结
本节课中我们一起学习了安全风险管理的核心框架、控制措施、审计流程以及基础防护工具。这些知识构成了网络安全实践的基石。很高兴能与你共同完成这段学习旅程。
浙公网安备 33010602011771号