防御性安全入门

防御性安全入门

任务一：防御性安全简介

在上一节课，我们了解了攻击性安全，其目的在于识别并利用系统漏洞以强化安全措施。这包括利用软件漏洞、利用不安全的设置以及利用未强制执行的访问控制策略等策略。红队和渗透测试人员专门从事这些攻击性技术。

在这节课程中，我们将探讨其对应的概念——防御性安全。它主要涉及两项任务：

1. 防止入侵事件的发生；
2. 在入侵发生时进行检测并作出恰当的响应。

蓝队是防御性安全领域的一部分。

与防御性安全相关的部分任务包括：

• 用户网络安全意识：对用户进行网络安全培训有助于防范针对其系统的攻击。
• 资产记录与管理：我们需要清楚必须妥善管理和保护的系统及设备。
• 系统更新与补丁修复：确保计算机、服务器和网络设备针对任何已知漏洞（弱点）进行正确更新和补丁修复。
• 设置预防性安全设备：防火墙和入侵防御系统（IPS）是预防性安全的关键组成部分。防火墙控制哪些网络流量可以进入系统或网络，哪些可以离开。IPS 则会拦截任何与现有规则和攻击特征相匹配的网络流量。
• 设置日志记录和监控设备：恰当的网络日志记录和监控对于发现恶意活动和入侵行为至关重要。如果网络中出现新的未经授权的设备，我们应当能够检测到。

防御性安全的内容远不止这些。除了上述内容，我们还将涵盖以下相关主题：

• 安全运营中心（SOC）
• 威胁情报（TI）
• 数字取证与事件响应（DFIR）
• 恶意软件分析

任务二：防御性安全领域

在本任务中，我们将涵盖两个与防御性安全相关的主要主题：

• 安全运营中心（Security Operations Center，SOC），在这里我们会介绍威胁情报。
• 数字取证与事件响应（DFIR），其中我们还介绍恶意软件分析。

安全运营中心（Security Operations Center，SOC）

安全运营中心（SOC）是由网络安全专业人员组成的团队，负责监控网络及其系统，以检测恶意网络安全事件。SOC 主要关注的领域包括：

• 漏洞：每当发现系统漏洞（弱点）时，必须通过安装适当的更新或补丁来修复它。当无法修复时，应采取必要措施防止攻击者加以利用。尽管修复漏洞对安全运营中心（SOC）至关重要，但不一定由其负责。
• 政策违规：安全政策是一套用于保护网络和系统的规则。例如，如果用户将公司的机密数据上传到在线存储服务，这可能就属于政策违规。
• 未经授权的活动：设想一下，如果用户的登录名和密码被盗，攻击者利用这些信息登录网络。安全运营中心（SOC）必须尽快检测并阻止此类事件，以免造成进一步的损害。
• 网络入侵：无论您的安全措施有多好，始终存在被入侵的可能性。当用户点击恶意链接或攻击者利用公共服务器时，都可能发生入侵。无论哪种情况，一旦发生入侵，我们都必须尽快检测到，以防止造成进一步的损害。

安全操作涵盖多种确保防护的任务；其中一项任务就是威胁情报。

威胁情报

在此背景下，情报指的是您收集到的有关实际和潜在敌手的信息。威胁是指任何可能扰乱或对系统产生不利影响的行为。威胁情报收集信息以帮助公司更好地防范潜在敌手。其目的是实现基于威胁的情报防御。不同的公司有不同的敌手。有些敌手可能试图从移动运营商那里窃取客户数据；然而，其他敌手则对石油精炼厂的生产停滞感兴趣。典型的敌手包括为政治原因而工作的国家网络部队和为经济利益而行动的勒索软件团伙。根据公司（目标），我们可以预料到敌手的情况。

情报需要数据。数据必须被收集、处理和分析。数据从本地来源（如网络日志）和公共来源（如论坛）收集。数据处理将其整理成适合分析的格式。分析阶段旨在寻找有关攻击者及其动机的更多信息；此外，还旨在制定一份建议清单和可采取的措施。

了解对手能让您知晓他们的策略、技术和流程。通过威胁情报，我们能够识别威胁行为者（对手）并预测其活动。因此，我们能够减轻他们的攻击并制定应对策略。

数字取证与事件响应（Digital Forensics and Incident Response，DFIR）

本节内容涉及数字取证与事件响应（DFIR），我们将涵盖：

• 数字取证
• 事件响应
• 恶意软件分析

数字取证

取证是将科学应用于犯罪调查和事实认定的学科。随着计算机和智能手机等数字系统的使用和普及，一个新的取证分支应运而生，用于调查相关犯罪：计算机数字取证，后来发展为数字取证。

在防御性安全领域，数字取证的重点转向分析攻击证据及其实施者，以及诸如知识产权盗窃、网络间谍活动和未经授权内容持有等其他方面。因此，数字取证将侧重于以下不同领域：

• 文件系统：对系统存储的数字取证镜像（低级副本）进行分析可以揭示大量信息，例如已安装的程序、创建的文件、部分被覆盖的文件以及已删除的文件。
• 系统内存：如果攻击者在内存中运行其恶意程序而不将其保存到磁盘，那么对系统内存进行取证成像（低级复制）是分析其内容并了解攻击情况的最佳方式。
• 系统日志：每台客户端和服务器计算机都会保存有关正在发生事件的不同日志文件。日志文件提供了大量有关系统上发生事件的信息。即使攻击者试图清除其踪迹，也会留下一些痕迹。
• 网络日志：记录了网络中传输的数据包的日志有助于回答更多有关是否正在发生攻击以及攻击内容的问题。

Incident Response 事件响应

通常，事件指的是数据泄露或网络攻击；但在某些情况下，它也可以是不太严重的情况，比如配置错误、入侵尝试或违反政策。网络攻击的例子包括攻击者使我们的网络或系统无法访问、篡改（更改）公共网站以及数据泄露（窃取公司数据）。您会如何应对网络攻击？事件响应规定了处理此类情况应遵循的方法。其目的是在尽可能短的时间内减少损害并恢复。理想情况下，您会制定一个用于事件响应的计划。

事件响应过程的四个主要阶段是：

1. 准备工作：这需要一支训练有素且随时准备应对突发事件的团队。理想情况下，应采取各种措施从一开始就防止事件的发生。
2. 检测与分析：该团队拥有检测任何事件所需的资源；此外，对任何已检测到的事件进行进一步分析以了解其严重程度至关重要。
3. 遏制、根除和恢复：一旦发现事件，就必须阻止其影响其他系统，将其清除，并恢复受影响的系统。例如，当我们发现某个系统感染了计算机病毒时，我们希望阻止（遏制）病毒向其他系统传播，清除（根除）病毒，并确保系统正常恢复。
4. 事后活动：成功恢复后，会生成一份报告，并分享经验教训以防止未来发生类似事件。
   

恶意软件分析

恶意软件（Malware）指的是恶意程序。软件指的是您可以保存在磁盘上或通过网络发送的程序、文档和文件。恶意软件包含多种类型，例如：

• 病毒是一段代码（程序的一部分），它会附着在程序上。其设计目的是从一台计算机传播到另一台计算机，一旦感染计算机，就会通过篡改、覆盖和删除文件来发挥作用。其结果从计算机运行缓慢到完全无法使用不等。
• 特洛伊木马是一种程序，它表面上显示一个令人向往的功能，但其背后却隐藏着恶意功能。例如，受害者可能会从一个不可靠的网站下载一个视频播放器，结果让攻击者完全掌控了他们的系统。
• 勒索软件是一种恶意程序，会加密用户的文件。加密会使文件在不知道加密密码的情况下无法读取。攻击者会向用户索要“赎金”，然后才提供加密密码。

恶意软件分析旨在通过各种手段了解此类恶意程序：

1. 静态分析通过检查恶意程序而不运行它来发挥作用。这通常需要对汇编语言（即处理器的指令集，也就是计算机的基本指令）有扎实的了解。
2. 动态分析通过在受控环境中运行恶意软件并监控其活动来实现。它能让您观察恶意软件在运行时的行为表现。

任务三 防御性安全得到示例

The Scenario 的场景

让我们假设您是一位负责保护一家银行的安全运营中心（SOC）分析师。这家银行的 SOC 使用安全信息和事件管理（SIEM）工具，该工具从各种来源收集与安全相关的信息和事件，并将其呈现在一个仪表板上。如果 SIEM 发现可疑情况，就会生成警报。

然而，并非所有警报都是恶意的。这需要分析师运用他们在网络安全方面的专业知识来调查哪些是有害的。

例如，您可能会遇到这样的警报：某个用户多次登录失败。虽然这种情况看起来可疑，但其实经常发生，特别是当用户忘记密码后仍不断尝试登录时。

此外，还可能会有来自未知 IP 地址的连接相关的警报。IP 地址就像是您计算机在互联网上的家庭地址——它告诉其他计算机您请求的信息应发送到何处。当这些地址未知时，可能意味着有新用户尝试连接，或者有人试图未经授权访问。

Simulating a SIEM 模拟SIEM

我们准备了一个简化的交互式模拟 SIEM 系统，以便为您提供与网络安全分析师所面临情况类似的亲身体验。

要开始此模拟，请点击下面的“查看站点”按钮。

此操作将在您屏幕的右侧打开一个“静态网站”。请按照模拟中提供的分步说明浏览事件并找到“旗帜”。旗帜是一串字符，格式类似于：“THM{随机单词}”。使用此旗帜来回答 TryHackMe 中房间里的问题，例如下面这个问题。

接下来是什么?

I在这个房间里，我们探讨了不同的子领域（安全运营中心、威胁情报、恶意软件分析和数字取证与事件响应），并且在模拟的安全信息和事件管理环境中亲身体验了如何处理警报。尽管我们已经涵盖了很多内容，但这个领域的深度和复杂性意味着还有更多需要学习和探索的地方。在这里学到的经验教训将成为你们的基础，因为网络威胁不断演变，这需要持续学习、保持警惕和不断适应。

继续学习，查看本系列的下一个房间“搜索技巧”。这个房间将教给您一些宝贵的在线搜索信息的技巧，以帮助您的调查和学习。

如果您想跳过当前内容，直接了解本房间所讨论主题的更多信息，以下房间可供您选择：

• SIEM 简介——安全信息与事件管理入门
• 安全运营 - 了解安全运营中心（SOC）：其职责、服务和数据来源
• DFIR：简介 - DFIR 模块入门室
• 恶意软件分析入门——遇到疑似恶意软件时该怎么做