域7：安全运营 第17章 事件的预防和响应

第七域包括 16、17、18、19 章。

        事件的预防和响应是安全运营管理的核心环节，对于组织有效识别、评估、控制和减轻网络安全威胁至关重要。这一过程是循环往复的，要求组织不断总结经验，优化策略，提升整体防护能力。通过持续的监测、评估与改进，组织能更好地应对日益复杂的网络安全挑战。

---

1、事件管理步骤。

CISSP 的“安全运营＂域列出了事件管理步骤：检测、响应、 抑制、报告、恢复、补救和总结教训。检测并证明有事件发生后，第一响应是限制或控制事件的范围，同时保护证据。根据相关法律，组织可能需要把事件上报相关部门。如果个人身份信息(PII)受到影响，则还需要把情况通知相关个人。补救和总结教训阶段包括进行根本原因分析，以确定原因和提出解决方案，以防事件再次发生。

2、 基本预防措施。

基本预防措施可以防止许多事件发生。这些措施包括保持系统即时更新、移除或禁用不需要的协议和服务、使用入侵检测和预防系统、使用配备了最新签名的反恶意软件程序以及启用基千主机和网络的防火墙。

3、 白名单与黑名单的差异。

软件白名单提供一个得到批准的软件的列表，以防止未被列入名单的任何其他软件被安装到系统中。黑名单则提供一个未得到批准的软件的列表，以防止被列入名单的任何软件被安装到系统中。

4、 沙箱。

沙箱提供了一个隔离的环境，可阻止沙箱内运行的代码与沙箱外的元素交互。

5、第三方提供的安全服务。

第三方安全服务可帮助组织增强内部员工提供的安全服务。许多组织用基于云的解决万案来增强内部安全。

6、 僵尸网、僵尸网控制者和僵尸牧人。

僵尸网可以调动大量计算机发动攻击而形成一 种重大威胁，因此，有必要了解什么是僵尸网。僵尸网是遭入侵的计算设备（通常被称作愧偶或僵尸）的集合体，它们形成一个网络，由被称作僵尸牧人的犯罪分子操控。僵尸牧人通过 C&C 服务器远程控制僵尸，经常利用僵尸网对其他系统发起攻击，或发送垃圾邮件或网络钓鱼邮件。僵尸牧人还把僵尸网的访问权出租给其他犯罪分子。

7、拒绝服务(DoS)攻击。

DoS 攻击阻止系统响应合法服务请求。破坏 TCP 三次握手的 SYN 洪水攻击是一种常见的DoS 攻击手段。即便较老式的攻击由千基本预防措施的拦截而在今天已不太常见，你依然会遇到这方面的考题，因为许多新式攻击手段往往只是旧方法的变体。 smurf 攻击利用一个放大网向受害者发送大量响应包。死亡之ping 攻击向受害者发送大量超大 ping 包，导致受害者系统冻结、崩溃或重启。

8、 零日（0day）利用。

零日利用是指利用一个除攻击者以外其他任何人都不知道或只有有限的几个人知道的漏洞的攻击。从表面上看，这像是一种无从防范的未知漏洞，但基本安全保护措施还是能对预防零日利用提供很大帮助的。通过移除或禁用不需要的协议和服务，可以缩小系统的受攻击面；启用防火墙，能封锁许多访问点；而采用入侵检测和预防系统，可帮助检测和拦截潜在的攻击。此外，通过使用蜜罐等工具，也可以帮助保护活跃的网络。

9、 中间人攻击。

当一名恶意用户能够在通信线路的两个端点之间占据一个逻辑位置 时，便怠味若发生了中间人攻击。尽管为了完成一次中间人攻击，攻击者需要做相当多的复杂事情，但他从攻击中获得的数据晕也是相当大的

10、入侵检测和入侵预防。

IDS IPS 是抵御攻击的重要检测和预防手段。你需要了解基于知识的检测（使用了一个与反恶意软件签名库类似的数据库）和基于行为的检测之间的区 别。基于行为的检测先创建一条基线以识别正常行为，然后把各种活动与基线相比较，从而检测出异常活动。如果网络发生改动，基线可能会过时，因此环境一旦发生变化，基线必须马上更新

11、 IDS/IPS 响应。

IDS 可通过日志记录和发送通知来被动做出响应，也可通过更改环境来主动做出响应。有人把主动 IDS 称为 IPS 。但重要的是认识到， IPS被放置在承载通信流的内联线路上，可在恶意通信流到达目标之前拦截它们。

12、HIDS NIDS 的区别。

• • 基于主机的 IDS(HIDS) 只能监测单个系统上的活动。缺点是攻击者可以发现并禁用它们。
  • 基于网络的 IDS(NIDS)可以监测一个网络上的活动，而且是攻击者不可见的。

13、蜜罐和蜜网。

蜜罐是通常用伪缺陷和假数据来引诱入侵者的一个系统。蜜网是一个网络里的两个或多个蜜罐。管理员可在攻击者进入蜜罐后观察他们的活动，攻击者只要在蜜罐里，他们就不会在活跃网络中。

14、拦截恶意代码的方法。

将几种工具结合起来使用时可拦截恶意代码。其中，反恶意软件程序安装在每个系统、网络边界和电子邮件服务器上，配有最新定义，是最明显的工具。 不过，基千最小特权原则等基本安全原则的策略也会阻止普通用户安装潜在恶意软什。此外， 就风险和攻击者常用的传播病毒的方法对用户开展教育，也可帮助用户了解和规避危险行为。

15、日志文件的类型。

日志数据被记录在数据库和各类日志文件里。常见的日志文件包括安全日志、系统日志、应用日志、防火墙日志、代理日志和变更曰志。日志文件应该集中存储，以限制访问权限等方式予以保护，而归档日志应设置为只读，以防有人篡改。

16、监测以及监测工具的用途。

监测是侧重于主动审查日志文件数据的一种审计形式。 监测用于使行事主体对自己的行为负责以及检测异常或恶意活动。监测还用于监控系统性能。 IDS SIEM 等监测工具可以自动持续进行监测并提供对事件的实时分析，包括监测网络内的情况、进入网络的通信流和离开网络的通信流（也叫出口监测）。日志管理包括分析日志和归档日志。

17、审计踪迹。

审计踪迹是在将有关事件及事发情况的信息写入一个或多个数据库或日志文件中时创建的记录。审计踪迹可用于重建事件、提取事件信息、证明罪责或反驳指控。使用审计踪迹是执行检测性安全控制的一种被动形式。审计踪迹还是起诉犯罪分子的基本证据。

18、 如何保持问责。

通过使用审计，可保持对个人行事主体的问责。日志记录用户活动，用户要对记录在案的行为负责。这对用户形成良好行为习惯、遵守组织安全策略有着直接的促进作用。

19、抽样和剪切。

抽样也叫数据提取，是指从大量数据中提取特定元素，构成有意义的概述或摘要的过程。统计抽样利用精确的数学函数从大量数据中提取有意义的信息。剪切作为非统计抽样的一种形式，只记录超过阙值的事件。

20、威胁馈送和威胁搜寻。

威胁馈送可向组织提供稳定的原始数据流。安全管理员通过分析威胁馈送，可以掌握当前威胁的情况。他们随后可以利用这些信息在网络中展开搜索，从中寻找这些威胁的迹象。

21、机器学习(ML)与人工智能(AI) 之间的关系。

ML AI 的组成部分，是指系统的学习能力。 AI 是涵盖面很广的一个主题，其中包含 ML

22、SOAR

SOAR 技术可以对事件自动做出响应。SOAR 的主要好处之一是它可以减轻管理员的工作负担。它还可以通过让计算机系统做出响应来消除人为错误。