CISSP学习：第17章事件的预防和响应

2021年2月27日

事件：指会对机构资产的保密性、完整性或可用性产生负面影响的任何事态。
事件响应步骤：
1.检测：***检测和预防系统；反恶意软件；审计日志；最终用户有时会检测很是规活动。
2.响应：计算机响应小组（CIRT）。
3.抑制：旨在遏制事件的发展，限制事件的影响或范围。
4.报告：在本单位通报所发生的事件并将状况上报机构外的相关部门和官员。
5.恢复：调查人员从系统收集了全部适当证据后，恢复系统。
6.补救：安全人员首先对事件进行分析研究，找出根本缘由，防止再次发生。
7.总结教训。

基本预防措施：
1.保持系统和应用程序即时更新。
2.移除或禁用不须要的服务和协议。
3.使用***检测和预防系统。
4.使用最新版本反恶意软件程序。
5.使用防火墙。
6.执行配置管理和系统管理流程。

常见***：
1.僵尸网络
2.拒绝服务***：DOS、DDOS、DRDOS（分布式反射型拒绝服务）
3.SYN洪水***，可用SYN cookie应对。
4.Smurf和Fraggle***：都属于DoS***，利用回声回复。Smurf用ICMP泛洪，Fraggle利用UDP端口7和端口19，使用UDP数据包泛洪。
5.Ping洪水
6.死亡之Ping，Ping包一般只有32或64位，死亡之Ping将包改到64KB及以上。
7.泪滴：***者将通讯流分隔成碎片，使系统没法重组。
8.零日利用：***者最早发现漏洞，供应商掌握漏洞状况当还未发补丁，供应商发布补丁但系统尚未打上。
9.恶意代码：偷渡式下载。
10.中间人***
11.蓄意破坏
12.间谍活动

如前检测和预防系统IDS：检测许多DoS和DDoS***的有效方法。
1.基于知识检测：基于签名或模式检测，最经常使用的方法。
2.基于行为检测（统计***检测）：基于启发检测。
3.SIEM系统
4.IDS响应：被动响应：发消息给管理员，管理员决定如何阻止***。主动响应：修改环境，阻止***。
5.基于主机的IDS：检测一台计算机的活动。
6.基于网络的IDS：检测网络信息，不能检测主机系统异常。
7.***预防系统IPS：检测并阻断***。

具体预防措施：
1.蜜罐/蜜网：诱惑或诱捕问题。
2.警示：向用户和***者宣传基本安全方针策略。例如：全部在线活动都将接受审计。
3.反恶意软件
4.白名单、黑名单：iPhone的IOS是白名单的极端体现。
5.防火墙。
6.沙箱
7.第三方安全服务
8.***测试：风险是可能会致使系统运行中断；须要获得许可，必要时须要书面许可；采用技术，雇佣外部转角爱；保护报告；道德***行动。三类：零知识团队的黑盒测试、全知识团队的白盒测试、部分知识团队的灰盒测试。主要工具：Metasploit

日志记录：
1.日志记录技术：将有关事件的信息写进日志文件或数据库的过程。
2.日志类型：安全、系统、应用、防火墙、代理、变动。
3.保护日志类型：备份、认证、销毁。

监测：
1.审计踪影：将事件及有关信息保存，审计踪影是监测安全控制的一种被动形式。
2.监测和问责：威慑做用。
3.监测和调查：重建已发生过的事件
4.监测和问题识别。

监测技术：日志；信息安全和时间管理（SIEM）；抽样（根据统计原理）；剪切级（超过阈值的事件）；击键监测（键盘记录器）；通讯流分析。

出口监测：数据丢失预防（DLP，网络、端点）；隐写术（用散列函数防御）；水印。

效果评价审计：
1.访问审查审计：经过访问肯定权限。
2.用户权限审计
3.特权群组审计：高权限管理员组，管理员的两个帐户（一个低权，用于平常；一个高权）

安全审计和审查：
1.补丁管理
2.漏洞管理
3.配置管理
4.变动管理

报告审计结果：
1.保护审计结果，分配分类标签，有权限的人才能访问。
2.分发审计报告，接受者需正式签收。
3.使用外部审计人员。外部人员进入系统、推出系统。

课后习题20题，错了3个。