處理安全問題
除錯常見的安全問題
訪問控制問題:
1、認證問題2、許可問題3、訪問衝突
資料外洩:
攻擊者獲取了儲存在私有網路內部的資料並將其移動至外部網路的過程。
事件日誌中的異常
安全配置問題:
訪問點、防火牆、內容過濾器、入侵檢測系統等
基線偏離(基線:安全的最低標準)
軟體問題:
未授權軟體、無證書軟體、過期軟體
資產管理問題:
清點並跟蹤組織內所有價值物件的過程
響應安全事件
事件響應:
使用有序的方**來解決和管理安全漏洞和攻擊,同時限制損害並降低恢復成本的做法。
準備、檢測、處理、恢復、報告總結
事件準備:
為有效地響應事件奠定了基礎
指定組織策略
指定響應計畫/策略
指定溝通計畫
建立文件要求
元件事件響應小組(irt)
確保irt擁有必要的訪問許可權和資源
對irt和其他員工的教育
事件監測與分析
確定與正常操作的偏離情況,以及它們是否被認為是事件
建立基線並識別能知識偏離的資源
比較與既定指標的偏差
通知irt並建立溝通渠道
選擇事件處理人
確保事件處理人記錄下了檢測流程
事件遏制
限制損失並防止進一步的損害
短期遏制,如網路隔離
建立關鍵系統的重複映象以建立系統備份
長期遏制,如將系統下線進行維修
事件消除
移除或恢復受影響的系統
採取必要步驟將系統恢復到執行狀態
實施額外的安全控制
更新事件文件
事件恢復
將受影響的系統重新引入生產環境
恢復運營的時間範圍
用於確保系統功能性的測試工具和措施
監視系統異常的時間範圍
經驗教訓
包含了整個過程
與irt和管理層會面,完成事件時間線的確定
確定問題及其範圍,以及為緩解影響需要採取的措施
irt和事件響應計畫的有效性,以及其中哪些內容需要改進
完成了事件的文件記錄
事件響應計畫(必須先確認真實性再進行響應)
乙個文件或一系列文件,其中描述了用於檢測,響應以及最小化安全事件影響的程式。
irt的建立和維護
以書面形式列舉了構成安全事件的內容
對每種分類或型別的定義
事件發生時應遵循的分步流程
irt成員的角色和責任
報告要求
擴大因素
測試和驗證方式
桌面演習
功能演習
第一響應人
第一時間到達事故現場的一位經驗豐富的人員或一組訓練有素的專業人員
安全事件響應準則
如果存在irp,遵循其中列舉的指導原則來響應事件
如果irp不存在,則需要確定一名主要調查人員,他將領導整個調查過程
確定事件是否真正發生以及系統或流程的受損程度
嘗試隔離或以其他方式控制事件的影響
記錄事件的詳細資訊
調查安全事件
計算機取證
收集和分析來自計算機裝置的資料的做法,並有可能在法庭上將這些資訊作為一種證據形式呈現。
主要處理證據的恢復和調查
仍然是乙個新興領域
結合了法律要素和電腦科學
一些調查會在沒有法律行為的參與下進行
基本的取證流程
收集、檢查、分析、報告
取證資料的儲存
在安全事件發生後,易失資料應當從不同儲存位置和裝置中被恢復的順序
1、cpu暫存器,cpu快取和ram
2、網路快取和虛擬記憶體
3、硬碟驅動和記憶體
4、cd,***和列印輸出
調查安全事件的準則
制定或採用一致的流程來處理和儲存取證資料
評估損害,並確定受損系統帶來的影響
確定是否需要外部的專業技術支援
諮詢公司
如果需要,通知當地執法部門
保護現場以便保留其中的硬體
收集所有必要證據
電子資料
硬體元件
**系統元件
在電子資料收集過程中遵循易失性順序
與相關人員進行面談,以便收集更多資訊
將你的發現報告給相關人員
Featuretools 學習5 處理時間
當對時間資料執行特徵工程的時候,謹慎選擇用於計算的資料是十分必要的。通過使用乙個time index列注釋實體 並且 在計算中提供乙個cutoff time時,featuretools會自動過濾截止時間之後的任何資料,然後再執行計算。時間索引是資料中的列,用於指定何時知道每一行中的資料,例如 檢查乙...
c 學習5,處理異常
using system using system.collections.generic using system.linq using system.text namespace 異常1 catch exception ex 不要吃掉異常,一般情況下不需要處理異常,例如記憶體不足,轉換時 try...
Security 10 處理安全事件
10.3 調查安全事件 資料外洩 data exfiltraiton 攻擊者獲取了儲存在私有網路內部的資料並將其移至外部網路的過程。1.確保所有敏感資料在閒置時都進行了加密。2.為可能成為銷毀或勒索目標的資料建立並維護異地備份。3.對儲存或傳輸敏感資料的系統實施訪問控制 4.檢查訪問控制機制是否授予...