当前位置：首页 > news >正文

tryhackme-Pre Security-Defensive Security Intro（防御安全简介）

news 2025/9/17 2:48:18

任务一：Introduction to Defensive Security防御安全简介

此room的两个要点：

Preventing intrusions from occurring
防止入侵发生
Detecting intrusions when they occur and responding properly
检测发生的入侵并正确响应

防御安全还有更多内容。除上述内容外，我们还将涵盖以下相关主题：

安全运营中心 (SOC)

威胁情报
数字取证和事件响应 (DFIR)

恶意软件分析

任务二： Areas of Defensive Security（防御安全领域）

两个主题：

Security Operations Center (SOC)安全运营中心：我们在此负责威胁情报

Digital Forensics and Incident Response (DFIR)数字取证和事件响应 ：我们还涵盖恶意软件分析

（1）Security Operations Center (SOC)：安全运营中心 (SOC)

简介：soc是一群网络安全专业人员组成的安全团队，负责监控网络及其系统以检测网络安全事件。

soc主要涉及的领域：

1.漏洞：每次发现漏洞的时候，必须通过安装适当的更新以及补丁修复他，当修复不可用时，需要采取必要的措施防止攻击者利用他。尽管修复漏洞对于soc至关重要，但也不一定会分配给他们。

2.策略违规：安全策略是保护网络和系统所需要的一组规则。例如，用户将公司的机密数据上传到在线的存储服务上，就可能违反策略。

3.未授权的活动：考虑用户的登录名和密码被盗用，攻击者使用他们登录网络。

4.网络入侵：当用户点击恶意链接或攻击这利用公共服务器，可能会发现入侵，我们需要尽快采取措施。

安全操作涵盖各种任务以确保保护;其中一项就是威胁情报（Threat Intelligence）

威胁情报

概念：

情报指的是你收集的实际和潜在敌人的信息。

威胁指可能破坏系统或对系统产生不利影响的任何操作。

目的就是实现基于威胁的防御。

不同的公司有不同的对手。一些攻击者可能试图从移动运营商那里窃取客户数据;然而，其他对手也有兴趣停止炼油厂的生产。示例攻击者包括出于政治原因工作的民族国家网络军队和出于财务目的行事的勒索软件组织。根据公司（目标），我们可以预期对手。

情报需要数据

这里必须收集、处理和分析数据。

1.数据是从本地来源（如网络日志）和公共来源（如论坛）收集的

2. 数据处理将其排列成适合分析的格式

3.分析阶段旨在查找有关攻击者及其动机的更多信息

了解你的对手可以让你了解他们的策略、技术和程序。根据威胁情报，我们识别威胁行为者（对手）并预测其活动。因此，我们可以减轻他们的攻击并准备响应策略。

（2）Digital Forensics and Incident Response (DFIR)：数字取证和事件响应

1）Digital Forensics数字取证

2）Incident Response事件响应

3）Malware Analysis恶意软件分析

1）Digital Forensics数字取证

由来：法医是使用科学来调查犯罪和确定事实。随着计算机和智能手机等数字系统的使用和普及，法医的一个新分支诞生了，用于调查相关犯罪：计算机取证，后来演变为数字取证。

在防御性安全方面，数字取证的重点转移到分析攻击及其肇事者的证据，以及其他领域，例如知识产权盗窃、网络间谍和拥有未经授权的内容。因此，数字取证将侧重于不同的领域，例如：

文件系统：分析系统存储的数字取证图像（低级副本）可以揭示许多信息，例如已安装的程序、创建的文件、部分覆盖的文件和已删除的文件。
系统内存：如果攻击者在内存中运行恶意程序，但未将其保存到磁盘，则获取系统内存的取证图像（低级副本）是分析其内容并了解攻击的最佳方式。
系统日志：每个客户端和服务器计算机都维护着不同的日志文件，说明发生了什么。日志文件提供了有关系统上所发生情况的大量信息。即使攻击者试图清除他们的痕迹，一些痕迹也会保留下来。
网络日志：遍历网络的网络数据包的日志将有助于回答有关是否发生攻击及其后果的更多问题。

2）Incident Response事件响应

事件通常是指数据泄露或网络攻击;但是，在某些情况下，它可能不太重要，例如配置错误、入侵尝试或违反策略。网络攻击的示例包括攻击者使我们的网络或系统无法访问、污损（更改）公共网站以及数据泄露（窃取公司数据）。

您将如何应对网络攻击？

事件响应指定了处理此类情况应遵循的方法。目的是在尽可能短的时间内减少损害和恢复。理想情况下，您将制定一个为事件响应做好准备的计划。

准备：这需要一支经过培训并准备好处理事件的团队。理想情况下，采取各种措施来从一开始就防止事件发生。
检测和分析：团队拥有检测任何事件所需的资源;此外，必须进一步分析检测到的任何事件以了解其严重性。
遏制、根除和恢复：一旦检测到事件，就必须阻止它影响其他系统，消除它并恢复受影响的系统。例如，当我们注意到某个系统感染了计算机病毒时，我们希望阻止（遏制）病毒传播到其他系统，清理（根除）病毒，并确保系统正确恢复。
事件后活动：成功恢复后，将生成报告，并分享经验教训，以防止将来发生类似的事件。

3）Malware Analysis恶意软件分析

恶意软件代表恶意软件。软件是指可以保存在磁盘上或通过网络发送的程序、文档和文件。恶意软件包括多种类型，例如：

病毒是将自身附加到程序上的一段代码（程序的一部分）。它旨在从一台计算机传播到另一台计算机，其工作原理是在感染计算机后更改、覆盖和删除文件。结果范围从计算机变慢到无法使用。
特洛伊木马是一种程序，它显示一个理想的功能，但在下面隐藏了一个恶意功能。例如，受害者可能会从可疑网站下载视频播放器，从而使攻击者能够完全控制其系统，进行监视。
勒索软件是一种加密用户文件的恶意程序。加密会使文件在不知道加密密码的情况下无法读取。如果用户愿意支付 “赎金”，攻击者会向用户提供加密密码。（比特币）

木马和病毒的相同点和不同点

相同点：木马和病毒都是人为编写的而已代码，都会对用户造成危害。

不同点：病毒是具有传染性的，能偶自我复制，感染文件，拖慢计算机的速度，造成破环，而木马是不具备传染性的，它的主要怕目的是监视，获取用户相关的信息和隐蔽控制为主。

恶意软件分析旨在通过各种方式了解此类恶意程序：