Listen und beschreiben Sie die Schritte zum Vorfallmanagement. Der Bereich „Security Operations“ des CISSP listet die Schritte des Vorfallmanagements auf: Erkennung, Reaktion, Eindämmung, Berichterstattung, Wiederherstellung, Behebung und gewonnene Erkenntnisse. Nachdem ein Vorfall entdeckt und nachgewiesen wurde, besteht die erste Reaktion darin, den Umfang des Vorfalls einzuschränken oder einzudämmen und gleichzeitig Beweise zu schützen. Abhängig von den einschlägigen Gesetzen müssen Organisationen möglicherweise Vorfälle den zuständigen Behörden melden. Wenn personenbezogene Daten (PII) kompromittiert werden, müssen auch relevante Personen über die Situation informiert werden. Die Phase der Behebung und gewonnenen Erkenntnisse umfasst die Durchführung einer Ursachenanalyse, um die Ursache zu ermitteln und Lösungen vorzuschlagen, um ein erneutes Auftreten des Vorfalls zu verhindern.
Lernen Sie grundlegende Vorsichtsmaßnahmen. Durch grundlegende Vorsichtsmaßnahmen können viele Vorfälle verhindert werden. Dazu gehören die Aktualisierung von Systemen, das Entfernen oder Deaktivieren unnötiger Protokolle und Dienste, die Verwendung von Systemen zur Erkennung und Verhinderung von Eindringlingen, die Verwendung von Anti-Malware-Programmen mit den neuesten Signaturen und die Aktivierung host- und netzwerkbasierter Firewalls.
Verstehen Sie den Unterschied zwischen Whitelist und Blacklist. Software-Whitelisting stellt eine Liste genehmigter Software bereit, um zu verhindern, dass andere Software, die nicht in der Liste enthalten ist, auf dem System installiert wird. Die Blacklist stellt eine Liste nicht genehmigter Software bereit, um zu verhindern, dass Software auf der Liste auf dem System installiert wird.
Erfahren Sie mehr über Sandboxen. Eine Sandbox bietet eine isolierte Umgebung, die verhindert, dass in der Sandbox ausgeführter Code mit Elementen außerhalb der Sandbox interagiert.
Erfahren Sie mehr über Sicherheitsdienste von Drittanbietern. Sicherheitsdienste von Drittanbietern helfen Unternehmen dabei, die von ihren internen Mitarbeitern bereitgestellten Sicherheitsdienste zu verbessern. Viele Unternehmen nutzen cloudbasierte Lösungen, um die interne Sicherheit zu verbessern.
Erfahren Sie mehr über Botnets, Botnet-Controller und Störer. Botnetze können eine große Anzahl von Computern zum Starten von Angriffen mobilisieren und eine große Bedrohung darstellen. Daher ist es notwendig zu verstehen, was ein Botnetz ist. Ein Botnetz ist eine Ansammlung kompromittierter Computergeräte (oft als Marionetten oder Zombies bezeichnet), die ein Netzwerk bilden und von Kriminellen kontrolliert werden, die als Zombie-Herder bekannt sind. Zombiehirten steuern Zombies aus der Ferne über C&C-Server und nutzen dabei häufig Botnetze, um Angriffe auf andere Systeme zu starten oder Spam- oder Phishing-E-Mails zu versenden. Zombiehirten vermieten den Zugang zu ihren Botnetzen auch an andere Kriminelle.
Erfahren Sie mehr über Denial-of-Service-Angriffe (DoS). DoS-Angriffe verhindern, dass ein System auf legitime Serviceanfragen reagiert. Der SYN-Flood-Angriff, der den TCP-Drei-Wege-Handshake zerstört, ist eine häufige DoS-Angriffsmethode. Auch wenn Old-School-Angriffe heutzutage aufgrund grundlegender Vorsichtsmaßnahmen seltener vorkommen, werden Sie in diesem Bereich immer noch auf Fragen stoßen, da viele neue Angriffe oft nur Variationen älterer Methoden sind. Der Smurf-Angriff verwendet einen Fang Dawang, um eine große Anzahl von Antwortpaketen an das Opfer zu senden. Der Ping of Death-Angriff sendet eine große Anzahl extrem großer Ping-Pakete an das Opfer, was dazu führt, dass das System des Opfers einfriert, abstürzt oder neu startet.
Erfahren Sie mehr über Zero-Day-Exploits. Ein Zero-Day-Exploit ist ein Angriff, der eine Schwachstelle ausnutzt, die niemand außer dem Angreifer kennt und die nur einer begrenzten Anzahl von Personen bekannt ist. Oberflächlich betrachtet sieht dies wie ein unbekannter Exploit aus, der nicht verhindert werden kann, aber grundlegende Sicherheitsanweisungen können dennoch eine große Hilfe bei der Verhinderung von Zero-Day-Exploits sein. Durch das Entfernen oder Deaktivieren unnötiger Protokolle und Dienste kann die Angriffsfläche des Systems verringert werden: Eine Firewall kann viele Zugangspunkte blockieren und ein System zur Erkennung und Verhinderung von Eindringlingen kann potenzielle Angriffe leicht erkennen und blockieren. Darüber hinaus können Sie durch den Einsatz von Tools wie Honeypots auch zum Schutz aktiver Netzwerke beitragen.
Erfahren Sie mehr über Man-in-the-Middle-Angriffe. Ein Man-in-the-Middle-Angriff liegt vor, wenn es einem absichtlichen Benutzer gelingt, eine logische Position zwischen zwei Endpunkten einer Kommunikationsleitung einzunehmen. Obwohl der Angreifer viele komplizierte Dinge tun muss, um einen Man-in-the-Middle-Angriff durchzuführen, ist die Datenmenge, die er durch den Angriff erhält, auch recht groß.
Erfahren Sie mehr über Intrusion Detection und Intrusion Prevention. IDS und IPS sind wichtige Erkennungs- und Abwehrwerkzeuge gegen Angriffe. Sie müssen den Unterschied zwischen wissensbasierter Erkennung (die eine Datenbank verwendet, die der Anti-Aware Signature Library ähnelt) und verhaltensbasierter Erkennung verstehen. Die verhaltensbasierte Erkennung erstellt zunächst eine Basislinie zur Identifizierung normaler Verhaltensweisen und vergleicht dann verschiedene Aktivitäten mit der Basislinie, um abnormale Aktivitäten zu erkennen. Wenn sich das Netzwerk ändert, ist die Baseline möglicherweise nicht mehr aktuell. Daher muss die Baseline aktualisiert werden, sobald sich die Umgebung ändert.
IDS/IPS-Antworten verstehen. IDS kann passiv reagieren, indem es Benachrichtigungen protokolliert und sendet, oder proaktiv, indem es die Umgebung ändert. Manche Leute nennen aktives IDS IPS. Es ist jedoch wichtig zu wissen, dass IPS, die auf den Inline-Leitungen platziert werden, die den Datenverkehr übertragen, den Datenverkehr abfangen können, bevor er sein Ziel erreicht.
Erfahren Sie den Unterschied zwischen HIDS und NIDS. Hostbasiertes IDS (HIDS) kann nur die Aktivität auf einem einzelnen System überwachen. Der Nachteil besteht darin, dass ein Angreifer sie entdecken und deaktivieren kann. Netzwerkbasierte IDS (NIDS) können Aktivitäten in einem Netzwerk überwachen und sind für Angreifer unsichtbar.
Beschreiben Sie Honeypots und Honeynets. Ein Honeypot ist ein System, das häufig gefälschte Fehler und gefälschte Daten nutzt, um Eindringlinge anzulocken. Ein Honeynet besteht aus zwei oder mehr Honeypots in einem Netzwerk. Administratoren können die Aktivitäten von Angreifern beobachten, nachdem sie den Honeypot betreten. Solange sich die Angreifer im Honeypot befinden, befinden sie sich nicht im aktiven Netzwerk.
Erfahren Sie, wie Sie bösartigen Code blockieren. Mehrere Tools können bei gemeinsamer Verwendung Schadcode blockieren. Unter ihnen sind Anti-Malware-Programme, die auf jedem System, Netzwerkrand und E-Mail-Server installiert und mit den neuesten Definitionen ausgestattet sind, die offensichtlichsten Werkzeuge. Allerdings können Richtlinien, die auf grundlegenden Sicherheitsprinzipien wie dem Prinzip der geringsten Rechte basieren, auch normale Benutzer daran hindern, potenziell schädliche Software zu installieren. Darüber hinaus kann die Aufklärung der Benutzer über die Risiken und Methoden, mit denen Angreifer häufig Viren verbreiten, den Benutzern helfen, riskantes Verhalten zu verstehen und zu vermeiden.
Verstehen Sie die Arten von Protokolldateien. Protokolldaten werden in Datenbanken und verschiedenen Protokolldateien aufgezeichnet. Zu den allgemeinen Protokolldateien gehören Sicherheitsprotokolle, Systemprotokolle, Anwendungsprotokolle, Firewall-Protokolle, Agentenprotokolle und Änderungsprotokolle. Protokolldateien sollten zentral gespeichert und durch die Einschränkung von Zugriffsberechtigungen geschützt werden, während archivierte Protokolle schreibgeschützt sein sollten, um Manipulationen vorzubeugen.
Erfahren Sie mehr über Tests und wofür Testtools verwendet werden. Erkennungsräume konzentrieren sich auf eine Form der Prüfung, bei der Protokolldateidaten proaktiv überprüft werden. Die Erkennung dient dazu, Personen für ihre Handlungen zur Verantwortung zu ziehen und ungewöhnliche oder böswillige Aktivitäten zu erkennen. Instrumentierung wird auch zur Überwachung der Systemleistung verwendet. Überwachungstools wie IDS und SIEM können Ereignisse automatisch und kontinuierlich überwachen und in Echtzeit analysieren, einschließlich der Überwachung der Situation innerhalb des Netzwerks, des Kommunikationsflusses, der in das Netzwerk eintritt und des Kommunikationsflusses, der das Netzwerk verlässt. Die Protokollverwaltung umfasst Analyseprotokolle und archivierte Protokolle.
Interpretieren Sie den Prüfpfad. Ein Prüfpfad ist ein Datensatz, der erstellt wird, wenn Informationen über ein Ereignis und die damit verbundenen Umstände in eine oder mehrere Datenbanken oder Protokolldateien geschrieben werden. Audit Trails können verwendet werden, um Ereignisse zu rekonstruieren, Informationen über Ereignisse zu extrahieren, Schuld nachzuweisen oder Anschuldigungen zu widerlegen. Die Verwendung eines Prüfpfads ist eine passive Form der Implementierung detektivischer Sicherheitskontrollen. Prüfprotokolle sind auch wichtige Beweismittel für die Verfolgung von Straftätern.
Erfahren Sie, wie Sie Verantwortung übernehmen. Durch den Einsatz von Audits kann die Rechenschaftspflicht einzelner Akteure gewahrt bleiben. Protokolle zeichnen Benutzeraktivitäten auf und Benutzer sind für ihre aufgezeichneten Aktionen verantwortlich. Dies trägt direkt dazu bei, dass Benutzer gute Verhaltensgewohnheiten entwickeln und die Sicherheitsrichtlinien der Organisation einhalten.
Erfahren Sie mehr über Probenahme und Scheren. Beim Sampling, auch Datenextraktion genannt, handelt es sich um den Prozess, bestimmte Elemente aus einer großen Datenmenge zu extrahieren, um eine aussagekräftige Übersicht oder Zusammenfassung zu erstellen. Beim statistischen Sampling werden präzise mathematische Funktionen genutzt, um aus großen Datenmengen aussagekräftige Informationen zu extrahieren. Clipping fungiert als eine Form der nichtstatistischen Stichprobenerhebung, bei der nur Ereignisse aufgezeichnet werden, die einen Schwellenwert überschreiten.
Beschreiben Sie Bedrohungs-Feeds und Threat Hunting. Bedrohungsfeeds versorgen Unternehmen mit einem stetigen Strom an Rohdaten. Durch die Analyse von Bedrohungsfeeds können Sicherheitsadministratoren die aktuelle Bedrohungslandschaft verstehen. Mithilfe dieser Informationen können sie dann das Netzwerk nach Anzeichen dieser Bedrohungen durchsuchen.
Verstehen Sie die Beziehung zwischen maschinellem Lernen (ML) und künstlicher Intelligenz (KI). ML ist ein Bestandteil der KI und bezeichnet die Lernfähigkeit des Systems. KI ist ein weitreichendes Thema, zu dem auch ML gehört.
Erfahren Sie mehr über SOAR. Die SOAR-Technologie kann automatisch auf Ereignisse reagieren. Einer der Hauptvorteile von SOAR besteht darin, dass es die Arbeitsbelastung der Administratoren verringert. Es eliminiert auch menschliches Versagen, indem es Computersysteme reaktionsfähig macht.
Wondershare EdrawMind
