Перечислите и опишите шаги по управлению инцидентами. В разделе «Операции безопасности» CISSP перечислены этапы управления инцидентами: обнаружение, реагирование, сдерживание, отчетность, восстановление, исправление и извлеченные уроки. После того как инцидент обнаружен и доказан, первой мерой реагирования является ограничение или сдерживание масштабов инцидента, одновременно защищая доказательства. В зависимости от соответствующих законов организациям может потребоваться сообщать об инцидентах соответствующим органам власти. Если личная информация (PII) будет скомпрометирована, соответствующие лица также должны быть уведомлены о ситуации. Этап исправления и извлечения уроков включает в себя проведение анализа первопричин для определения причины и предложения решений, чтобы предотвратить повторение инцидента.
Изучите основные меры предосторожности. Основные меры предосторожности могут предотвратить возникновение многих инцидентов. К ним относятся обновление систем, удаление или отключение ненужных протоколов и служб, использование систем обнаружения и предотвращения вторжений, использование программ защиты от вредоносных программ, оснащенных новейшими сигнатурами, а также включение брандмауэров на уровне хоста и сети.
Поймите разницу между белым списком и черным списком. Белый список программного обеспечения предоставляет список одобренного программного обеспечения, чтобы предотвратить установку в системе любого другого программного обеспечения, не включенного в список. Черный список содержит список неодобренного программного обеспечения, позволяющий предотвратить установку любого из перечисленных программ в системе.
Узнайте больше о песочницах. Песочница предоставляет изолированную среду, которая предотвращает взаимодействие кода, выполняющегося в песочнице, с элементами за ее пределами.
Узнайте об услугах безопасности, предоставляемых третьими лицами. Сторонние службы безопасности помогают организациям улучшить услуги безопасности, предоставляемые их собственным персоналом. Многие организации используют облачные решения для повышения внутренней безопасности.
Узнайте о ботнетах, контроллерах ботнетов и беспокойствах. Ботнеты могут мобилизовать большое количество компьютеров для проведения атак и представлять серьезную угрозу. Поэтому необходимо понимать, что такое ботнет. Ботнет — это совокупность взломанных компьютерных устройств (часто называемых марионетками или зомби), которые образуют сеть и контролируются преступниками, известными как зомби-пастухи. Погонщики зомби удаленно управляют зомби через командные серверы, часто используя ботнеты для атак на другие системы или рассылки спама или фишинговых писем. Зомби-пастухи также сдают в аренду доступ к своим ботнетам другим преступникам.
Узнайте об атаках типа «отказ в обслуживании» (DoS). DoS-атаки не позволяют системе отвечать на законные запросы на обслуживание. Атака SYN-флуд, разрушающая трехстороннее рукопожатие TCP, является распространенным методом DoS-атаки. Даже если атаки старой школы сегодня менее распространены из-за элементарных мер предосторожности, вы все равно столкнетесь с вопросами в этой области, поскольку многие новые атаки часто являются лишь вариациями старых методов. Атака смурфов использует Fang Dawang для отправки жертве большого количества ответных пакетов. Атака Ping of Death отправляет жертве большое количество очень больших ping-пакетов, что приводит к зависанию, сбою или перезапуску системы жертвы.
Узнайте об эксплойтах нулевого дня. Эксплойт нулевого дня — это атака, использующая уязвимость, которая неизвестна никому, кроме злоумышленника, и известна только ограниченному числу людей. На первый взгляд это выглядит как неизвестный эксплойт, который невозможно предотвратить, но базовые инструкции по безопасности все равно могут оказать большую помощь в предотвращении эксплойтов нулевого дня. Удалив или отключив ненужные протоколы и службы, можно уменьшить поверхность атаки на систему: межсетевой экран может блокировать многие точки доступа, а система обнаружения и предотвращения вторжений может легко обнаружить и заблокировать потенциальные атаки; Кроме того, используя такие инструменты, как приманки, вы также можете защитить активные сети.
Узнайте об атаках «человек посередине». Атака «человек посередине» происходит, когда намеренный пользователь может занять логическую позицию между двумя конечными точками линии связи. Хотя злоумышленнику необходимо проделать множество сложных действий, чтобы завершить атаку «человек посередине», объем данных, которые он получает в результате атаки, также довольно велик.
Узнайте об обнаружении и предотвращении вторжений. IDS и IPS являются важными инструментами обнаружения и предотвращения атак. Вам необходимо понимать разницу между обнаружением на основе знаний (которое использует базу данных, аналогичную библиотеке сигнатур Anti-Aware) и обнаружением на основе поведения. Обнаружение на основе поведения сначала создает базовый уровень для выявления нормального поведения, а затем сравнивает различные действия с базовым уровнем для обнаружения аномальных действий. Если сеть изменится, базовый план может устареть, поэтому базовый план необходимо обновить, как только изменится среда.
Понимание ответов IDS/IPS. IDS может реагировать пассивно, регистрируя события и отправляя уведомления, или активно, изменяя среду. Некоторые называют активный IDS IPS. Но важно понимать, что IPS, размещенные на внутренних линиях, по которым передается трафик, могут перехватывать трафик до того, как он достигнет своей цели.
Узнайте разницу между HIDS и NIDS. IDS на основе хоста (HIDS) может отслеживать активность только в одной системе. Недостатком является то, что злоумышленник может обнаружить и отключить их. Сетевые IDS (NIDS) могут отслеживать действия в сети и остаются невидимыми для злоумышленников.
Опишите приманки и сети-приманки. Приманка — это система, которая часто использует ложные недостатки и фальшивые данные для заманивания злоумышленников. Приманка — это две или более приманки в сети. Администраторы могут наблюдать за действиями злоумышленников после того, как они вошли в приманку. Пока злоумышленники находятся в приманке, они не находятся в активной сети.
Узнайте, как заблокировать вредоносный код. Несколько инструментов могут блокировать вредоносный код при совместном использовании. Среди них наиболее очевидными инструментами являются программы защиты от вредоносных программ, установленные в каждой системе, на границе сети и на сервере электронной почты и оснащенные новейшими определениями. Однако политики, основанные на базовых принципах безопасности, таких как принцип наименьших привилегий, также могут помешать обычным пользователям устанавливать потенциально вредоносное программное обеспечение. Кроме того, информирование пользователей о рисках и методах, обычно используемых злоумышленниками для распространения вирусов, также может помочь пользователям понять и избежать рискованного поведения.
Понимание типов файлов журналов. Данные журнала записываются в базы данных и различные файлы журналов. Общие файлы журналов включают журналы безопасности, системные журналы, журналы приложений, журналы брандмауэра, журналы агентов и журналы изменений. Файлы журналов должны храниться централизованно и защищаться путем ограничения прав доступа, а архивные журналы должны быть доступны только для чтения во избежание несанкционированного доступа.
Узнайте о тестировании и о том, какие инструменты тестирования используются. Комнаты обнаружения ориентированы на форму аудита, которая активно проверяет данные файлов журналов. Обнаружение используется для привлечения субъектов к ответственности за свои действия и для обнаружения необычной или злонамеренной деятельности. Инструменты также используются для мониторинга производительности системы. Такие инструменты мониторинга, как IDS и SIEM, могут автоматически и непрерывно отслеживать и обеспечивать анализ событий в реальном времени, включая мониторинг условий внутри сети, потоков связи, входящих в сеть, и потоков связи, покидающих сеть. Управление журналами включает журналы анализа и архивные журналы.
Интерпретируйте аудиторский след. Журнал аудита — это запись, создаваемая, когда информация о событии и обстоятельствах, связанных с ним, записывается в одну или несколько баз данных или файлов журналов. Журналы аудита могут использоваться для реконструкции событий, извлечения информации о событиях, доказательства виновности или опровержения обвинений. Использование журнала аудита — это пассивная форма реализации детективных мер безопасности. Аудиторские следы также являются важными доказательствами для преследования преступников.
Научитесь нести ответственность. Благодаря использованию аудитов можно поддерживать подотчетность отдельных участников. В журналах фиксируются действия пользователей, и пользователи несут ответственность за свои записанные действия. Это играет прямую роль в формировании у пользователей хороших поведенческих привычек и соблюдении политик безопасности организации.
Узнайте об отборе проб и стрижке. Выборка, также называемая извлечением данных, относится к процессу извлечения определенных элементов из большого объема данных для формирования значимого обзора или резюме. Статистическая выборка использует точные математические функции для извлечения значимой информации из больших объемов данных. Отсечение действует как форма нестатистической выборки, записывая только события, превышающие пороговое значение.
Опишите каналы угроз и поиск угроз. Ленты угроз предоставляют организациям постоянный поток необработанных данных. Анализируя потоки угроз, администраторы безопасности могут понять текущую картину угроз. Затем они могут использовать эту информацию для поиска в сети признаков этих угроз.
Поймите взаимосвязь между машинным обучением (ML) и искусственным интеллектом (ИИ). Машинное обучение является компонентом искусственного интеллекта и относится к способности системы к обучению. ИИ — это обширная тема, включающая в себя машинное обучение.
Узнайте о СОАР. Технология SOAR может автоматически реагировать на события. Одним из основных преимуществ SOAR является то, что он снижает нагрузку на администраторов. Это также исключает человеческие ошибки, позволяя компьютерным системам реагировать.
Wondershare EdrawMind
