发表于   |   分类于 个人笔记   |   暂无评论   |  字数 6550

课题A:确定攻击者的类型

威胁执行者
威胁执行者(threat actor)是指需要对影响或可能影响组织安全的时间负部分或全部责任的实体。威胁执行者也被叫做恶意执行者(malicious actor)。威胁执行者的类型:

  • 脚本小子(script kiddie)新手或经验不足的黑客,技术知识有限,需要依赖自动工具进行攻击。
  • 黑客行为主义者(hacktivist):这种黑客为实现政治或社会变革而获取计算机系统的未授权访问并在其中引起破坏。
  • 有组织的犯罪:计划进行犯罪活动的个人小组,最常见的目的是获取金钱利益。
  • 民族国家:政府情报机构经常使用不同类型的威胁实现他们的政治和军事目的。
  • 内部人员:内部人员威胁院子目标组织内部。内部人员包括现在和过去的员工,承包商,工作伙伴,以及任何能够访问专利或机密信息的实体。
  • 竞争对手:获取了商业竞争对手敏感信息访问权限的组织。

开源情报
开源情报(open-source intelligence/OSINT)是指通过合法手段从公开可用的来源搜集到的信息。

课题B:确定社交工程攻击

社交工程
社交工程(social engineering)攻击是指使用欺骗或诡计手段说服毫无防备的用户提供敏感信息或违反安全原则的攻击类型。社交工程攻击是信息安全领域最常见也最成功的恶意技术。

原则描述
权威社交工程攻击者可能会以一个权威形象出现,如一位经理或IT管理员。
恐吓扮演权威人物的社交工程攻击者常用的手段。
从众社交工程攻击者可能会利用人类对团体的归属感以及对群体只会的服从度。
稀缺性获得某种供不应求的东西又是是一种吸引人的想法。
熟悉感社交工程攻击者可能会以用户的某个熟人的身份出现,如朋友或家庭成员。
紧急事件如果攻击者能使用户相信他们必须立即登录并修复账户或即将发生一些坏事,用户可能就会因恐慌而无法进行理性思考。



阅读全文 »

发表于   |   分类于 日常运维   |   1 条评论   |  字数 357

在做Windows基线加固的时候,经常会有一项关闭高危端口,按照加固手册来,往往只是通过防火墙等方式限制入站出站,通过netstat -an发现135、445等端口依旧在监听状态。
share.jpg

关闭135端口

  • 运行dcomcnfg,打开“组件服务”→“计算机”,在“我的电脑”上右键点击,选“属性”;然后点默认属性,把“在此计算机上启用分布式COM(E)”的勾去掉,接着返回到“默认协议”,移除“面向连接的TCP/IP”协议。
  • 开始菜单-运行-输入regedit,进入注册表,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc右键点击Rpc,新建——项——输入Internet后重启。

重启之后再用netstat -an检查就会发现135端口已不再监听。

关闭445端口

  • 打开注册表定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters右键新建一个dword值,若是你系统是32位,就建32的dword的,64位的就选择新建对应64的dword值,然后将值设为0。
  • 部分系统需要关闭server服务,开始菜单-运行,输入services.msc,进入服务,然后,找到server服务,将这个服务的启动类型更改为“禁用”,服务状态更改为“停止”,再应用(更改完后需重启)。

重启之后再用netstat -an检查就会发现445端口已不再监听。

注意事项

彻底关闭高危端口可能导致系统部分服务无法运行,如计划任务、磁盘碎片等。如均无需使用这些功能,可进行相关操作。

发表于   |   分类于 个人笔记   |   暂无评论   |  字数 56

Linux的默认管理员名即是root,只需要知道ROOT密码即可直接登录SSH。禁止Root从SSH直接登录可以提高服务器安全性。

修改/etc/ssh/sshd_config文件

[root@localhost ~]# vi /etc/ssh/sshd_config
...
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#PermitRootLogin yes的#去掉把yes改为no
重启ssh服务生效

[root@localhost ~]# systemctl restart sshd

发表于   |   分类于 个人笔记   |   暂无评论   |  字数 1272

课题A:分析组织风险

风险管理
在信息管理领域中,风险会以许多不同的形式展现出来。如果不能正确的管理风险,就是可能引起中药资产的泄露,篡改,丢失,破坏或干扰。风险管理(Risk management)是一种周期性过程,包括四个阶段:

  • 评估:确定并评估系统中存在的风险。
  • 分析:分析风险对系统产生的潜在影响。
  • 相应:规划如何响应风险的策略。
  • 缓解:缓解风险对未来安全造成的不良影响。

威胁、漏洞、风险的关系与不同:漏洞是指安全策略中的缺陷或弱点;威胁是指可能会利用漏洞的实体;风险是指如果威胁确实利用漏洞,可能造成的损失,危害或破坏。

风险分析的阶段
确定如何保护计算机网络,计算机安装和信息时,风险分析(risk analysis)这一安全过程能够评估可能影响整个组织的风险危害。
风险分析过程中有六个阶段:

  • 资产确定
  • 漏洞确定
  • 威胁评估
  • 可能性量化
  • 影响分析
  • 应对措施的确定



阅读全文 »

发表于   |   分类于 个人笔记   |   暂无评论   |  字数 2326

课题A:确定信息安全的概念

信息安全
信息安全(Information security)指的是保护可用信息或信息来源不会受到未授权访问,攻击,盗取或数据损坏。
信息安全的目标
在实施信息安全实践过程中,有三个主要目标或功能:预防(Prevention)、检测(Detection)、恢复(Recovery)。
风险
在信息系统领域中,风险(risk)表示的是面临损坏或丢失的可能性的概念。
漏洞
在大多数基础层面上,漏洞(vulnerability)即任何可能使信息系统遭受破坏的情况。漏洞可能以多种多样不同的形式展现出来:

  • 不合理地配置或安装软硬件。
  • 未及时应用和测试软件及固件补丁。
  • 软件或操作系统中的错误。
  • 软件或通讯协议的错误使用。
  • 设计拙劣的网络。
  • 糟糕的物理安全。
  • 不安全的密码。
  • 软件或操作系统中的设计缺陷。
  • 未经检查的用户输入。

威胁
在计算机安全领域中,威胁(threat)是指可能对资产造成损害的任何事件或行动。计算机和网络的潜在威胁包括:

  • 无意地或未经授权地访问或修改数据
  • 服务的中断。
  • 访问资产时中断。
  • 硬件损坏。
  • 未经授权地访问或损坏设施。

攻击
在计算机安全领域中,攻击(attack)是指在未经授权的其情况下,利用任意应用程序或物理计算机系统中漏洞的技术。计算机系统和网络安全中的攻击包括:

  • 物理安全攻击。
  • 基于软件的攻击。
  • 社交工程攻击。
  • 基于网络应用程序的攻击。
  • 基于网络的攻击,包括无线网络。

控制
在计算机安全领域中,控制(control)是指为了避免,缓解抵消由威胁或攻击引起的安全风险而做出的相应策略。控制概括地被分为:预防控制(Prevention control)、检测控制(Detection control)、校正控制(Correction control)。
安全管理流程
安全管理流程包括识别、实施和监控安全控制。













阅读全文 »