浅谈SOC——衡量、事件响应与人员配备
随着网络安全受重视程度的日益提高,越来越多的安全产品和工具开始走入更多企业和个人的视线。据 ESG 的研究发现,36% 的企业正在积极集成不同的安全分析和操作工具,以搭建集成度更高的安全技术体系结构。另有 48% 的企业表示,他们正积极开展安全分析和运营工具集成方面的工作。
随着网络安全受重视程度的日益提高,越来越多的安全产品和工具开始走入更多企业和个人的视线。据 ESG 的研究发现,36% 的企业正在积极集成不同的安全分析和操作工具,以搭建集成度更高的安全技术体系结构。另有 48% 的企业表示,他们正积极开展安全分析和运营工具集成方面的工作。
攻击者可以利用面向外部的远程服务来进行初始访问,并在持久地存在于网络中。VPN、Citrix和其他访问机制等远程服务使用户可以从外部位置连接到企业内部网络资源。经常有远程服务网关管理这些服务的连接和凭据身份验证。Windows Remote Management等服务也可以在外部使用。 阅读更多
对手可能会破坏或以其他方式,利用有权接触预期受害者的组织。通过受信任的第三方关系进行的访问会利用现有连接,该连接可能不像获得对网络的访问的标准机制那样受到保护或受到的审查较少。 阅读更多
对手可通过将恶意软件复制到可移动媒体,在把媒体插入到系统中并执行的时候,利用自动运行功能进入系统,特别是那些连接断开或存在空隙的网络。 阅读更多
对手可以通过使事件监视器守护程序(emond)触发恶意内容来获得持久性并进行特权提升。 阅读更多
供应链攻击是指:对手在最终消费者收到产品之前操纵产品或产品交付机制,从而达到损害数据或系统的目的。 阅读更多
用例最早来源于软件开发,但随着“SIEM的兴起”而被广泛使用。根据Gartner《如何开发和维护安全监控用例》的描述,用例是一种安全工具,可以检测或报告的特定情况或事件(通常与特定威胁有关)”
本文标题依稀来自于那个国内信息安全的蛮荒时期。当时,大多数国内企业对于安全的概念停留在——不知道有没有用、但装后机器就很慢的杀毒软件;也不知道它防御了啥、但可以代替路由器的防火墙 阅读更多
Windows使用访问令牌来确定正在运行的进程所有权。用户可以操纵访问令牌,使正在运行的进程看起来像属于启动该进程用户以外的其他人。