聲明！
學(xué)習(xí)視頻來自B站up主 瀧羽sec 有興趣的師傅可以關(guān)注一下，如涉及侵權(quán)馬上刪除文章，筆記只是方便各位師傅的學(xué)習(xí)和探討，文章所提到的網(wǎng)站以及內(nèi)容，只做學(xué)習(xí)交流，其他均與本人以及瀧羽sec團(tuán)隊(duì)無關(guān)，切勿觸碰法律底線，否則后果自負(fù)！！！！有興趣的小伙伴可以點(diǎn)擊下面連接進(jìn)入b站主頁B站瀧羽sec

網(wǎng)絡(luò)七殺傷鏈

七個(gè)階段

網(wǎng)絡(luò)殺傷鏈模型描述了網(wǎng)絡(luò)攻擊的七個(gè)階段，這些階段共同構(gòu)成了攻擊者從信息收集到實(shí)現(xiàn)攻擊目的的完整過程。以下是網(wǎng)絡(luò)殺傷鏈的詳細(xì)階段：
偵察(Reconnaissance):
攻擊者對目標(biāo)進(jìn)行信息收集和探測，了解目標(biāo)的網(wǎng)絡(luò)架構(gòu)、系統(tǒng)配置、潛在漏洞以及用戶活動(dòng)等相關(guān)情況。這一階段旨在為后續(xù)攻擊做準(zhǔn)備。

武器化(Weaponization)：
根據(jù)偵察所獲取的信息，攻擊者將惡意軟件或攻擊工具進(jìn)行制和包裝，使其能夠利用目標(biāo)系統(tǒng)的特定漏洞。這一階段將普通的惡意軟件或工具轉(zhuǎn)化為
具有攻擊性的“武器”

投送(Delivery)：
將經(jīng)過武器化處理的惡意軟件或攻擊工具投送到目標(biāo)系統(tǒng)或網(wǎng)絡(luò)中常見的投送方式包括通過電子郵件附件、惡意鏈接、受感染的移動(dòng)存儲(chǔ)設(shè)備等。

利用(Exploitation)：
一旦投送成功，惡意軟件會(huì)利用目標(biāo)系統(tǒng)存在的漏洞來觸發(fā)并擴(kuò)行惡意代碼，從而獲取對目標(biāo)系統(tǒng)的初步訪問權(quán)限或控制權(quán)

安裝（Installation):
在成功利用漏洞進(jìn)入目標(biāo)系統(tǒng)后，攻擊者會(huì)進(jìn)一步在目標(biāo)系統(tǒng)內(nèi)安裝額外的惡意軟件組件，如后門程序、遠(yuǎn)程控制工具等。這些組件允許攻擊者長期、穩(wěn)定地控制目標(biāo)系統(tǒng)。

指揮與控制(Command&Control):
安裝在目標(biāo)系統(tǒng)內(nèi)的惡意軟件會(huì)與攻擊者所控制的
部服務(wù)器建立連接。這一連接允許攻擊者遠(yuǎn)程對目標(biāo)系統(tǒng)下達(dá)指令、獲取數(shù)據(jù)以及進(jìn)行進(jìn)一步的控。

行動(dòng)(Action)：
這是網(wǎng)絡(luò)攻擊的最后階段。攻擊者通過已經(jīng)建立的指揮與控制通道，在目標(biāo)系統(tǒng)上執(zhí)行其預(yù)期的惡意活動(dòng)，如竊取敏感信息、篡改數(shù)據(jù)、發(fā)起拒絕服務(wù)攻擊等。這些活動(dòng)旨在達(dá)成攻擊者的目的。

日志收集

日志收集是網(wǎng)絡(luò)安全監(jiān)控的基礎(chǔ)，它涉及從各種關(guān)鍵日志來源收集數(shù)據(jù)。這些來源包括但不限于代理服務(wù)器、郵件服務(wù)器、Wb服務(wù)器、數(shù)據(jù)庫、，身份認(rèn)證服務(wù)器、防火墻、路由和交換機(jī)，以及應(yīng)用程序服務(wù)器和工作站。為了有效地收集這些日志，需要配置日志源以生成日志，并將其轉(zhuǎn)發(fā)給日志收集器，然后上傳到SIEM(安全信息和事件管理)系統(tǒng)。

在Windows系統(tǒng)中，可以使用事件日志收集和轉(zhuǎn)發(fā)機(jī)制來獲取日志數(shù)據(jù)。而在Linux系統(tǒng)則通常使用syslog來收集和聚合日志，并將其轉(zhuǎn)發(fā)到指定的日志收集器。此外，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，樓宇管理和工控網(wǎng)絡(luò)日志也成為了重要的日志來源，這些系統(tǒng)現(xiàn)在通岸連接到企業(yè)網(wǎng)絡(luò)，并可能成為攻擊者的主要目標(biāo)。

日志搜索與分析

收集到的日志數(shù)據(jù)需要進(jìn)行有效的搜索和分析，以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。Splunk等日志管理工具提供了強(qiáng)大的日志收集、存儲(chǔ)、搜索、分析和可視化功能。此外，SIEM系統(tǒng)能夠關(guān)聯(lián)日志與活動(dòng)，識別可疑內(nèi)容，而Splunk也可以作為SIEM解決方案之一。

監(jiān)控告警

監(jiān)控告警是網(wǎng)絡(luò)安全響應(yīng)的重要組成部分。告警可以來自SIEM系統(tǒng)，但也可以直接來自安裝在系統(tǒng)和網(wǎng)絡(luò)中的傳感器實(shí)時(shí)告警系統(tǒng)，如IDS（入侵檢測系統(tǒng)）設(shè)備。此外，事后告警系統(tǒng)，如AIDE（監(jiān)視系統(tǒng)文件的修改）等，也可以提供重要的安全信息。在某些情況下，事件可能不會(huì)從日志或警報(bào)中觸發(fā)，例如攻擊者更改了用戶密碼后，用戶可能會(huì)直接聯(lián)系管理員進(jìn)行通告。

事件響應(yīng)

事件響應(yīng)是網(wǎng)絡(luò)安全管理的關(guān)鍵環(huán)節(jié)。L2級分析師在收到L1級的工單后，會(huì)進(jìn)行分析評估，并進(jìn)行相應(yīng)的事件響應(yīng)流程。數(shù)字取證分析是網(wǎng)絡(luò)安全的一個(gè)專門領(lǐng)域，通常由L3級分析師處理。他們會(huì)對內(nèi)存、硬盤等存儲(chǔ)設(shè)備以合法方式進(jìn)行取證，以保護(hù)數(shù)據(jù)的完整性。

Cyber Hunting（網(wǎng)絡(luò)狩獵）

網(wǎng)絡(luò)狩獵是SOC（安全運(yùn)營中心）L3級分析師的一門新興學(xué)科。它假設(shè)網(wǎng)絡(luò)已被滲透，通過主動(dòng)尋找惡意軟件（或入侵者），爭取在攻擊造成損失之前發(fā)現(xiàn)。網(wǎng)絡(luò)狩獵需要尋找一系列指標(biāo)，以還原網(wǎng)絡(luò)攻擊時(shí)間線。MITRE ATT&CK框架是網(wǎng)絡(luò)威脅獵人的一個(gè)關(guān)鍵資源，它提供了攻擊者行為方式及其使用工具的信息，有助于發(fā)現(xiàn)攻擊痕跡。網(wǎng)絡(luò)威脅搜尋需要非常了解正常狀態(tài)，并能夠識別入侵和異?；顒?dòng)。

威脅情報(bào)

威脅情報(bào)是網(wǎng)絡(luò)安全管理的重要組成部分。妥協(xié)指標(biāo)（IOC）是用于識別惡意軟件或惡意活動(dòng)的簽名，通常以文件名和哈希值的形式提供?？紤]到新威脅信息的規(guī)模，手動(dòng)獲取和記錄威脅情報(bào)已不再可行。因此，自動(dòng)化威脅管理變得尤為重要。MITRE開發(fā)了結(jié)構(gòu)化威脅信息表達(dá)（STIX）和可信智能信息自動(dòng)交換（TAXII）協(xié)議，以實(shí)現(xiàn)威脅信息的自動(dòng)提供和攝取。這些協(xié)議允許自動(dòng)獲得威脅情報(bào)，并將其輸入IDS、SIEM等工具，從而實(shí)現(xiàn)威脅情報(bào)的近乎實(shí)時(shí)更新，以確保擊敗已知威脅。此外，AlienVault OTX等開放威脅交換服務(wù)也提供了手動(dòng)訪問危害指標(biāo)的功能。

安全管理

安全管理是一組確保公司業(yè)務(wù)安全的日常流程。它涵蓋了多個(gè)方面，包括身份管理（IAM）、訪問控制、特權(quán)管理（PAM）、媒體消毒、人事安全、證書管理以及遠(yuǎn)程訪問等。IAM是任何安全程序的基礎(chǔ)，也是黑客攻擊的主要目標(biāo)。訪問控制需要配置和驗(yàn)證用戶訪問系統(tǒng)的權(quán)限，并制定審計(jì)規(guī)則。PAM系統(tǒng)使非特權(quán)用戶能夠請求特權(quán)訪問，以提升權(quán)限。媒體消毒涉及在生命周期結(jié)束時(shí)對敏感數(shù)據(jù)進(jìn)行安全清理和銷毀。人事安全是公認(rèn)的業(yè)務(wù)安全程序之一。證書管理對于維護(hù)PKI架構(gòu)的完整性至關(guān)重要。而后疫情時(shí)代，遠(yuǎn)程訪問已成為攻擊的重點(diǎn)，因此需要加強(qiáng)對其的安全管理。

零信任網(wǎng)絡(luò)

在2010年谷歌遭受極光行動(dòng)網(wǎng)絡(luò)攻擊之后，其內(nèi)部網(wǎng)絡(luò)管理方式發(fā)生了深刻變革，并創(chuàng)造了“零信任”一詞，用以描述一種始終假設(shè)內(nèi)部網(wǎng)絡(luò)可能已被破壞的運(yùn)行方式。這種全新的安全理念在NIST特別出版物800-207:零信任架構(gòu)中得到了正式確立，并現(xiàn)已成為所有美國政府機(jī)構(gòu)必須強(qiáng)制實(shí)施的安全標(biāo)準(zhǔn)。

零信任架構(gòu)的核心在于其四個(gè)關(guān)鍵特征：

即時(shí)訪問（Just-In-Time Access, JITA）：用戶或服務(wù)在需要時(shí)才被授予訪問權(quán)限，且權(quán)限具有時(shí)效性，一旦任務(wù)完成或時(shí)間過期，權(quán)限即被收回。
只需足夠的訪問權(quán)限（Least Privilege Access, LPA 或 JEA, Just Enough Access）：用戶或服務(wù)僅被授予完成特定任務(wù)所需的最小權(quán)限集，以減少潛在的安全風(fēng)險(xiǎn)。
動(dòng)態(tài)訪問策略：訪問控制策略根據(jù)用戶身份、設(shè)備狀態(tài)、位置、時(shí)間等多種因素動(dòng)態(tài)調(diào)整，以適應(yīng)不斷變化的安全環(huán)境。
微觀分割：將網(wǎng)絡(luò)劃分為多個(gè)小型的、相互隔離的安全區(qū)域，以限制攻擊者在網(wǎng)絡(luò)內(nèi)的橫向移動(dòng)能力。

安全和基礎(chǔ)設(shè)施

在構(gòu)建零信任網(wǎng)絡(luò)的同時(shí)，還需關(guān)注以下安全和基礎(chǔ)設(shè)施方面的要素：

數(shù)據(jù)備份/恢復(fù)：作為重要的運(yùn)營技術(shù)，數(shù)據(jù)備份在發(fā)生災(zāi)難或攻擊事件時(shí)，是恢復(fù)業(yè)務(wù)連續(xù)性和數(shù)據(jù)完整性的關(guān)鍵安全資產(chǎn)。
變更管理：安全策略需要與系統(tǒng)的變化過程緊密關(guān)聯(lián)，確保在提交變更前已充分評估風(fēng)險(xiǎn)，并制定詳細(xì)的變更管理計(jì)劃，包括推出計(jì)劃、回滾計(jì)劃、影響評估和依賴關(guān)系清單。
管理物理環(huán)境：數(shù)據(jù)中心環(huán)境的物理和電子安全同樣重要，包括物理訪問控制、機(jī)房環(huán)境監(jiān)控（如功率、溫度、氣壓等）。

事件響應(yīng)

有效的事件響應(yīng)機(jī)制是零信任網(wǎng)絡(luò)不可或缺的一部分。事件管理生命周期通常包括以下幾個(gè)階段：

準(zhǔn)備：了解系統(tǒng)及現(xiàn)有控制措施，通過培訓(xùn)和演練提高組織的應(yīng)急響應(yīng)能力。
響應(yīng)：識別安全事件、進(jìn)行調(diào)查、采取行動(dòng)以響應(yīng)事件并恢復(fù)業(yè)務(wù)服務(wù)。
后續(xù)：事后進(jìn)一步調(diào)查、形成報(bào)告、總結(jié)經(jīng)驗(yàn)教訓(xùn)，并據(jù)此改進(jìn)安全流程和策略。

SABSA多層控制策略

SABSA（Sherwood Applied Business Security Architecture）多層控制策略提供了一種全面的安全框架，包括威懾、預(yù)防、遏制、檢測和通知恢復(fù)等多個(gè)層次的控制措施。