了解什么是网络杀伤链<br>一个七个阶段的入侵模型:
侦查
对手对你的组织产生兴趣,将其作为目标,并开始蓄意收集信息以寻找<br>漏洞
武器化
有足够详细的信息作为装备,对手决定进入你的系统的最佳方法,开<br>始准备并测试将用以攻击你的武器。
传送
在这一阶段,网络武器被传送到你的系统中。在95%的公布案例中都通<br>过电子邮件进行传送,以链接到恶意网站的形式出现。
漏洞攻击
恶意软件会在你的网络中的CPU中运行。当目标用户点击链接、打<br>开附件、访问网站或插入U盘时,恶意软件都可能会被启动。也可能(在个别情<br>况下)是恶意攻击的结果。无论如何,攻击者的软件正在你的系统中运行。
安装
大多数恶意软件都分阶段传送。首先,在上一步中存在破坏系统的漏洞。<br>其次,一些其他的软件被安装到目标系统中以确保持久性,理想状态下具有良<br>好的隐形能力。
命令与控制
一旦完成了软件的前两个阶段(攻击和持久留存),大<br>部分恶意软件会“回拨”攻击者,通知其已攻击成功,并请求更新与指示。
在目标内的行动
最终,恶意软件已准备好按照设计宗旨肆意妄为。也许目的<br>是窃取知识产权并将其发送到海外服务器。或者,也许这些努力只是大规模攻<br>击的最初阶段,所以恶意软件会随着被攻击的系统转移。无论是哪种情况,这<br>时候攻击者已经赢了。
理解事件响应策略
• 为什么要做事故响应策略?
许多公司在成为网络犯罪的受害者之后毫无头绪,不知道该找谁或者该做些什<br>么。因此,所有公司都应当制订一个事故响应策略,以规定谁具有启动事故响<br>应的权利,并且在事故发生之前建立支持性措施。这个策略应当由法律部门和<br>安全部门管理。这两个部门应该协同工作,确保技术安全问题和与犯罪活动有<br>关的法律问题都能有效得到解决。
• 事故响应策略和事故管理包括什么?
一个事件响应团队;<br>一套标准措施,事故处理应与灾难恢复计划紧密相关,并应成为公司灾难恢复<br>计划的一部分;<br>事故处理还应该与公司的安全培训及认知计划紧密联系,以确保此类不幸不会<br>发生;<br>应当详细说明如何报告一起事故;
理解事件响应流程<br>事件管理流程中的七个阶段:<br>
检测
响应
缓解
报告
恢复
修复
学习
