10.1 安全问题
- 数据外泄(data exfiltraiton):攻击者获取了存储在私有网络内部的数据并将其移至外部网络的过程。
1. 确保所有敏感数据在闲置时都进行了加密。
2. 为可能成为销毁或勒索目标的数据创建并维护异地备份。
3. 对存储或传输敏感数据的系统实施访问控制
4. 检查访问控制机制是否授予某些账户过多权限
5. 限制攻击者将数据从网络传输到外部时可利用的网络通道类型。
6. 断开存储存档数据系统的网络连接
- 事件日志中的异常
1. 多次连续的认证失败
2. 系统配置不按计划的更改
3. 过多或无法解释的关键穖故障或应用程序崩溃
4. 网络设备日志中记录的过量带宽消耗
5. 事件日志中的排序错误或空白
- 基线偏差
1. 正常情况下,系统的状态会随时间发生一定偏离,但不一定表示发生了攻击
2. 补丁和其他更新可能会导致基线过期,这时需要更新基线
3. 如果攻击者进行过侦察并对基线非常熟悉,攻击导致的基线偏差可能非常小。
4. 只有对基础配置进行锁定和访问控制,在用户工作站上执行基准才能有效。
5. 产生相同或相似基线偏差的多个关键系统需要进行迅速补救
- 软件问题:未经授权的软件、无证书的软件、过时软件
- 人事问题:违反策略、社交媒体和个人电子邮件的使用、社交工程、内部人员威胁。
- 访问控制问题:认证问题、权限问题、访问冲突。
- 加密问题:未加密的证书、证书问题、密钥管理问题
- 资产管理问题
1. 所有资产都加入资产跟踪系统中,如条形码
2. 部署合适的流程,