互联 已经全面普及,我们不管是工作还是生活, 络已经无处不在,但是 络安全问题也无处不在。加上智能手机支付的普及, 络安全问题又上升一个台阶。是的,无论是企业还是个人都随时面临着 络安全危机。
现实中,针对企业级数据的安全事件比比皆是:克莱斯勒的汽车能够被远程控制;美国政府的人事部门曾经丢失了几百万的人工数据,早些年的熊猫烧香,黑了大量企业工作电脑,还有早两年电脑黑客勒索比特币等。种种 络安全问题的爆发,让企业甚至国家损失惨重,尤其是依托互联 营生的企业。对企业而言,如何保证企业 络应用的高性能及安全性,这是很多IT人士非常关心的问题。
2、检测
检测是通过对收集的数据进行检查,并根据观察到异常的事件和数据生成告警的过程。这里通常是通过某种形式的签名、异常,或基于统计的检测完成。它以最终生成告警数据为结果。
检测往往是某款软件的一个功能,这里有点像一些目前比较流行的软件程序包,从 络入侵检测系统(NIDS)的角度来看,著名的有Snort IDS和Bro IDS;从主机入侵检测系统(HIDS)角度来看,著名的有OSSEC、AIDE和MaAfee HIPS。某些安全信息事件管理(SIEM)的应用软件利用基于 络和基于主机的数据,通过关联事件来实现检测。
尽管大部分的检测是由软件来完成的,仍有一些检测通过人工分析数据源产生告警,尤其是在需要对历史数据进行追溯分析的情况下。
3、分析
分析师NSM周期的最后阶段,它发生于当一个人解释并调查告警数据时。这往往会涉及从其它数据源收集更多的调查数据,由检测机制产生的告警类型相关的开源情 (OSINT)研究,并执行与开源情 有关的任何潜在敌对主机的研究。
这里面,有多种用于分析的方法,可以包括如下任务:
1)数据包分析
2) 络取证
3)主机取证
4)恶意软件分析
分析是NSM周期里面最耗时间的部分。在这一阶段,一个事件很可能被升级为一个分级的事故,并展开对应的事故应急响应措施。
NSM周期的闭环,要从检测和分析阶段中发现的所有异常中汲取经验教训,并进一步完善组织的收集策略。
文章知识点与官方知识档案匹配,可进一步学习相关知识 络技能树首页概览22539 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!