SOC(安全运营中心)是一种专门负责网络和信息系统安全管理的机构或团队。它源自于
NOC(网络运营中心),随着信息安全问题的不断增加,对网络安全管理的需求日益迫切。传统的
NOC 主要关注网络设备和运营的可用性,而 SOC 则专注于安全性。 SOC
的出现是为了应对不断增加的安全威胁和攻击,通过集中的安全运营中心来管理和监控组织的网络和信息系统。它的目标是通过实时监测、分析和响应来保护组织的敏感数据和关键资产免受攻击和泄露。
SOC 在演变过程中经历了不同阶段。最早的 SOC 1.0 阶段主要依赖
SIEM(安全信息与事件管理)技术,用于收集、分析和报告安全事件。然而,随着安全威胁的复杂化,仅仅依靠
SIEM 已经无法满足需求,于是出现了 SOC
2.0,即更加综合和成熟的安全运营中心。 SOC 2.0
将资产作为核心,通过安全事件管理为关键流程,建立实时的资产风险模型,并采用安全域划分的思想,将网络和信息系统划分为不同的区域,以便更好地监测、分析和响应安全事件。它还整合了各种技术和平台,如大数据技术、东西向流量采集技术、EDR(终端检测与响应)技术、机器学习等,以提高对安全威胁的感 ...
态势感知是一个综合分析网络安全要素、评估网络安全状况、预测其发展趋势并以可视化方式展现给用户的过程。态势感知平台是利用大数据、机器学习等技术对海量数据进行提取和多维度的关联分析,以提供对安全风险的报警、趋势预测等功能。
在网络安全领域,态势感知与安全信息与事件管理(SIEM)有一些区别。SIEM
侧重于安全事件的感知和理解,而态势感知通过运用大数据、机器学习等技术来深化对安全趋势的预测。因此,态势感知系统在国内得到更多关注和推广。
国内安全厂商提供的态势感知产品通常包含多个功能模块,例如资产管理、漏洞管理、大数据平台、日志分析平台、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、威胁捕捉等能力。
数据收集与处理:态势感知平台需要能够收集和处理来自多个数据源的信息,包括网络流量数据、日志文件、安全事件记录等。这些数据应该经过清洗、归纳和聚合,以便进行后续的分析和关联。
实时监测与分析:态势感知平台应具备实时监测和分析能力,以便及时检测到潜在的安全威胁和攻击事件。实时性对于及早发现和应对安全威胁至关重要。
威胁情报集成:威胁情报是指关于已知威胁行为、漏洞信息和恶意软件的情报数据。态 ...
日志数据管理
收集日志数据是构成安全信息与事件管理的基础。
实时数据收集、分析和关联可最大限度提高生产力和效率。
网络可视化
通过检查包捕获,实现网络流的可视化管理,SIEM 分析引擎可针对相关资产、IP
地址和协议获取更多的洞察成果,进而发现网络中移动的恶意文件或揭露针对个人可标识信息
(PII) 的数据渗漏。
威胁情报 必须将专有或开源的情报源整合至企业 SIEM
解决方案中;做到这一点,对于识别和反击现今漏洞威胁和攻击特征符等至关重要。
分析 并非所有 SIEM
解决方案都提供相同级别的数据分析。结合了机器学习和人工智能等新一代技术的解决方案有助于调查这些新出现的、更加复杂精密的攻击。
实时警报 SIEM
解决方案可以根据业务需求进行自定义,在多个团队中使用预定义的分层警报和通知。
仪表板和报告
在某些组织中,每天可能会发生数百甚至数千次网络事件。
在自定义视图中理解和报告事件,且消除滞后时间至关重要。
IT 合规性
针对不同组织的监管类合规要求存在着各种显著的差异。 虽然并非所有 SIEM
工具都能全方位覆盖合规要求,但在受到严格监管的行业中的组织,需要更加重视审计和按需申报 ...
SIEM 定义
安全信息和事件管理(简称
SIEM)是一种可帮助组织在安全威胁危害到业务运营之前检测、分析和响应安全威胁的解决方案。
SIEM 发音为“sim”,将安全信息管理 (SIM) 和安全事件管理 (SEM)
结合到一个安全管理系统中。SIEM
技术从广泛来源收集事件日志数据,通过实时分析识别偏离规范的活动,并采取适当措施。
简单来说,SIEM
使组织能够了解其网络中的活动,从而能够快速响应可能发生的网络攻击,同时满足合规要求。
在过去的十年中,SIEM
技术已经发展到可利用人工智能让威胁检测和事件响应更加智能和快速。
SIEM 工具的工作原理
SIEM
工具实时收集、聚合和分析来自组织的应用程序、设备、服务器和用户的大量数据,以便安全团队能够检测和阻止攻击。SIEM
工具使用预先确定的规则来帮助安全团队定义威胁并生成警报。
SIEM 功能和用例
SIEM 系统的功能各不相同,但通常提供以下核心功能:
日志管理(LMS) SIEM
在组织整个网络中,从广泛分布的各类来源捕获事件数据。
实时收集、存储和分析来自用户、应用程序、资产、云环境和网络的日志和流数据,确保
IT 和安全团 ...
鉴于该服务拥有 20 亿活跃用户,WhatsApp
垃圾邮件成为一个常见问题也就不足为奇了。无论是诈骗、网络钓鱼尝试,还是公司的简单营销胡言乱语,您都需要知道如何发现
WhatsApp 危险,以便阻止发件人;并确保您的安全不会受到威胁。 那么
WhatsApp 垃圾邮件是什么样子的呢?你能为这个做什么?如何屏蔽 WhatsApp
上的联系人?
如何识别 WhatsApp 垃圾邮件
以下是我们发现 WhatsApp
垃圾邮件的主要方法,以及有关在收到此类消息时应采取哪些措施的一些建议。
1. 经常转发的消息
大多数 WhatsApp
用户都会知道,该应用程序可让您将从一个人收到的消息直接转发给另一位收件人(对于那些不知道的人,请长按消息并点击出现的弹出菜单上的转发选项)。
然而,用户可能不太清楚 WhatsApp
对于经常转发的消息有一个单独的指示器。当邮件被转发五次后,您将看到一个双箭头图标,而不是表示典型转发邮件的单箭头。
您还会在消息框本身上看到一个小警告,让您知道该消息已“转发多次”。
区别很重要:如果一条消息被转发超过五次,它几乎总是一种垃圾邮件——无论是另一个无聊的模因、假新 ...
过去的新冠疫情彻底改变了我们日常生活、工作的方方面面,包括工作场所。很多企业组织已经习惯于远程办公方式开展日常工作,因为这会带来很多优点,包括节省出行成本、提升工作效率等。但远程办公的网络安全风险同样不能忽视。为了确保企业远程工作环境尽可能安全,每一位远程办公人员都应该积极提升网络安全意识,并养成以下良好的网络安全习惯。
1. 尽量不在公共场所工作
远程工作的一大好处就是可以让员工自由选择在感到舒适、放松的环境中办公,比如咖啡馆、图书馆或公园等场所。然而在公共场所办公,会将企业的隐私信息和工作秘密暴露在一些潜在的风险中。
在公共场所工作的最直接风险是肩窥攻击(又叫背后偷窥),攻击者会使用直接的观察技术,站在别人身后,或越过肩膀探看别人操作进而获取信息。在公共场所下,暗中观察的黑客会密切关注你的一举一动。一旦你专心致志地埋头工作,他们会用各种方法偷偷记录你的所有活动数据,以便在将来用于发起针对性的攻击。
2. 不使用公共的 WiFi 网络
如果在某些紧急状况下,员工必须在公共场所进行一些工作时,应该严禁连接到公共的
WiFi 网络。在公共场所工作已经充满风险,而连接公共 WiFi
网络会 ...
XDR 定义
扩展检测和响应或 XDR
是一种新的威胁检测和响应方法,可针对网络攻击、未经授权的访问和滥用提供全面保护。XDR
由 Palo Alto Networks 首席技术官 Nir Zuk 在 2018
年创造,它打破了传统的安全孤岛,可以跨所有数据源提供检测和响应。
根据分析公司 Gartner 的说法,XDR 是“一种基于 SaaS
的、特定于供应商的安全威胁检测和事件响应工具,可将多种安全产品原生集成到一个有凝聚力的安全操作系统中。”
Forrester Research 对 XDR 的定义更为广泛:“EDR
的演变,可实时优化威胁检测、调查、响应和搜寻。XDR
将与安全相关的端点检测与来自安全和业务工具(例如网络分析和可见性
(NAV)、电子邮件安全、身份和访问管理、云安全等)的遥测相结合。它是一个基于大数据基础设施构建的云原生平台,可为安全团队提供灵活性、可扩展性和自动化机会。”
XDR 如何工作?
XDR
解决方案带来了一种主动的威胁检测和响应方法。它提供对所有数据(包括端点、网络和云数据)的可见性,同时应用分析和自动化来应对当今日益复杂的威胁。借助
XDR,网 ...
下一代防火墙(Next-Generation
Firewall,NGFW)是传统防火墙的演进和扩展,具有更多的功能和高级的安全特性。以下是下一代防火墙与传统防火墙之间的一些区别:
应用识别和控制:传统防火墙主要基于端口和协议来管理网络流量,而下一代防火墙可以深度检测和识别网络流量中的应用程序,从而实现对特定应用的精确控制和策略实施。
用户识别和访问控制:下一代防火墙能够根据用户标识、身份认证和访问权限来管理网络访问,而传统防火墙只能基于
IP 地址和端口进行访问控制。
内容过滤和威胁防护:下一代防火墙具备深度内容检测和过滤的能力,可以检查传输的数据包中的内容,包括文本、文件和多媒体等,以识别和阻止恶意软件、病毒、垃圾邮件和其他网络威胁。
入侵防御系统(Intrusion Prevention
System,IPS):下一代防火墙通常集成了 IPS
功能,可以实时监测和阻止网络中的恶意活动和攻击,提供更全面的网络安全保护。
SSL/TLS 解密:下一代防火墙能够对加密的 SSL/TLS
流量进行解密和检查,以便发现隐藏在加密流量中的威胁和恶意活动。
高级威胁情报和分析:下一代防火墙可以 ...
/proc/[PID]目录下的文件提供了与特定进程有关的信息。其中[PID]是进程的
ID,每个运行中的进程都有一个对应的目录。下面是一些常见的/proc/[PID]目录下的文件及其用途的说明:
/proc/[PID]/cmdline:该文件包含了启动该进程的命令行参数。
/proc/[PID]/cwd:该文件是一个符号链接,指向进程的当前工作目录。
/proc/[PID]/environ:该文件包含了进程的环境变量列表。
/proc/[PID]/exe:该文件是一个符号链接,指向进程的可执行文件路径。
/proc/[PID]/fd/:该目录包含了进程打开的文件描述符的列表。每个文件描述符对应一个文件或资源。
/proc/[PID]/maps:该文件列出了进程的内存映射区域,包括代码段、数据段、堆、栈等。
/proc/[PID]/status:该文件提供了有关进程状态的详细信息,例如进程
ID、父进程 ID、线程信息、内存使用情况等。
/proc/[PID]/stat:该文件包含了有关进程状态的简要信息,如进程
ID、状态、CPU 时间等。
/proc/[PID]/statm:该文件 ...
在 Linux
系统中,/proc目录是一个虚拟文件系统(procfs),用于提供关于运行中进程和系统内核的信息。/proc目录下的文件和子目录是动态生成的,它们提供了对系统状态和进程信息的实时访问。
下面是一些常见的/proc目录下的文件和子目录及其用途的说明:
/proc/[PID]/:该目录包含每个运行中进程的信息,其中[PID]是进程
ID。该目录下的文件提供了有关进程的各种信息,例如进程的状态、命令行参数、文件句柄、环境变量、内存映射等。
/proc/cpuinfo:该文件包含有关系统中每个 CPU
的详细信息,例如 CPU 型号、频率、缓存等。
/proc/meminfo:该文件提供了系统内存使用情况的信息,例如总内存量、可用内存、缓存和交换空间的使用情况等。
/proc/mounts:该文件列出了当前已挂载的文件系统及其挂载点。
/proc/net/:该目录包含网络相关的信息,例如网络接口、TCP
和 UDP 连接等。
/proc/sys/:该目录包含了用于配置和控制内核参数的文件。例如,/proc/sys/net/ipv4/ip_forward文件用于启用或禁用
IP ...