ISC2—CyberSecurity课程笔记—最终章第五章：安全操作 Security Operations

大家好，欢迎来到IT知识分享网。

文章目录

第五章：安全操作 Security Operations

第五章：安全操作 Security Operations

模块1：了解数据安全（D5.1）

Module 1: Understand  Data Security  (D5.1)

曼尼: 很难想象现在在世界各地传播的庞大数据量。

塔莎: 对，信息安全作为一个过程和学科，提供了一个保护数据价值的结构。作为一个组织，创建、存储、共享、使用、修改、归档并最终销毁这些数据。

曼尼: 将信息写在纸、白板或闪存驱动器上，或将其放入云上的文件中，可以创建有形资产的数据。组织必须保护想法和数据。

塔莎: 是的，所有文件、书籍、对话日志、计算机文件、数据库记录和网络数据包中的副本都有助于将信息从一个位置或用户转移到另一个位置。

曼尼: 哇，这是一项重要的工作。

塔莎: 确实如此。

Manny: It's hard to imagine the sheer volume of data that's flying around the world right now. Tasha: Right, and information security, as a process and discipline, provides a structure for protecting the value of data. As an organization creates, stores, shares, uses, modifies, archives, and finally destroys that data. Manny: Writing information down on paper, a whiteboard, or a flash drive, or putting it in a file on Cloud creates data that is a tangible asset. The organization has to protect both the ideas and the data. Tasha: Yes, and all the copies of it in papers, books, conversation logs, computer files, database records and the network packets which help move that information from one location or user to another. Manny: Wow, that's an important job. Tasha: It sure is.

数据处理：Data handling

Create 建立

Store 存储

Use使用

Share 分享

Archive 存档

Destroy 毁灭

旁白：数据处理非常重要。一旦我们收到资产，即我们需要保护的数据，我们需要确保我们知道处理这些数据的最佳实践。

首先，我们需要认识到我们需要保护哪些资产。这是基于数据所有者的数据价值。在此基础上，我们看到了我们面临的风险，即这些信息可能以任何方式受到损害、销毁或更改的可能性，以及我们需要解决哪些漏洞。这是数据处理的生命周期，从创建、存储、使用、共享、归档到最终销毁。并且在任何时候，数据都存在不同的风险以及处理数据的不同做法。其中一些程序是由政府标准规定的。

例如，在美国，职业安全与健康管理局 (OSHA) 是保护工人福祉的联邦政府机构。根据医疗保险流通与责任法案 (HIPAA) 的规定，医疗记录需要保存 10 年，但根据 OSHA，如果我们有工伤医疗记录，则需要保留该记录30 多年，即使在那个特定组织工作的最后一天之后。这是一项监管要求，如果您不知道或不遵守，您可能会因审计而陷入困境。所以你可以看到，在决定如何处理数据时，我们必须非常谨慎，因为可能有多个法规适用于单个数据。

同样在美国，还有与支付卡行业数据安全标准 (PCI DSS) 有关信用卡信息以及如何安全维护该信息的要求相关的特定指南。在欧盟，GDPR 对财务数据的处理也有具体要求。为了正确保护数据，您需要了解各个地理区域中受保护数据类型的所有相关要求。

许多国家和其他司法管辖区的法规要求在数据生命周期的每个阶段都进行某些数据保护。这些管理着如何获取、处理、存储和最终销毁数据。而在查看数据的生命周期时，我们需要保持警惕，并在每个阶段保护信息，即使它已经准备好在生命周期结束时被合法销毁。在某些情况下，多个司法管辖区可能会施加影响我们负责保护的数据的规则。在这些情况下，我们需要了解任何和所有影响我们的法规。

一些数据处理实践包括分类和标记，您可以在其中确定数据的敏感性、每个人都可以使用的内容以及需要限制的内容，并相应地标记信息，以便您的访问控制将允许正确的访问级别。保留是我们存储信息的时间和位置，这取决于我们组织的要求，也许还有监管机构的要求。然后需要进行防御性销毁，这意味着我们有监管要求支持我们销毁数据的决定。销毁可以是物理的、硬盘驱动器或计算机芯片的，也可以是数字记录的销毁，这可以通过多种方法来完成。我们需要确保我们了解数据的安全销毁，因为我们通常认为我们可以清空虚拟垃圾桶来删除数据。但是当我们这样做时，旧电子邮件和其他数据可能永远不会被删除。要完全擦除物理介质上的数据，您需要使用一些技术设备进行消磁，例如强大的磁铁来擦除存储在磁带和磁盘介质上的数据，例如计算机和笔记本电脑的硬盘、软盘、卷轴、盒式磁带和盒式磁带。然而，拥有精密设备的个人仍有可能检索到该信息，至少部分是这样。因此，我们必须确保我们了解可用的恢复工具，因为如果您遵守法规，您必须遵循特定的协议和流程，根据需要销毁该信息，以便不再以任何方式访问它。

Data Handling Practices 数据处理实践

Classification 分类

Labeling 标签

Data Sensitivity Levels and Labels 数据敏感性级别和标签

Highly restricted: Compromise of data with this sensitivity label could possibly put the organization’s future existence at risk. Compromise could lead to substantial loss of life, injury or property damage, and the litigation and claims that would follow.
高度受限：带有这种敏感标签的数据的妥协可能会使组织的未来存在处于危险之中。妥协可能导致重大的生命损失、伤害或财产损失，以及随之而来的诉讼和索赔。
Moderately restricted: Compromise of data with this sensitivity label could lead to loss of temporary competitive advantage, loss of revenue or disruption of planned investments or activities.
中度受限：如果数据与敏感性标签不符，可能导致暂时竞争优势丧失、收入损失或计划投资或活动中断。
Low sensitivity (sometimes called “internal use only”): Compromise of data with this sensitivity label could cause minor disruptions, delays or impacts.
低灵敏度（有时称为“仅供内部使用”）：带有此敏感性标签的数据受损可能会导致轻微的中断、延迟或影响。
Unrestricted public data: As this data is already published, no harm can come from further dissemination or disclosure.
不受限制的公共数据：由于这些数据已经公布，进一步传播或披露不会造成任何损害。

Retention 保留

Personnel understand the various retention requirements for data of different types throughout the organization. 
人员了解整个组织中不同类型数据的各种保留要求。
The organization appropriately documents the retention requirements for each type of information.
组织应适当记录每种类型信息的保留要求。
The systems, processes and individuals of the organization retain information in accordance with the required schedule but no longer.
组织的系统、流程和个人按照要求的时间表保留信息，但不再保留。

Destruction 销毁

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FWRu8UsX-1693244353652)(C:\Users\cyrilcao\AppData\Roaming\Typora\typora-user-images\image-20230828225607084.png)]$

Clearing the device or system, which usually involves writing multiple patterns of random values throughout all storage media (such as main memory, registers and fixed disks). This is sometimes called “overwriting” or “zeroizing” the system, although writing zeros has the risk that a missed block or storage extent may still contain recoverable, sensitive information after the process is completed.
清除设备或系统，这通常涉及在所有存储介质（如主存储器、寄存器和固定磁盘）中写入多个随机值模式。这有时被称为“覆盖”或“归零”系统，尽管写入零具有丢失的块或存储范围在该过程完成后仍可能包含可恢复的敏感信息的风险。
Purging the device or system, which eliminates (or greatly reduces) the chance that residual physical effects from the writing of the original data values may still be recovered, even after the system is cleared. Some magnetic disk storage technologies, for example, can still have residual “ghosts” of data on their surfaces even after being overwritten multiple times. Magnetic media, for example, can often be altered sufficiently to meet security requirements; in more stringent cases, degaussing may not be sufficient.
清除设备或系统，这消除（或大大减少）来自原始数据值的写入的残余物理效应仍然可以被恢复的机会，即使在系统被清除之后。例如，一些磁盘存储技术即使在被多次重写之后，其表面上仍可能有残余的数据“幽灵”。例如，磁介质通常可以被充分改变以满足安全要求;在更严格的情况下，消磁可能不够。
Physical destruction of the device or system is the ultimate remedy to data remanence. Magnetic or optical disks and some flash drive technologies may require being mechanically shredded, chopped or broken up, etched in acid or burned; their remains may be buried in protected landfills, in some cases.
对设备或系统的物理破坏是对数据残留的最终补救。磁盘或光盘以及一些闪存驱动器技术可能需要机械切碎、切碎或破碎、酸蚀或焚烧;在某些情况下，他们的遗体可能被埋在受保护的垃圾填埋场。

Logging and Monitoring Security Events 记录和监视安全事件

user IDs 用户ID
system activities 系统活动
dates/times of key events (e.g., logon and logoff)
关键事件的日期/时间（例如，登录和注销）
device and location identity
设备和位置标识
successful and rejected system and resource access attempts
成功和拒绝的系统和资源访问尝试
system configuration changes and system protection activation and deactivation events
系统配置更改以及系统保护激活和停用事件

events事件

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-u6IAhwwr-1693244353661)(C:\Users\cyrilcao\AppData\Roaming\Typora\typora-user-images\image-20230828230329029.png)]$

原始数据

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4D1yyUMC-1693244353662)(C:\Users\cyrilcao\AppData\Roaming\Typora\typora-user-images\image-20230828230348759.png)]$

Data Security Event Example 数据安全事件示例

Event Logging Best Practices 事件日志记录最佳实践

Firewalls 防火墙
Gateways 网关
Remote authentication servers
远程身份验证服务器
IDS/IPS tools IDS/IPS工具
SIEM solutions SIEM方案
Anti-malware solutions 反恶意软件解决方案

Email (content and attachments)
电子邮件（内容和附件）
Copy to portable media
复制到便携式媒体
File Transfer Protocol (FTP)
文件传输协议（FTP）
Posting to web pages/websites
发布到网页/网站
Applications/application programming interfaces (APIs)
应用程序/应用程序编程接口（API）

Encryption Overview 加密概述

Confidentiality: Cryptography provides confidentiality by hiding or obscuring a message so that it cannot be understood by anyone except the intended recipient. Confidentiality keeps information secret from those who are not authorized to have it.
保密性：密码学通过隐藏或模糊消息来提供机密性，使得除了预期的接收者之外的任何人都无法理解。机密性使信息对那些没有被授权拥有它的人保密。
Integrity: hash functions and digital signatures can provide integrity services that allow a recipient to verify that a message has not been altered by malice or error. These include simple message integrity controls. Any changes, deliberate or accidental, will result in the two results (by sender and by recipient) being different.
完整性：散列函数和数字签名可以提供完整性服务，允许收件人验证消息没有被恶意或错误更改。其中包括简单的消息完整性控制。任何有意或无意的更改都会导致两个结果（发送者和接收者）不同。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-D6FY5exq-1693244353664)(C:\Users\cyrilcao\AppData\Roaming\Typora\typora-user-images\image-20230828231212579.png)]$

Plaintext can be: 明文可以是：

- image, audio or video files in their raw or compressed forms
  原始或压缩形式的图像、音频或视频文件
- human-readable text and numeric data, with or without markup language elements for formatting and metadata
  人类可读文本和数字数据，带有或不带有用于格式化和元数据的标记语言元素
- database files or records and fields within a database
  数据库文件或数据库中的记录和字段
- or anything else that can be represented in digital form for computer processing, transmission and storage
  或任何其他可以以数字形式表示以供计算机处理、传输和存储的东西

Symmetric Encryption 对称加密

If two parties suspect a specific communication path between them is compromised, they obviously can’t share key material along that path. Someone who has compromised communications between the parties would also intercept the key.
如果双方怀疑他们之间的特定通信路径受到损害，他们显然不能沿着该路径共享密钥材料。破坏各方之间通信的人也会拦截密钥。
Distribution of the key is difficult, because the key cannot be sent in the same channel as the encrypted message, or the man-in-the-middle (MITM) would have access to the key. Sending the key through a different channel (band) than the encrypted message is called out-of-band key distribution. Examples of out-of-band key distribution would include sending the key via courier, fax or phone.
密钥的分发是困难的，因为密钥不能在与加密消息相同的信道中发送，否则中间人（MITM）将有权访问密钥。 通过与加密消息不同的信道（频带）发送密钥称为带外密钥分发。带外密钥分发的示例将包括经由信使、传真或电话发送密钥。
Any party with knowledge of the key can access (and therefore change) the message.
知道密钥的任何一方都可以访问（并因此更改）消息。
Each individual or group of people wishing to communicate would need to use a different key for each individual or group they want to connect with. This raises the challenge of scalability — the number of keys needed grows quickly as the number of different users or groups increases. Under this type of symmetric arrangement, an organization of 1,000 employees would need to manage 499,500 keys if every employee wanted to communicate confidentially with every other employee.
希望进行通信的每个人或组需要为他们想要连接的每个人或组使用不同的密钥。这就带来了可伸缩性的挑战–随着不同用户或组的数量增加，所需的密钥数量也会迅速增长。在这种类型的对称安排下，如果每个员工都希望与其他员工进行保密通信，那么一个拥有1，000名员工的组织将需要管理499，500个密钥。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-c0EB2pi9-1693244353664)(C:\Users\cyrilcao\AppData\Roaming\Typora\typora-user-images\image-20230828231333579.png)]$

Encrypting bulk data (backups, hard drives, portable media)
加密批量数据（备份、硬盘驱动器、便携式媒体）
Encrypting messages traversing communications channels (IPsec, TLS)
加密穿越通信通道的消息（IPsec、TLS）
Streaming large-scale, time-sensitive data (audio/video materials, gaming, etc.)
流式传输大规模、时间敏感的数据（音频/视频材料、游戏等）

Same key 相同的键
Single key 单键
Shared key 共享密钥
Secret key 密钥
Session key 会话密钥

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1IUuhWhc-1693244353665)(C:\Users\cyrilcao\AppData\Roaming\Typora\typora-user-images\image-20230828231416277.png)]$

Asymmetric Encryption 非对称加密

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-J9zTwxgf-1693244353665)(C:\Users\cyrilcao\AppData\Roaming\Typora\typora-user-images\image-20230828231611584.png)]$

旁白：加密的例子在整个人类历史中一直存在，从早期的保加利亚玛古拉洞穴洞穴居民的神秘描述到吉萨的金字塔。即便如此，每个部落都有自己原始的密码学方法，因此部落或部落的成员可以相互交流，同时对敌对部落保密，了解狩猎场或水源和食物来源。

加密信息是人性的一部分。您从明文开始，这是您和我都可以轻松阅读的信息，然后您使用算法，这通常是一种可以嵌入系统的软件形式。但这需要使用加密密钥激活。一个非常简单的示例是，如果您尝试加密 PDF 文档；例如，您的会计师可能会在您提交税款之前向您发送一些文件让您签署。加密将创建一个任何人都无法使用的密文，并且您和您的会计师将设置一个预设的加密密钥，以便您可以在通信的任一端检索信息。您需要进行良好的密钥管理，这意味着您要保护信息，因为想象一下，如果您在商业环境中拥有数千个密钥。通常会有第三方或外部服务器单独存储和管理密钥，因此您不会将所有的鸡蛋放在一个篮子里，可以这么说。它将通过散列系统进行保护，我们稍后将对其进行探索，其他人无法访问这些密钥。

非对称加密更安全，因为发送者和接收者各自使用一个唯一的代码，通常是证书，因此您可以确认信息已经以安全的方式从发送者发送到接收者。

Hashing 散列

Useful: It is easy to compute the hash value for any given message.
有用：很容易计算任何给定消息的哈希值。
Nonreversible: It is computationally infeasible to reverse the hash process or otherwise derive the original plaintext of a message from its hash value (unlike an encryption process, for which there must be a corresponding decryption process).
不可逆：反向散列过程或以其他方式从其散列值导出消息的原始明文在计算上是不可行的（与加密过程不同，加密过程必须有对应的解密过程）。
Content integrity assurance: It is computationally infeasible to modify a message such that re-applying the hash function will produce the original hash value. 
内容完整性保证：修改消息以使重新应用哈希函数将产生原始哈希值在计算上是不可行的。
Unique: It is computationally infeasible to find two or more different, sensible messages that hash to the same value.
Unique：在计算上不可能找到两个或多个不同的、合理的、散列为相同值的消息。
Deterministic: The same input will always generate the same hash, when using the same hashing algorithm.
确定性：当使用相同的哈希算法时，相同的输入将始终生成相同的哈希。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6OgOaGZ8-1693244353665)(C:\Users\cyrilcao\AppData\Roaming\Typora\typora-user-images\image-20230828231825070.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-U6LyahTx-1693244353666)(C:\Users\cyrilcao\AppData\Roaming\Typora\typora-user-images\image-20230828231940243.png)]$

How Passwords Work

通常您的密码将存储为固定的哈希值或摘要，以便系统可以在密码本身不可见的情况下判断您的密码是否匹配。

带有字母数字和特殊字符的更安全的密码将生成不同类型的哈希摘要。但是，这种密码管理系统已经过时了。通常，出于安全考虑，您会被要求生成一个字符数最少的新密码，其背后的软件会识别散列函数并告诉您密码是否足够安全以供使用，或者它会提示您创建更好的密码。

攻击者可以使用密码哈希离线“猜测”您的密码。如果攻击者可以从受感染的工作站或服务器复制通常经过哈希处理的密码文件，并且他们知道用于哈希密码的算法，他们可以使用计算机尝试随机的字母和数字组合序列来尝试匹配已知的密码哈希

模块2：了解系统强化（D5.2）

Module 2:Understand  System Hardening (D5.2)

曼尼：有这么多数据需要处理，需要处理这么多不同的软件应用程序，公司如何跟踪所有数据？

塔莎：这是一个挑战，这就是我们需要配置管理的原因。它是网络安全的一部分，因为它通过确保仅对系统进行授权和验证的更改来保护数据的机密性、完整性和可用性。每个更改还需要进行测试，以确保它不会对系统的任何其他部分造成任何干扰。

曼尼：我能理解。似乎每次我们在高中升级我们的计算机系统时，其他东西都会停止工作。

塔莎：让我们看看网络安全专业人员如何防止这种情况发生

Configuration Management Overview 配置管理概述

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7crLgrr4-1693244353666)(C:\Users\cyrilcao\AppData\Roaming\Typora\typora-user-images\image-20230828232549269.png)]$

Identification 标识

Baseline 基线

Change Control 变更控制

Verification and Audit 验证和审计

inventory 清单

Baselines 基线

updates 内容更新

patches 打补丁

您必须确保拥有强大的变更管理流程，并确保您在模型环境中进行测试，然后再在生产或实时环境中进行任何更改。即使进行了广泛的计划和测试，有时也会产生意想不到的后果，因此您必须确保有一个回滚计划。回滚是将系统恢复到进行更改之前的状态。在我们将更改引入环境之前，我们知道它可以正常工作。我们需要确保我们审查和测试所有补丁，并且可以恢复以前的配置。

对于许多组织来说，维护一个单独的测试环境可能是一个后勤挑战；因此，许多公司没有单独的生产和测试环境来正确审查所有补丁和系统更新。在这种情况下，他们可能会依赖供应商第三方测试来根据一组通用数据来验证新软件版本。回滚计划在所有环境中都很重要，但对于那些无法完全测试更改的人来说绝对至关重要。

模块3：了解最佳实践安全策略（D5.3）

Module 3: Understand  Best Practice Security Policies (D5.3)

Common Security Policies 通用安全策略

data handling policy 数据处理策略

Password Policy 密码策略

Acceptable Use Policy 可接受使用策略

Data access 数据存取
System access 系统访问
Data disclosure 数据披露
Passwords 密码
Data retention 数据保留
Internet usage 互联网使用
Company device usage 公司设备使用情况

Bring your own device Policy( BYOD ) 自带设备策略

Private Policy 隐私策略

Change Management Policy 变更管理策略

Change Management Components 变更管理组件

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IJ1z4Ofa-1693244353667)(C:\Users\cyrilcao\AppData\Roaming\Typora\typora-user-images\image-20230828234459966.png)]$

Documentation 文件编制

Approval 批准

Rollback 回滚

旁白：变革管理发生在一个循环中。没有真正的停止点；它在不断地进行。这意味着必须对该环境进行持续监控。因此，如果您或任何人要求更改，则需要经过适当的批准。如有必要，组织必须为回滚做好准备，这意味着如果该特定更改不起作用，我们需要能够回滚到遗留系统。

虽然变更管理是一个组织范围的过程，但它通常由信息安全专业人员来协调工作，并可能提供监督和治理。根据组织的规模，它也可能属于 IT 或开发领域。在拥有质量或风险管理部门的组织中，它也非常适合其中任何一个领域。共同的主题是变更管理承认并整合来自最终用户以及 IT、开发、信息安全和最重要的是管理的所有领域的输入，以确保在实施之前对所有变更进行适当的测试、批准和沟通。

旁白：不同的组织对其可接受的使用策略会有不同的目标。一些组织鼓励员工广泛个人使用组织的 IT 资产，以提高士气并减少用户个人生活和工作之间的中断。一些组织还鼓励用户使用组织资产来执行个人教育任务——这样，员工就可以从资产中受益，组织也会得到训练有素、更快乐的员工。一些组织严格限制用户对 IT 资产的个人使用，以降低组织内的风险

所有与安全相关的策略都应与组织的风险承受能力保持一致，同时确保满足监管要求。不在笔记本电脑或工作站上存储机密数据的组织在可接受的使用政策上可能会更加宽松，而医疗机构、研究机构或国防承包商可能会更加严格，因为他们拥有的数据可能会在以下情况下造成破坏性后果妥协。

模块4：了解安全意识培训（D5.3、D5.4）

Module 4: Understand Security Awareness Training (D5.3, D5.4)

曼尼：那么，网络安全最重要的工具是什么，塔莎？ 塔莎：我想说最重要的工具是你的人力资源——你的人。 曼尼：人比技术、防火墙、密码和所有这些东西更重要？ 塔莎：是的，曼尼。开发这项技术、安装这些防火墙、创建这些密码的是人。更重要的是，每个人都必须遵循最佳实践和政策，以确保安全处理他们每天使用的数据。这就是为什么安全意识培训如此重要的原因。您的员工必须知道要寻找什么以及看到它时要做什么。他们必须保持警惕。自满是网络安全的敌人。 曼尼：如果你看到了什么，说点什么。 塔莎：没错。让我们了解更多。

Purpose 目得

What is Security Awareness Training? 什么是安全意识培训？

Education: The overall goal of education is to help learners improve their understanding of these ideas and their ability to relate them to their own experiences and apply that learning in useful ways.
教育：教育的总体目标是帮助学习者提高他们对这些思想的理解，以及他们将这些思想与自己的经验联系起来并以有用的方式应用这些知识的能力。
Training: Focuses on building proficiency in a specific set of skills or actions, including sharpening the perception and judgment needed to make decisions as to which skill to use, when to use it and how to apply it. Training can focus on low-level skills, an entire task or complex workflows consisting of many tasks.
培训：侧重于培养对一组特定技能或行动的熟练程度，包括提高决策所需的感知和判断力，以决定使用哪种技能，何时使用以及如何应用。培训可以侧重于低级别技能，整个任务或由许多任务组成的复杂工作流程。
Awareness: These are activities that attract and engage the learner’s attention by acquainting them with aspects of an issue, concern, problem or need.
意识：这些活动通过使学习者熟悉某个问题、关注点、问题或需求的各个方面来吸引和吸引学习者的注意力。

加布里埃拉：所以，发生了一些非常奇怪的事情。今天早上我收到一条短信，说我从亚马逊赢了 1000 美元。 基思：哇。你回应了吗？ 加布里埃拉：嗯，我本来打算去的，但在最后一刻我注意到它来自亚马逊，而不是亚马逊。我的意思是，一家公司不会拼错自己的名字，不是吗？然后它让我想起有一次我不小心下载了病毒，我想我会等着和你谈谈，因为我知道你一直在研究网络安全和网络钓鱼等等。 基思：恭喜你通过了。那是一个假链接，我发给你看你是否会点击它。 加布里埃拉：（叹气）嗯，我想你一直在做的安全意识培训终于得到了回报。但我还是觉得有人欠我1000美元。 （人们议论纷纷） 塔莎：苏珊及时赶到咖啡店，听到基思和加布里埃尔的谈话。 （人们议论纷纷） 苏珊：嗯，看看自从我们第一次开始谈论网络安全以来你已经走了多远。 基思：嗯，起初我认为我没有技术技能。 苏珊：啊，但真正归结为你有好奇心，你是一个很好的沟通者，你作为团队的一员工作得很好。你也很善于分析。你擅长识别模式，你知道，看到更大的图景，但也看到更小的细节。您实际上非常适合网络安全工作。 基思：我想这很有趣，理解数据以及如何保护人们的数据安全。 苏珊：而且它总是在变化。这个领域有很多机会，你可以采取不同的方向。我很自豪地说我是一名系统安全认证从业者，我什至正在考虑从 ISC2获得我的 CISSP。 基思: 那是什么 苏珊：它是认证信息系统安全专家，全球公认的网络安全认证。 基思：哇，太酷了。似乎网络安全永远不会变得无聊或陈旧。我总是在成长，不像这里。 苏珊：嘿，别让你妈妈听到你这么说。她的血管里流淌着咖啡。 基思：加布里埃拉可以接替我，对吧？我的意思是，您更了解客户的数据以及如何保证数据的安全。 加布里埃拉：我的意思是，这很好，基思，但我自己可能会考虑网络安全的未来。 基思：我现在准备开始。我需要做什么才能得到像你这样的工作？ 苏珊：我也许可以为你指出正确的方向。我们在这里得到了什么？ 基思：哦，我们正在努力……

The Importance of Security Training 安全培训的重要性

为什么每个人都需要安全培训？任何组织中最薄弱的环节是人，我们每个人，无论我们是新实习生还是角落办公室的主管，我们每个人都有自己的安全责任。每个人都在管理、物理和技术上为改善安全环境做出贡献。

如果员工没有接受过有关政策和程序是什么的培训，他们就不能遵守政策和程序。这对于数据处理和应急响应活动等主题尤其重要。例如：消防演习对于保护健康和人身安全至关重要，并培训用户如何实施保护自己免受危险的过程。

Security Awareness Training Examples 安全意识培训示例

Education may help workers in a secure server room understand the interaction of the various fire and smoke detectors, suppression systems, alarms and their interactions with electrical power, lighting and ventilation systems.
教育可以帮助安全服务器机房中的工作人员理解各种火灾和烟雾探测器、灭火系统、警报器的交互以及它们与电力、照明和通风系统的交互。
Training would provide those workers with task-specific, detailed learning about the proper actions each should take in the event of an alarm, a suppression system going off without an alarm, a ventilation system failure or other contingency. This training would build on the learning acquired via the educational activities.
培训将为这些工人提供针对具体任务的详细学习，了解在发生警报、灭火系统在没有警报的情况下关闭、通风系统故障或其他紧急情况时每个人应采取的适当行动。这种培训将建立在通过教育活动获得的知识基础上。
Awareness activities would include not only posting the appropriate signage, floor or doorway markings, but also other indicators to help workers detect an anomaly, respond to an alarm and take appropriate action. In this case, awareness is a constantly available reminder of what to do when the alarms go off.
宣传活动不仅包括张贴适当的标志、地板或门口标记，还包括其他指示器，以帮助工人发现异常情况，对警报作出反应并采取适当行动。在这种情况下，意识是一个不断可用的提醒，提醒你当警报响起时该做什么。

Education may be used to help select groups of users better understand the ways in which social engineering attacks are conducted and engage those users in creating and testing their own strategies for improving their defensive techniques.
教育可以用于帮助选择的用户组更好地理解进行社会工程攻击的方式，并使这些用户参与创建和测试他们自己的策略以改进他们的防御技术。
Training will help users increase their proficiency in recognizing a potential phishing or similar attempt, while also helping them practice the correct responses to such events. Training may include simulated phishing emails sent to users on a network to test their ability to identify a phishing email.
培训将帮助用户提高识别潜在网络钓鱼或类似尝试的熟练程度，同时也帮助他们练习对此类事件的正确响应。训练可以包括发送给网络上的用户的模拟钓鱼电子邮件，以测试他们识别钓鱼电子邮件的能力。
Raising users’ overall awareness of the threat posed by phishing, vishing, SMS phishing (also called “smishing) and other social engineering tactics. Awareness techniques can also alert selected users to new or novel approaches that such attacks might be taking.
提高用户对网络钓鱼、网络钓鱼、短信网络钓鱼（也称为“短信诈骗”）和其他社会工程策略所构成威胁的整体意识。感知技术还可以向选定的用户警告此类攻击可能采取的新的或新颖的方法。

Phishing 网络钓鱼

Social Engineering 社会工程学

Phone phishing or vishing: Using a rogue interactive voice response (IVR) system to re-create a legitimate-sounding copy of a bank or other institution’s IVR system. The victim is prompted through a phishing email to call in to the “bank” via a provided phone number to verify information such as account numbers, account access codes or a PIN and to confirm answers to security questions, contact information and addresses. A typical vishing system will reject logins continually, ensuring the victim enters PINs or passwords multiple times, often disclosing several different passwords. More advanced systems may be used to transfer the victim to a human posing as a customer service agent for further questioning.
电话钓鱼或网络钓鱼：使用恶意交互式语音应答（IVR）系统重新创建银行或其他机构IVR系统的合法副本。通过网络钓鱼电子邮件提示受害者经由所提供的电话号码呼叫“银行”，以验证诸如账号、账户访问代码或PIN的信息，并确认对安全问题、联系信息和地址的回答。典型的网络钓鱼系统会不断拒绝登录，确保受害者多次输入PIN或密码，通常会泄露几个不同的密码。更先进的系统可以用于将受害者转移到冒充客户服务代理的人以进行进一步询问。
Pretexting: The human equivalent of phishing, where someone impersonates an authority figure or a trusted individual in an attempt to gain access to your login information. The pretexter may claim to be an IT support worker who is supposed to do maintenance or an investigator performing a company audit. Or they might impersonate a coworker, the police, a tax authority or some other seemingly legitimate person. The goal is to gain access to your computer and information.
伪装：相当于网络钓鱼的人类，有人冒充权威人物或受信任的个人，试图访问您的登录信息。伪装者可能会声称自己是一名IT支持人员，应该做维护工作，或者是一名执行公司审计的调查员。或者他们可能冒充同事、警察、税务机关或其他看似合法的人。目标是获得对您的计算机和信息的访问权限。
Quid pro quo: A request for your password or login credentials in exchange for some compensation, such as a “free gift,” a monetary payment or access to an online game or service. If it sounds too good to be true, it probably is.
交换条件：要求提供您的密码或登录凭据以换取某些补偿，例如“免费礼物”、金钱支付或在线游戏或服务的访问权限。如果这听起来好得令人难以置信，那么它可能是真的。
Tailgating: The practice of following an authorized user into a restricted area or system. The low-tech version of tailgating would occur when a stranger asks you to hold the door open behind you because they forgot their company RFID card. In a more sophisticated version, someone may ask to borrow your phone or laptop to perform a simple action when he or she is actually installing malicious software onto your device.
尾随：跟随授权用户进入限制区域或系统的行为。低科技版的追尾会发生在一个陌生人要求你在你身后开着门，因为他们忘记了他们的公司RFID卡。在一个更复杂的版本中，有人可能会要求借用你的手机或笔记本电脑来执行一个简单的操作，而他或她实际上是在你的设备上安装恶意软件。

Password Protection 密码保护

- Reusing passwords for multiple systems, especially using the same password for business and personal use.
  在多个系统中重复使用密码，尤其是在业务和个人使用中使用相同的密码。
- Writing down passwords and leaving them in unsecured areas.
  写下密码并将它们放在不安全的地方。
- Sharing a password with tech support or a co-worker.
  与技术支持或同事共享密码。

旁白：回到密码的主题。如果你有一个 10 位的密码，那么用带有密码计算的软件对你的环境进行暴力攻击，激活成功教程需要 5 秒。大多数人认为包含多个不同字符的 8 个字符非常安全，这是密码要求的一种标准。但如果有人真的想要它，他们可能需要 35 天。我们宁愿比那更安全。 例如，如果您有 16 个字符，其中包含一个大写和一个特殊字符，则这样会更安全，因为您有大小写字符和特殊字符。要激活成功教程这个问题，大约需要 152,000 年。 因此，只要遵循良好的密码政策和适当的程序，我们就可以极大地提高我们的密码安全性。

旁白：我们必须确保就当前和潜在威胁进行适当的沟通，以保持高度警惕。我们甚至可以鼓励部门之间的友好竞争，以发现最多的网络钓鱼尝试。我们可以提供友好的提醒，比如一个小小的压力球，上面写着“锁定你的电脑”。还有一些自动系统可以在您离开时自动锁定计算机。 重要的是要确保我们得到关于我们的培训的积极反馈，确保它是适当的和被理解的。确保组织的领导者了解培训的重要性，并努力促进和改善组织的信息安全环境。并通过练习和模拟为员工提供实践所学知识的机会。例如，偶尔发送模拟网络钓鱼电子邮件，并给予他们积极的反馈以进行报告。根据组织的文化和风险状况，意识培训应该是每个人的积极体验，而不是惩罚性的，除非绝对必要。

免责声明：本站所有文章内容,图片，视频等均是来源于用户投稿和互联网及文摘转载整编而成，不代表本站观点，不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益，请在线联系站长,一经查实,本站将立刻删除。本文来自网络,若有侵权，请联系删除，如若转载，请注明出处：https://haidsoft.com/129899.html