网络攻防学习笔记 Day78

攻防在现实中并不对等，而且在目前条件下，不对等中的优势偏向攻者一方，这主要体现在以下几点：

一是时间不对等，攻在随机时刻，而防需要时刻在线；

二是点位不对等，攻仅需一个点，防则需一个面；

三是资源不对等，攻可能仅需一个漏洞利用资源，而防则需要一整套体系资源；

四是信息不对等，危害最广、最有效的攻就是掌握了防没掌握的信息，或者攻先于防掌握所需的信息；

五是主被动角色不对等，攻大多走在防之前，而防更多的则是跟着攻。

用户的身份就是新的边界。这需要专门设计的安全控制，以便根据个人的工作和对网络中特定数据的需求对其进行身份验证和授权。凭据盗窃可能只是使网络罪犯能够访问你的系统的第一步。

平均失陷时间（Mean Time To Compromise，MTTC）：从红队发动攻击时起计，直到成功攻陷目标的那一刻。

平均权限提升时间（Mean Time To Privilege escalation，MTTP）：它的起计时间点与前一个指标相同，但一直到完全失陷，也就是红队对目标拥有管理权限的时刻。

保存证据：当务之急是在这些事件中保存证据，以确保有有形的信息可供分析、合理化，并在未来采取行动进行缓解。

验证证据：不是每一个警报，或者这种情况下的证据，都会让你发现有效的入侵系统企图。但是，如果它真的发生了，就需要将其作为一个攻陷指示器（Indicatorof Compromise，IoC）进行分类。

使任何所需的人员参与其中：在这一点上，蓝队必须知道如何处理这个 IoC，哪个小组应该知道失陷这件事。让所有相关小组参与进来，这些小组可能会根据组织的不同而有所不同。

对事件进行分类：有时蓝队可能需要执法人员参与，或者可能需要搜查令才能进行进一步调查，但用适当的分类来评估案件并确定谁应该继续处理将有助于这一进程。

确定破坏范围：此时，蓝队有足够的信息来确定破坏的范围。

创建补救计划：蓝队应制定补救计划，以隔离或驱逐对手。

执行计划：一旦完成计划，蓝队需要严格执行计划并从破坏中进行恢复。

预计检测时间（Estimated Time To Detection，ETTD）

预计恢复时间（Estimated Time To Recovery，ETTR）