在新冠疫情开始之初,当世界各地的政府下达居家令时,我们很难想象工作状态会发生永久改变。不过,随着组织迅速采用和扩展系统,以支持在短短三周内规模翻了一番的远程员工队伍之后,公司文化也开始发生转变。随着员工开始适应远程工作模式,许多员工已经向他们的雇主证明,他们居家办公也可以保持与之前一样的高效率,甚至在某些情况下还可以提高工作效率。
由于这种被迫进行的尝试,许多专家和管理人员现在预测:这种灵活的居家办公策略将会继续存在。Gartner 的研究表明,有 41% 的员工将会继续居家办公,而在新冠疫情发生之前这一比例只有 30%。此外,已有 13% 的首席财务官 (CFO) 开始削减用于办公空间的房地产支出。随着远程工作模式的持续,安全专家需要采用相应的方法来维持已在消失多年的网络外围中几乎不存在的可视性、监控和威胁检测。
尽管存在新的盲点,但在以下四个关键领域中,集中式安全信息和事件管理 (SIEM) 解决方案可以帮助安全团队重新获得并提升可视性与监控。
电子邮件
有针对性的攻击者擅长编写极具吸引力的网络钓鱼电子邮件,而且他们的技巧会越来越纯熟。电子邮件是需要予以监控的最重要的威胁媒介之一,因为在进入组织网络的恶意软件中,有 94% 的恶意软件都是通过网络钓鱼来交付的。若要尽早了解这些威胁,更重要的是,若要准确跟踪网络钓鱼电子邮件打开后发生的情况,安全团队需要获得对整个组织中所发生情况的集中视图。
为此,安全运营中心 (SOC) 团队可以将相关电子邮件事件和网络流量的组合信息发送到集中式 SIEM 解决方案进行分析。通过摄入和分析电子邮件事件或电子邮件安全事件(例如来自 Proofpoint 或 Cisco IronPort 的事件),安全分析人员可以更有效、更全面地查看基于电子邮件的威胁。
为了获得更深入的洞察力,分析人员还可以利用网络分析功能来提取其他属性,例如电子邮件发件人、附件名称、文件哈希和 URL,然后将这些属性与威胁情报进行实时关联。如此一来,这种网络级洞察力可以针对可能预示着网络钓鱼攻击的已知威胁和可疑属性提供早期可视性并警报。
端点
在大规模转向远程工作模式之前,公司通常可以分为两种类型:
· 一种是那些几乎完全采用办公室工作模式,其用户使用台式机进行工作的公司,
· 而另一种是那些支持远程工作模式,其笔记本电脑上的用户可以通过连接到网络的公司。
当员工几乎完全转向远程工作模式时,他们都会面临诸多挑战。之前采用办公室工作模式的组织需要迅速弄清楚如何为远程员工启用核心服务和应用,而且在某些情况下,还需要首次部署虚拟专用网络。支持远程工作模式的公司会发现使用量激增,网络不堪重负且速度大大降低,从根本上迫使用户不得不脱离来维持生产效率。从安全角度来看,两种情况都在端点和用户活动方面引入了大量盲点。
若要重新获得可视性,安全团队可以结合采用端点操作系统 (OS)、和端点检测与响应 (EDR) 事件来进行威胁检测。借助 Windows、macOS 和 Linux 的本地日志记录,安全团队可以洞悉端点级别发生的情况。通过使用 Sysmon 扩展 Windows 事件日志记录,团队可以获得更深入的威胁相关洞察力,例如流程活动和域名系统 (DNS) 请求。
对于使用 EDR 解决方案(例如 Carbon Black或CrowdStrike)的组织,可以将端点安全事件发送到集中式 SIEM 解决方案,并与其他企业数据相关联,以实现端到端威胁可视性。一旦 EDR 与 SIEM 进行了紧密集成,便可以直接从 SIEM 界面启动响应操作。最后,当用户登录或通过基于风险的身份验证访问应用时,这些解决方案可以洞悉有关端点位置、MAC 地址、用户代理以及其他有价值的信息,进而提供这是否是真实用户的洞察力。
一旦通过单个位置收集了这些宝贵的数据,安全团队便可运用一系列机器学习和基于相关性的分析来检测已知和未知威胁。对于安全运营团队而言,寻找可提供预构建安全用例和分析的 SIEM 供应商尤为有用,这样他们就不必花费时间和金钱从头开始研究和开发这些产品。
应用
应用活动的监控应是团队的主要重点,因为与监控端点不同,组织即使在网络之外也仍然可以控制应用活动。应用监控还有助于暴露网络中已存在的攻击者。应用监控可以在多个级别上执行:
· 通过身份即服务 (IDaaS) 解决方案(例如 Cloud Identity Connect或Okta登录时。
· 直接通过 SAP、SalesForce.com 或 Office 365等应用登录、注销时。
· 通过 Zscaler 等云访问安全代理 (CASB) 解决方案来监控谁正在访问或试图访问哪些应用。
· 直接在应用堆栈内,包括 OS 容器编排平台(如 KuberNetes)、容器本身和这些环境中的 API 调用。
除了在每个级别上监控和分析事件之外,网络监控还可以提供有关应用数据如何在网络中流动、哪些人员和对象连接到了这些系统以及是否发现了异常流量的详细洞察力。这一新增的洞察层可以增强现有的可视性和洞察力,帮助安全团队更快发现一些可疑活动,例如受害帐户和横向移动数据渗透尝试等。此外,当攻击者获得足够的控制权,进而成功地使用检测规避技术(例如禁用日志记录)时,网络监视可能会特别有用。作为高度可靠的事实来源,网络数据可以显示系统和应用何时处于联机状态,即使它们没有发送日志,也可以继续提供针对这些系统和应用运行状况的可视性。
云
由于许多物理数据中心暂时关闭,因此组织迫切需要将 IT 系统的现场物理维护需求降至最低。许多组织已迅速加速了云基础架构的采用,为其工作负载和应用提供支持,以维持业务连续性。由于许多此类迁移已经进行了规划(通常只是按照随后的时间表进行),因此大多数安全团队都应期望这些投资能够继续保持。
为了更早地了解这些环境中的风险和威胁,安全团队可以监控一系列事件,包括用户活动、应用活动以及资源和配置更改。幸运的是,主要的公有云供应商(例如 AWS、IBM、Azure和 Google Cloud))均提供了丰富的日志、事件和网络流数据集,这些可引入到集中式 SIEM 解决方案之中,进而实现内部和多云环境中的可视性和检测。
通过摄入此类数据并对其运用安全用例,分析人员可以获得有关多种可疑活动的洞察力,例如:
· 异常的用户和帐户活动,例如异常的身份验证活动、来自不同地理位置的多次登录或可疑的根用户活动。
· 异常的工作负载活动,包括异常的 API 调用、可疑的容器活动或访问资源的非标准服务。
· 高风险配置更改,例如可疑的 IAM 或安全组策略更改、S3 存储区策略更改或新证书或更改的证书。
· 可疑的资源更改,例如非标准的虚拟私有云 (VPC) 或 EC2 实例,或者 EC2 实例的数量或大小的快速增加。
尽管许多云提供商都可提供自己的原生安全功能,但其产品却无法集中查看跨环境的安全数据,导致分析人员不得不在复杂的数据孤岛中工作。如今,有 62% 的公有云采用者使用两个或多个公有云;平均而言,每个组织使用 4.8 个独立的公有云和私有云环境。对于疲于应对不断增长的工作负载的分析师来说,获得集中式的云可视性以及在威胁通过不同环境时对其进行自动分析、检测和跟踪的能力至关重要。能够跨云和内部环境摄入和分析事件和流数据的集中式 SIEM 解决方案,可帮助分析师在威胁升级并造成严重损害之前快速、更有效地检测威胁。
总结
由于正在快速转移到远程工作模式,许多 IT 组织现在已经部署了支持远程员工的技术。在过去的数月中,员工已经证明他们居家办公也可以保持较高的生产效率。随着我们迈向新常态,即将发生的一项明显变化就是更加灵活、对远程友好的工作策略。在此情况下,安全运营团队需要一种可持续的长期战略,以在具有新盲点且几乎没有任何剩余外围的网络上保持可视性和威胁检测。
通过加倍增加集中式安全分析,特别是网络钓鱼、端点、应用和云安全用例,安全分析人员可以获得新的洞察力,弥补丢失的可视性并最终帮助增强组织的安全态势。在如今安全团队由于远程工作而精疲力尽的时代,组织可以考虑部署具备以下优势的 SIEM 解决方案:能够在任何环境(包括 SaaS 或公有云)中运行、能够提供预构建用例,让检测变得更轻松并提高总体价值,同时能够提供与 SOAR 解决方案(如 Resilient)的紧密集成,进而加快端到端威胁检测、调查和响应周期。
公路工程工地试验室检查时主要有些什么问题
原始记录是最重要的 然后是人员资格证书 仪器鉴定证书、仪器使用记录 实验环境
www服务和ftp服务从工作原理和服务对象上有什么区别???
什么是WWW服务现在在Internet上最热门的服务之一就是环球信息网WWW(World Wide Web)服务,Web已经成为很多人在网上查找、浏览信息的主要手段。 WWW是一种交互式图形界面的Internet服务,具有强大的信息连接功能。 它使得成千上万的用户通过简单的图形界面就可以访问各个大学、组织、公司等的最新信息和各种服务。 商业界很快看到了其价值,许多公司建立了主页,利用Web在网上发布消息,并反它作为各种服务的界面,如客户服务、特定产品和服务的详细说明、宣传广千以及是渐增长的产品销售和服务。 商业用途促进了环球信息网络的迅速发展。 如果你想通过主页向世界介绍自己或自己的公司,就必须将主页放在一个WEB服务器上,当然你可以使用一些免费的主页空间来发布。 但是如果你有条件,你可以注册一个域名,申请一个IP地址,然后让你的ISP将这个IP地址解析到你的LINUX主机上。 然后,在LINUX主机上架设一个WEB服务器。 你就可以将主页存放在这个自己的WEB服务器上,通过它把自己的主页向外发布。 WWW是基于客户机/服务器方式的信息发现技术和超文本技术的综合。 WWW服务器通过HTML超文本标记语言把信息组织成为图文并茂的超文本;WWW浏览器则为用户提供基于HTTP超文本传输协议的用户界面。 用户使用WWW浏览器通过Internet访问远端WWW服务器上的HTML超文本,如下图所示: http协议 WWW浏览器 <-----> WWW服务器 在WWW的客户机/服务器工作环境中,WWW浏览器起着控制作用,WWW浏览器的任务是使用一个URL(Internet地址)来获取一个WWW服务器上的WEB文档,解释这个HTML,并将文档内容以用户环境所许可的效果最大限度地显示出来。 FTP是一种上传和下载用的软件。 定义如下:FTP(File Transfer Protocal),是用于Internet上的控制文件的双向传输的协议。 同时,它也是一个应用程序。 用户可以通过它把自己的PC机与世界各地所有运行FTP协议的服务器相连,访问服务器上的大量程序和信息。 传输文件的一般步骤如下: 1在本地电脑上登陆到国际互联网, 2搜索有文件共享主机或者个人电脑(一般有专门的FTP服务器网站上公布的,上面有进入该主机或个人电脑的名称,口令和路径) 3当与远程主机或者对方的个人电脑建立连接后,用对方提供的用户名和口令登陆到该主机或对方的个人电脑. 4在远程主机或对方的个人电脑登陆成功后,就可以上传你想跟别人分享的东东或者下载别人授权共享的东东(这里的东东是指能放到电脑里去又能在显示屏上看到的东东) 5完成工作后关闭FTP下载软件,切断连接. 为了实现文件传输,用户还要运行专门的文件传输程序,比如网际快车就有这方面的功能,其它还有很多专门的FTP传输软件,各有各的特色.
如何授予用户管理 Windows Server 2003 中的服务的权限
本文介绍如何在 Windows Server 2003 环境中解决服务启动权限的问题。 注意:以下过程由运行 Windows Server 2003 Enterprise Edition 的系统上的 Administrators 组的成员验证。 如果某个服务因登录失败而未启动,系统事件日志中将生成并显示一条类似以下内容的错误信息:来源:服务控制管理程序事件 ID:7000描述:由于下列错误,%service% 服务启动失败:由于登录失败而无法启动服务。 将没有可用数据。 来源:服务控制管理程序事件 ID:7013描述:以当前密码登录的尝试因下列错误而宣告失败:登录失败:用户名未知或密码错误。 将没有可用数据。 如果存在下列一种或多种情况,就可能会出现此问题:更改了为该服务配置的登录帐户的密码。 注册表中的密码数据已损坏。 撤消了指定用户帐户作为服务登录的权限。 若要解决这些问题,应将服务配置为使用内置系统帐户,更改指定用户帐户的密码,使其与该用户的当前密码匹配,或恢复该用户作为服务登录的权限。 本文的以下章节将分别介绍这些方法。 返回页首配置用户权限如果撤销了指定用户帐户作为服务登录的权限,请根据您的环境在域控制器或独立的成员服务器上恢复该权限。 域控制器如果该用户在 Active Directory 域中,请按照下列步骤操作:单击开始,指向管理工具,然后单击“Active Directory 用户和计算机”。 在控制台树中,右键单击在其中授予作为服务登录的用户权限的组织单位。 默认情况下,该组织单位是“域控制器”组织单位。 右键单击所需的容器,然后单击属性。 在组策略选项卡上,单击“默认域控制器策略”,然后单击编辑。 组策略管理器将启动。 计算机配置, Windows 设置,然后安全设置。 本地策略,然后单击用户权限分配。 在右窗格中,右键单击“作为服务登录”,然后单击“添加用户或组”。 在“用户和组名”框中,键入要添加到该策略的名称,然后单击确定。 退出“组策略管理器”,关闭“组策略”属性,然后退出“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC) 管理单元。 返回页首成员服务器如果该用户是独立的成员服务器的成员,请按照下列步骤操作:启动“本地安全设置”MMC 管理单元。 本地策略,然后单击用户权限分配。 在右窗格中,右键单击“作为服务登录”,然后单击“添加用户或组”。 在“用户和组名”框中,键入要添加到该策略的名称,然后单击确定。 退出“本地安全设置”MMC 管理单元。 返回页首配置服务登录信息配置指定用户帐户的密码,使其与该用户的当前密码匹配。 为此,请按照下列步骤操作:单击开始,指向管理工具,然后单击服务。 右键单击所需的服务,然后单击属性。 单击登录选项卡,更改密码,然后单击应用。 单击常规选项卡,然后单击启动以重新启动该服务。 单击确定,然后关闭服务工具。 返回页首配置服务以使用内置系统帐户启动如果使用指定的用户帐户该服务仍不工作,可将该服务配置为使用内置系统帐户启动。 为此,请按照下列步骤操作:单击开始,指向管理工具,然后单击服务。 右键单击所需的服务,然后单击属性。 单击登录选项卡,单击本地系统帐户,然后单击应用。 注意:通常不必将服务配置为与桌面交互,因此不必选中“允许服务与桌面交互”复选框。 单击常规选项卡,然后单击启动以重新启动该服务。 关闭“服务”工具。 当您试图通过“控制面板”中的“服务”工具打开服务属性时,计算机可能会停止响应,然后可能会出现以下错误信息:The RPC Server is unavailable.如果远程过程调用 (RPC) 服务因为该服务或依存服务登录失败而未启动,则可能会出现此问题。 某些服务有依存服务,这些服务仅在它们 的依存服务先启动的情况下才启动(如 Workstation 服务)。
发表评论