Podstawy sieci i systemów

Piramida bólu

Model, koncepcja poziomów od łatwego do trudnego, jakie haker musi przejść, aby sie do nas dostał, musi zwiększyć nakład pracy. Od dołu: 1. Wartości Hash 2. Adresy IP 3. Nazwy Domen 4. Artefakty systemowe i sieciowe 5. Narzędzia 6. TTP

Wartości Hash

takie podpisy cyfrowy plików. Świadczy o autentyczności pliku. W piramidzie bólu: Należy zbudować sobie baze Hash, które odpowiadają podejrzanym lub złośliwym plikom. Można z jakiegoś pliku wygenerować # z pomocą power Shell i wgrać go do naszych antywiru

Piramida bólu IP

Wszystkie niechciane oddajemy do skanowania

Artefakty sieciowe

Informacje, które pozwalają na odróżnienie nieautoryzowanej aktywności od autoryzowanej (piramida bólu - obserwacja złośliwych działań w sieci)

Artefakty systemowe

Pozwalają na identyfikację aktywności napastników na hostach (sprzętach) w organizacji poprzez np. wykrywanie zmian w kluczach rejestru lub zmian w plikach czy folderach utworzone przez złośliwe oprogramowanie.

TTP

Taktyki, techniki, procedury. Szczyt w piramidzie bólu.

IoC i IoA

2 koncepty, aby wykrywać i odpowiadać na potencjalne ryzyko ataku

IoC

Indicators of Compromise. To taki raport, bardziej exscel, który wskazuje na to, ze system komputerowy, sieć, aplikacje mogą być zaatakowane

IoA

Indicators of Attack. Identyfikator ataku. to też w formie raportu, informacje o już trwającym zagrożeniu, informacje potrzebne do zatrzymania ataku zanim systemy zostaną złamane. rzadziej spotykane, bo już potrzebujemy tych info w trakcie trwania zagroże

IPS

Inteusion prevention system, system do zapobiegania włamaniom

IDS

Intrusion detection system, system do wykrywania włamań

Adres IP

IP - internet protocol. Podstawowy protokół, używany w internecie. Unikatowy numer, przypisany każdemu urządzeniu podłączonemu pod internet, sieci komputerowej. Służy on do identyfikacji urządzeń w sieci.

IPv4

32 bitowy, 4 oktety po max 255. Pozwala na max 4mld unikalnych adresów. Stary i obecny model IP

IPv6

szesnastkowy zapis, heksadecymalny. 128 bitów, 8 grup po 4 cyfry (od 0 do F).

Adresy Mac

Max - Media Access Control. to 6 bajtów zapisane w szesnastkowym, heksadecymalnym. Unikalny identyfikator, od producenta, przypisany do karty sieciowej. Używany, aby łatwo było rozpoznać urządzenie w sieci. Można go zmienić programowo.

TCP

Transsmision Control protocol. protokół do przesyłania danych. zanim przesle dane, z urządzenia na urządzenie, tworzy stabilne łącze. najpierw dzieli dane na pakiety, potem składa gdy otrzyma potwierdzenie odbioru. Stawia na jakość i bezpieczeństwo danych

UDP

User Datagram Protocol - wysyła dane bez ustanawiania połączenia wcześniej. Protokół do przesyłania danych. Nie weryfikuje błędów i potwierdzenia odbioru danych. Jest szybszy od TCP, ale kosztem braku gwarancji

DHCP

protokół komunikacyjny, który automatycznie przypisuje IP do urządzenia, kiedy przyłącza się ono do sieci. znajduje się w routerze, Organizacje mogą mieć DHCP na osobnym serwerze.

Subnety

przy większej sieci, pozwalają nam bardziej efektywnie podzielić IP. Mamy możliwość podzielenia naszej sieci, na mniejsze segmenty na większą kontrolę co się dzieje w tym ruchu sieciowym. Subnety pozwalają na separację fiz. lub log. różnych części sieci

CIS Controls

Center for Internet Security, zbiór najlepszych praktyk dla podniesienia bezpieczeństwa teleinformatycznego oraz zmniejszenia ryzyka udanego cyberataku. To zbiór 18 dobrych praktyk.

Security Controls

Pod tym kryją się zasady, procedury oraz narzędzia i technologie, dzięki czemu organizacje mogą przeciwdziałać zagrożeniom. Chroni nasze CIA poufność integralność i dostępność