威胁安全认知
- ★★☆☆☆ 你觉得事前建设和事中威胁感知的投入比例应该是怎么样的?
- ★★★☆☆ WAF是基于攻击特征黑名单的方式,也就不断会存在绕过和遗漏,它存在的意义是什么?
- ★★★☆☆ 如何衡量威胁感知能力强弱?
- ★★★☆☆ 感知规则的有效性如何系统验证?
- ★★★★☆ 未感知部分如何衡量?
流量采集与清洗
- ★☆☆☆☆ 威胁感知可以在哪些层面进行?
- ★★☆☆☆ TCP协议的流量要储存哪些关键字段?
- ★☆☆☆☆ 如何在服务器上抓取HTTPS流量进行分析?
- ★★☆☆☆ 清洗流量时可以通过哪些方式降低无用流量?
- ★★☆☆☆ 清洗流量时可以通过哪些方式降低无用流量?
- ★★☆☆☆ 清洗流量时如实现URL的去重?
- ★★★☆☆ 清洗流量时如何剔除攻击流量?
- ★★★☆☆ 清洗流量时可能会导致哪些潜在的安全风险?
- ★★★☆☆ 清洗流量时如何识别新增接口?
- ★★★★☆ 如何实现近实时风险处置?
- ★★☆☆☆ WireShark如何抓取非浏览器的HTTPS请求流量?
风险识别与应对-网络侧
- ★★☆☆☆ 常见的C&C通道种类和特征?
提示:特征从上行比下行大、长连接、心跳、没有js等资源引用等方面来看。
- ★★★☆☆ 如何在加密流量中检测出恶意流量?
- ★★★☆☆ 新企业应监控哪些主要行为特征?
提示:出站流量;HTML响应大小;登陆地异常;数据库读取量级异常;同一接口的大量请求;等
- ★★★☆☆ 如何识别异常服务器外联?
- ★★★☆☆ 基于网络五元组可以做到哪些风险行为的分析?
风险识别与应对-主机侧
- ★☆☆☆☆ 主机有哪些日志对风险识别有帮助?
- ★★☆☆☆ 抽象来看主机中有哪些后门实现方式?
- ★★★☆☆ 一个黑客入侵主机后植入了一个木马,并擦除了各种日志,如何找出其如何入侵的以及入侵后做了什么事?
- ★★★★☆ 某个黑客入侵主机后,拿到了root权限,如何止血?
- ★★★★★ 感知到黑客入侵了所有服务器,怎么办?
风险识别与应对-应用侧
- ★★☆☆☆ 应用相关有哪些数据可以用作威胁分析?
- ★☆☆☆☆ 如何准确识别域名探测?
- ★☆☆☆☆ 如何准确识别端口探测?
- ★★☆☆☆ 如何准确识别文件遍历探测?
- ★★☆☆☆ SQL注入拦截规则如何实现?
- ★★★☆☆ 如何实现页面篡改感知?
- ★★★☆☆ 如何实现页面挂马感知?
- ★★★☆☆ 如何确保上线的拦截规则不出现误拦截?
- ★★★☆☆ 如何识别公共和私有接口?
- ★★★★☆ 如何识别机器行为请求?
- ★★★★☆ 如何感知越权风险?
- ★★★★☆ 如何识别攻击请求是定点攻击还是随机扫描?
- ★★★★☆ 专家检验无法覆盖的风险如何检测?
- ★★★★☆ 有哪些类型应用层风险是无法在流量层较好感知的?
- ★★★★★ 如何识别客户端的系统真实类型?
威胁溯源
- ★★★★☆ 接到客户投诉,其收到诈骗电话,骗子能准确说出他在我们平台购买的商品名称、订单号、收获地址和时间信息,请问如何排查该信息泄漏途径?
- ★★★★☆ 内网论坛的截图的内容突然出现在了外部新闻网站,有多少种溯源方式?
- ★★★☆☆ 内网某台没有公网地址的服务器突然CPU异常标高,经排查发现是因为cat了某个大文件导致的,但服务器相关人员都说没有操作过,请问如何溯源出谁操作的?
威胁情报
- ★☆☆☆☆ 企业会面临哪些外部风险?
- ★☆☆☆☆ 有哪些可以收集的情报渠道?
- ★★☆☆☆ 如何快速筛选出最新的CVE对我们是否有实际影响?
- ★★☆☆☆ 爬取暗网内容是否违法?
- ★★★☆☆ 如何准确识别Telgram群里和我们公司相关的情报?
- ★★★☆☆ SaaS类情报产品的联防联控机制的缺点是什么?
- ★★★☆☆ 给定一个网站,如何自动化识别其是否钓鱼网站?
- ★★★☆☆ 如何识别仿冒APP?
- ★★★★☆ 如何识别一个没有登陆的用户的真实身份?
- ★★★★★ 如何找出对我们业务实施网络攻击的黑客真实身份?
- ★★★☆☆ 国内和国外攻击特点有什么区别?
