本篇文章開始學習網絡安全運營-SOC 相關知識，我這裏用國外的一個靶場作為學習路徑/目標，網址是：
https://tryhackme.com/，一開始的一些room靶場房間是免費的，可能你會學着學着後續的房間需要開通會員，那這時候可以自行去閒某魚上買一些激活碼或者你有人脈問大佬拿幾個會員碼激活，一般買一個月即可，夠學了，然後就可以和我一樣開啓SOC的學習之旅了。
SOC部分的路徑如下圖所示：

Section 1：藍隊介紹

開啓您的防禦性安全職業生涯，從探索藍隊及其核心——安全運營中心 (SOC) 開始。您將瞭解防禦性安全為何至關重要，以及它如何幫助組織抵禦攻擊。

初級安全分析師簡介

體驗初級安全分析師的日常生活、他們的職責以及擔任分析師所需的資格。

初級（助理）安全分析師的職業生涯

初級安全分析師的職位是分類專家。您將花費大量時間進行分類或監控事件日誌和警報。

初級安全分析師或一級SOC分析師的職責包括：

• 監控並調查警報（大多數情況下，這是一個 24x7 SOC運營環境）
• 配置和管理安全工具
• 開發和實施基本的 IDS（入侵檢測系統）簽名
• 參加SOC工作組、會議
• 如有需要，創建工單並將安全事件上報給第 2 層和團隊負責人

所需資格（最常見）：

• 0-2 年安全運營經驗
• 對網絡（OSI 模型（開放系統互連模型）或  TCP /IP 模型（傳輸控制協議/互聯網協議模型））、操作系統（Windows、Linux）以及 Web 應用程序有基本的瞭解。如需進一步瞭解 OSI 和TCP /IP 模型，請參閲網絡入門教室。
• 具備腳本/編程技能者優先

所需認證：

• CompTIA 安全+

隨着您作為初級安全分析師的進步和技能的提高，您最終將晉升至第 2 級和第 3 級。

安全運營中心 ( SOC ) 三層模型概述：

回答以下問題
作為初級安全分析師，您的職責是什麼？

Triage Specialist

安全運營中心 (SOC)

那麼，SOC到底是什麼？

SOC （安全運營中心）的核心功能是全天候（24/7）調查、監控、預防和響應網絡威脅。根據Trellix對 SOC：https://www.trellix.com/security-awareness/operations/what-is-soc/ 的定義，“安全運營團隊負責監控和保護多項資產，包括知識產權、人員數據、業務系統和品牌完整性”。作為組織整體網絡安全框架的實施組成部分，安全運營團隊是協調監控、評估和防禦網絡攻擊的協作中心。SOC的工作人員數量可能因組織規模而異。

SOC的職責包括哪些？

準備和預防

作為一名初級安全分析師，你應該隨時瞭解當前的網絡安全威脅（Twitter 和Feedly是瞭解網絡安全相關新聞的絕佳資源）。檢測和追蹤威脅、制定安全路線圖以保護組織安全，併為最壞的情況做好準備至關重要。

預防方法包括收集有關最新威脅、威脅行為者及其TTP  （戰術、技術和程序）的情報數據。它還包括維護程序，例如更新防火牆簽名、修補現有系統中的漏洞、將應用程序、電子郵件地址和IP列入黑名單和安全列表。

為了更好地理解TTP，您應該查看美國網絡安全與基礎設施安全局 (CISA) 發佈的關於 APT40（中國高級持續性威脅）的警報之一。更多信息請訪問以下鏈接：  https://us-cert.cisa.gov/ncas/alerts/aa21-200a。

監測與調查

SOC團隊會主動使用SIEM（安全信息和事件管理）和EDR（端點檢測和響應）工具來監控可疑和惡意的網絡活動。想象一下，你是一名消防員，遇到一場多重火災——一級火災、二級火災、三級火災；這些等級決定了火災的嚴重程度，在我們這個案例中，火災構成了威脅。作為一名安全分析師，你將學習如何根據警報級別（低、中、高和嚴重）對警報進行優先級排序。當然，很容易猜到你需要從最高級別（嚴重）開始，逐漸向最低級別（低級別警報）靠攏。正確配置安全監控工具將為你提供最佳的威脅緩解機會。 

初級安全分析師在調查過程中扮演着至關重要的角色。他們通過探索和理解特定攻擊的運作方式，並儘可能地阻止不良事件的發生，對持續收到的警報進行分類。在調查過程中，重要的是提出“如何？何時？為什麼？”的問題。安全分析師通過深入研究數據日誌和警報，並結合使用開源工具來尋找答案，我們將在本路徑的後續部分中探討這些工具。

回覆

調查結束後，SOC團隊會協調並對受感染的主機採取行動，包括將主機與網絡隔離、終止惡意進程、刪除文件等。

初級（助理）安全分析師的一天

為了瞭解初級（助理）安全分析師的工作職責，讓我們首先向您展示初級安全分析師的日常生活以及為什麼這是一段令人興奮的職業生涯。

身處一線並非易事，而且可能極具挑戰性，因為您將使用來自不同工具的各種日誌源，我們將在本教程中為您講解。您將有機會監控網絡流量，包括IPS（入侵防禦系統）和IDS（入侵檢測系統）警報、可疑電子郵件，提取取證數據以分析和檢測潛在攻擊，並利用開源情報幫助您根據警報做出適當的決策。

最令人興奮和有成就感的事情之一，莫過於處理完事件併成功修復威脅。事件響應可能需要數小時、數天或數週；這完全取決於攻擊的規模：攻擊者是否成功竊取了數據？攻擊者竊取了多少數據？攻擊者是否試圖入侵其他主機？這其中有很多問題需要思考，也需要進行大量的檢測、遏制和修復工作。我們將帶您瞭解每位初級（助理）安全分析師成為一名成功的網絡防禦者所需的一些基礎知識。

幾乎每個初級（助理）安全分析師輪班時做的第一件事就是查看票據，看看是否生成了任何警報。

警報中的惡意 IP 地址是什麼？

221.181.185.159

藍隊中的 SOC 角色

介紹

學習目標

• 理解藍隊的概念和目的
• 探索SOC在公司架構中的位置
• 瞭解您作為SOC L1 分析師的職業發展路徑
  先決條件
• 完成初級安全分析師入門: https://tryhackme.com/room/jrsecanalystintrouxo課程
• 回顧一下安全運營中心（SOC）的角色和流程: https://tryhackme.com/room/socfundamentals

安全層級

每家公司的網絡安全優先事項都不盡相同。對律師事務所而言，目標是保護法律文件的隱私；對工廠而言，目標是確保生產線的正常運行；對醫院而言，目標是保障患者安全。正因如此，每家公司都有其獨特的安全策略和安全團隊架構。讓我們來看一個高層次的例子：

從上圖可以看出，像首席執行官這樣的高層管理者通常專注於全球業務目標，而不負責技術方面的管理。因此，他們會聘請首席信息安全官（CISO）或類似職位，由瞭解業務需求並能組建最合適的安全部門的人員來負責。

安保部門：
在小型公司中，IT 部門負責公司安全。中小型企業可能設有一個綜合性的“信息安全”團隊，負責處理各種任務。本次討論，我們將重點關注規模較大的公司，這些公司通常由首席信息安全官 (CISO) 領導，負責多個安全團隊，每個團隊負責特定的任務。例如：

• 紅隊：攻擊型安全專家、滲透測試人員或道德黑客，他們負責尋找安全問題。
• GRC團隊：負責管理政策並確保符合PCI DSS等法規的專家：https://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard
• 藍隊：防禦型安全專家，例如安全運營中心分析師、工程師或事件響應人員。

請回答以下問題。
通常由哪個高級職位負責關鍵的網絡安全決策？

CISO

SOC分析師和工程師這類角色的通用名稱是什麼？

Blue Team

認識藍隊

藍隊負責防禦性安全，這意味着它會持續監控攻擊並迅速做出響應。根據公司規模和行業，藍隊可能包含許多不同的角色和子部門，通常共有 3 到 50 名成員。現在，讓我們來了解一下最常見的藍隊部門。

安全運營中心（SOC）

這裏很可能就是您網絡安全之旅的起點！安全運營中心(SOC)是組織網絡安全的核心樞紐——他們是第一道防線，負責處理各種警報並應對大多數攻擊。您可以在此瞭解更多關於：https://tryhackme.com/room/socfundamentals SOC結構的信息，但一個高效的SOC通常由以下角色組成：

• L1分析師：負責對警報進行分類並將複雜案例轉交給二級分析師的初級成員。
• L2分析師：經驗豐富的成員，負責調查更高級的攻擊
• 工程師：精通配置EDR或SIEM等安全工具。
• 經理：負責管理整個安全運營中心團隊的人

網絡事件響應小組（CIRT）

如果安全運營中心 (SOC) 的專業知識不足以應對危機，或者事件失控，您需要緊急呼叫“救火隊”——網絡安全事件響應小組 (CIRT)，也稱為 CSIRT 或 CERT。CIRT 成員應具備廣泛的網絡威脅知識，並能在不依賴EDR或SIEM等工具的情況下處理安全漏洞。CIRT 的工作壓力大、責任重大，但也極具成就感。以下是一些 CIRT 的例子：

• JPCERT(https://www.jpcert.or.jp/english)：日本負責處理全國性安全漏洞的計算機應急響應小組
• Mandiant(https://www.mandiant.com/)：一支應對全球網絡安全事件的私人團隊
• AWS CIRT(https://aws.amazon.com/security-incident-response)：調查AWS客户

專業防守角色

大型企業、以技術為核心的初創公司和政府機構通常需要一些專業性強、職責明確的藍隊成員——這些角色令人興奮且極具價值，但需要深厚的專業知識和在安全運營中心(SOC)或信息技術 (IT)等更廣泛領域的豐富經驗。這些專業性強的角色可能包括：

• 數字取證分析師：揭露磁盤和內存中的隱藏威脅
• 威脅情報分析師：收集有關新興威脅組織的數據
• 應用安全工程師：維護安全的軟件開發生命週期
• 人工智能研究員：研究人工智能威脅及其防禦方法

請回答以下問題。
藍隊側重於防禦性安全還是進攻性安全？

# 防禦性
Defensive

哪個部門負責處理正在發生的或緊急的網絡安全事件？

CIRT

提升SOC職業發展

SOC職業路徑

從SOC L1 分析師做起，或許是拓展網絡安全視野、深入瞭解更專業崗位的絕佳途徑。此外，即使是入門級的SOC L1 職位也充滿樂趣和挑戰：您將處理真實的攻擊，保護公司免受高級威脅組織的侵害，並在過程中學習到很多知識。讓我們來看看如何開啓您的職業生涯：

1. 掌握並練習核心安全運營中心（SOC）技能。具備紅隊演練或通用IT技能等相關技能也會有所幫助！: https://tryhackme.com/path/outline/soclevel1
2. 積極主動，嘗試參加 CTF 比賽，關注網絡安全新聞，並考慮考取 SAL1 認證: https://tryhackme.com/certification/security-analyst-level-1！
3. 準備面試，瞭解內部SOC和 MSSP 之間的區別，然後申請工作！
4. 在初級職位工作一段時間後，可以考慮為晉升到更高級別的職位做好準備！

內部SOC與託管MSSP對比

並非所有組織都具備獨立運營安全運營中心 ( SOC )的專業知識，它們通常會依賴託管安全服務提供商 (MSSP)。MSSP 是一家為客户提供外包安全服務（最常見的是SOC）的公司。在 MSSP 工作通常壓力很大，但也是快速開啓職業生涯的好選擇。雖然我們建議您將任何SOC職位作為您的第一份工作，但瞭解不同職位之間的差異也很重要：

後續步驟

完成L1認證後，最自然的下一步是成為SOC L2分析師，但您也可以選擇其他發展道路！在處理SIEM警報的過程中，您可能會發現自己更傾向於工程類工作。在網絡攻擊事件中，您可能會對CIRT（網絡安全響應小組）的行動着迷。您也可能發現自己很適合擔任管理職位，並逐步晉升為CISO（首席信息安全官）。無論如何，您最初的一兩年都是為了積累實際工作經驗，為了有效地利用這段時間，請遵循以下建議！

請回答以下問題。

你會如何稱呼一家提供安全運營中心（SOC）服務的網絡安全公司？

MSSP

哪個職位最能自然地延續您的 SOC L1 分析師職業生涯？

SOC L2 Analyst

測試挑戰

假設您是大型跨國公司 TrySecureMe 的首席信息安全官 (CISO)。您負責多個部門，每月都會處理安全事件。這次，同時發生了多達七起安全事件，您需要挑選合適的人員來處理每一起事件。您對安全角色足夠了解，能夠完成這項挑戰嗎？

請回答以下問題。

完成最終挑戰後，你獲得了哪面旗幟？

THM{trysecureme_is_secured!}

人類作為攻擊載體

介紹

安全運營中心（SOC）聽起來或許很專業也很厲害，但它究竟能保護我們免受哪些威脅？在這個房間裏，你將深入瞭解現代攻擊者的手段，並探究他們如何將攻擊目標鎖定在網絡安全最薄弱的環節——人。

• 學習目標
  • 瞭解人為因素在網絡安全中的作用
  • 瞭解安全運營中心 (SOC)在檢測和緩解攻擊方面的作用
  • 在兩個真實場景中實踐所學知識

人的因素

你是一名試圖入侵公司的攻擊者。你更願意：

• 花好幾天時間利用漏洞並試圖繞過防火牆防禦？
• 或者直接向 IT 管理員發送釣魚郵件，獲取所需的訪問權限？

計算機網絡就像一座堡壘，擁有高聳的石牆和堅固的大門。攻克它的方法之一是突破大門，但還有一種更簡單的方法——直接請求守門人為你開門。在網絡世界裏，人類往往扮演着這些天真的“守門人”的角色——他們是網絡安全中最薄弱的環節，也是最容易幫助網絡威脅者的人。

為什麼人類會成為攻擊目標

人類之所以成為攻擊目標，是因為他們能夠提供訪問權限——訪問網站、郵箱或數據庫。一些攻擊者會尋找特定的訪問權限，而另一些則沒有那麼挑剔，他們會盡可能多地入侵賬户，然後再決定如何使用這些賬户。以下是一些攻擊者試圖入侵人類賬户時所希望獲得的結果示例：

請回答以下問題。
網絡安全中最薄弱的環節是什麼或誰？

# 人
Humans

網絡攻擊者在以人為目標的網絡攻擊中尋求的是什麼？

# 訪問權限
Access

對人類的攻擊

針對人類的攻擊有一個共同的特點：它們依賴於操縱受害者，使其在知情或不知情的情況下幫助攻擊者。這種策略被稱為社會工程學，它利用的是人性的弱點，而非技術漏洞。為了使這種策略奏效，它必須具備以下特點：

• 可信度： 攻擊者必須看起來合法，才能贏得受害者的信任。
• 情感層面： 攻擊必須引發諸如緊迫感、恐懼感或好奇心之類的情緒。

網絡釣魚攻擊

你收到一封郵件，上面寫着：“您的賬户已被盜用。點擊此處查看詳情！ ”當你點擊鏈接時，它會將你帶到一個看起來很真實的虛假登錄頁面，但實際上卻會將你的登錄憑證發送給攻擊者。這就是網絡釣魚的典型案例。電子郵件釣魚是社會工程攻擊中最常見的形式，據估計，每天有高達 34 億封惡意郵件被髮送。

惡意軟件下載

你是否曾經在電腦上搜索並安裝過某個應用程序？如果是，那麼你很可能已經將惡意軟件安裝到了電腦上。為了提高攻擊的成功率，不法分子會使用一些創新技術，例如偽造驗證碼、惡意二維碼和搜索引擎優化（SEO）投毒。

深度偽造

人工智能生成的視頻或音頻的迅速發展，使得冒充家人、同事或公司合作伙伴變得更加有效。曾有一名金融從業人員接到一個看似是其老闆的深度偽造視頻電話，並被騙匯款2500萬美元，用於所謂的“緊急商業交易”。

• 冒充
  即使不使用深度偽造技術，攻擊者也能相當成功地冒充他人。近期許多勒索軟件攻擊都始於攻擊者冒充企業IT部門打來的簡單電話，他們要求受害者接管自己的賬户，以便進行快速的“系統修復”。

• 其他攻擊
  這項任務涵蓋了一些常見的社會工程攻擊方法，但遠不止這些！U盤投放攻擊、物理攻擊、內部威脅，甚至是虛假招聘信息——所有這些都對員工構成持續的風險，而作為一名安全運營中心（SOC）分析師，你應該做好應對準備！

請回答以下問題。

利用人類心理進行攻擊的策略叫什麼名字？

# 社會工程學
Social Engineering

哪種社會工程學方法是指假裝成另一個人？

# 冒充、假冒
Impersonation

捍衞人類

防禦威脅包含兩項關鍵任務： 緩解和檢測。緩解旨在預防或降低攻擊發生的概率和影響，例如通過培訓員工或部署有效的反釣魚解決方案。然而，無論緩解措施多麼完善，總有一天會被突破。這時，安全運營中心 (SOC)的技能就顯得至關重要，它能夠檢測和調查那些漏網的高級攻擊：

• 捍衞人類
  作為一名安全運營中心 (SOC)分析師，您的任務是 檢測和調查攻擊。然而，您很快就會厭倦分析層出不窮的攻擊，並開始思考如何自動預防常見威脅。因此，瞭解關鍵的 緩解措施至關重要。如果您的緩解方案獲得 IT 部門和高層管理人員的批准，您將簡化SOC 的日常工作，並提高公司的安全性！以下是一些保護員工安全的示例：

請回答以下問題。
哪個流程旨在預防或降低攻擊發生的機率？

# 緩解
Mitigation

哪項緩解措施是關於對員工進行網絡安全培訓的？

# 安全意識培訓
Security awareness training

實踐

每個組織都面臨着針對其員工的持續攻擊。然而，安全運營中心 (SOC)在應對這些攻擊中的角色可能有所不同。在一些團隊中，分析師僅負責監控警報。而在另一些團隊中，他們會深度參與公司的流程。分析師可能：

• 與其他團隊保持緊密聯繫，例如IT團隊或人力資源團隊。
• 提出安全改進建議並開展全公司範圍的培訓
• 甚至還可以接聽員工打來的熱線電話，他們懷疑自己遭到了襲擊。
  

員工風險

選擇隔離

選擇阻止郵件並開始分析

禁用Ben的賬户

還是先禁用賬户
（實際業務中會直接先和客户確認登錄是否為本人）

完成“員工風險”挑戰後，你獲得了什麼標記？

THM{anyone_else_at_risk?}

安全策略

完成“安全策略”挑戰後，你獲得了什麼標誌？

THM{human_protection_expert!}

結論

在這個房間裏，你們探討了針對人類的攻擊，這是網絡安全中最薄弱的環節。你們已經瞭解了攻擊者如何以及為何將目標鎖定在人身上，以及作為安全運營中心 (SOC)分析師，你們如何檢測和預防此類攻擊。但你們的探索之旅不應止步於此。隨着威脅的不斷演變，及時瞭解最新的攻擊趨勢對於你們在SOC 工作中取得成功至關重要。以下是一些值得關注的優秀網站：

• Krebs on Security - https://krebsonsecurity.com
• Hacker News -  https://thehackernews.com
• BleepingComputer - https://www.bleepingcomputer.com

系統作為攻擊載體

介紹

繼續探索安全運營中心 (SOC)在保護數字世界方面的作用，本次重點關注作為攻擊載體的系統。在本環節中，您將瞭解什麼是系統，威脅組織為何以及如何攻擊這些系統，以及作為SOC分析師，您可以採取哪些措施來保障公司安全。

• 學習目標
  • 瞭解系統在現代數字世界中的作用
  • 探索針對系統的各種真實世界攻擊
  • 在兩個真實場景中實踐所學知識

系統定義

想象一下，一座城堡，只不過這次守衞訓練有素，懂得識別網絡釣魚和打擊深度偽造技術。然而，如果大門上的鎖脆弱廉價，守衞的技能就毫無用處，因為敵人可以趁人不備潛入城堡。在網絡安全領域，威脅行為者可以直接攻擊不安全的系統，而用户卻毫不知情。

銀行將您的銀行卡信息存儲在哪裏？您的電子郵件又存儲在哪裏？答案是：在某個系統中：可能是物理服務器、虛擬機，也可能是像 Microsoft 365 這樣的雲平台。保護這些系統至關重要：如果攻擊者通過網絡釣魚入侵了某個用户的郵箱，他們只能控制一個郵箱；但如果他們攻破了郵件服務器，就能控制成千上萬個郵箱。每種系統類型對攻擊者的價值可能不同，例如：

請回答以下問題。
網絡攻擊能否在受害者未乾預的情況下發生 (Yea/Nay)?

# 可以
Yea

單個系統的漏洞是否會導致災難性後果 (Yea/Nay)?

# 可以
Yea

對系統的攻擊

在大多數嚴重的攻擊中，首要目標是獲取目標系統的訪問權限。接下來的行動取決於攻擊者的動機：竊取數據、部署勒索軟件，甚至徹底銷燬信息且無法恢復。然而，幾乎所有攻擊的開端都大同小異。讓我們來看三個系統遭受攻擊的例子。

人為攻擊

系統用户往往是攻擊的始作俑者，這並不令人意外：他們可能插入在街上撿到的惡意U盤，從盜版資源下載惡意軟件，或者只是到處重複使用弱密碼。81%的數據泄露事件都與被盜或泄露的密碼有關—— 你也應該檢查一下自己的密碼！

漏洞

任何軟件都可能存在安全漏洞。2024年，已公佈的軟件漏洞超過4萬個，其中300多個漏洞在重大攻擊中被積極利用。此外，IT管理員常常通過設置弱密碼和允許對系統進行不受限制的訪問來增加風險。

供應鏈

您的電腦上安裝了數百個應用程序，包括網頁瀏覽器、即時通訊軟件、開發軟件和娛樂軟件。每個應用程序都依賴於數千個庫。如果攻擊者成功入侵其中一個應用程序或庫，並向所有用户推送更新，那麼所有用户都將受到影響。這種攻擊手法被稱為供應鏈攻擊。最著名的例子是SolarWinds和3CX 的數據泄露事件，這些事件影響了數千家公司。

• 供應鏈面臨的新威脅
  由於您無法始終控制筆記本電腦、服務器和 Web 應用程序上的所有軟件，因此很難防範供應鏈攻擊。就連 TryHackMe 也曾因 Lottie Player（一個用於房間動畫的庫）的供應鏈攻擊而遭受損失。作為安全運營中心(SOC)分析師，您必須做好應對此類情況的準備，並知道如何應對！

請回答以下問題。
可以被利用來入侵系統的安全漏洞的名稱是什麼？

Vulnerability

當惡意軟件來自受信任的應用程序或庫時，這種攻擊的名稱是什麼？

# 供應鏈
Supply Chain

漏洞

軟件漏洞

任何軟件都存在缺陷，但有些缺陷需要數年才能被發現。例如，Shellshock是一個嚴重的Linux漏洞，它早在 1992 年就已存在，但直到 2014 年才被發現。在最糟糕的情況下，攻擊者會比其他人更早發現該漏洞。這種情況被稱為零日漏洞，只有安全運營中心 (SOC)的專業技能才能判斷該漏洞是否能及時被發現。

一旦漏洞被公開，就會被分配一個通用漏洞披露 ( CVE ) 編號。從那時起，一場爭分奪秒的競賽就開始了：攻擊者開發漏洞利用程序，而防禦者則爭分奪秒地更新系統。以下是 Windows 漏洞每年演變的詳細時間線：

應對漏洞

應對CVE 漏洞的辦法始終是發佈補丁——即軟件供應商提供的更新。即使是零日漏洞，你也必須等待補丁發佈，密切監控漏洞利用痕跡，並努力熬過補丁發佈前的這段緊張時期。例如：

• 限制系統訪問權限，僅允許受信任的IP 地址訪問。
• 採用供應商提供的臨時措施
• 在IPS或 WAF上阻止已知的攻擊模式。

請回答以下問題。

名為“ToolShell”的嚴重 SharePoint 漏洞的 CVE 編號是多少？

# [CVE-2025-53770](https://nvd.nist.gov/vuln/detail/CVE-2025-53770)
CVE-2025-53770

如果檢測到系統中存在漏洞，您會如何應對？

# 打補丁
Patch

配置錯誤

另一方面，配置錯誤並非軟件漏洞，而是系統設置過程中的錯誤，通常是IT團隊造成的。這類錯誤經常發生，通常是為了簡化操作，例如每次都使用“1111”而不是輸入長密碼。讓我們來看一些實際案例。

• “123456”密碼如何泄露了6400萬份麥當勞求職申請的聊天記錄
• AWS雲配置錯誤如何導致1.06億銀行客户數據泄露
• 配置不當的 智能冰箱如何被悄無聲息地用於大規模殭屍網絡攻擊
  另一種常見情況是，IT 部門在不知情的情況下，在安全系統中引入了新的漏洞。以下是一個簡單的示例，説明由於不安全的配置，關鍵數據庫是如何被攻破的：

應對配置錯誤

配置錯誤並不需要軟件更新，只需要更合理的設置即可。作為安全運營中心 (SOC)分析師，您通常只有在攻擊者利用這些錯誤之後才會發現它們。然而，在規模較小的公司中，您可能還需要負責更積極主動的響應，例如：

• 滲透測試：聘請道德“黑客”模擬攻擊並報告發現的安全漏洞。
• 漏洞掃描：定期運行能夠檢測默認密碼或過時軟件的工具。
• 配置審核：手動審查系統，使其符合最佳實踐，例如CIS基準

請回答以下問題。

系統補丁或軟件更新能否修復這些配置錯誤(Yea/Nay)?

# 不可以，因為這是配置的問題，並不是軟件缺陷漏洞
Nay

哪項活動涉及經授權的網絡攻擊，以檢測錯誤配置？

# 滲透測試
Penetration Testing

實踐

還記得我們之前提到的堡壘比喻嗎？攻擊者都是機會主義者。他們通常會尋找最便捷的途徑，無論是利用建築物本身的漏洞，還是操縱他人打開大門。攻擊者並不把“人為攻擊”和“系統攻擊”區分開來，因此，您應該在保護人員和系統方面投入同等的精力，將 緩解措施和檢測措施結合起來。

與人類不同，你無法訓練系統來識別攻擊。但是，你可以培訓你的IT部門來配置系統，並解釋如何避免一些簡單的錯誤。以下是保護系統的最常見緩解措施：

系統風險

打補丁

更換安全密碼

打補丁，確保沒有CVE漏洞

供應鏈攻擊

完成“系統風險”挑戰後，你獲得了什麼標誌？

THM{patch_or_reconfigure?}

補救計劃

完成“補救計劃”挑戰後，你獲得了什麼標記？

THM{best_systems_defender!}

結論

儘管安全運營中心 (SOC)分析師通常不直接管理系統，但瞭解常見的攻擊和防禦措施，並與 IT 部門分享，是拓寬網絡安全視野的關鍵。如果您想快速成長併成為優秀的團隊成員，請隨時關注最新的威脅，並與他人分享相關信息！

• 數字取證與事件響應 (DFIR)報告：真實入侵是如何發生的 (https://thedfirreport.com)
• CISA：已知已利用漏洞目錄 (https://www.cisa.gov/known-exploited-vulnerabilities-catalog)
• BleepingComputer：最新供應鏈攻擊 (https://www.bleepingcomputer.com/tag/supply-chain-attack)
• 檢查點：交互式實時網絡威脅地圖 (https://threatmap.checkpoint.com)