Una minaccia è qualsiasi evento potenziale che potrebbe causare un esito indesiderato. Ad esempio, un exploit zero-day che si rivolge a un servizio che esegue una versione specifica che consente un accesso non autorizzato a un sistema. Un altro esempio è un utente inesperto con privilegi eccessivi che potrebbero causare intenzionalmente o meno un'azione che espone un sistema e/o i suoi dati a compromessi.

IDS sta per "Intrusion Detection System" ed è un sistema che rileva un'intrusione ispezionando la rete/traffico e confrontando i contenuti con una firma, un comportamento,
o regola. I sistemi IDS possono esistere sulla rete o sugli host.
Questi sono noti come IDS basati su rete o IDS basati su host. I sistemi IDS IDENTIFICANO solo le intrusioni, non ne rilevano nessuna azione.

La crittografia viene utilizzata per mantenere la "riservatezza" applicando un algoritmo per codificare i dati in un formato illeggibile. La crittografia utilizza una tecnica di applicazione di un'estensione Algoritmo di crittografia dei dati per proteggerli e a Decrittazione per restituire i dati nel formato originale. Ci sono algoritmi utilizzati per la crittografia e Decrittazione. I tipi comuni di crittografia sono asimmetrici, Simmetrico e ibrido.
Asimmetrico utilizza più chiavi, Simmetrico utilizza una singola chiave e la crittografia ibrida è un combinazione di Crittografia Asimmetrica e Simmetrica

Algoritmi asimmetrici: - ECC, DSA, RSA - 768, 1028, 2048, ecc…
Algoritmi simmetrici: AES, 3DES, Blowfish e Twofish

L'hashing utilizza un algoritmo per convalidare l'"integrità", utilizzando un algoritmo unidirezionale per calcolare un valore. Hashing fornisce un meccanismo per verificare se l'integrità di i dati sono stati compromessi. Alcuni algoritmi di Hashing comuni sono: MD5, SHA-1, SHA-2, Whirlpool e altri

XSS è "Cross-Site Scripting" ed è una vulnerabilità JavaScript in cui un utente malintenzionato inserisce uno script o un codice utilizzando il campo di input di un'applicazione Web come un modulo, per inviare uno script o un codice dannoso a un altro utente. Il browser della vittima dell'utente si fida dello script (o del codice) e lo esegue, compromettendo quindi l'utente. Regole, codifica, ispezione dei dati e altri metodi possono aiutare a mitigare o ridurre XSS.

Un firewall è un'appliance o un software utilizzato per controllare, ispezionare e proteggere reti e applicazioni web. Esistono diversi tipi di firewall che hanno diverse capacità come: Firewall con filtraggio dei pacchetti, gateway a livello di circuito, gateway o proxy a livello di applicazione, stateful inspection e next generation.

Firewall con filtro pacchetti: regole basate sulla rete per consentire o negare il traffico di rete.
Gateway a livello di circuito: firewall che ispezionano solo sessioni remote e locali per consentire o rifiutare le sessioni.
Gateway o proxy a livello di applicazione: singola entrata e uscita punto per una rete che filtra il traffico insieme al servizio e contenuto.
Firewall Stateful Inspection: controlla sele sessioni network sono state stabilite insieme al pacchetto e in alcuni casi verifica applicazione dei dati del carico utile.
Next-Generation Firewall (NGFW) - Firewall che può operare su più livelli e fornire funzionalità firewall con opzioni per malware, VPN, IDS, IPS e altre funzioni.

Un SIEM è un gestore di "incidenti" ed eventi di sicurezza e viene utilizzato per consolidare il traffico di rete, informazioni di rilevamento da più fonti in un unica
vista configurabile. Ciò consente di aggregare i dati, consolidare e analizzare per identificare le minacce utilizzando varie correlazioni di dati, analisi e altre tecniche per
identificare le minacce. Ciò consente agli analisti SOC di identificare e mitigare le minacce in modo efficiente

Quali sono alcuni SIEM più comuni?
Splunk Enterprise Security, IBM QRadar, ManageEngine, McAfee Enterprise Security Manager (ESM), LogRythm, Stack e Wasu (open source)

Uno Zero-Day è un tipo di vulnerabilità che non dispone di una patch o di una mitigazione nota PRIMA che siano consapevoli i fornitori. A causa della minaccia rappresentata da un giorno zero, il termine "zero" è correlato al fatto che non è stato indicato alcun avviso.
Questi possono essere gravi e richiedono una mitigazione immediata.

DoS è Denial of Service ed è il termine usato per un attacco in cui l'attaccante invia il traffico per sopraffare o consumare un processo causando quindi il servizio
non disponibile. DDoS è Distributed Denial of Service e il L'attacco è simile a un attacco DoS, tuttavia, coinvolge di più più di una fonte dell'attaccante. Questi attacchi possono variare da attacchi di base ad attacchi altamente sofisticati.

Le squadre ROSSE rappresentano il lato offensivo e agiscono come un modo per testare le difese. Le squadre BLU rappresentano il lato difensivo per fornire rilevamento e prevenzione.
Quale è più importante? Entrambe!
Un programma di sicurezza dovrebbe testare sicurezza con i team RED per identificare le vulnerabilità e minacce prima che lo facciano gli attori malintenzionati. La squadra BLU è necessaria per monitorare, analizzare e mitigare gli incidenti. Esiste anche una terza squadra conosciuta come la Squadra VIOLA che è a
combinazione di entrambi. Come analista, è importante avere una comprensione di come entrambi i team lavorano insieme ai loro aree di conoscenza e tattiche.

80 - HTTP: Web Server (unsecure)
443 - HTTPS: Web Server (TLS - Encrypted)
25 - SMTP
21 - FTP (Unsecure)
22 - SSH
23 - Telnet (Unsecure)
53 - DNS
135 - MSRPC (Microsoft)
139 - NetBIOS-SSN
143 - IMAP
993 - IMAPS (Secure)
445 - MS-DS (Microsoft Directory Services)
3306 - SQL
3389 - MS RPC
5900 - VNC
8080 - HTTP-Proxy

I termini sono correlati agli avvisi di eventi. Un Falso Positivo è un evento per il quale l'avviso è stato attivato ma non si è verificato. Un falso negativo è quando un evento NON lo fa attivare un avviso ed è consentito come legittimo dove l'evento è dannoso.