Pentium FDIVのバグ

Pentium FDIVのバグ（Pentium浮動小数点除算エラー）は、Intelの古いバージョンのPentium浮動小数点演算ユニットのバグです。エラーは、PentiumシリーズのFDIV（浮動小数点除算）命令から発生しました。

日本語名：Pentium浮動小数点除算エラー
外国名：Pentium FDIVバグ
検出時間：1994年10月
Discoverer：トーマス・ナイスリー
はじめに：
Pentium FDIVのバグ（Pentium浮動小数点除算エラー）は、Intelの古いバージョンのPentium浮動小数点演算ユニットのバグです。エラーは、PentiumシリーズのFDIV（浮動小数点除算）命令から発生しました。

発見する
1994年10月、米国バージニア州のリンチバーグ大学の数学教授であるThomas Nicelyは、長い部門のコンピューター処理がミスを犯していることを発見しました。彼が数字で824,633,702,441で割ったとき、答えは常に間違っていました。その後、計算を高速化するために、Intelはプロセッサの乗算テーブル全体を書き込みましたが、2048の乗算数のうち5つが間違っていました。これらのエラーは簡単に表示されず、計算中にエラーが自動的に修復され、少数の2進数のみが完全に誤った結果を引き起こします。

影響力
エンジニアによると、約90億の部門にエラーがあります。計算によると、MTBF時間は約700年ごとに発生したため、ほぼ不可能です。しかし、実際にこのエラーに頻繁に遭遇すると主張する人もいます。 Intelは後に欠陥製品をリコールしました。

部署Exchange ActiveSync – KB 817379說明

在Exchange 2007中，部署Exchange ActiveSync以同步移動設備更像是步步為營……先決條件概述如下：

1. CAS角色上的SSL證書
2. 從EMC或Shell為用戶啟用ActiveSync

該方案在Exchange 2003中有所不同，並且已經部署了該方案的管理員一定會意識到kb：817379。我將簡要地討論該過程。

1. 禁用基於表單的身份驗證或FBA
2. 在IIS中，獲取Exchange虛擬目錄的副本，並將其命名為ExchangeVDir
3. 創建一個新的虛擬目錄並將其命名為exchange-oma
4. 更改exchange-oma的身份驗證：

一種。轉到屬性

b。目錄安全性選項卡

C。身份驗證和訪問控制，單擊編輯。將身份驗證類型更改為：

一世。  集成Windows身份驗證

ii。  基本認證

d。在“安全通信”下，單擊“編輯”。確保未啟用“ 需要安全通道（SSL）”，然後單擊“ 確定”。

5.在註冊表中，轉到–> HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ MasSync \ Parameters

6.創建一個新的字符串值–> ExchangeVDir並將其修改為–> / exchange-oma

7.重新啟動IIS服務

8.啟用FBA。

kb文章給出了症狀和解決方法。我第一次這樣做是一項機械工作。

當我們只有一個交換服務器並且移動設備嘗試通過WAN與該服務器同步時，該請求首先被定向到Microsoft Server ActiveSync虛擬目錄。此行為是設計使然。一旦請求到達MSAS目錄，它將通過端口80 向Exchange虛擬目錄發送顯式登錄請求。示例http：// servername / exchange / username現在，由於強制使用SSL的交換已不再請求，因此將在移動設備上引發錯誤。

為了避免這種情況，建議採取的措施是在組織中引入前端服務器，或者我們也可以按照kb文章817379中的步驟創建Exchange虛擬目錄的副本，對其進行適當命名，然後從MSAS重定向請求目錄到新創建的虛擬目錄。在這種情況下，我們將其命名為exchange-oma。

Type of threat Intelligence

1. Strategic
1. High-Level information on changing risks.
2. Consumed by High-Level Executives and Management.
2. Operational
1. Information on specific incoming attack
2. Consumed by Security Manager, Network Defenders.
3. Tactical
1. Information on attacker's tactics, techniques (TTPs).
2. Consumed by IT Service and SOC Managers, Administrators.
4. Technical
1. Information on specific indicators of compromise.
2. Consumed by SOC Staff, IR Teams.

• Strategic
• Strategic threat intelligence provides high-level information regarding cyber security posture, threats and its impact on business 
• It is consumed by high-level executives and management of the organization. 
• It is collected from sources such as OSINT, CTI vendors, and ISAO/ISACs. 
• It is generally in the form of a report that mainly focuses on high-level business strategies. 
• It is used by the management to take strategic business decisions and to analyze the effect of such decisions.

• Tactical
• Tactical threat intelligence provides information related to TTPs used by threat actors (attackers) to perform attacks. 
• It is consumed by cyber security professionals such as IT service managers, security operations managers, administrators, and architects. 
• The collection sources for tactical threat intelligence include campaign reports, malware, incident reports, attack group reports, and human intelligence. 
• It is generated in the form of a forensic report that includes highly technical information such as malware, campaigns, techniques, and tools 
• It helps the cyber security professionals to understand how the adversaries are expected to perform the attack on the organization, the technical capabilities and goals of the adversaries along with their attack vectors

• Operational

• Operational threat intelligence provides information about specific threats against the organization. 
• It is consumed by security managers or heads of incident response, network defenders, security forensics, and fraud detection teams. 
• It is collected from sources such as humans, social media, and chat rooms. 
• It is generally in the form of a report that contains identified malicious activities, recommended courses of action, and warnings of emerging attacks. 
• It helps organizations to understand the possible threat actors along with their intention, capability, and opportunity to attack, vulnerable IT assets, and the impact of the attack if it is successful. 
• It helps IR and forensics teams in deploying security assets with the aim of identifying and stopping upcoming attacks, improving the capability of detecting attacks at an early stage, and reducing its damage on IT assets

• Technical
• Technical threat intelligence provides information about an attacker's resources such as command and control channels and tools, used to perform the attack 
• It is consumed by security operations center (SOC) staff and IR teams. 
• It has a shorter lifespan compared to tactical threat intelligence and mainly focuses on a specific indicator of compromise. 
• The indicators of technical threat intelligence are collected from active campaigns, attacks that are performed on other organizations or data feeds provided by external third-parties 
• Examples of technical threat intelligence include specific IP addresses and domains used by malicious endpoints, phishing email headers, hash checksums of malware, etc. 
• It improves detection mechanism by adding identified indicators to the defensive systems such as IDS/IPS, firewalls, endpoint security systems, etc.

ジョブズの死の前

あなたの時間は限られています、
だから、他人の人生に生きる時間を無駄にしないで
迷信的にならないでください。つまり、他人の心に生きることを意味します。
他人の意見のノイズがあなたの心をかき消さないようにしてください。

最も重要なことは、常に勇気を持つことですあなたの心と直感に従ってください、
彼らだけがあなたが本当に欲しいものを知ることができます。
それ以外はすべてセカンダリです。

脅威情報の種類

1. 戦略的
1. 変化するリスクに関する高レベルの情報。
2. 上級管理職および経営陣により消費されます。
2. 運用中
1. 特定の着信攻撃に関する情報
2. Network DefendersのSecurity Managerによって消費されます。
3. 戦術
1. 攻撃者の戦術、技術（TTP）に関する情報。
2. ITサービスおよびSOCマネージャー、管理者によって消費されます。
4. テクニカル
1. 侵害の特定の指標に関する情報。
2. SOCチーム、IRチームによって消費されます。

DDoS（Distributed Denial of Service）

DDoS（Distributed Denial of Service）日本語翻訳は、通常はボットネット（ボットネット）を伴う、DoS（Denial of Service）の拡張である分散型ブロックサービス攻撃です。多数のゾンビコンピューターが攻撃者の制御コマンドを受信し、同時に同じターゲットで特定の種類の攻撃を開始します。攻撃は、攻撃者のネットワークリソースとシステムリソースによって使い果たされ、実際のユーザーサービスを提供できなくなります。サーバーが異常終了したように見えるため、サーバーが異常終了したようです。ブロッキングサービス攻撃と呼ばれます。多数のゾンビによって引き起こされるブロックサービス攻撃は、分散ブロックサービス攻撃と呼ばれます。

DDoS攻撃の概要
次の図に示すように、攻撃者が別の人のコンピューターを制御すると、その人のコンピューターはゾンビコンピューター（BOT）になります。同時に、攻撃者は多数の制御されたゾンビにコマンドを発行します。コマンドはコンピューターを攻撃します。攻撃されたコンピューターはすべての攻撃者のゾンビによって攻撃され、ネットワークはほぼ完全にロードされます。ねえ、コンピューター。

DDoSのタイプは、次のタイプに分類できます。

• SYNフラッド

この攻撃は、TCP接続の「スリーウェイハンドシェイク」機能の欠陥を悪用し、攻撃者は不正なソースIPアドレスSYNパケットを生成するため、宛先はアドレスにSYN ACKを送信します。要求側のACKを受信することは不可能であるため、宛先側はSYN ACKを繰り返し送信します。多数のSYN ACKは、宛先側のネットワークリソース、システムメモリ、およびプロセッサリソースを使い果たし、システムへの通常のユーザーアクセスに影響を与えます。 。

• UDPフラッド

UDPは有線ではないトランスポートプロトコルで、攻撃者は任意のニックネームのUDPパケットを生成しますUDPパケットを受信した後、宛先はパケットを処理するアプリケーションを選択する必要があります。 UDPパケットを処理するプログラムがない場合、宛先ホストはソースIP（到達不能ICMPパケット）を返しますが、攻撃者はソースIPを隠し、ICMPパケットがネットワーク全体にフラッディングしてネットワーク帯域幅に影響を与えます。また、攻撃者はUDPパケットアプリケーションを探してICMPをエラーのソースに返すのに忙しくなり、攻撃者のネットワークリソース、システムメモリ、およびプロセッサリソースも使い果たされ、一般に影響を及ぼします。ユーザーは通常どおりシステムにアクセスします。

• ICMPフラッド

ICMPのフルネームは「エラー検出および報酬メカニズム」であるインターネット制御メッセージプロトコルであり、その目的は、ネットワークの接続状態を検出し、接続の正確性を確保できるようにすることです。 ICMPフラッドの攻撃モードは、Ping of Deathを使用して65536バイトを超えるパケットを生成し、他のホストを攻撃することです。65536バイトのパケット形式は、IPv4で指定された最大パケットサイズを超えているため、ほとんどのコンピューターは処理に失敗します。このような違法パケットのフローの制限により、攻撃者がバッファを受信した後、バッファがオーバーフローし、システムがクラッシュまたは再オープンする可能性があります。

• ランド攻撃

TCP SYNフラッドと同様に、LAND攻撃パケットでは、送信元IPと宛先IPが同じであるため、攻撃されたホストはメッセージをホスト自体に返し、送信ループの無限ループを引き起こし、最終的にシステムリソースを使い果たします。システムがクラッシュまたは再起動します。

メールセキュリティに関する3つの主要な契約

SPF
SPFは、Sender Policy Frameworkの頭字語で、IPアドレスを使用して電子メール送信者を認証する技術です。受信側のメーラーは、最初に関数変数名のSPFレコードをチェックして、送信者のIPアドレスがSPFレコードに含まれているかどうかを判断します。含まれている場合は正しいメールと見なされ、そうでない場合は偽造メールと見なされます。メールが返されます。たとえば、送信者がspam@gmail.comであると主張するメールをメールサーバーが受信した場合、それがgmail.comのメールサーバーによって送信されたかどうかにかかわらず、gmail.comのSPFレコードを照会できます。これにより、他人があなたに電子メールを送信するように仕向けることができなくなります。

DKIM
DKIMにより、企業は送信された電子メールに暗号化署名を挿入し、その署名を機能変数名に関連付けることができます。ネットワーク上のどのパスに関係なく、署名は電子メールとともに送信されます。[1]電子メールの受信者は署名を使用して、メッセージが実際にビジネスから来たことを確認できます。電子メールの内容が盗まれたり改ざんされたりしないようにします。

DMARC
DMARC（Domain-based Message Authentication、Reporting＆Conformance）は一種のtxtレコードです。既存のSPFおよびDKIMプロトコルに基づいた拡張可能な電子メール認証プロトコルです。核となる考え方は、メールの送信者が特定のメソッド（DNS）を通過することです。使用する送信サーバー（SPF）を公開し、送信メールコンテンツ（DKIM）に署名します。メールの受信者は、受信したメールが送信者によって承認されたサーバーからのものかどうかを確認し、署名を確認します。効果的ですか？上記のチェックに失敗した電子メールの場合、受信者は、送信者が指定したポリシーに従って、ゴミ箱や拒否に直接入れるなどして処理します。これにより、不正な電子メールやフィッシング電子メールを効果的に識別して傍受し、ユーザーの個人情報を保護します。

エンドポイントのフォレンジック防御システ 2019/11/15

提供されるエンドポイントフォレンジック防御システムは、次の機能を満たす必要があります。

1. 防御メカニズムは、署名なしですべてのエンドポイントの脅威を保護できる必要があります。
2. 防御メカニズムは、ファイルおよびメモリ内の攻撃なしで攻撃を防ぐことができる必要があります。
3. リモートイベント処理サービスを装備する必要があり、要件に応じて無制限の数のイベント処理レポートを提供できます。
4. 自動統合検出情報を取得し、イベントの主な原因と軌跡を自動的に関連付け、セキュリティインシデントレポートで視覚的な軌跡と時間の流れを提供する必要があります。
5. 収集されたログは、ルールに従って部分的に傍受されるのではなく、リアルタイムで収集されたすべてのデータでなければなりません。
6. APTイントラネットの脅威を検出した後、プラットフォームはIT担当者に自動または手動で削除、検疫、または悪意のあるプログラムを停止するための推奨される廃棄方法を提供できます。
7. 推奨される廃棄方法により、IT担当者は、通常の接続機能が回復するまで、影響を受けるクライアントシステムのネットワーク機能を手動または自動で中断できます。
8. DLLインジェクション、リモートファイル共有、およびリムーバブルメディアやデバイスなどの関連するマルウェアアクティビティと動作を検出する必要がある。
9. 実行可能ファイルのハッシュ値を自動的に計算し、プログラムとファイルのハッシュ値に従って検索を実行して、ユニットの他のユーザーに存在する可能性のある同じ異常ファイルを比較できます。
10. さまざまな侵入攻撃のプロセスを文書化し、完全な攻撃パスを分析し、管理者にマルウェア攻撃パターンに対応して脅威を排除する方法を提供する必要があります。
11. グループ管理のためにグループ機能をサポートする必要がある
12. 収集されたデータには、プロセス、ファイル、メモリ、ネットワーク、マシンコードなどの操作の記録が含まれている必要があります。
13. 各エンドポイントスキャン分析には、システムアクティビティの記録が含まれている必要があります。 （7x24インスタントインクルージョン）
14. オンライン照会イベントは30日間照会でき、他のメカニズムで少なくとも6か月間保存できます。
15. サービス期間中、Sensorがインストールされているホストがあり、無制限の数のセキュリティアラート分析とマルウェア処理を提供します。
16. 検出と分析は、リモートの中断のない検出および監視モードを採用する必要があり、ユーザーエンドの内部ネットワークに展開され、自動応答メカニズムとリモート（管理）メカニズムを採用する必要があります。
17. オペレーティングシステムをサポートする必要がある

• Windows 7 SP1（32および64ビット）以上

• Windows 8.1（32＆64ビット）以上

• Windows 10（32および64ビット）以上

• Windows Server 2008 R2以降

• Windows 2012 R2以降

• Windows 2016以降

1. 脅威検出対応サービスインシデントの通知、分析プロジェクトが必要です。

• 権限昇格アクティビティ
• プログラム実行記録
• 不審なファイル実行記録
• 内部脅威活動
• システム侵入の兆候
• メモリ異常動作
• インターネット活動
• 疑わしい居住者の行動
• PowerShell操作の動作
• マシンコードアクティビティイベント

1. 通知レコードには、影響を受けるホスト名、マルウェア、悪意のあるリレーのリスト、および推奨される処置を含める必要があります。
2. 脅威検出対応サービスには、管理者アクセス用の専用ポータルが必要です。
3. 資産管理者の処分方法を提供する必要があります。これには、プログラムの停止と悪意のあるプログラムの隔離が含まれます。
4. 自動出力APTイントラネット脅威分析サービスレポートを提供する必要がある
5. セキュリティインシデントの発生後、ホスト間のログイン記録、ファイル移動の記録、組織の活動の状態、時間軸から始まる異常な行動のホスト、内部拡散後の被害者など、ホスト間の関係を示す視覚的なレポートを提供できます。
6. 契約期間中のサービスレベル：この契約は製品または承認だけではなく、製造業者が必要とするサービスレベルは次のとおりです。

• –インスタントイベント分析サービス
• –契約期間中に無制限の数のイベント処理サービスを提供する
• –契約期間中に無制限の数のマルウェア削除サービスを提供する
• –契約期間の範囲内でマルウェア分析サービスを提供する

脅威インテリジェンスの役割と責任

1.インテリジェンスアナリスト

• 外部リソースと内部リソースの両方から収集した脅威データを分析、コンテキスト化、融合します。
• 実用的なインテリジェンスアラート、レポート、ブリーフィングを生成します。
• IoCとTTPSを定期的に監視することにより、組織の脅威の全体像を広範に把握します。
• 組織の戦略的意思決定プロセスをサポートします。
• 差し迫った脅威レポートを調査および開発して、現在および進化する脅威の状況について上位レベルのエグゼクティブに通知します。

2.マルウェアアナリスト

• サイバーインシデント対応プロジェクトのハニーポットなどからマルウェアのサンプルを収集して分析します。
• マルウェアサンドボックス操作を実行して、取得した脅威インテリジェンスを現在の攻撃インジケーターと関連付けて、関連する脅威を検出します。
• 特定された脅威に基づいて、検出方法を強化し、以前は未知の関連指標を提供します。

3.インシデントレスポンダー

• エスカレートされたインシデントの調査と分析に参加する
• インシデント修復ソリューションを開発するために他のビジネス部門と協力する
• リスクのレベルに基づいてインシデントを検証および優先順位付けします。
• インシデントを特定の脅威アクターまたはキャンペーンに関連付けます。
• 脅威インテリジェンスを活用して、高度な攻撃の詳細と脅威アクターのTTPSを見つけます。

4.電子情報開示とフォレンジック試験

• 証拠のデータの検索、検索、取得を含む電子情報開示を実行します。
• 企業ネットワーク、システム、およびその他のデバイスで、裁判所の命令に基づいて電子情報開示を実行します。
• テキストファイル、データベース、スプレッドシート、ソフトウェアアプリケーションなどの検索データ。

5.セキュリティオペレーター

• 調査およびその他のアクティビティのログとイベントを手動で関連付けます。
• セキュリティ境界、ウイルス対策、マルウェア対策、および関連イベントのSIEMイベントを監視します。
• セキュリティインシデントを脅威インテリジェンス、インシデント対応、脆弱性管理、および他のチームにエスカレーションします。

6.脆弱性管理アナリスト

• 技術パッチ適用プロセスを管理します。
• 組織ネットワークのエンドポイント、サーバー、デバイスなどに存在する可能性のある脆弱性を特定します。
• 検出された脆弱性に優先順位を付けて、緩和計画を作成します。
• 組織のネットワークに深刻な影響を与える可能性がある新しい脆弱性を発見してください。
• 脆弱性評価と侵入テストを実行します。

7.システム / データアーキテクト

• 脅威インテリジェンスデータを管理および自動化します。
• インシデントインテリジェンス、脆弱性管理、セキュリティ運用、インテリジェンスをサポートする脅威インテリジェンスデータの自動化プロセスを設計します。

資安威脅情報小組的作用和職責

1.情報分析師

• 分析，關聯並融合從外部和內部資源收集的獲取的威脅數據。
• 生成可行的情報警報，報告和簡介。
• 通過定期監視IoC和TTPS，可以廣泛了解組織的威脅狀況。
• 支持組織的戰略決策過程。
• 研究和開發迫在眉睫的威脅報告，以使高層管理人員了解當前和不斷發展的威脅形勢。

2.惡意軟件分析師

• 從網絡事件響應項目蜜罐等收集並分析惡意軟件樣本。
• 執行惡意軟件沙箱操作，以將獲取的威脅情報與當前攻擊指標相關聯，以檢測相關威脅。
• 根據已識別的威脅，增強檢測方法並提供以前未知的相關指標。

3.事件回應人員

• 參與事件升級的調查與分析
• 與其他業務部門合作開發事件補救解決方案
• 根據事件的風險級別驗證事件的優先級。
• 將事件與特定威脅參與者或活動相關聯。
• 利用威脅情報查找威脅參與者的複雜攻擊和TTPS的詳細信息。

4.電子發現和鑑識審查員

• 執行電子發現，包括搜索，查找和檢索數據以獲取證據。
• 根據法院命令在公司網絡，系統和其他設備上執行電子發現。
• 搜索數據，例如文本文件，數據庫，電子表格和軟件應用程序。

5.安全操作員

• 手動關聯日誌和事件以進行調查和其他活動。
• 監視安全範圍，防病毒，反惡意軟件和SIEM事件中的相關事件。
• 將安全事件升級到威脅情報，事件響應，漏洞管理和其他團隊。

6.漏洞管理分析師

• 管理技術修補過程。
• 識別組織網絡中的端點，服務器，設備等中可能存在的漏洞。
• 對檢測到的漏洞進行優先級排序以製定緩解計劃。
• 發現可能嚴重影響組織網絡的新漏洞。
• 執行漏洞評估和滲透測試。

7.系統/數據架構師

• 管理和自動化威脅情報數據。
• 自動化威脅情報數據的設計流程，以支持事件響應，漏洞管理，安全操作和情報。