二、Day 3 学习目标(保真版)
一句话目标: 学会用 Asset-Threat-Vulnerability-Risk (ATVR) 四件套给任何系统快速画“风险画像”,并能把它映射到黑客常说的 5 阶段攻击生命周期。
1. 30 分钟理论——ATVR 四件套
| 概念 | 核心定义 | 参考 |
|---|---|---|
| Asset(资产) | 任何有价值、需要保护或可被攻击的对象(数据、服务、品牌等) | AWS 风险术语解释 |
| Threat(威胁) | 可能对资产造成伤害的行为者或事件(黑客、恶意代码、误操作) | CSDN 文章 |
| Vulnerability(漏洞) | 威胁得逞所利用的缺口或弱点(弱口令、未打补丁) | 同上 |
| Risk(风险) | 资产 × 威胁 × 漏洞的组合后果,可用“影响×可能性”量化 | OWASP 风险评级方法、ISO 27005 说明 |
延伸阅读
- OWASP Risk Rating Methodology(中文版可参照 OWASP 文档翻译)
- SecureFrame《ISO 27005 风险管理方法》介绍
2. 20 分钟实战——画一张“我的 ATVR 地图”
- 列资产:MacBook、家路由、云服务器、微信号、个人简历等
- 列威胁:撞库、钓鱼、挖矿木马、社工电话…
- 列漏洞:22 端口暴露、路由固件未升级、重复密码…
- 打风险分:用 1-5 评估“影响×概率”,挑出 TOP-3 最危险项
- 工具随意:XMind、Obsidian 或手绘
3. 10 分钟拓展——黑客 5 阶段生命周期
典型版本:Recon → Scan → Gain Access → Maintain Access → Cover Tracks
把你刚画的 ATVR 映射进来:
- Recon:攻击者在 Shodan 找到你云服 22 端口
- Scan:脚本暴力爆破弱口令
- Gain Access:登录成功
- Maintain Access:植入 SSH key
- Cover Tracks:清除
/var/log/secure
参考文章:GeeksforGeeks《5 Phases of Hacking》、Null-Byte《Five Phases of Hacking》
4. 今日 Checklist
- 能口头解释 ATVR 四件套
- 产出个人 ATVR 风险脑图并标记 TOP-3
- 说出黑客 5 阶段的中文对应
- 明日行动:针对 TOP-3 风险列出初步加固方案
三、真实可用的延伸资料清单
| 主题 | 资料 | 用途 |
|---|---|---|
| ATVR 基础 | CSDN《资产、漏洞、威胁、风险和攻击的关系》 | 中文概念梳理 |
| 风险评估入门 | FreeBuf《网络安全风险管理的五个实用技巧》 | 快速上手实践 |
| 国际框架 | ISO 27005 风险管理文章(SecureFrame) | 标准视角 |
| OWASP 方法 | OWASP Risk Rating Methodology | Web 系统风险打分 |
| CIA 复习 | 《白帽子讲 Web 安全》1.5节“安全三要素” | 连接前两天内容 |
| 黑客生命周期 | GeeksforGeeks《5 Phases of Hacking》 | 英文步骤示例 |
| 黑客生命周期 | Medium《Ethical Hacking: 5 Phases》 | 另一视角 |
色即是空:我的个人理解是看到表象,脑海自动有更深层次的信息。即看表象,出里象
