企業網路架構
企業技術和資訊團隊的管理架構因企業的規模、行業特性和業務需求而異,但通常遵循一定的框架和原則。
高層管理
CIO(資訊長): 負責企業資訊系統的戰略規劃、管理和最佳化,確保資訊科技與企業戰略保持一致。
CTO(技術長): 負責運營技術的整體方向,包括技術創新、研發、技術選型等。
IT管理
中央系統: 集中管理企業內的所有IT資源,包括軟體、硬體和資料。
自帶裝置(BYOD): 員工自帶移動裝置(如手機、平板電腦)接入企業網路,需要制定相應的安全策略和管理規定。
影子IT: 員工可能在企業內部搭建的小網路或使用的未經授權的IT裝置和軟體,這增加了企業的安全風險,需要加以管理和控制。
中央技術團隊
客戶服務團隊: 提供技術支援和服務,包括工作站、筆記本的維護和服務檯支援。
基礎設施團隊: 負責網路、伺服器機群的規劃、部署和維護。
資料庫管理團隊: 負責資料庫儲存、備份和恢復,確保資料的完整性和安全性。
技術團隊: 通常由專案驅動,負責採購系統、維護和建立技術運營團隊。根據資訊科技基礎設施庫(ITIL)進行日常操作和管理。
安全部門
由CISO(首席資訊保安官)領導,負責企業整體的資訊保安策略、規劃和管理。安全部門需要向CIO、CTO、CFO(首席財務官)和CRO(首席風險官)報告,確保資訊保安與企業戰略、財務和風險管理保持一致。
企業管理技術
資訊保安管理成熟度模型(ISM3): 描述了企業安全執行和管理流程的成熟度等級,為企業提供了改進資訊保安管理的指導。
安全職能: 包含戰略、戰術和運營安全所有方面。由CISO負責管理運營,確保企業資訊保安策略的有效實施和持續改進。
安全團隊成員: 應瞭解企業文化、組織和關鍵人員,以及推動業務成功的關鍵流程。這有助於安全團隊在企業內部樹立積極形象,提高資訊保安意識和管理水平。
典型企業網路分割槽
企業網路通常劃分為不同的安全區域,以控制區域之間的訪問許可權。劃分安全區可以防禦外部和內部攻擊。
DMZ(非軍事區): 隔離內部與外部系統,提供安全的訪問通道。
蜜罐: 引誘和分析入侵者,收集攻擊資訊和行為模式。
代理: 對外提供有限的服務,保護內部網路免受外部攻擊。
VPN: 員工與合作商透過VPN連線內網,確保遠端訪問的安全性和保密性。
核心網路: 通常物理分離、冗餘設計,確保網路的穩定性和可靠性。
內部網路: 包括有線、無線和VPN接入方式,提供全面的網路覆蓋和接入服務。
安管區: 管理日誌、告警和事件,提供實時的安全監控和響應能力。
模糊的邊界
隨著雲端計算和SaaS服務的普及,傳統網路結構逐漸減少,越來越多地在雲中部署基礎架構或使用SaaS服務。
使用者從企業工作站登入到雲或SaaS服務,需要企業提供身份憑據同步機制甚至SSO(單點登入)解決方案。
雲服務可能涉及在本地執行的硬體,例如Azure AD Connect系統等。
資料透過內部和外部服務進行管理,例如Oracle資料整合器等。
工作負載可以透過Oracle服務匯流排或戴爾雲平臺等跨混合環境共享,實現資源的靈活配置和最佳化利用。
外部攻擊面
收集開源情報後,繪製網路範圍內全部節點,關閉無用節點,減少攻擊面。
使用nmap等工具進行網路掃描,例如nmap -Sn <subnet>/24來發現網路中的活躍主機。
重點關注開啟了SSH服務的未加固裝置,及時進行加固和修復。
使用nmap等工具進行服務探測和版本識別,例如nmap -PS -sV ip-address來發現目標主機上開放的服務和版本資訊。
測試漏洞入口,大型網路主機和應用程式很容易缺少補丁或配置存在漏洞。使用漏掃軟體(如Nessus等)驗證漏洞存在性,並及時進行修復。
使用searchsploit等工具搜尋相關漏洞利用指令碼,例如searchsploit
身份管理
身份管理是確保企業資訊保安的關鍵環節,它涉及到對系統中所有使用者、裝置和服務身份的識別、驗證和管理。以下是一些關於身份管理的關鍵點和工具:
識別Windows典型應用
在Windows環境中,常見的應用和服務包括Microsoft Exchange(郵件伺服器)、SharePoint(文件協作平臺)和Active Directory(目錄服務)。要識別這些應用和服務,可以使用網路掃描工具,如sudo nmap -PS -sV somesystem.com,來探測目標系統上開放的服務和埠。
識別Linux典型應用
在Linux環境中,OpenSSH(安全殼協議)用於遠端登入和管理,Samba則用於檔案和列印共享。同樣,可以使用網路掃描工具來識別這些服務。
識別WEB服務
企業應用或邊界裝置上的WEB服務也是身份管理的重要部分。可以使用whatweb http://someweb.org等工具來識別WEB服務的型別、版本和配置資訊。
識別客戶端裝置
在內網環境中,客戶端裝置的身份管理同樣重要。由於管理員的疏忽或配置不當,終端裝置可能會暴露在網路中。因此,需要定期掃描和識別內網中的客戶端裝置,以確保它們符合企業的安全策略。
身份和訪問管理
身份以及特權和訪問權管理是企業安全的核心。基本工作站和伺服器通常維護自己的身份儲存,包括使用者賬號和服務賬號。為了確保系統的安全性,普通使用者不能執行系統級配置管理命令,而需要使用sudo許可權或以管理員身份執行。
目錄服務
LDAP(輕量級目錄訪問協議)是一種用於訪問目錄資訊的協議,它廣泛應用於AD(Active Directory)和OpenLDAP等目錄服務中。透過域集中管理,可以實現資源的集中儲存和集中管理,包括組策略的應用和更新。
企業資料儲存
隨著資料分析的興起和監管要求的加強,企業需要集中儲存和管理大量資料。常見的儲存方案包括SAN(儲存區域網路)和NAS(網路附加儲存)。SAN由高速網路連線多個儲存裝置組成,提供高效能的資料儲存和訪問能力;而NAS則是單個裝置擁有大量儲存,透過本地網路供伺服器和工作站訪問。
此外,企業還可以使用序列區域網(SoL)協議,使序列資料基於HTTPS傳輸,以提高資料傳輸的安全性和可靠性。
企業虛擬化平臺
虛擬化平臺是企業資料儲存和管理的重要工具之一。常見的虛擬化平臺包括VMware的vSphere和vCenter、Proxmox等。這些平臺可以實現資源的動態分配和最佳化利用,提高系統的靈活性和可擴充套件性。
資料湖
資料湖是一個儲存大量不同形式資料的大型儲存庫,結合資料分析可以為企業帶來額外價值。Hadoop是企業中常見的資料湖解決方案之一,而另一種本地解決方案是DataBricks。此外,還有基於雲的大資料解決方案,如Cloudera、Google BigQuery、Oracle BigData、Amazon EMR、Azure Data Lake Storage和Azure HDInsight(基於雲的Hadoop)等。
圍繞資料湖有一個完整的技術生態,提供資料攝取管道和資料分析服務。然而,資料湖也面臨著安全風險,如Hadoop的YARN服務配置錯誤可能導致惡意HTTP請求攻擊並獲得系統命令列shell。因此,需要加強對資料湖的安全管理和監控。
企業資料庫
企業資料庫是儲存和管理業務資料的重要工具。常見的SQL資料庫包括Oracle SQL、Microsoft SQL Server和MySQL等;而嵌入式SQL資料庫則包括MariaDB、PostgreSQL和SQLite等。此外,還有非SQL資料庫如MongoDB、Redis、Azure CosmosDB和AWS DynamoDB等,它們提供了不同的資料儲存和查詢方式以滿足企業的多樣化需求。
傳統儲存形式
傳統儲存形式中,共享驅動器是一種常見的資源共享方式,它允許使用者透過網路協議(如SMB/CIFS)訪問遠端伺服器上的檔案和資料夾。使用smbclient命令列工具,可以列出遠端伺服器上的共享資源,以及從共享資源中下載檔案。例如,使用smbclient -L server -U user命令可以列出指定伺服器上的共享資源,而smbclient \\\\someserver\\test -U user則可以連線到名為test的共享資源,並使用get命令下載檔案。
在Windows系統中,還存在一些預設的共享資源,如C(所有驅動器的預設共享)、ADMIN(管理共享)和IPC$(管道,用於與其他計算機互操作的特殊聯結器)。這些預設共享通常用於系統管理和維護任務。
SOC管理流程
SOC(Security Operations Center,安全運營中心)是企業資訊保安計劃的重要組成部分,它負責監控、分析和響應網路中的安全事件。為了將SOC納入企業的整體資訊保安管理體系,需要了解SOC如何適應ISMS(Information Security Management System,資訊保安管理體系)。
ISO27001標準和NIST網路安全框架是指導企業建立運營安全程式的兩個重要標準。ISO27001標準提供了一種基於控制方法的審計和認證框架,而NIST網路安全框架則更注重預防和應對網路攻擊,包括識別、保護、檢測、響應和恢復五個階段。然而,這些標準並沒有具體提出建立SOC的要求,因此每個企業安全運營的組織方法都不盡相同。
資訊保安生命週期通常包括四個階段:安全策略、能力設計、實施和運營。戴明環(PDCA)是資訊保安生命週期的早期表現,它包括計劃、做、檢查和行動四個步驟。而SABSA框架則對資訊保安生命週期進行了改進,將其劃分為戰略規劃、設計、實施和管理測量四個階段。
從滲透測試的角度來看,掌握SOC的日常操作活動是為了避免被檢測出來;而從防禦者的角度來看,掌握SOC完整的生命週期檢視可以確保其有效性。SOC的目標是透過監控和事件響應為基礎設施和操作提供安全保障。
SOC通常分為不同的層級,每個層級負責不同的任務。例如:
L1:提供監視告警、分類和解決小問題。
L2:提供對日常事件的分析、遏制和解決。
L3:負責損失控制、深入調查和取證分析等IR(Incident Response,事件響應)事件。
L4:安全管理,負責日常、非事件相關的程式,如開設賬戶、訪問授權審查、定期安全報告和其他主動安全程式。
網路殺傷鏈
網路殺傷鏈模型描述了網路攻擊的七個階段,這些階段共同構成了攻擊者從資訊收集到實現攻擊目的的完整過程。以下是網路殺傷鏈的詳細階段:
偵察(Reconnaissance): 攻擊者對目標進行資訊收集和探測,瞭解目標的網路架構、系統配置、潛在漏洞以及使用者活動等相關情況。這一階段旨在為後續攻擊做準備。
武器化(Weaponization): 根據偵察所獲取的資訊,攻擊者將惡意軟體或攻擊工具進行定製和包裝,使其能夠利用目標系統的特定漏洞。這一階段將普通的惡意軟體或工具轉化為具有攻擊性的“武器”。
投送(Delivery): 將經過武器化處理的惡意軟體或攻擊工具投送到目標系統或網路中。常見的投送方式包括透過電子郵件附件、惡意連結、受感染的移動儲存裝置等。
利用(Exploitation): 一旦投送成功,惡意軟體會利用目標系統存在的漏洞來觸發並執行惡意程式碼,從而獲取對目標系統的初步訪問許可權或控制權。
安裝(Installation): 在成功利用漏洞進入目標系統後,攻擊者會進一步在目標系統內安裝額外的惡意軟體元件,如後門程式、遠端控制工具等。這些元件允許攻擊者長期、穩定地控制目標系統。
指揮與控制(Command & Control): 安裝在目標系統內的惡意軟體會與攻擊者所控制的外部伺服器建立連線。這一連線允許攻擊者遠端對目標系統下達指令、獲取資料以及進行進一步的操控。
行動(Action): 這是網路攻擊的最後階段。攻擊者透過已經建立的指揮與控制通道,在目標系統上執行其預期的惡意活動,如竊取敏感資訊、篡改資料、發起拒絕服務攻擊等。這些活動旨在達成攻擊者的目的。
日誌收集
日誌收集是網路安全監控的基礎,它涉及從各種關鍵日誌來源收集資料。這些來源包括但不限於代理伺服器、郵件伺服器、Web伺服器、資料庫、身份認證伺服器、防火牆、路由器和交換機,以及應用程式伺服器和工作站。為了有效地收集這些日誌,需要配置日誌源以生成日誌,並將其轉發給日誌收集器,然後上傳到SIEM(安全資訊和事件管理)系統。
在Windows系統中,可以使用事件日誌收集和轉發機制來獲取日誌資料。而在Linux系統中,則通常使用syslog來收集和聚合日誌,並將其轉發到指定的日誌收集器。此外,隨著物聯網技術的發展,樓宇管理和工控網路日誌也成為了重要的日誌來源,這些系統現在通常連線到企業網路,並可能成為攻擊者的主要目標。
日誌搜尋與分析
收集到的日誌資料需要進行有效的搜尋和分析,以便及時發現潛在的安全威脅。Splunk等日誌管理工具提供了強大的日誌收集、儲存、搜尋、分析和視覺化功能。此外,SIEM系統能夠關聯日誌與活動,識別可疑內容,而Splunk也可以作為SIEM解決方案之一。
監控告警
監控告警是網路安全響應的重要組成部分。告警可以來自SIEM系統,但也可以直接來自安裝在系統和網路中的感測器實時告警系統,如IDS(入侵檢測系統)裝置。此外,事後告警系統,如AIDE(監視系統檔案的修改)等,也可以提供重要的安全資訊。在某些情況下,事件可能不會從日誌或警報中觸發,例如攻擊者更改了使用者密碼後,使用者可能會直接聯絡管理員進行通告。
事件響應
事件響應是網路安全管理的關鍵環節。L2級分析師在收到L1級的工單後,會進行分析評估,並進行相應的事件響應流程。數字取證分析是網路安全的一個專門領域,通常由L3級分析師處理。他們會對記憶體、硬碟等儲存裝置以合法方式進行取證,以保護資料的完整性。
Cyber Hunting(網路狩獵)
網路狩獵是SOC(安全運營中心)L3級分析師的一門新興學科。它假設網路已被滲透,透過主動尋找惡意軟體(或入侵者),爭取在攻擊造成損失之前發現。網路狩獵需要尋找一系列指標,以還原網路攻擊時間線。MITRE ATT&CK框架是網路威脅獵人的一個關鍵資源,它提供了攻擊者行為方式及其使用工具的資訊,有助於發現攻擊痕跡。網路威脅搜尋需要非常瞭解正常狀態,並能夠識別入侵和異常活動。
威脅情報
威脅情報是網路安全管理的重要組成部分。妥協指標(IOC)是用於識別惡意軟體或惡意活動的簽名,通常以檔名和雜湊值的形式提供。考慮到新威脅資訊的規模,手動獲取和記錄威脅情報已不再可行。因此,自動化威脅管理變得尤為重要。MITRE開發了結構化威脅資訊表達(STIX)和可信智慧資訊自動交換(TAXII)協議,以實現威脅資訊的自動提供和攝取。這些協議允許自動獲得威脅情報,並將其輸入IDS、SIEM等工具,從而實現威脅情報的近乎實時更新,以確保擊敗已知威脅。此外,AlienVault OTX等開放威脅交換服務也提供了手動訪問危害指標的功能。
安全管理
安全管理是一組確保公司業務安全的日常流程。它涵蓋了多個方面,包括身份管理(IAM)、訪問控制、特權管理(PAM)、媒體消毒、人事安全、證書管理以及遠端訪問等。IAM是任何安全程式的基礎,也是駭客攻擊的主要目標。訪問控制需要配置和驗證使用者訪問系統的許可權,並制定審計規則。PAM系統使非特權使用者能夠請求特權訪問,以提升許可權。媒體消毒涉及在生命週期結束時對敏感資料進行安全清理和銷燬。人事安全是公認的業務安全程式之一。證書管理對於維護PKI架構的完整性至關重要。而後疫情時代,遠端訪問已成為攻擊的重點,因此需要加強對其的安全管理。
零信任網路
在2010年穀歌遭受極光行動網路攻擊之後,其內部網路管理方式發生了深刻變革,並創造了“零信任”一詞,用以描述一種始終假設內部網路可能已被破壞的執行方式。這種全新的安全理念在NIST特別出版物800-207:零信任架構中得到了正式確立,並現已成為所有美國政府機構必須強制實施的安全標準。
零信任架構的核心在於其四個關鍵特徵
** 即時訪問(Just-In-Time Access, JITA):** 使用者或服務在需要時才被授予訪問許可權,且許可權具有時效性,一旦任務完成或時間過期,許可權即被收回。
只需足夠的訪問許可權(Least Privilege Access, LPA 或 JEA, Just Enough Access): 使用者或服務僅被授予完成特定任務所需的最小許可權集,以減少潛在的安全風險。
動態訪問策略: 訪問控制策略根據使用者身份、裝置狀態、位置、時間等多種因素動態調整,以適應不斷變化的安全環境。
微觀分割: 將網路劃分為多個小型的、相互隔離的安全區域,以限制攻擊者在網路內的橫向移動能力。
安全和基礎設施
在構建零信任網路的同時,還需關注以下安全和基礎設施方面的要素
資料備份/恢復: 作為重要的運營技術,資料備份在發生災難或攻擊事件時,是恢復業務連續性和資料完整性的關鍵安全資產。
變更管理: 安全策略需要與系統的變化過程緊密關聯,確保在提交變更前已充分評估風險,並制定詳細的變更管理計劃,包括推出計劃、回滾計劃、影響評估和依賴關係清單。
管理物理環境: 資料中心環境的物理和電子安全同樣重要,包括物理訪問控制、機房環境監控(如功率、溫度、氣壓等)。
事件響應
有效的事件響應機制是零信任網路不可或缺的一部分。事件管理生命週期通常包括以下幾個階段
準備: 瞭解系統及現有控制措施,透過培訓和演練提高組織的應急響應能力。
響應: 識別安全事件、進行調查、採取行動以響應事件並恢復業務服務。
後續: 事後進一步調查、形成報告、總結經驗教訓,並據此改進安全流程和策略。
SABSA多層控制策略
SABSA(Sherwood Applied Business Security Architecture)多層控制策略提供了一種全面的安全框架,包括威懾、預防、遏制、檢測和通知恢復等多個層次的控制措施。
管理事件響應的方法
NIST特別出版物800-61: 電腦保安事件處理指南提供了一種標準化的事件響應方法,包括檢測和分析、遏制、根除和恢復以及事件後活動等階段。此外,PDCA(Plan-Do-Check-Act)迴圈也被廣泛應用於事件響應生命週期的最佳化和持續改進中。
應急響應準備
在構建全面的應急響應體系時,我們需要從多個維度進行準備,包括但不限於風險評估、威脅分析、人員、流程和技術配置,以及持續的控制和成熟度評估。
一、風險評估與威脅分析
風險評估: 深入瞭解組織的技術資產、系統和資料,並明確它們對業務的重要性,從而確定關鍵保護物件。
威脅分析: 透過策略、技術和實踐來識別潛在的風險點,並據此制定和實施相應的控制措施。
二、人員、流程和技術
建立團隊: 組建專業的應急響應團隊,明確各成員的角色和責任。
配備工具: 為團隊提供必要的應急響應工具和裝置,如日誌分析工具、網路掃描器等。
制定流程劇本: 針對不同型別的安全事件,制定詳細的應急響應流程和劇本。
演練: 定期進行應急響應演練,以提升團隊的實戰能力和協同效率。
三、控制
響應手冊: 編制應急響應手冊,明確在不同安全事件發生時應執行的標準操作程式。
事前流程規避: 透過制定和執行嚴格的安全政策和流程,儘可能減少安全事件的發生。
事中資料支援: 在事件發生時,提供必要的資料支援和分析工具,幫助團隊快速定位問題。
事後備份恢復: 確保有可靠的資料備份和恢復機制,以便在事件發生後能夠迅速恢復業務。
四、成熟度評估
CREST成熟度評估工具: 利用CREST提供的成熟度評估工具,對組織的應急響應能力進行持續評估和改進。
流程培訓+實踐技能培訓: 結合理論培訓和實踐技能培訓,提升團隊的整體應急響應水平。
五、應急響應手冊概述
該手冊詳細規定了在不同安全事件發生時應執行的標準操作程式,涵蓋了掃描、託管威脅、入侵、可用性、資訊、欺詐、惡意內容、惡意軟體檢測、技術誠信和盜竊等多個安全事件類別。每個類別下都包含了具體的應急處理流程和操作規範。
六、演練與溝通
演練: 透過紅藍對抗等模擬真實攻擊場景的方式,鍛鍊團隊的應急響應能力,並驗證應急計劃的有效性。
溝通: 在應急響應過程中,及時、充分、準確的資訊溝通至關重要。溝通物件包括內部員工、外部合作伙伴、客戶、媒體和政府等。
七、事件檢測與響應
事件上報: 一旦發現安全事件,立即進行上報。
系統監控與檢查日誌告警: 利用系統監控工具和日誌分析技術,及時發現並響應安全事件。
確定事件級別: 根據事件的嚴重程度和影響範圍,確定事件的級別。
調查事件: 對事件進行深入調查,包括溯源取證等。
採取遏制措施: 根據調查結果,採取必要的遏制措施,防止事件進一步擴大。
八、報告與總結
編寫應急響應報告: 詳細記錄事件的經過、處理過程和結果,以及後續的調查計劃和改進建議。
經驗總結與改進建議: 對事件處理過程中的經驗和教訓進行總結,並提出針對性的改進建議。
九、入侵檢測與防禦
Snort: 利用Snort等入侵檢測和防禦系統,對網路流量進行實時監控和分析,及時發現並阻止網路威脅。
流量分析: 透過流量分析技術,發現惡意流量,並採取相應的告警和阻止措施。
IDS與IPS: 根據實際需求,選擇合適的部署方式(帶外監視或串聯部署),以實現更高效的入侵檢測和防禦。
十、安裝依賴包與配置Snort
安裝DAQ資料採集庫: 為Snort提供必要的資料採集支援。
安裝記憶體分配器: 確保Snort在執行過程中有足夠的記憶體資源。
安裝配置Snort3: 根據實際需求,安裝並配置Snort3,包括自定義規則等。
自定義規則示例: 如針對發往特定系統或子網中IP地址的任何流量發出警報等。
一、檔案管理概述(Snort規則配置)
在網路安全監控中,Snort等工具的規則配置是關鍵。規則定義瞭如何檢測和處理網路流量,並觸發相應的告警。這些規則包含多個欄位,每個欄位都扮演著特定的角色,共同確保網路活動的準確監控。
二、Snort規則配置欄位詳細描述
alert
含義: 指示這是一個告警規則。當流量匹配規則時,Snort將生成告警。
示例:
alert icmp any any -> $HOME_NET any (msg"Test Ping Event"; ...)
icmp/tcp/udp
含義: 指定要監控的協議型別(如ICMP、TCP、UDP)。
示例: alert icmp ... 或 alert tcp ...
any
作為源/目標IP或CIDR: 表示任意IP地址。
作為源/目標埠: 表示任意埠。
示例: any any(任意源IP和埠)
< >(方向運算子)
含義: 指示流量的方向。
示例: -> 表示從源到目標的流量。
$HOME_NET
含義: 在Snort配置中定義的本地網路。
示例: $HOME_NET 替代具體的IP範圍。
msg
含義: 告警的描述性名稱。
示例: msg"Test Ping Event"
sid
含義: 規則的唯一簽名ID。
示例: sid:1000001
rev
含義: 規則的版本號,用於跟蹤更新。
示例: rev:1
classtype
含義: 告警的分類型別。
示例: classtype:icmp-event
content
含義: 在流量中查詢的特定內容。
示例: content:"Login incorrect"
三、本地賬號與Snort條件子句概述
Snort可透過設定條件子句來監控本地賬號相關活動,如失敗的登入嘗試。當滿足條件時,觸發告警或執行其他操作。
四、具體Snort條件子句示例及解釋
示例: 檢查失敗的telnet登入嘗試
規則語句:
alert tcp $HOME_NET 23 -> any any (msg:"Failed login attempt"; content:"Login incorrect"; sid:1000002; rev:1; classtype:attempted-user;)
** 詳細解釋**
協議及源目標設定
alert tcp: 針對TCP協議的告警。
$HOME_NET 23: 源網路為本地網路,埠為23(Telnet)。
-> any any: 流量流向任意目標IP和埠。
告警資訊及分類相關
msg:"Failed login attempt": 告警名稱為“Failed login attempt”。
content:"Login incorrect": 流量中需包含“Login incorrect”字串。
sid:1000002: 規則的唯一簽名ID為1000002。
rev:1: 規則版本號為1。
classtype:attempted-user: 告警分類為“attempted-user”。
五、外部規則集
相關網址
Proofpoint: 可能提供網路安全規則和建議。
Emerging Threats: 提供新興威脅相關的規則集。
六、In Line部署及阻斷操作
In Line部署: Snort直接介入網路流量路徑,實現實時處理。
阻斷操作
D drop: 丟棄符合特定條件的流量。
sdrop: 類似D drop,但具體實現可能有所不同。
reject: 拒絕流量併傳送拒絕響應給源端。
七、總結
透過綜合運用Snort的規則配置、外部規則集以及In Line部署和阻斷操作,可以實現對網路活動的全面、有效監控和安全防護。這要求管理員深入理解Snort的配置欄位和條件子句,並能夠根據實際情況靈活設定和調整規則,以確保網路的安全性和穩定性。
企業網路架構相關
CIO(Chief Information Officer):資訊長。
CTO(Chief Technology Officer):技術長。
CISO(Chief Information Security Officer):首席資訊保安官。
CFO(Chief Financial Officer):首席財務官。
CRO(Chief Risk Officer):首席風險官。
BYOD(Bring Your Own Device):自帶裝置。
ITIL(Information Technology Infrastructure Library):資訊科技基礎設施庫。
DMZ(Demilitarized Zone):非軍事區。
VPN(Virtual Private Network):虛擬專用網路。
SOC(Security Operations Center):安全運營中心。
ISMS(Information Security Management System):資訊保安管理體系。
ISM3(Information Security Management Maturity Model):資訊保安管理成熟度模型。
LDAP(Lightweight Directory Access Protocol):輕量級目錄訪問協議。
AD(Active Directory):活動目錄。
SAN(Storage Area Network):儲存區域網路。
NAS(Network Attached Storage):網路附加儲存。
SoL(Serial over LAN):序列區域網協議。
VMware:威睿(一家提供虛擬化和雲端計算軟體及服務的公司)。
vSphere:威睿公司的一款虛擬化平臺產品。
vCenter:威睿公司用於管理 vSphere 環境的軟體。
Proxmox:一種開源的伺服器虛擬化管理平臺。
Hadoop:一個分散式系統基礎架構,用於大資料處理。
DataBricks:一家提供資料處理和分析平臺的公司。
Cloudera:一家大資料軟體公司,提供基於 Hadoop 的大資料解決方案等。
Google BigQuery:谷歌公司的大資料分析服務。
Oracle BigData:甲骨文公司的大資料相關產品或服務。
Amazon EMR(Elastic MapReduce):亞馬遜公司的大資料處理服務,基於 Hadoop 等開源技術。
Azure Data Lake Storage:微軟 Azure 雲平臺提供的用於儲存大資料的資料湖儲存服務。
Azure HDInsight:微軟 Azure 雲平臺基於 Hadoop 的大資料分析服務。
MongoDB:一種非關係型資料庫(NoSQL 資料庫)。
Redis:一種開源的記憶體資料結構儲存系統,常用於快取、訊息佇列等場景,也可作為資料庫使用,屬於非 SQL 資料庫範疇。
Azure CosmosDB:微軟 Azure 雲平臺提供的全球分散式資料庫服務,支援多種資料模型,屬於非 SQL 資料庫。
AWS DynamoDB:亞馬遜網路服務(AWS)提供的快速、靈活的非關係型資料庫服務,屬於非 SQL 資料庫。
SQLite:一種輕型的嵌入式資料庫引擎,常用於移動裝置、嵌入式系統等場景,屬於嵌入式 SQL 資料庫。
MariaDB:一個開源的關係型資料庫管理系統,是 MySQL 的一個分支,屬於嵌入式 SQL 資料庫。
PostgreSQL:一種強大的開源關係型資料庫管理系統,屬於嵌入式 SQL 資料庫。
Oracle SQL:甲骨文公司的 SQL 資料庫產品,如 Oracle Database 中的 SQL 相關功能。
Microsoft SQL Server:微軟公司的關係型資料庫管理系統,屬於 SQL 資料庫。
MySQL:一個開源的關係型資料庫管理系統,廣泛應用於各種應用場景,屬於 SQL 資料庫。
SMB/CIFS(Server Message Block/Common Internet File System):伺服器訊息塊 / 通用網際網路檔案系統,是一種網路檔案共享協議,用於在網路上的計算機之間共享檔案、印表機等資源。
IPC(Inter-Process Communication):程序間通訊。
SABSA(Sherwood Applied Business Security Architecture):舍伍德應用商業安全架構。
CREST(Council of Registered Ethical Security Testers):註冊道德安全測試員委員會(一個提供相關安全測試和評估標準、培訓等的組織)。
網路攻擊與防禦相關
Cyber Hunting:網路狩獵。
MITRE ATT&CK(MITRE Adversarial Tactics, Techniques, and Common Knowledge):美國麻省理工學院研究機構(MITRE)開發的一個對抗戰術、技術和通用知識框架,用於描述網路攻擊者的行為方式及其使用的工具等資訊,幫助安全人員發現攻擊痕跡和進行防禦規劃。
IOC(Indicator of Compromise):妥協指標,用於識別惡意軟體或惡意活動的特徵標記,通常以檔名和雜湊值等形式呈現。
STIX(Structured Threat Information Expression):結構化威脅資訊表達,一種用於描述網路威脅情報的標準格式,便於不同系統之間共享和處理威脅資訊。
TAXII(Trusted Automated Exchange of Intelligence Information):可信智慧資訊自動交換,一種用於在不同組織或系統之間自動交換威脅情報的協議,常與 STIX 配合使用,實現威脅情報的自動提供和攝取。
AlienVault OTX(AlienVault Open Threat Exchange):AlienVault 公司提供的開放威脅交換服務,允許使用者獲取和共享網路威脅情報。
Snort:一款開源的網路入侵檢測和防禦系統,用於實時監控和分析網路流量,及時發現並阻止網路威脅。
DAQ(Data Acquisition):資料採集
IDS(Intrusion Detection System):入侵檢測系統,用於監測網路中的入侵行為併發出告警,但一般不直接阻斷入侵行為。
IPS(Intrusion Prevention System):入侵防禦系統,不僅能檢測入侵行為,還能在發現異常時立即採取阻斷等防禦措施,防止入侵行為的發生。
AIDE(Advanced Intrusion Detection Environment):高階入侵檢測環境,一種主要用於監視系統檔案修改情況的事後告警系統,當發現檔案被修改時會發出告警資訊,幫助追溯可能發生的安全事件。
其他
PDCA(Plan-Do-Check-Act):計劃、執行、檢查、處理(一種質量管理方法,也常用於資訊保安生命週期等的管理過程描述)。
JITA(Just-In-Time Access):即時訪問,零信任網路架構中的一個關鍵特徵,指使用者或服務在需要時才被授予訪問許可權,且許可權具有時效性,一旦任務完成或時間過期,許可權即被收回。
LPA(Least Privilege Access)或 JEA(Just Enough Access):最小許可權訪問或剛好足夠訪問,零信任網路架構中的關鍵特徵,指使用者或服務僅被授予完成特定任務所需的最小許可權集,以減少潛在的安全風險。