安全理念
- IT風險安全 資訊保安 標準:ISO27001
- 雲安全ISO27017 隱私安全ISO27018
- 生產網安全(DevSecOps)
- 業務開發(Dev) 運維(Ops)階段
- 業界理念最佳實踐 阿里:安全融入體系設計、自動化監控與響應、紅藍對抗與持續改進
安全架構理論
-
P2DR模型
策略保護檢測響應
-
IPDRR模型
-
IATF核心思想是縱深防禦戰略
-
CGS框架 強調4大功能:治理,保護,檢測,響應與恢復
-
ASA 自適應安全架構 :組織檢測響應與預測。主要體現在預測這一部分,藉助如UEBA來分析學習
-
iACD 整合式自適應網路防禦: 基本思想是通過soar來實現整合式的自適應安全架構
-
網路韌性架構
大型安全體系建設指南
-
初期實施快速消減策略。
一:清理webshell,
二:部署統一管理的EDR安全產品,生產環境下統一使用堡壘機進行審計管理。
三:通過弱口令掃描器檢測公司員工賬號和內網所有涉及密碼的服務系統。
-
iso27001規定資訊保安管理體系的要求,iso27002提高實踐指導
-
BSiMM由軟體安全架構,軟體安全小組,軟體安全計劃組成。
-
BSIMM之於軟體安全,ISO27001之於資訊保安
威脅情報
- GOSINT威脅情報收集處理框架,藉助官方API收集威脅情報
- Spiderfoot 自動收集各種威脅情報資訊。
- 查詢綜合性威脅情報比較好的工具有IBM X-Forcee Exchange
- 惡意檔案url 有VirusTotal
- CMDB統計生產環境用到的各種元件
- 運維配置不當而導師制的安全問題:如ELasticsearch的預設設定為無須登入便可直接訪問資料庫
- 主機安全問題:OpenSCAP一款安全合規與漏洞評估軟體
- HTCAP掃描器
todo:
- 學習一下威脅情報開源工具原始碼
入侵感知
-
安全異常發現既需要機器學習也不需要機器學習,原因在於 異常資料在整體業務中是十分少的,整體資料都拿來訓練會出現很大的偏差。同時在流量上異常通過可以藉助規則發現。
-
NTA技術(網路流量分析)主要監控網路流量的安全攻擊,開源系統:Apache Spot(使用了大資料和無監督學習技術Hadoop Spark) Stream4Flow基於Spark的大資料流量分析系統。 Netcap使用機器學習進行流量分析的論文專案
-
藉助Snort或Suricata的檢測能力,結合大資料分析和威脅情報建立自己的NTA系統。
-
HIDS:Windows系統可以選擇Sysmon,它可以記錄WMI事件,記錄到Windows事件日誌中。Linux系統藉助OSSEC。筆者推薦使用OSquery開源開發,提供linux下反彈shell等多種檢測的規則(唯一缺陷,osquery工作在應用層,無法對抗核心層Rootkit)。
-
Linux下程式監控:1,在應用層通過id.so.preload劫持glibc的execve函式來實現 2、在應用層通過linux提供的Process events Connector相關呼叫來實現,3、應用層通過Linux Audit提供的介面來實現。4、在核心層通過Tracepoint、eBPF或Kprobe來實現。5、核心層通過Hook Linux Syscall的execve函式指標或LSM架構提供的api來實現
-
linux下的audit可以在核心層監控所有的syscall系統呼叫
-
欺騙技術通常以高互動式蜜罐為主,產品有Honeytrap,Go語言開發的
主動防禦
- 縱深防禦架構:HIPS、WAF、RASP、資料庫防火牆等
- SQL隱碼攻擊語義引擎Libinjection、libdetcetion
- 騰訊雲WAF採用了HMM+SVM結合方法,HMM用作異常分析,SVM用來做為威脅識別。
- 要保護的網站可以通過域名A記錄或者使用cname將ip指向各地雲WAF叢集IP,經過雲WAF過濾後通過反向代理模式把Web流量轉發給使用者的Web伺服器。
- 抗ddos應該採用三層防禦,第一層前端藉助anycast路由協議進行ip的跨地域排程,第二層通過硬體或軟體的專用DDOS防護裝置。第三層在WAF上應用層HTTP DDOS防護。
- 資料庫防火牆是Web安全縱深防禦的最後一環
todo:
- 瞭解java的rasp