BlueTeam安全建设

安全建设

---

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

---

大纲

• 安防措施

  • 蜜罐
  • RASP
  • IDS & IPS
  • WAF
  • 反制手段
  • 篡改监测
  • SOC

• 业务层面

  • 认证
    • 端口敲门
  • 加密
  • 加固

• 数据安全

• 云安全

• 解决方案

  • ZTA

---

相关文章

• 蓝队的自我修养之事中监控 | HVV经验分享
• 网络安全对抗中蓝方防护技巧秘籍
• 企业安全应急响应中心建设理论与实践
• 一个人的“安全部” - FreeBuf互联网安全新媒体平台
• “一个人”的互金企业安全建设总结
• “一个人”的互金企业安全建设总结续篇
• 一个人的安全部之大话企业数据安全保护
• 一个人的安全部之企业信息安全建设规划
• 如何安全的存储用户的密码
• 经验分享 | 企业如何做好安全基线配置
• 生日、姓名和双相安全性:了解中国网络用户的密码
• 我所认知的甲方信息安全建设经验
• 【君哥访谈】谭晓生：论CISO的个人修养
• 银行业安全运营平台的建设与思考
• 实录 | kEvin1986：浅谈风控安全
• JS逆向|某行业大佬对坑风控的一些经验总结
• 攻击推理，一文了解“离地攻击”的攻与防

---

安防措施

蜜罐

简介

蜜罐技术本质上是一种对攻击方进行 欺骗的技术，通过布置一些作为 诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。

相关文章

• 工业控制系统蜜罐的初步介绍
• 精确判断网站访问者是否是黑客的方法
• Redis未授权漏洞蜜罐模拟与捕获分析
• 反-反蜜罐：以三个反蜜罐插件的缺陷为例

蜜罐数据

• http://www.nothink.org/

各类蜜罐

• paralax/awesome-honeypots - awesome 系列蜜罐资源列表
• mushorg/Conpot - 一个开源的 ICS/SCADA 蜜罐系统
  • Conpot搭建过程记录
• hacklcx/HFish - 一款基于 Golang 开发的跨平台多功能主动诱导型开源蜜罐框架系统
  • HFish搭建过程记录

检测技术

• TomAPU/checkburp

网络协议生成器

• fofapro/fapro - 免费、跨平台、单文件部署的网络协议服务端模拟器

  fapro genConfig > fapro.json
  fapro run -v -l :9090
  

RASP

相关文章

• 浅谈RASP技术攻防之基础篇
• RASP技术分析

产品

• openrasp - 百度开源的 RASP 解决方案
• Prevoty - imperva 的 RASP 方案

---

IDS & IPS

相关文章

• IDS 和 IPS 的部署细节科普
• 入侵检测术语全接触
• 流量分析在安全攻防上的探索实践
• Snort VS Suricata

相关工具

• snort - 开源的 IPS 产品,效果不错
  • snort 笔记
• Suricata - 免费开源 IDS，IPS 和 NSM 引擎。
  • Suricata 笔记
• Security Onion - 一款专为入侵检测和 NSM(网络安全监控)设计的 Linux 发行版。其安装过程很简单，在短时间内就可以部署一套完整的 NSM 收集、检测和分析的套件。
  • 相关文章:
    • 快速安装可视化IDS系统Security Onion
    • 入侵检测系统security onion
    • Security Onion介绍
• kitabisa/teler - Real-time HTTP Intrusion Detection
• stratosphereips/StratosphereLinuxIPS - Slips, a free software behavioral Python intrusion prevention system (IDS/IPS) that uses machine learning to detect malicious behaviors in the network traffic

规则库

• ptresearch/AttackDetection - 常见 cve 漏洞的规则库
• digitalbond/Quickdraw-Snort - 针对 ICS 和 ICS 协议的 IDS/IPS 规则
• suricata-rules/suricata-rules - 此项目记录安全运营人员提取的高质量 Suricata IDS 规则
• jasonish/suricata-trafficid
• Index of /open/suricata/rules - Emerging Threats 维护的规则
• codecat007/snort-rules - 一个非正式的 Snort 规则（IDS 规则）仓库。
• sudohyak/suricata-rules
• al0ne/suricata-rules - Suricata IDS rules 用来检测红队渗透/恶意行为等，支持检测 CobaltStrike/MSF/Empire/DNS隧道/Weevely/菜刀/冰蝎/挖矿/反弹shell/ICMP隧道等
• ainrm/cobaltstrike-suricata-rules - 检测 cobaltstrike 的 suricata-ids 规则

---

HIDS & EDR

相关文章

• 终端入侵检测及防御规避之旅

相关工具

• bytedance/Elkeid - Elkeid 是一个云原生的基于主机的安全(入侵检测与风险识别)解决方案。
  • 404星链计划 | 抗击黑客：如何利用Elkeid构建入侵检测能力

---

沙箱

相关工具

• cuckoosandbox/cuckoo - Cuckoo Sandbox is an automated dynamic malware analysis system

---

WAF

相关文章

• WAF 产品的探索
• 自研WAF之路——如何把Web流量转给WAF
• WAF介绍及误报漏报挖掘姿势

开源waf

• ModSecurity
  • ModSecurity-nginx
  • ModSecurity笔记
• wallarm/api-firewall - Fast and light-weight API proxy firewall for request and response validation by OpenAPI specs.
• nbs-system/naxsi

waf测试

• Test and evaluate your WAF before hackers
  • wallarm/gotestwaf - An open-source project in Golang to test different web application firewalls (WAF) for detection logic and bypasses

---

反制手段

相关文章

• 端内钓鱼，反制蚁剑
• 闲来无事，反制GOBY
• 反序列化小子捕获器-反制ysoserial
• 渗透测试工具 OWASP ZAP 的 RCE 反制

基于 TLS 指纹

• SSL 指纹识别和绕过
• 更多内容参考 SSL
• 红队绕过手段
  • 找源ip绕过安全设备访问
  • 替换使用的网络请求库 (例如:request换为aiohttp)
  • 通过代理进行访问
  • 修改使用的网络请求库的tls特征

反制扫描工具

• alexzorin/cve-2021-34558

污染扫描结果

• zema1/yarx - 一个自动化根据 xray poc 生成对应 server 的工具
  • 反制终局：最后的拼图Xray

mysql反制

• Gifts/Rogue-MySql-Server
• BeichenDream/MysqlT - 伪造 Myslq 服务端, 并利用 Mysql 逻辑漏洞来获取客户端的任意文件反击攻击者

钓鱼反制

• CC11001100/idea-project-fish-exploit - JetBrains系列产品 .idea 钓鱼反制红队
• wendell1224/ide-honeypot - 一款针对于 IDE 的反制蜜罐

Burp Suite反制

• Burp Suite反制

CobaltStrike反制

• CobaltStrike反制

---

篡改监测

相关工具

• rabbitmask/Libra - 网站篡改、暗链、死链监测平台

---

SOC

相关文章

• 小甲方“零经费”如何建设自己的安全运营平台

---

业务安全

认证

相关文章

• 这45个账号安全风险，你check了吗？

端口敲门

JS 钥匙

• EtherDream/js-port-knocking - Web 端口敲门的奇思妙想

ping 钥匙

• 使用 ping 钥匙临时开启 SSH:22 端口,实现远程安全 SSH 登录管理就这么简单

加密

相关文章

• 企业安全建设-磁盘加密

加固

• 加固

---

数据安全

相关文章

• 讲一讲数据安全，如何有效预防脱库
• 讲一讲加密数据如何进行模糊查询
• 密文字段检索方案
• 初探数据安全防泄漏开源工具——OpenDLP
• Google数据安全自动化建设之路（白皮书）

---

云安全

相关文章

• 绿盟科技云安全纲领（上）
• 绿盟科技云安全纲领（中）
• 绿盟科技云安全纲领（下）

---

解决方案

零信任

零信任架构

相关文章

• 基于零信任的精益信任安全访问架构平台
• 奇安信：零信任安全解决方案在部委大数据中心的实践案例
• 绿盟科技零信任安全解决方案
• 浅谈Forrester零信任架构评估的7个技术维度
• Illumio六部曲 | 微分段有效性实战评估
• 零信任（一）简史与 BeyondCorp
• 零信任（二）NIST 架构与思考总结
• 零信任实践分享

相关资源

• 零信任技术 - 中国信息通信研究院

BeyondCorp

BeyondCorp 是 Google 内部的零信任安全模型，旨在让每个员工都能在不借助 VPN 的情况下通过不受信任的网络工作。作为目前实现零信任落地最全面的企业,其方案是最具有参考价值的。

• BeyondCorp: A New Approach to Enterprise Security
  • 翻译 : Google BeyondCorp系列论文(一)：一种新的企业安全方法
• BeyondCorp: Design to Deployment at Google
  • 翻译 : Google BeyondCorp系列论文(二)：BeyondCorp从设计到部署
• BeyondCorp: The Access Proxy
  • 翻译 : Google BeyondCorp系列论文(三)：BeyondCorp访问代理
• Migrating to BeyondCorp: Maintaining Productivity While Improving Security
  • 翻译 : Google BeyondCorp系列论文(四)：迁移到BeyondCorp
• BeyondCorp: The User Experience
  • 翻译 : Google BeyondCorp系列论文(五)：用户体验
• BeyondCorp 6: Building a Healthy Fleet
  • 翻译 : Google BeyondCorp系列论文(六)：构建健康的机群

完美世界 2020 零信任建设相关

• 零信任架构实战系列：无密码化方案落地
• 零信任架构实战系列：使用零信任远程办公
• 零信任架构实战系列：如何选择零信任架构

点击关注，共同学习！
安全狗的自我修养

github haidragon

https://github.com/haidragon