《企业安全建设》读书笔记
WAF相关
传统WAF不足
- 防护能力不足以应对黑产
- 缺乏有效的基础业务安全防护能力
- 审计能力不足
WAF部署模式
- 透明模式
- 反向代理
- 主机部署
基于Nginx+Lua的WAF
可以把lua理解成一个进程,贯穿整个Nginx服务的HTTP保温处理的流程中,可以针对HTT报文的任何字段进行处理。
lua处理流程
分布式WAF架构
LVS架构
WAF日志处理
如果有实时检索原始日志的需求,可以引入Elasticsearch。这部分最基础的功能包括:
● 统计实时拦截报表;
● 统计实时访问PV/UV;
● 离线分析小时/天/周/月的PV/UV;
● 离线分析小时/天/周/月的拦截报表;
● 离线保存原始日志。
加分功能是:
● 运行HMM分析漏报;
● 统计实时访问PV/UV;
● 离线分析小时/天/周/月的PV/UV;
● 离线分析小时/天/周/月的拦截报表;
● 离线保存原始日志。
加分功能是:
● 运行HMM分析漏报;
● 运行语义分析漏报。
安全区域划分
安全域划分为,办公区、业务区、外网、办公服务区、开发测试服务区。
传统安全域划分
大中型互联网安全域
主机层面加固
● 禁止root登录。
● vi /etc/ssh/sshd_config。
● PermitRootLogin no。
● vi /etc/ssh/sshd_config。
● PermitRootLogin no。
● 禁用LKM。
● 开启ASLR
主机安全资产
搜集主机级资产数据主要是达到以下两个目的:
● 事中的入侵检测;
● 事中的入侵检测;
● 事后的审计与事故排查。
osquery是Facebook开源的一款基于SQL的操作系统检测和监控框架,目前它只实现了本地的数据搜集以及SQL交互式查询,没有实现数据的统一上传和集中存储分析,所以我们可以基于它来开发。
威胁情报与soc联动
API网关kong
使用Kong以后,各个接口可以只专注于自己的业务实现,通用的缓存、日志记录等功能,尤其是和安全相关的认证、授权、限速都由Kong来实现。
Nebule开源风控系统
Nebula由业务层、运营管控层、数据输出层、数据计算层和数据源层组成
用户将数据发送给数据采集模块,数据采集模块再传送给风险评估模块,风险评估模块完成提取风险分数与用户画像后,再传递给管理模块,用于配置自动化处理规则。
蜜罐
- Web服务蜜罐Glastopf
- SSH服务蜜罐Kippo
- Elastcisearch服务蜜罐Elasticpot
- RDP服务蜜罐rdpy-rdphoneypot
- 主动欺骗型蜜罐Beeswarm
蜜罐通常可以作为一类数据搜集器扩展SOC的数据源,蜜罐本身既可以产生相对高质量的报警,同时也可以作为原始数据源提供给SOC, SOC通过关联分析多数据源后会做出更全面精准的判断
自建蜜罐系统
MHN全称为Modern Honey Network,它集成了多种蜜罐统一管理,并且集成了SNORT
与splunk集成
办公网入侵
黑客并不直接攻击企业的员工,而是通过分析该企业员工的网络访问规律,总结出该企业员工经常访问的网站,然后通过入侵该网站,在网站上部署恶意附件、恶意脚本等,被动等待员工中招,然后再通过中招的员工主机进行下一步渗透,整个过程如图7-21所示,这种攻击形式也叫做水坑攻击
简单而言,态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落实
web扫描器实践中的不足
1)对API服务支持差
2)爬虫能力偏弱
3)自动化能力弱
4)缺乏基础的业务安全检测能力
5)信息孤岛难以融入安全体系
入侵检测系统
常见分析技术
基于双向报文规则检测
基于时序分析
基于语义
基于沙箱
基于机器学习
入侵检测ossec
● 日志分析。通过分析日志,发现异常行为。
● 文件完整性检查。监控操作系统中关键文件的修改情况,及时发现篡改行为。
● RootKit检测。检测Linux系统常见的RootKit行为。
● 文件完整性检查。监控操作系统中关键文件的修改情况,及时发现篡改行为。
● RootKit检测。检测Linux系统常见的RootKit行为。
● 动态响应。根据日志分析、文件完整性检测或者RootKit检测的结果,进行动态响应,包括但不限于防火墙封禁、账户禁用等
数据库安全
● 数据库防火墙,用于直接阻断基于数据库协议的攻击行为。
● 数据库审计,审计数据库的操作行为,发现针对数据库的入侵行为以及违规操作。
● 数据库运维平台,提供给数据库管理员管理数据库的平台,使管理员无法直接接触数据库服务器,全面控制、审计管理员的操作行为。
● 数据库脱敏,针对流出数据库的敏感数据进行脱敏处理。
● 数据库审计,审计数据库的操作行为,发现针对数据库的入侵行为以及违规操作。
● 数据库运维平台,提供给数据库管理员管理数据库的平台,使管理员无法直接接触数据库服务器,全面控制、审计管理员的操作行为。
● 数据库脱敏,针对流出数据库的敏感数据进行脱敏处理。
● 数据库漏洞扫描,扫描数据库常见漏洞。
mysql-audit mysql插件形式
mysql sniffer 基于MySQL协议的抓包工具,实时抓取请求,并格式化输出。
不需要更改网络结构,最关键的是,不影响数据库服务器性能,不用数据库管理员安装监控软件。
DBProxy DBProxy作为中间层转发来自Web服务器的数据库请求到后端数据库服务器,并且把数据库查询请求再转发给对应的Web服务器。
数据防泄露
与IDS不同的是,DLP关注的不是攻击签名而是用户定义的核心数据