《企业安全建设》读书笔记
WAF相关
传统WAF不足
- 防护能力不足以应对黑产
- 缺乏有效的基础业务安全防护能力
- 审计能力不足
WAF部署模式
- 透明模式
- 反向代理
- 主机部署
基于Nginx+Lua的WAF
可以把lua理解成一个进程,贯穿整个Nginx服务的HTTP保温处理的流程中,可以针对HTT报文的任何字段进行处理。
lua处理流程
![](https://app.yinxiang.com/shard/s58/res/08e46cd1-b860-4f0d-966e-a041ed3a90b7/%E5%9B%BE%E7%89%87.jpg)
![](https://app.yinxiang.com/shard/s58/res/96a90679-3bb3-479d-90a4-0dde8d75df51/%E5%9B%BE%E7%89%87.jpg)
分布式WAF架构
![](https://app.yinxiang.com/shard/s58/res/68f075e2-8e4b-41c6-9523-91d9a680cd71/%E5%9B%BE%E7%89%87.jpg)
LVS架构
![](https://app.yinxiang.com/shard/s58/res/77307523-be99-4995-b73f-33736f37f1ab/%E5%9B%BE%E7%89%87.jpg)
WAF日志处理
![](https://app.yinxiang.com/shard/s58/res/dda8ec69-cfa0-4e3b-8f47-a81528f54540/%E5%9B%BE%E7%89%87.jpg)
如果有实时检索原始日志的需求,可以引入Elasticsearch。这部分最基础的功能包括:
● 统计实时拦截报表;
● 统计实时访问PV/UV;
● 离线分析小时/天/周/月的PV/UV;
● 离线分析小时/天/周/月的拦截报表;
● 离线保存原始日志。
加分功能是:
● 运行HMM分析漏报;
● 统计实时访问PV/UV;
● 离线分析小时/天/周/月的PV/UV;
● 离线分析小时/天/周/月的拦截报表;
● 离线保存原始日志。
加分功能是:
● 运行HMM分析漏报;
● 运行语义分析漏报。
安全区域划分
安全域划分为,办公区、业务区、外网、办公服务区、开发测试服务区。
传统安全域划分
![](https://app.yinxiang.com/shard/s58/res/255bfb81-d1b8-42ec-9169-6076281d99d2/%E5%9B%BE%E7%89%87.jpg)
大中型互联网安全域
![](https://app.yinxiang.com/shard/s58/res/16f0c0f4-c201-4d62-a7a9-40a1cffbb4a0/%E5%9B%BE%E7%89%87.jpg)
主机层面加固
● 禁止root登录。
● vi /etc/ssh/sshd_config。
● PermitRootLogin no。
● vi /etc/ssh/sshd_config。
● PermitRootLogin no。
● 禁用LKM。
● 开启ASLR
主机安全资产
搜集主机级资产数据主要是达到以下两个目的:
● 事中的入侵检测;
● 事中的入侵检测;
● 事后的审计与事故排查。
osquery是Facebook开源的一款基于SQL的操作系统检测和监控框架,目前它只实现了本地的数据搜集以及SQL交互式查询,没有实现数据的统一上传和集中存储分析,所以我们可以基于它来开发。
![](https://app.yinxiang.com/shard/s58/res/ed2f0bcb-aaee-4969-ab3e-65e2e5151486/%E5%9B%BE%E7%89%87.jpg)
![](https://app.yinxiang.com/shard/s58/res/678533b0-9293-4c7e-8ce9-97fda60a4d59/%E5%9B%BE%E7%89%87.jpg)
威胁情报与soc联动
![](https://app.yinxiang.com/shard/s58/res/c57d1ce1-a5b7-4a73-bf14-661ad7f9ff18/%E5%9B%BE%E7%89%87.jpg)
API网关kong
使用Kong以后,各个接口可以只专注于自己的业务实现,通用的缓存、日志记录等功能,尤其是和安全相关的认证、授权、限速都由Kong来实现。
![](https://app.yinxiang.com/shard/s58/res/aa8c3436-d912-489d-b203-51c062f66912/%E5%9B%BE%E7%89%87.jpg)
Nebule开源风控系统
Nebula由业务层、运营管控层、数据输出层、数据计算层和数据源层组成
![](https://app.yinxiang.com/shard/s58/res/daa44326-3625-4eca-8755-2d37ef37ab23/%E5%9B%BE%E7%89%87.jpg)
用户将数据发送给数据采集模块,数据采集模块再传送给风险评估模块,风险评估模块完成提取风险分数与用户画像后,再传递给管理模块,用于配置自动化处理规则。
![](https://app.yinxiang.com/shard/s58/res/fb5567c0-7811-498d-b02c-fb44498c58fb/%E5%9B%BE%E7%89%87.jpg)
蜜罐
- Web服务蜜罐Glastopf
- SSH服务蜜罐Kippo
- Elastcisearch服务蜜罐Elasticpot
- RDP服务蜜罐rdpy-rdphoneypot
- 主动欺骗型蜜罐Beeswarm
蜜罐通常可以作为一类数据搜集器扩展SOC的数据源,蜜罐本身既可以产生相对高质量的报警,同时也可以作为原始数据源提供给SOC, SOC通过关联分析多数据源后会做出更全面精准的判断
![](https://app.yinxiang.com/shard/s58/res/3bbecc69-17ec-4ae7-babd-428332901d38/%E5%9B%BE%E7%89%87.jpg)
自建蜜罐系统
MHN全称为Modern Honey Network,它集成了多种蜜罐统一管理,并且集成了SNORT
![](https://app.yinxiang.com/shard/s58/res/46af9bc4-4c6c-4d3e-bcfb-638e3612169a/%E5%9B%BE%E7%89%87.jpg)
与splunk集成
办公网入侵
![](https://app.yinxiang.com/shard/s58/res/db107d55-c85b-44d5-9833-0e673856fc06/%E5%9B%BE%E7%89%87.jpg)
黑客并不直接攻击企业的员工,而是通过分析该企业员工的网络访问规律,总结出该企业员工经常访问的网站,然后通过入侵该网站,在网站上部署恶意附件、恶意脚本等,被动等待员工中招,然后再通过中招的员工主机进行下一步渗透,整个过程如图7-21所示,这种攻击形式也叫做水坑攻击
![](https://app.yinxiang.com/shard/s58/res/d87a2eb7-22fd-40cc-902f-a94a12ede436/%E5%9B%BE%E7%89%87.jpg)
简单而言,态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落实
web扫描器实践中的不足
1)对API服务支持差
2)爬虫能力偏弱
3)自动化能力弱
4)缺乏基础的业务安全检测能力
5)信息孤岛难以融入安全体系
![](https://app.yinxiang.com/shard/s58/res/d1b90c83-274b-4763-b9b9-08f6f904d0e3/%E5%9B%BE%E7%89%87.jpg)
入侵检测系统
![](https://app.yinxiang.com/shard/s58/res/bf303c29-f885-42b5-976d-802713921374/%E5%9B%BE%E7%89%87.jpg)
常见分析技术
基于双向报文规则检测
基于时序分析
基于语义
基于沙箱
基于机器学习
入侵检测ossec
● 日志分析。通过分析日志,发现异常行为。
● 文件完整性检查。监控操作系统中关键文件的修改情况,及时发现篡改行为。
● RootKit检测。检测Linux系统常见的RootKit行为。
● 文件完整性检查。监控操作系统中关键文件的修改情况,及时发现篡改行为。
● RootKit检测。检测Linux系统常见的RootKit行为。
● 动态响应。根据日志分析、文件完整性检测或者RootKit检测的结果,进行动态响应,包括但不限于防火墙封禁、账户禁用等
数据库安全
![](https://app.yinxiang.com/shard/s58/res/3a2845f5-35ea-42b0-be70-2dfefff67cac/%E5%9B%BE%E7%89%87.jpg)
● 数据库防火墙,用于直接阻断基于数据库协议的攻击行为。
● 数据库审计,审计数据库的操作行为,发现针对数据库的入侵行为以及违规操作。
● 数据库运维平台,提供给数据库管理员管理数据库的平台,使管理员无法直接接触数据库服务器,全面控制、审计管理员的操作行为。
● 数据库脱敏,针对流出数据库的敏感数据进行脱敏处理。
● 数据库审计,审计数据库的操作行为,发现针对数据库的入侵行为以及违规操作。
● 数据库运维平台,提供给数据库管理员管理数据库的平台,使管理员无法直接接触数据库服务器,全面控制、审计管理员的操作行为。
● 数据库脱敏,针对流出数据库的敏感数据进行脱敏处理。
● 数据库漏洞扫描,扫描数据库常见漏洞。
mysql-audit mysql插件形式
mysql sniffer 基于MySQL协议的抓包工具,实时抓取请求,并格式化输出。
不需要更改网络结构,最关键的是,不影响数据库服务器性能,不用数据库管理员安装监控软件。
DBProxy DBProxy作为中间层转发来自Web服务器的数据库请求到后端数据库服务器,并且把数据库查询请求再转发给对应的Web服务器。
数据防泄露
![](https://app.yinxiang.com/shard/s58/res/8b4be321-5132-4086-85cc-dadbf172f334/%E5%9B%BE%E7%89%87.jpg)
与IDS不同的是,DLP关注的不是攻击签名而是用户定义的核心数据
![](https://app.yinxiang.com/shard/s58/res/50442cc2-a931-42c3-9fea-88c1cc8890b9/%E5%9B%BE%E7%89%87.jpg)