安全理念
- IT風險安全 信息安全 標准:ISO27001
- 雲安全ISO27017 隱私安全ISO27018
- 生產網安全(DevSecOps)
- 業務開發(Dev) 運維(Ops)階段
- 業界理念最佳實踐 阿里:安全融入體系設計、自動化監控與響應、紅藍對抗與持續改進
安全架構理論
-
P2DR模型
策略保護檢測響應
-
IPDRR模型
-
IATF核心思想是縱深防御戰略
-
CGS框架 強調4大功能:治理,保護,檢測,響應與恢復
-
ASA 自適應安全架構 :組織檢測響應與預測。主要體現在預測這一部分,借助如UEBA來分析學習
-
iACD 集成式自適應網絡防御: 基本思想是通過soar來實現集成式的自適應安全架構
-
網絡韌性架構
大型安全體系建設指南
-
初期實施快速消減策略。
一:清理webshell,
二:部署統一管理的EDR安全產品,生產環境下統一使用堡壘機進行審計管理。
三:通過弱口令掃描器檢測公司員工賬號和內網所有涉及密碼的服務系統。
-
iso27001規定信息安全管理體系的要求,iso27002提高實踐指導
-
BSiMM由軟件安全架構,軟件安全小組,軟件安全計划組成。
-
BSIMM之於軟件安全,ISO27001之於信息安全
威脅情報
- GOSINT威脅情報收集處理框架,借助官方API收集威脅情報
- Spiderfoot 自動收集各種威脅情報信息。
- 查詢綜合性威脅情報比較好的工具有IBM X-Forcee Exchange
- 惡意文件url 有VirusTotal
- CMDB統計生產環境用到的各種組件
- 運維配置不當而導師制的安全問題:如ELasticsearch的默認設置為無須登錄便可直接訪問數據庫
- 主機安全問題:OpenSCAP一款安全合規與漏洞評估軟件
- HTCAP掃描器
todo:
- 學習一下威脅情報開源工具源碼
入侵感知
-
安全異常發現既需要機器學習也不需要機器學習,原因在於 異常數據在整體業務中是十分少的,整體數據都拿來訓練會出現很大的偏差。同時在流量上異常通過可以借助規則發現。
-
NTA技術(網絡流量分析)主要監控網絡流量的安全攻擊,開源系統:Apache Spot(使用了大數據和無監督學習技術Hadoop Spark) Stream4Flow基於Spark的大數據流量分析系統。 Netcap使用機器學習進行流量分析的論文項目
-
借助Snort或Suricata的檢測能力,結合大數據分析和威脅情報建立自己的NTA系統。
-
HIDS:Windows系統可以選擇Sysmon,它可以記錄WMI事件,記錄到Windows事件日志中。Linux系統借助OSSEC。筆者推薦使用OSquery開源開發,提供linux下反彈shell等多種檢測的規則(唯一缺陷,osquery工作在應用層,無法對抗內核層Rootkit)。
-
Linux下進程監控:1,在應用層通過id.so.preload劫持glibc的execve函數來實現 2、在應用層通過linux提供的Process events Connector相關調用來實現,3、應用層通過Linux Audit提供的接口來實現。4、在內核層通過Tracepoint、eBPF或Kprobe來實現。5、內核層通過Hook Linux Syscall的execve函數指針或LSM架構提供的api來實現
-
linux下的audit可以在內核層監控所有的syscall系統調用
-
欺騙技術通常以高交互式蜜罐為主,產品有Honeytrap,Go語言開發的
主動防御
- 縱深防御架構:HIPS、WAF、RASP、數據庫防火牆等
- SQL注入語義引擎Libinjection、libdetcetion
- 騰訊雲WAF采用了HMM+SVM結合方法,HMM用作異常分析,SVM用來做為威脅識別。
- 要保護的網站可以通過域名A記錄或者使用cname將ip指向各地雲WAF集群IP,經過雲WAF過濾后通過反向代理模式把Web流量轉發給用戶的Web服務器。
- 抗ddos應該采用三層防御,第一層前端借助anycast路由協議進行ip的跨地域調度,第二層通過硬件或軟件的專用DDOS防護設備。第三層在WAF上應用層HTTP DDOS防護。
- 數據庫防火牆是Web安全縱深防御的最后一環
todo:
- 了解java的rasp
后門查殺
安全基線
安全大腦
- 態勢感知+SIEM+SOAR
- IACD框架通過SOAR技術將各種安全產品進行整合,從而協同應對安全威脅。
- SIEM系統中,智能決策主要體現在UEBA模塊上。
- metron是實時的大數據安全解決方案。
- 基於時序的異常檢測算法:隨機森林,獨立森林
- 圖數據庫noe4j和TitanDB。關系分析能力是金融反欺詐、威脅情報分析、黑產打擊和案件溯源等業務
- HugeGraph可以與Spark和Elasticsearch便於圖分析和查詢。GNN無法做因果推理
安全開發生命周期
- SDL必須和現有的CI/CD系統集成才能產生較好的效果
企業辦公安全
- 零信任網絡架構BeyondCorp
- 部署DLP數據防泄漏
- 終端設備:通過SIEM產品的UEBA用戶實體和行為發現
互聯網業務安全
- 風控系統可以使用Flink做實時數據流處理,使用spark做離線數據分析,Hadoop做離線數據存儲,TensorFlow和Spark Mlib做機器學習任務。其中機器學習框架H2O提供了欺詐檢測、異常檢測機器學習算法。
全棧雲安全
- 安全沙盒Cuckoo Sandbox可以用來分析Windows、macOS、Linux和安卓系統上的惡意軟件協議
前沿安全技術
- 互聯網企業從以前的垂直應用架構(MVC架構)轉向面向服務的架構(SOA)再到最新的Istio微服務架構