《大型互聯網企業安全架構》讀書筆記

安全理念

  • IT風險安全 資訊安全 標準:ISO27001
  • 雲安全ISO27017 隱私安全ISO27018
  • 生產網安全(DevSecOps)
  • 業務開發(Dev) 運維(Ops)階段
  • 業界理念最佳實踐 阿里:安全融入體系設計、自動化監控與響應、紅藍對抗與持續改進

安全架構理論

  • P2DR模型

    策略保護檢測響應

  • IPDRR模型

  • IATF核心思想是縱深防禦戰略

  • CGS框架 強調4大功能:治理,保護,檢測,響應與恢復

  • ASA 自適應安全架構 :組織檢測響應與預測。主要體現在預測這一部分,藉助如UEBA來分析學習

  • iACD 集成式自適應網路防禦: 基本思想是通過soar來實現集成式的自適應安全架構

  • 網路韌性架構

大型安全體系建設指南

  • 初期實施快速消減策略。

    一:清理webshell,

    二:部署統一管理的EDR安全產品,生產環境下統一使用堡壘機進行審計管理。

    三:通過弱口令掃描器檢測公司員工帳號和內網所有涉及密碼的服務系統。

  • iso27001規定資訊安全管理體系的要求,iso27002提高實踐指導

  • BSiMM由軟體安全架構,軟體安全小組,軟體安全計劃組成。

  • BSIMM之於軟體安全,ISO27001之於資訊安全

威脅情報

  • GOSINT威脅情報收集處理框架,藉助官方API收集威脅情報
  • Spiderfoot 自動收集各種威脅情報資訊。
  • 查詢綜合性威脅情報比較好的工具有IBM X-Forcee Exchange
  • 惡意文件url 有VirusTotal
  • CMDB統計生產環境用到的各種組件
  • 運維配置不當而導師制的安全問題:如ELasticsearch的默認設置為無須登錄便可直接訪問資料庫
  • 主機安全問題:OpenSCAP一款安全合規與漏洞評估軟體
  • HTCAP掃描器

todo:

  • 學習一下威脅情報開源工具源碼

入侵感知

  • 安全異常發現既需要機器學習也不需要機器學習,原因在於 異常數據在整體業務中是十分少的,整體數據都拿來訓練會出現很大的偏差。同時在流量上異常通過可以藉助規則發現。

  • NTA技術(網路流量分析)主要監控網路流量的安全攻擊,開源系統:Apache Spot(使用了大數據和無監督學習技術Hadoop Spark) Stream4Flow基於Spark的大數據流量分析系統。 Netcap使用機器學習進行流量分析的論文項目

  • 藉助Snort或Suricata的檢測能力,結合大數據分析和威脅情報建立自己的NTA系統。

  • HIDS:Windows系統可以選擇Sysmon,它可以記錄WMI事件,記錄到Windows事件日誌中。Linux系統藉助OSSEC。筆者推薦使用OSquery開源開發,提供linux下反彈shell等多種檢測的規則(唯一缺陷,osquery工作在應用層,無法對抗內核層Rootkit)。

  • Linux下進程監控:1,在應用層通過id.so.preload劫持glibc的execve函數來實現 2、在應用層通過linux提供的Process events Connector相關調用來實現,3、應用層通過Linux Audit提供的介面來實現。4、在內核層通過Tracepoint、eBPF或Kprobe來實現。5、內核層通過Hook Linux Syscall的execve函數指針或LSM架構提供的api來實現

  • linux下的audit可以在內核層監控所有的syscall系統調用

  • 欺騙技術通常以高互動式蜜罐為主,產品有Honeytrap,Go語言開發的

主動防禦

  • 縱深防禦架構:HIPS、WAF、RASP、資料庫防火牆等
  • SQL注入語義引擎Libinjection、libdetcetion
  • 騰訊雲WAF採用了HMM+SVM結合方法,HMM用作異常分析,SVM用來做為威脅識別。
  • 要保護的網站可以通過域名A記錄或者使用cname將ip指向各地雲WAF集群IP,經過雲WAF過濾後通過反向代理模式把Web流量轉發給用戶的Web伺服器。
  • 抗ddos應該採用三層防禦,第一層前端藉助anycast路由協議進行ip的跨地域調度,第二層通過硬體或軟體的專用DDOS防護設備。第三層在WAF上應用層HTTP DDOS防護。
  • 資料庫防火牆是Web安全縱深防禦的最後一環

todo:

  • 了解java的rasp

後門查殺

安全基準線

安全大腦

  • 態勢感知+SIEM+SOAR
  • IACD框架通過SOAR技術將各種安全產品進行整合,從而協同應對安全威脅。
  • SIEM系統中,智慧決策主要體現在UEBA模組上。
  • metron是實時的大數據安全解決方案。
  • 基於時序的異常檢測演算法:隨機森林獨立森林
  • 圖資料庫noe4j和TitanDB。關係分析能力是金融反欺詐、威脅情報分析、黑產打擊和案件溯源等業務
  • HugeGraph可以與Spark和Elasticsearch便於圖分析和查詢。GNN無法做因果推理
Tags:

VirMach 便宜 VPS

QNews

QNews