《企業安全建設》讀書筆記

基於nginx+lua的waf

可以把lua理解成乙個程序，貫穿整個nginx服務的http保溫處理的流程中，可以針對htt報文的任何字段進行處理。

lua處理流程

分布式waf架構

lvs架構

waf日誌處理

如果有實時檢索原始日誌的需求，可以引入elasticsearch。這部分最基礎的功能包括：

● 統計實時攔截報表；

● 統計實時訪問pv/uv；

● 離線分析小時/天/周/月的pv/uv；

● 離線分析小時/天/周/月的攔截報表；

● 離線儲存原始日誌。

加分功能是：

● 執行hmm分析漏報；

● 執行語義分析漏報。

安全域劃分為，辦公區、業務區、外網、辦公服務區、開發測試服務區。

● 禁止root登入。

● vi /etc/ssh/sshd_config。

● permitrootlogin no。

● 禁用lkm。

● 開啟aslr

蒐集主機級資產資料主要是達到以下兩個目的：

● 事中的入侵檢測；

● 事後的審計與事故排查。

osquery是facebook開源的一款基於sql的作業系統檢測和監控框架，目前它只實現了本地的資料蒐集以及sql互動式查詢，沒有實現資料的統一上傳和集中儲存分析，所以我們可以基於它來開發。

使用kong以後，各個介面可以只專注於自己的業務實現，通用的快取、日誌記錄等功能，尤其是和安全相關的認證、授權、限速都由kong來實現。

nebula由業務層、運營管控層、資料輸出層、資料計算層和資料來源層組成

使用者將資料傳送給資料採集模組，資料採集模組再傳送給風險評估模組，風險評估模組完成提取風險分數與使用者畫像後，再傳遞給管理模組，用於配置自動化處理規則。

蜜罐通常可以作為一類資料蒐集器擴充套件soc的資料來源，蜜罐本身既可以產生相對高質量的報警，同時也可以作為原始資料源提供給soc, soc通過關聯分析多資料來源後會做出更全面精準的判斷

mhn全稱為modern honey network，它整合了多種蜜罐統一管理，並且整合了snort

辦公網入侵

黑客並不直接攻擊企業的員工，而是通過分析該企業員工的網路訪問規律，總結出該企業員工經常訪問的**，然後通過入侵該**，在**上部署惡意附件、惡意指令碼等，被動等待員工中招，然後再通過中招的員工主機進行下一步滲透，整個過程如圖7-21所示，這種攻擊形式也叫做水坑攻擊

簡單而言，態勢感知是一種基於環境的、動態、整體地洞悉安全風險的能力，是以安全大資料為基礎，從全域性視角提公升對安全威脅的發現識別、理解分析、響應處置能力的一種方式，最終是為了決策與行動，是安全能力的落實

web掃瞄器實踐中的不足

1）對api服務支援差

2）爬蟲能力偏弱

3）自動化能力弱

4）缺乏基礎的業務安全檢測能力

5）資訊孤島難以融入安全體系

常見分析技術

基於雙向報文規則檢測

基於時序分析

基於語義

基於沙箱

基於機器學習

● 日誌分析。通過分析日誌，發現異常行為。

● 檔案完整性檢查。監控作業系統中關鍵檔案的修改情況，及時發現篡改行為。

● rootkit檢測。檢測linux系統常見的rootkit行為。

● 動態響應。根據日誌分析、檔案完整性檢測或者rootkit檢測的結果，進行動態響應，包括但不限於防火牆封禁、賬戶禁用等

● 資料庫防火牆，用於直接阻斷基於資料庫協議的攻擊行為。

● 資料庫審計，審計資料庫的操作行為，發現針對資料庫的入侵行為以及違規操作。

● 資料庫運維平台，提供給資料庫管理員管理資料庫的平台，使管理員無法直接接觸資料庫伺服器，全面控制、審計管理員的操作行為。

● 資料庫脫敏，針對流出資料庫的敏感資料進行脫敏處理。

● 資料庫漏洞掃瞄，掃瞄資料庫常見漏洞。

mysql sniffer 基於mysql協議的抓包工具，實時抓取請求，並格式化輸出。

不需要更改網路結構，最關鍵的是，不影響資料庫伺服器效能，不用資料庫管理員安裝監控軟體。

dbproxy dbproxy作為中間層**來自web伺服器的資料庫請求到後端資料庫伺服器，並且把資料庫查詢請求再**給對應的web伺服器。

與ids不同的是，dlp關注的不是攻擊簽名而是使用者定義的核心資料

《企業安全建設》讀書筆記

讀書筆記企業精簡架構

《硬體安全》讀書筆記

安卓安全讀書筆記

《企業安全建設》讀書筆記

讀書筆記 企業精簡架構

《硬體安全》讀書筆記

安卓安全 讀書筆記

相關推薦

讀書筆記企業精簡架構

安卓安全讀書筆記