安全運維核心技能點-滲透測試與漏洞挖掘

• 滲透測試與漏洞挖掘：依據(jù)攻防思維來構(gòu)建企業(yè)安全體系逗物，是安全建設(shè)中不可或缺的一部分
• 應(yīng)急響應(yīng)與資產(chǎn)巡檢：建立應(yīng)急響應(yīng)機制，對安全事件進行溯源墓猎，預(yù)防出現(xiàn)第二次類似事件
• 安全監(jiān)控與安全部署：安全監(jiān)控防御三要術(shù)，可知、可控顽频、可信。安全部署從基線掃描開始太闺，配置安全糯景、web安全、部署策略省骂、架構(gòu)風(fēng)險蟀淮。另外需要的不僅僅是標(biāo)準(zhǔn)，還需要能夠?qū)崒嵲谠诼涞氐姆椒?/li>
• 猜測：未來的安全肯定是一個開源安全+個人技能的安全體系

滲透測試與漏洞挖掘

入門

web滲透

• 前端：HTML钞澳，javascript怠惶、ActionScript、CSS轧粟、瀏覽器...
• 后端：PHP甚疟，JSP，ASPX逃延，PYTHON览妖，Ruby，Erlang...
• 其它：常見算法揽祥，主流框架讽膏，語言約定，集成系統(tǒng)...
• 攻擊：弱口令拄丰，SQL注入府树，XSS，上傳漏洞料按，web系統(tǒng)漏洞奄侠，命令執(zhí)行，業(yè)務(wù)漏洞...

系統(tǒng)滲透

• 數(shù)據(jù)庫：Mysql载矿、Mssql垄潮、Oracle、Sqlite闷盔、PostgreSql弯洗、Access、Nosql逢勾、Resin...
• 容器：Apache牡整、IIS、Nginx溺拱、Lighttpd逃贝、tomcat...
• 服務(wù)：FTP谣辞、SSH、SYNC沐扳、NFS潦闲、Samba、SVN迫皱、GIT...
• 中間件：weblogic歉闰，websphere，JBOSS...
• 系統(tǒng)：BASH卓起、POWSHELL和敬、VBS、防火墻戏阅、RDP昼弟、組策略、域控...
• 網(wǎng)絡(luò)：DNS奕筐、IP舱痘、ARP、TCP离赫、UDP芭逝、802.11、SNMP渊胸、NetBIOS...各類協(xié)議封裝旬盯，實現(xiàn)
• 攻擊：內(nèi)網(wǎng)持續(xù)性攻擊、后門技術(shù)翎猛、隧道技術(shù)胖翰、緩沖區(qū)溢出、提權(quán)切厘、域攻擊萨咳、爆破、中間人疫稿、數(shù)據(jù)劫持...

入門-技巧

• 懶人原則：用的時候再學(xué)
• 知識選擇：優(yōu)先學(xué)習(xí)跨平臺語言培他，基礎(chǔ)協(xié)議，主流架構(gòu)
• 思維模式
• 攻防結(jié)合：內(nèi)部建立紅藍隊伍而克，內(nèi)部對抗

建立漏洞庫和漏洞反饋機制

• 記錄企業(yè)內(nèi)部的所有漏洞信息
• 漏洞復(fù)檢靶壮，巡檢怔毛，自動化员萍，減少人工投入
• 根據(jù)業(yè)務(wù)，開發(fā)框架和項目團隊等多個維度進行統(tǒng)計分析拣度，找出漏洞的源頭碎绎，從而建立相應(yīng)的安全開發(fā)螃壤，運維標(biāo)準(zhǔn)

應(yīng)急響應(yīng)與資產(chǎn)巡檢

應(yīng)急響應(yīng)一般流程

1. 攻擊阻斷(任何時候應(yīng)急響應(yīng)的第一步都是攻擊阻斷）
2. 現(xiàn)場保存（現(xiàn)場不要做任何破環(huán)，也不要關(guān)機筋帖，最好也不要上服務(wù)器奸晴；如果有備用機器的話要切換到服務(wù)器，這樣做是方便人員后期進行取證）
3. 系統(tǒng)恢復(fù)
4. 現(xiàn)場分析
5. 漏洞定位-攻擊鏈整理
6. 損失評估
7. 修復(fù)建議
8. 必要溯源

日志不全怎么辦日麸？1.釣魚：在可疑的攻擊鏈路上部署具有誘惑下的缺陷服務(wù)寄啼，同時在可疑通路上，都部署agent和探針代箭，記錄觸發(fā)軌跡墩划，等待黑客上鉤。2.推演造路：排除一切當(dāng)前不可能條件的嗡综，剩下的就是唯一答案乙帮。

應(yīng)急響應(yīng)與資產(chǎn)巡檢

主動式安全-資產(chǎn)巡檢

• 以資產(chǎn)和平臺為目標(biāo)，明確監(jiān)控數(shù)量和監(jiān)控維度：1.管理入口极景，數(shù)據(jù)區(qū)察净，接口，網(wǎng)絡(luò)邊界和DMZ盼樟，這些都是必須重點監(jiān)控的氢卡；2.以管理入口為例：必須做IP綁定（IP跟域名綁定），前后臺分離晨缴，后臺驗證碼（防止爆破）异吻，登錄監(jiān)控（內(nèi)鬼追查，溯源）喜庞，IP白名單（有的僅允許內(nèi)外訪問诀浪，不允許從外網(wǎng)訪問），二次驗證機制（一般都標(biāo)識到個人）延都，httponly+hash（防止xss雷猪，csrf等），登錄憑證單IP鎖定（保證唯一性晰房，一個ip只能登錄一個ip憑證）求摇，多地登錄告警（一個賬戶限制到一個地域內(nèi)，超過這個地域進行報警）殊者，異地登錄手機驗證与境，訪問行為學(xué)習(xí)（如果不能避免安全漏洞，則就盡量要求在該漏洞泄露后不能正常使用）
• 綜合考慮現(xiàn)有資源猖吴，選擇合適的巡檢方案：1.能監(jiān)控自動化的摔刁，一定不要手動，能用一個shell腳本解決的海蔽，不要扯框架共屈；2.人工滲透檢測的成本一定要沿河控制绑谣，非核心，非新業(yè)務(wù)拗引，不建議借宵；3.定制巡檢規(guī)范和反饋機制，打通部門之間的安全信息通路矾削。

被動式安全-安全監(jiān)控

• 安全健康策略（分而治之）：多點監(jiān)控往往比單一監(jiān)控壤玫，更能有效捕捉到異常行為，1.虛假bash哼凯，捕捉黑客（自己內(nèi)部不使用bash垦细，但黑客一般使用bash，如果監(jiān)控到有bash的記錄挡逼，則立即報警）括改；2.虛假數(shù)據(jù)庫，防脫褲（一旦發(fā)現(xiàn)虛假的數(shù)據(jù)庫被脫褲家坎，則理解切斷核心業(yè)務(wù)并報警）嘱能；3.特制業(yè)務(wù)蜜罐，保護核心業(yè)務(wù)平臺安全虱疏。網(wǎng)絡(luò)流量盤路分析+主機監(jiān)控+容器監(jiān)控+數(shù)據(jù)監(jiān)控+蜜罐+統(tǒng)一接口監(jiān)控=>完整的數(shù)據(jù)流監(jiān)控

監(jiān)控平臺選擇

• OSSIM（開源惹骂，分析功能強，但是友好度不夠）
• OSSEC（開源做瞪，HIDS好用）
• Suricata（開源对粪，比較好用）
• HoneyDrive（開源，蜜罐全家桶）
• 安全狗服云（閉源装蓬，主機監(jiān)控+WAF+攻擊鏈智能分析+預(yù)警+攻防情報+跨平臺+跨邊界+巡檢+人工服務(wù)+物美價廉）
• 造輪子（后期成本低于其它方案著拭，也是許多互聯(lián)網(wǎng)企業(yè)的選擇，可定制性高牍帚，要想全權(quán)掌控和高度定制化以及和別的部門交互儡遮，這是唯一的選擇）

安全部署

• 建立安全模板和基線安全（部署之前必須達到最基本的安全標(biāo)準(zhǔn)）
• 上線前的滲透測試和安全審計（上線之前必須有相應(yīng)的滲透測試保護和安全審計報告）
• 統(tǒng)一部署策略，做好安全系統(tǒng)監(jiān)控和業(yè)務(wù)監(jiān)控暗赶，業(yè)務(wù)下線鄙币，數(shù)據(jù)統(tǒng)一銷毀。業(yè)務(wù)策略隔離蹂随，避免由業(yè)務(wù)活動導(dǎo)致的安全策略bypass十嘿。