安全運維核心技能點-滲透測試與漏洞挖掘
- 滲透測試與漏洞挖掘:依據(jù)攻防思維來構(gòu)建企業(yè)安全體系逗物,是安全建設(shè)中不可或缺的一部分
- 應(yīng)急響應(yīng)與資產(chǎn)巡檢:建立應(yīng)急響應(yīng)機制,對安全事件進行溯源墓猎,預(yù)防出現(xiàn)第二次類似事件
- 安全監(jiān)控與安全部署:安全監(jiān)控防御三要術(shù),可知、可控顽频、可信。安全部署從基線掃描開始太闺,配置安全糯景、web安全、部署策略省骂、架構(gòu)風(fēng)險蟀淮。另外需要的不僅僅是標(biāo)準(zhǔn),還需要能夠?qū)崒嵲谠诼涞氐姆椒?/li>
- 猜測:未來的安全肯定是一個開源安全+個人技能的安全體系
滲透測試與漏洞挖掘
入門
web滲透
- 前端:HTML钞澳,javascript怠惶、ActionScript、CSS轧粟、瀏覽器...
- 后端:PHP甚疟,JSP,ASPX逃延,PYTHON览妖,Ruby,Erlang...
- 其它:常見算法揽祥,主流框架讽膏,語言約定,集成系統(tǒng)...
- 攻擊:弱口令拄丰,SQL注入府树,XSS,上傳漏洞料按,web系統(tǒng)漏洞奄侠,命令執(zhí)行,業(yè)務(wù)漏洞...
系統(tǒng)滲透
- 數(shù)據(jù)庫:Mysql载矿、Mssql垄潮、Oracle、Sqlite闷盔、PostgreSql弯洗、Access、Nosql逢勾、Resin...
- 容器:Apache牡整、IIS、Nginx溺拱、Lighttpd逃贝、tomcat...
- 服務(wù):FTP谣辞、SSH、SYNC沐扳、NFS潦闲、Samba、SVN迫皱、GIT...
- 中間件:weblogic歉闰,websphere,JBOSS...
- 系統(tǒng):BASH卓起、POWSHELL和敬、VBS、防火墻戏阅、RDP昼弟、組策略、域控...
- 網(wǎng)絡(luò):DNS奕筐、IP舱痘、ARP、TCP离赫、UDP芭逝、802.11、SNMP渊胸、NetBIOS...各類協(xié)議封裝旬盯,實現(xiàn)
- 攻擊:內(nèi)網(wǎng)持續(xù)性攻擊、后門技術(shù)翎猛、隧道技術(shù)胖翰、緩沖區(qū)溢出、提權(quán)切厘、域攻擊萨咳、爆破、中間人疫稿、數(shù)據(jù)劫持...
入門-技巧
- 懶人原則:用的時候再學(xué)
- 知識選擇:優(yōu)先學(xué)習(xí)跨平臺語言培他,基礎(chǔ)協(xié)議,主流架構(gòu)
- 思維模式
- 攻防結(jié)合:內(nèi)部建立紅藍隊伍而克,內(nèi)部對抗
建立漏洞庫和漏洞反饋機制
- 記錄企業(yè)內(nèi)部的所有漏洞信息
- 漏洞復(fù)檢靶壮,巡檢怔毛,自動化员萍,減少人工投入
- 根據(jù)業(yè)務(wù),開發(fā)框架和項目團隊等多個維度進行統(tǒng)計分析拣度,找出漏洞的源頭碎绎,從而建立相應(yīng)的安全開發(fā)螃壤,運維標(biāo)準(zhǔn)
應(yīng)急響應(yīng)與資產(chǎn)巡檢
應(yīng)急響應(yīng)一般流程
- 攻擊阻斷(任何時候應(yīng)急響應(yīng)的第一步都是攻擊阻斷)
- 現(xiàn)場保存(現(xiàn)場不要做任何破環(huán),也不要關(guān)機筋帖,最好也不要上服務(wù)器奸晴;如果有備用機器的話要切換到服務(wù)器,這樣做是方便人員后期進行取證)
- 系統(tǒng)恢復(fù)
- 現(xiàn)場分析
- 漏洞定位-攻擊鏈整理
- 損失評估
- 修復(fù)建議
- 必要溯源
日志不全怎么辦日麸?1.釣魚:在可疑的攻擊鏈路上部署具有誘惑下的缺陷服務(wù)寄啼,同時在可疑通路上,都部署agent和探針代箭,記錄觸發(fā)軌跡墩划,等待黑客上鉤。2.推演造路:排除一切當(dāng)前不可能條件的嗡综,剩下的就是唯一答案乙帮。
應(yīng)急響應(yīng)與資產(chǎn)巡檢
主動式安全-資產(chǎn)巡檢
- 以資產(chǎn)和平臺為目標(biāo),明確監(jiān)控數(shù)量和監(jiān)控維度:1.管理入口极景,數(shù)據(jù)區(qū)察净,接口,網(wǎng)絡(luò)邊界和DMZ盼樟,這些都是必須重點監(jiān)控的氢卡;2.以管理入口為例:必須做IP綁定(IP跟域名綁定),前后臺分離晨缴,后臺驗證碼(防止爆破)异吻,登錄監(jiān)控(內(nèi)鬼追查,溯源)喜庞,IP白名單(有的僅允許內(nèi)外訪問诀浪,不允許從外網(wǎng)訪問),二次驗證機制(一般都標(biāo)識到個人)延都,httponly+hash(防止xss雷猪,csrf等),登錄憑證單IP鎖定(保證唯一性晰房,一個ip只能登錄一個ip憑證)求摇,多地登錄告警(一個賬戶限制到一個地域內(nèi),超過這個地域進行報警)殊者,異地登錄手機驗證与境,訪問行為學(xué)習(xí)(如果不能避免安全漏洞,則就盡量要求在該漏洞泄露后不能正常使用)
- 綜合考慮現(xiàn)有資源猖吴,選擇合適的巡檢方案:1.能監(jiān)控自動化的摔刁,一定不要手動,能用一個shell腳本解決的海蔽,不要扯框架共屈;2.人工滲透檢測的成本一定要沿河控制绑谣,非核心,非新業(yè)務(wù)拗引,不建議借宵;3.定制巡檢規(guī)范和反饋機制,打通部門之間的安全信息通路矾削。
被動式安全-安全監(jiān)控
- 安全健康策略(分而治之):多點監(jiān)控往往比單一監(jiān)控壤玫,更能有效捕捉到異常行為,1.虛假bash哼凯,捕捉黑客(自己內(nèi)部不使用bash垦细,但黑客一般使用bash,如果監(jiān)控到有bash的記錄挡逼,則立即報警)括改;2.虛假數(shù)據(jù)庫,防脫褲(一旦發(fā)現(xiàn)虛假的數(shù)據(jù)庫被脫褲家坎,則理解切斷核心業(yè)務(wù)并報警)嘱能;3.特制業(yè)務(wù)蜜罐,保護核心業(yè)務(wù)平臺安全虱疏。網(wǎng)絡(luò)流量盤路分析+主機監(jiān)控+容器監(jiān)控+數(shù)據(jù)監(jiān)控+蜜罐+統(tǒng)一接口監(jiān)控=>完整的數(shù)據(jù)流監(jiān)控
監(jiān)控平臺選擇
- OSSIM(開源惹骂,分析功能強,但是友好度不夠)
- OSSEC(開源做瞪,HIDS好用)
- Suricata(開源对粪,比較好用)
- HoneyDrive(開源,蜜罐全家桶)
- 安全狗服云(閉源装蓬,主機監(jiān)控+WAF+攻擊鏈智能分析+預(yù)警+攻防情報+跨平臺+跨邊界+巡檢+人工服務(wù)+物美價廉)
- 造輪子(后期成本低于其它方案著拭,也是許多互聯(lián)網(wǎng)企業(yè)的選擇,可定制性高牍帚,要想全權(quán)掌控和高度定制化以及和別的部門交互儡遮,這是唯一的選擇)
安全部署
- 建立安全模板和基線安全(部署之前必須達到最基本的安全標(biāo)準(zhǔn))
- 上線前的滲透測試和安全審計(上線之前必須有相應(yīng)的滲透測試保護和安全審計報告)
- 統(tǒng)一部署策略,做好安全系統(tǒng)監(jiān)控和業(yè)務(wù)監(jiān)控暗赶,業(yè)務(wù)下線鄙币,數(shù)據(jù)統(tǒng)一銷毀。業(yè)務(wù)策略隔離蹂随,避免由業(yè)務(wù)活動導(dǎo)致的安全策略bypass十嘿。