《大型互联网企业安全架构》读书笔记
安全理念
- IT风险安全 信息安全 标准:ISO27001
- 云安全ISO27017 隐私安全ISO27018
- 生产网安全(DevSecOps)
- 业务开发(Dev) 运维(Ops)阶段
- 业界理念最佳实践 阿里:安全融入体系设计、自动化监控与响应、红蓝对抗与持续改进
安全架构理论
-
P2DR模型
策略保护检测响应
-
IPDRR模型
-
IATF核心思想是纵深防御战略
-
CGS框架 强调4大功能:治理,保护,检测,响应与恢复
-
ASA 自适应安全架构 :组织检测响应与预测。主要体现在预测这一部分,借助如UEBA来分析学习
-
iACD 集成式自适应网络防御: 基本思想是通过soar来实现集成式的自适应安全架构
-
网络韧性架构
大型安全体系建设指南
-
初期实施快速消减策略。
一:清理webshell,
二:部署统一管理的EDR安全产品,生产环境下统一使用堡垒机进行审计管理。
三:通过弱口令扫描器检测公司员工账号和内网所有涉及密码的服务系统。
-
iso27001规定信息安全管理体系的要求,iso27002提高实践指导
-
BSiMM由软件安全架构,软件安全小组,软件安全计划组成。
-
BSIMM之于软件安全,ISO27001之于信息安全
威胁情报
- GOSINT威胁情报收集处理框架,借助官方API收集威胁情报
- Spiderfoot 自动收集各种威胁情报信息。
- 查询综合性威胁情报比较好的工具有IBM X-Forcee Exchange
- 恶意文件url 有VirusTotal
- CMDB统计生产环境用到的各种组件
- 运维配置不当而导师制的安全问题:如ELasticsearch的默认设置为无须登录便可直接访问数据库
- 主机安全问题:OpenSCAP一款安全合规与漏洞评估软件
- HTCAP扫描器
todo:
- 学习一下威胁情报开源工具源码
入侵感知
-
安全异常发现既需要机器学习也不需要机器学习,原因在于 异常数据在整体业务中是十分少的,整体数据都拿来训练会出现很大的偏差。同时在流量上异常通过可以借助规则发现。
-
NTA技术(网络流量分析)主要监控网络流量的安全攻击,开源系统:Apache Spot(使用了大数据和无监督学习技术Hadoop Spark) Stream4Flow基于Spark的大数据流量分析系统。 Netcap使用机器学习进行流量分析的论文项目
-
借助Snort或Suricata的检测能力,结合大数据分析和威胁情报建立自己的NTA系统。
-
HIDS:Windows系统可以选择Sysmon,它可以记录WMI事件,记录到Windows事件日志中。Linux系统借助OSSEC。笔者推荐使用OSquery开源开发,提供linux下反弹shell等多种检测的规则(唯一缺陷,osquery工作在应用层,无法对抗内核层Rootkit)。
-
Linux下进程监控:1,在应用层通过id.so.preload劫持glibc的execve函数来实现 2、在应用层通过linux提供的Process events Connector相关调用来实现,3、应用层通过Linux Audit提供的接口来实现。4、在内核层通过Tracepoint、eBPF或Kprobe来实现。5、内核层通过Hook Linux Syscall的execve函数指针或LSM架构提供的api来实现
-
linux下的audit可以在内核层监控所有的syscall系统调用
-
欺骗技术通常以高交互式蜜罐为主,产品有Honeytrap,Go语言开发的
主动防御
- 纵深防御架构:HIPS、WAF、RASP、数据库防火墙等
- SQL注入语义引擎Libinjection、libdetcetion
- 腾讯云WAF采用了HMM+SVM结合方法,HMM用作异常分析,SVM用来做为威胁识别。
- 要保护的网站可以通过域名A记录或者使用cname将ip指向各地云WAF集群IP,经过云WAF过滤后通过反向代理模式把Web流量转发给用户的Web服务器。
- 抗ddos应该采用三层防御,第一层前端借助anycast路由协议进行ip的跨地域调度,第二层通过硬件或软件的专用DDOS防护设备。第三层在WAF上应用层HTTP DDOS防护。
- 数据库防火墙是Web安全纵深防御的最后一环
todo:
- 了解java的rasp
后门查杀
安全基线
安全大脑
- 态势感知+SIEM+SOAR
- IACD框架通过SOAR技术将各种安全产品进行整合,从而协同应对安全威胁。
- SIEM系统中,智能决策主要体现在UEBA模块上。
- metron是实时的大数据安全解决方案。
- 基于时序的异常检测算法:随机森林,独立森林
- 图数据库noe4j和TitanDB。关系分析能力是金融反欺诈、威胁情报分析、黑产打击和案件溯源等业务
- HugeGraph可以与Spark和Elasticsearch便于图分析和查询。GNN无法做因果推理
安全开发生命周期
- SDL必须和现有的CI/CD系统集成才能产生较好的效果
企业办公安全
- 零信任网络架构BeyondCorp
- 部署DLP数据防泄漏
- 终端设备:通过SIEM产品的UEBA用户实体和行为发现
互联网业务安全
- 风控系统可以使用Flink做实时数据流处理,使用spark做离线数据分析,Hadoop做离线数据存储,TensorFlow和Spark Mlib做机器学习任务。其中机器学习框架H2O提供了欺诈检测、异常检测机器学习算法。
全栈云安全
- 安全沙盒Cuckoo Sandbox可以用来分析Windows、macOS、Linux和安卓系统上的恶意软件协议
前沿安全技术
- 互联网企业从以前的垂直应用架构(MVC架构)转向面向服务的架构(SOA)再到最新的Istio微服务架构