安全运维学习笔记

微笑、不失礼 提交于 2019-12-12 01:40:51

一、

1、以资产和平台为目标,明确监控数量和监控维度

1.1、管理入口、数据区、接口、网络边界和DMZ,这些都是必须重点监控的

1.2、以管理入口为例:IP绑定,前后台分离,后台验证码、登录监控、IP白名单、二次验证机制、httponly+hash(预防CSRF or XSRF)、登陆凭证单IP锁定,多地登陆告警、异地登陆手机验证、访问行为学习监控、众测和SRC等

2、综合考虑现有资源,选择合适的巡检方案

2.1、能自动化的,一定不要手动。能用一个shell脚本解决的,不要扯框架

2.2、人工渗透检测的成本一定要严格控制,非核心、非新业务、不建议

3、定制巡检规范和反馈机制,打通部门之间的安全信息通路

二、被动式安全-安全监控

1、安全监控策略(分而治之)

1.1多点监控往往比单一监控,更能有效捕捉到异常行为

     虚假bash,捕捉黑阔

     虚假数据库,防脱库

     特制业务蜜罐,保护核心业务平台安全

1.2 网络流量旁路分析+主机监控+容器监控+数据监控+蜜罐+统一接口监控=>完整的数据流监控

三、监控平台选择

1、开源

    OSSIM(分析功能强,但是友好度不够)

    OSSEC(HIDS好用)

    Suricata(强)

    HoneyDrive(蜜罐全家桶)

2、闭源

    安全够服云(主机监控+WAF+攻击链智能分析+预警+攻防情报+扩平台+跨边界+巡检+人工服务+物美价廉)

3、造轮子

     后期成本低于其它方案。也是许多互联网企业的选择。可定制性高。要想全权掌控和高度定制化以及和别的部门交互,这是唯一的选择

四、安全部署

1、建立安全模板和基线

2、上线前的渗透测试和安全审计

3、统一部署策略,做好系统监控和业务监控,业务下线,统一销毁,业务策略隔离,避免由业务活动导致的安全策略BYPASS

五、建立安全模板与安全基线

1、每一种应用、服务、系统、都有针对性的安全检测清单(checklists)。主要涵盖下面三个方面的检测

1.1、该项之前是由针对性的应用漏洞存在

1.2、该项配置是否符合特定的安全要求

1.3、该项应用当前的状态指标

2、checklists需要不断的累计和调整,以适应不同的生产环境和安全需求,最后将其脚本自动化

3、或者使用可定制化安全模板的,安全软件:“比如服务器安全狗,从安全体检到基线修复到最后的权限加固,全程自动化

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!