[read]互联网企业安全高级指南_重点书摘

=Start=

概要：

理论篇

第1-4章

技术篇

第5-14章

实践篇

第15-17章

重点摘要：

1.1 切入“企业安全”的视角

http://www.ayazero.com/?p=8

1.2 企业安全包括哪些事情？

http://www.ayazero.com/?p=19

1.3 互联网企业和传统企业在安全建设中的区别

http://www.ayazero.com/?p=25

1.4 不同企业规模的安全管理

http://www.ayazero.com/?p=38

1.5 生态级企业 vs 平台级企业安全建设的需求

http://www.ayazero.com/?p=42

2.1 创业型企业一定需要CSO吗

http://www.ayazero.com/?p=44

2.2 如何建立一支安全团队

http://www.ayazero.com/?p=46

3.1 从零开始

http://www.ayazero.com/?p=50

3.2 不同阶段的安全建设重点

http://www.ayazero.com/?p=52

3.3 如何推动安全策略

http://www.ayazero.com/?p=54

3.4 安全需要向业务妥协吗

http://www.ayazero.com/?p=56

3.5 选择在不同的维度做防御

http://www.ayazero.com/?p=101

3.6 需要自己发明安全机制吗？

1.安全机制的含义

2.企业安全建设中的需求

3.取舍点

3.7 如何看待SDL

#重要

3.11 业务持续性管理

#重要

3.12 关于应急响应

#重要(PDCERF模型)

3.13 安全建设的“马斯洛需求”层次

3.14 TCO和ROI

5.1 防守体系建设三部曲

#重要

信息对抗、技术对抗、运营能力对抗

5.2 大规模生产网络的纵深防御架构

http://www.ayazero.com/?p=33

5.2.1 互联网安全理念

5.2.2 攻击者视角

5.2.3 防御者模型

5.2.4 互联网安全架构设计原则

1.纵深防御

2.多维防御

3.降维防御

4.实时入侵检测

5.伸缩性、可水平扩展

6.支持分布式IDC

7.支持自动化运维

8.低性能损耗

9.能旁路则不串联

10.业务无感知

11.去“信息孤岛”

12.TCO可控

AWS 技术类白皮书

https://aws.amazon.com/cn/whitepapers/

6.2 系统安全加固

6.2.1 Linux加固

1.禁用LKM（规避类似于 knark、adore 这类的LKM rootkit，把入侵检测聚焦于用户态）

# echo 1>/proc/sys/kernel/modules_disabled

2.限制/dev/mem（规避类似于 suckit 这种在用户态实现内核rootkit的功能）

`# cat /boot/config-$(uname -r) | grep ‘DEVMEM’`

Linux on-the-fly kernel patching without LKM – Phrack Magazine

http://phrack.org/issues/58/7.html

http://www.xfocus.net/articles/200201/340.html

3.内核参数调整

4.禁用NAT（在常规机器上禁用NAT）

# echo 0>/proc/sys/net/ipv4/ip_forward

5.Bash日志

6.高级技巧(修改shell源代码)

6.2.2 应用配置加固

1.目录权限

2.Web进程以非root权限运行

3.过滤特定文件类型

7.1 网络入侵检测

1.传统NIDS

2.开源Snort

3.大型全流量NIDS

基于大数据的NIDS架构

7.2 T级DDoS防御

http://www.ayazero.com/?p=75

7.4 应用防火墙 WAF

8.1 主机入侵检测

8.1.1 开源产品OSSEC

8.1.2 MIG(Mozilla InvestiGator)

8.1.3 OSquery

8.1.4 自研 Linux HIDS 系统 #重要

8.2 检测webshell

1.静态检测

2.流量监测(https://github.com/xti9er)

8.3 RASP

8.3.1 PHP RASP

通过 Zend扩展模块实现对恶意行为进行记录和阻断

8.3.2 Java RASP

技术架构

修改 rt.jar

JVMTI(JVM Tool Interface)

Java Agent

Btrace

HotCode2

8.4 数据库审计

1.旁路型

2.主机型

3.代理型

4.攻击检测 #一些很重要的经验

DB审计安全产品主要解决2个问题：1）SQL注入拖库；2）操作违规审计。

对于违规审计没有太多需要讲的，通过对日常的DB请求做好基线学习，超出基线范围之外的则为违规行为。基线学习的维度可以有以下几个：

账户对应的常用DB访问映射；（哪个用户有哪个DB的哪个表的什么权限？）
账户常用的function；（每个用户都会有自己熟悉、常用的命令/function）
账户 + client_ip 与 tables 的映射；（每个用户一般都是在固定的地方登录线上进行操作的）
应用与数据字段的映射；（一个应用一般只会用到部分库、表的部分字段，当访问了非常用表、字段时，则存在问题）
自然时间 + 频度与库表的映射；

8.5 入侵检测数据分析平台

1.架构选择

2.功能模块

3.分析能力

4.实战演示

浅谈大型网络入侵检测建设

8.6 入侵检测数据模型

如何建立有效的安全策略

9.2 漏洞扫描的种类

1.ACL扫描

2.弱口令扫描(用Python调用Hydra进行扫描并解析结果)

3.系统及应用服务漏洞扫描

4.Web漏洞扫描

9.3 如何应对大规模的资产扫描

普通的扫描方式在数万或几十万台服务器的环境下会遇到以下问题（大量硬件资源、大量带宽占用、人工审核忙不过来）：

1.单台或多台扫描器仍不足以覆盖海量IDC，完成全网扫描需要很多资源。

2.大量的并发扫描占用海量带宽，高峰时期影响用户体验，执行深度检测可能会导致业务宕掉。

3.大量的误报以及中低风险漏洞会使人工解读和后续整理难上加难。

因此海量IDC规模下漏洞扫描需要寻找高效的方式，总体思路是减少工作量，有几个方法（先评估并利用ACL减少工作量，重点关注高危）：

1.简化漏洞评估链，减少需要扫描的服务。

2.减少漏洞扫描的网络开销和被检查者的性能损耗。

3.减少漏洞扫描的种类。

4.减少手工确认的工作量。

在实践中需要从以下几个方面进行优化（利用可以利用的制度、手段减少扫描工作量；重点关注高危；同时利用主机Agent完成部分扫描工作）：

1.不做全网的漏洞扫描，先做端口扫描，这样做的前提是访问控制和纵深防御做到位，利用ACL大幅减少攻击面。

2.做好高危端口监控。

3.在系统和应用上进行扫描，不完全依赖于网络扫描器（借助主机Agent进行扫描）。

除了极个别大公司，对于绝大多数企业而言，自研扫描器比商业产品或成熟的开源产品扫描能力更强的可能性是不高的，但是单机扫描又严重影响效率，所以对于业务有一定规模但安全团队又没能力自制扫描器的公司，可以考虑将现有的扫描器改成分布式的，如下所示：

对于Web漏洞扫描器，可以通过任务队列的方式将扫描任务分发给awvs、arachni、w3af等扫描器，改成分布式扫描器；
对于服务器及网络漏洞扫描，可以多部署几台Nessus扫描器，并配置为集群模式，调用API进行大规模扫描。

第12章办公网络安全

12.2 安全域划分

12.3 终端管理

第13章安全管理体系

13.1 相对“全集” #安全管理体系

13.2 组织 #大型安全部门组织结构图示例

13.3 KPI #需要重点研读、思考

13.4 外部评价指标

13.5 最小集合

a.资产管理

b.发布和变更流程

c.事件处理流程

第15章业务安全与风控

15.1 对抗原则(在谈及具体的风控措施之前，先罗列一下业务安全的策略和原则，具体如下：)

相对的风控而非绝对的防黑

增加黑产的成本而非阻断他们的行为

永远的情报

方法比技术重要

数据比算法更重要

勤能补拙

忽略性能、用户体验和成本的风控没有意义

纵深防御

杀鸡给猴看

人民的战争

社工库

第16章大规模纵深防御体系设计与实现

16.1 设计方案的考虑

数据流视角

服务器视角

IDC视角

逻辑攻防视角

16.2 不同场景下的裁剪

IDC规模大小的区别

不同的业务类型

安全感的底线