[read]互联网安全建设从0到1

=Start=

缘由:

整理标记一下前段时间看过的《互联网安全建设从0到1》这本书的内容,方便有需要的同学参考。

正文:

参考解答:

和企业安全相关的书籍我基本都会买/借回来看(为的是较为系统的了解业内同行都是怎么想的和怎么做的,学习吸收其中做的比较好的地方)。

这次看的《互联网安全建设从0到1》是找同事借的,因为之前书刚出来的时候,快速浏览过目录结构,看到前几章的libpcap和scapy等关键字,潜意识里觉得这本书的”等级”不高,对于大中型互联网公司来说参考价值不大(因为大中型互联网公司的很多方案架构都是自研或是在开源基础上经过二次开发,以适应高并发、大流量以及复杂的流程/架构,开源的工具/方案是很难满足这些需求的)。但本着看一看也没坏处的想法,快速翻阅了一下,感觉还可以,并不像我之前仅翻目录时以为的那样。

作者本身的诚意还是挺足的,从书中的大量截图就能看出来,但很多地方也确实如书名所说只是从0到1(有广度但深度还不够),对于中小型公司来说还是很有参考意义的;另外就是因为作者曾在几家公司都担任过安全负责人,所以基本上是很全面的介绍了企业进行互联网业务时所必备的安全技术和安全体系,对于一些主要做传统安全攻防对抗方向的同学来说,最后几章和业务安全相关的内容还是可以多学习了解一下的。

另外就是根据我个人看过的和互联网安全相关的书籍/文章来看,现在市面上没有书能够覆盖大型互联网企业安全的内容(当前最接近的一本应该是《互联网企业安全高级指南》,其中的理论思路是很好的,但介绍具体技术方法的内容已经稍微有点陈旧了;最近出的另一本《大型互联网企业安全架构》,其中的”主机安全”相关的内容很好,但是在数据安全和业务安全以及一些其它方向上就明显不够了),感觉以后也很可能不可能会有。

一方面是因为,现在企业中安全涉及的领域越来越多,新技术新思路乃至新业务层出不穷,企业安全团队面临的形势/重点也在不断变化,一个人写的话太难了(除非是很早就在一直做安全的大佬,要有长期的一线经验,还要有高层次的视野,才能cover住大部分内容,但这种人凤毛麟角,而且还不一定愿意写),那最可能的就是由一个团队来写,但这也会有问题,比如:不同的人背景不一样,技术能力不一样,语言风格很难统一……

另一方面就是,安全很多时候是在和人对抗,而且企业安全很多时候还会借助信息不对称的优势,这种情况下,你出书/写文章,就很容易面临一种困境——写的浅了,会被喷没有干货;写的深了,如果涉及到对外暴露策略的问题,很可能是自己给自己挖坑。

不过总的来说,近些年好的、体系化的安全文章越来越多了,也有更多的公司愿意去分享,所以说不定以后会有的,一起加油吧。


第1章 网络安全

1.1 网络流量的收集
1.1.1 最传统的抓包方式libpcap
1.1.2 scapy
1.1.3 gopacket
1.1.4 丢包与性能提升
1.1.5 PF_RING、DPDK与af_packet

1.2 Web流量的抓取方式
1.2.1 TCP流还原
1.2.2 HTTP
1.2.3 使用packetbeat抓取网络流量
1.2.4 其他方案
1.2.5 一些常见问题

1.3 其他流量收集方式
1.3.1 tcpdump
1.3.2 Wireshark
1.3.3 tshark

1.4 开源网络入侵检测工具Suricata
1.4.1 Suricata安装
1.4.2 Suricata suricata.yaml 配置介绍

1.5 DDoS简介及检测
1.5.1 DDoS基本防御手段
1.5.2 建立简单的DDoS检测系统

1.6 本章小结

第2章 运维安全

2.1 Web组件安全
2.1.1 Nginx安全
2.1.2 PHP安全
2.1.3 Tomcat 安全

2.2 其他组件安全
2.2.1 Redis安全
2.2.2 Elasticsearch 安全
2.2.3 其他相关组件:Kafka、MySQL、Oracle等

2.3 上云安全
2.3.1 流量获取
2.3.2 边界管理
2.3.3 云存储安全
2.3.4 小结

2.4 其他安全建议

2.5 本章小结

第3章 主机安全

3.1 Windows主机安全
3.1.1 Windows主机补丁
3.1.2 补丁管理工具WSUS
3.1.3 Windows系统加固建议
3.1.4 Windows经典漏洞简介

3.2 Windows入侵溯源分析
3.2.1 系统
3.2.2 服务
3.2.3 文件
3.2.4 网络

3.3 Linux主机安全
3.3.1 Linux补丁
3.3.2 Linux系统加固建议
3.3.3 bash安全设置
3.3.4 Linux经典漏洞介绍

3.4 Linux入侵溯源分析
3.4.1 系统
3.4.2 服务漏洞检查
3.4.3 恶意进程排查
3.4.4 文件
3.4.5 网络

3.5 主机入侵检测系统
3.5.1 OSSEC简介及其应用
3.5.2 商业Agent
3.5.3 其他主机Agent简介

3.6 本章小结

第4章 办公网安全

4.1 办公网安全总览
4.1.1 设备安全
4.1.2 网络安全
4.1.3 无线安全
4.1.4 人员安全
4.1.5 DNS监控
4.1.6 物理安全

4.2 Windows域控安全
4.2.1 SYSVOL与GPP漏洞
4.2.2 不要轻易在其他机器中使用域控密码

4.3 网络准入控制技术
4.3.1 802.1X
4.3.2 Windows 网络策略和访问服务
4.3.3 网络策略服务器
4.3.4 Cisco 2500无线控制器+NAS + AD实现802.1X
4.3.5 有线交换机+NAP实现802.1X
4.3.6 Portal登录

4.4 其他办公网络安全技术
4.4.1 DHCP Snooping简介和配置
4.4.2 DAI简介及配置

4.5 浅谈APT攻击
4.5.1 防御阶段
4.5.2 防御节点

4.6 本章小结

第5章 开发安全

5.1 SDL

5.2 代码安全

5.3 漏洞扫描系统建设
5.3.1 业务丰富型企业的扫描系统建设
5.3.2 业务单一型企业的扫描系统建设

5.4 扫描系统运营

5.5 本章小结

第6章 日志分析

6.1 Web日志分析
6.1.1 常见Web服务器日志配置
6.1.2 常用的Web分析命令(Linux)
6.1.3 Web 日志分析思路

6.2 Windows日志分析
6.2.1 Windows 日志介绍
6.2.2 常见日志代码介绍
6.2.3 Windows日志分析工具介绍

6.3 Linux日志分析
6.3.1 Linux日志介绍
6.3.2 Linux重要日志详细介绍及相关命令解释
6.3.3 配置syslog发送日志

6.4 日志分析系统ELK的介绍及使用
6.4.1 Logstash
6.4.2 Elasticsearch
6.4.3 Kibana
6.4.4 OSSEC+ELK
6.4.5 Suricata+ELK

6.5 本章小结

第7章 安全平台建设

7.1 设置安全层级

7.2 安全平台建设步骤

7.3 安全平台实现案例
7.3.1 日志分析平台
7.3.2 漏洞记录平台

7.4 其他安全工作

7.5 关于安全工作的一点心得

7.6 本章小结

第8章 安全监控

8.1 知己:了解自身

8.2 知彼:了解对手

8.3 监控策略

8.4 ATT&CK

8.5 本章小结

第9章 隐私与数据安全

9.1 GDPR介绍

9.2 企业针对GDPR的主要工作

9.3 国内个人信息数据安全相关规范

9.4 数据安全

9.5 数据保护影响评估系统简介

9.6 本章小结

第10章 业务安全

10.1 账号安全
10.1.1 账号安全问题
10.1.2 保护账户安全

10.2 支付安全

10.3 内容安全

10.4 其他业务安全

10.5 本章小结

第11章 风控体系建设

11.1 羊毛党和黄牛
11.1.1 工具和角色
11.1.2 刷单类型

11.2 设备指纹系统

11.3 风控系统建设
11.3.1 数据平台
11.3.2 规则平台
11.3.3 处理平台
11.3.4 处罚平台
11.3.5 运营平台
11.3.6 回放平台

11.4 安全画像服务

11.5 风控案例
11.5.1 签到获月卡
11.5.2 领取奖励后退款
11.5.3 通过废弃接口注册/登录
11.5.4 HTML 5页面刷单
11.5.5 商户刷单
11.5.6 异地核销
11.5.7 余额大法
11.5.8 小结

11.6 关于风控系统建设的一些建议

11.7 风控工作的经验总结

11.8 本章小结

第12章 企业安全体系建设

12.1 概述

12.2 安全体系建设的内容
12.2.1 建立管理体系
12.2.2 建立技术体系
12.2.3 建立运营体系

12.3 安全体系建设步骤

12.4 本章小结

参考链接:

互联网安全建设从0到1
https://book.douban.com/subject/35118713/

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4954.html

《[read]互联网安全建设从0到1》上的一个想法

  1. Application-level Purple Teaming: A case study
    https://labs.f-secure.com/blog/application-level-purple-teaming/
    `
    This post describes our approach to application-level purple teaming for a specific app; yours would likely be different. We’ve started discussing this approach with a few different organisations, who each have different requirements and levels of sophistication. For this case study, the general flow looked like this:

    1. We first performed a threat modelling exercise to understand the app, its technology stack, the attackers who might target it, higher-likelihood attacks and existing controls. We used this to decide on baseline metrics we would need to capture, as well as the main categories and test cases we would benchmark the app against.
    2. In iteration #1, we focused on baselining the app’s current attack-awareness, specifically its logging and alerting across our test cases.
    3. In iteration #2, we assessed the improvements to logging and alerting across those test cases, using common toolsets for this. At this stage, we also began considering what response could look like.
    4. In future, we will seek to close gaps in logging and alerting for remaining categories and start introducing responsiveness for those categories we’ve already covered.
    `

发表评论

电子邮件地址不会被公开。 必填项已用*标注