La plataforma de operaciones de seguridad básica es una plataforma de seguridad integral que integra inteligencia de amenazas, detección de vulnerabilidades, percepción de intrusiones, defensa activa, muerte de puerta trasera, línea de base de seguridad y cerebro de seguridad. Emprende la importante tarea de las empresas de resistir varios ataques de red y prevenir riesgos internos.
Primero, obtenga los últimos datos y tendencias de ataque desde el exterior a través de la inteligencia de amenazas, y en segundo lugar, use la detección de vulnerabilidades para contar los activos corporativos e inspeccione periódicamente y corrija las vulnerabilidades de seguridad, y luego descubra los ataques en varias redes, hosts y servicios basados en la percepción de intrusiones, y luego a través del cerebro de seguridad El análisis general y la respuesta automatizada completan las operaciones básicas de seguridad de las compañías de Internet de una vez.
1. Inteligencia de amenazas
Para las empresas de Internet, dominar la inteligencia de amenazas puede ayudar a las empresas a advertir oportunamente sobre las amenazas de seguridad que enfrentan los activos de la red pública, comprender la dinámica de amenazas más reciente, implementar estrategias de defensa proactiva y respuesta rápida, y comprender las amenazas de seguridad junto con un análisis en profundidad de los datos de seguridad , Y use SIEM con precisión para el seguimiento de amenazas y el seguimiento de ataques.
1.1 Biblioteca de información pública
Con respecto a la recopilación de inteligencia, por un lado, se puede capturar desde canales de inteligencia de código abierto (como VirusTotal, Cymon, etc.), por otro lado, se puede obtener de componentes de seguridad internos (como WAF, NTA) y también se puede obtener a través de escaneo por lotes, ataques DDoS y otros canales.
Amenaza la recogida de información marco cardado: GOSINT, Spiderfoot
una historia de Whois e información de DNS mejores herramientas: SecurityTrails
consulta la información sobre amenazas integral tienen mejores herramientas: IBM X-Force Exchange, Crymon
puertos se consultan en un amplio estadísticas de servicios de Internet hacer mejores herramientas: SHODAN, CensysLas FOFA
mejores herramientas para analizar archivos maliciosos, URL, nombres de dominio, MD5 son:VirusTotal
1.2 Advertencia de vulnerabilidad
Muchas versiones de vulnerabilidad a menudo no se registran en la base de datos de vulnerabilidad de CVE por primera vez. Puede usar la CMDB para contar varios componentes utilizados en su entorno de producción y luego monitorear las páginas de vulnerabilidad del sitio web oficial correspondiente y algunos foros o sitios donde los piratas informáticos liberan POC de vulnerabilidad. Si hay nuevas vulnerabilidades, el equipo de seguridad será notificado por correo electrónico o SMS para tratarlas.
1.3 Fuga de información
En el caso de una administración de la empresa flexible, los empleados a menudo cargan código en plataformas como GitHub, y algunos piratas informáticos comprarán y venderán datos en la web oscura después de arrastrar la biblioteca, por lo que es necesario controlar la filtración de información de la empresa.
Las herramientas de código abierto para escanear filtraciones de información de GitHub: Gitroblas herramientas de código abierto de Xiaomi x-patrol
para el escaneo web oscuro son: OnionScan
mejores marcos de análisis integrales son:AIL
Segundo, detección de vulnerabilidad
2.1 vulnerabilidades de red
Vulnerabilidades que se pueden descubrir a través del escaneo remoto directo de puertos, como vulnerabilidades de desbordamiento remoto de OpenSSH, contraseñas débiles de MySQL, etc.
escaneo de vulnerabilidades de red común Nessusde software: OpenVAS, Core Impact,, Nexposeetc.
También hay algunas herramientas especiales de exploración, tales nmapcomo: zmap,, masscan
de descubrimiento de contraseñas herramientas tales medushacomo: hydra,,Ncrack
2.2 Vulnerabilidad del host
La razón principal es que hay una gran cantidad de agujeros de seguridad que pueden explotarse localmente porque el sistema Linux / Windows no se actualiza después de instalarse en la máquina.
El cumplimiento de seguridad y software de evaluación de la vulnerabilidad: OpenSCAP
fuente abierta herramientas de escaneo de vulnerabilidades CVE son: cvechecker, cve-checker-tool
comprobaciones de seguridad para la biblioteca de componentes de Java: OWASP Dependency-Check
comprobaciones de vulnerabilidad para la biblioteca JavaScript y Node.js: Retire.js
escaneo de vulnerabilidades de contenedores:Anchore
2.3 vulnerabilidades del sitio web
sitio web común escáner de vulnerabilidades son: AWVS, AppScan, WebInspect
sitio web común escáner de vulnerabilidades de código abierto son:Arachni
3. Percepción de intrusión
La tecnología de detección de intrusiones es un medio para detectar intrusiones mediante el monitoreo de una serie de indicadores anormales relacionados con la seguridad.
En general, la intrusión se puede percibir desde canales pasivos:
1. Anomalías de la red, como ataques DDoS, solicitudes de DNS anormales, suplantación de ARP
2. Anomalías del host, como agrietamiento por fuerza bruta, shell de rebote, escalada de privilegios del sistema
3. Aislamiento de anomalías, como escape de máquina virtual, escape de contenedor
4. Excepciones de aplicaciones, como ejecución de comandos , Lectura y escritura de archivos, inyección SQL
También puede percibir la intrusión de los canales activos:
Tales como honeypot, cebo, hisopo de miel, etc.
3.1 Análisis de tráfico de red NTA
Los ataques comunes en el tráfico de red son:
1. Riesgos de protocolo, como ataque de protocolo BGP, ataque de protocolo CDP, suplantación de dirección MAC, envenenamiento de caché ARP, ataque de hambre DHCP, etc.
2. Denegación de servicio, como inundación SYN, inundación UDP, ataque de reflexión NTP, ataque de reflexión SSDP, reflexión de DNS Ataques, etc.
3. Escaneo de sondas, como escaneo de IP, escaneo de puertos, escaneo de vulnerabilidades, propagación de virus, propagación de minería, propagación de ransomware, craqueo de fuerza bruta, etc.
4. Comunicaciones APT y C & C, como nombres de dominio IP codificados, nombres de dominio aleatorio DGA Túnel DNS, análisis de tráfico cifrado, etc.
5. Ataques de protocolo de aplicación descifrables, como ataques HTTP, ataques SMTP, ataques MySQL, ataques SMB, etc.
Productos de seguridad NTA:
productos de análisis de tráfico de la red de actividad: Greycortex, RSA NetWitness Network, ProtectWise, Molochy otros
productos de análisis de tráfico de red de código abierto: Bro, Apache Spot, Stream4Flow, NetCap
de código abierto, la carga de alto rendimiento equilibrar los productos Katran, DPVS
una fuente abierta productos de detección de intrusiones en la red: Snort, Suricata
análisis retrospectivo índice de tráfico de la red:Moloch
3.2 Detección de intrusos del host HIDS
Hay muchas amenazas de intrusión que pueden ser detectadas por la capa de host, como elevación del sistema, inicio de sesión anormal, shell de rebote, rastreo de red, inyección de memoria, comportamiento de proceso anormal, lectura y escritura de archivos anormales, comunicación de red anormal, puertas traseras de virus, vulnerabilidades de seguridad, defectos de configuración, etc. .
de código abierto OSSECproductos: Osquery, Elastic/beats, sysdig,,Capsule8
Existen varios métodos para la supervisión de procesos en tiempo real en Linux:
1. Secuestrar la función execve glibc en la capa de aplicación a través de ld.so.preload. Los productos de código abierto son:exec-logger
2. Se implementa en la capa de aplicación a través de las llamadas relacionadas de Process Events Connector proporcionadas por Linux. Los productos de código abierto son:Extrace
3. En la capa de aplicación a través de la interfaz proporcionada por Linux Audit. Hay Linux incorporado auditd服务, los productos de código abierto son:Osquery
4. En la capa del núcleo, Trancepoint, eBPF o Kprobe pueden realizarlo. productos de código abierto Sysdigson: ,Capsule8
5. En la capa del núcleo, se implementa mediante el puntero de la función execve de Hook Linux Syscall Table o la API proporcionada por el marco LSM. No están incorporados en LSM安全模块, productos de código abierto 驭龙HIDSson: ,AgentSmith
3.3 Tecnología de falsificación
La tecnología de engaño se ha fortalecido sobre la base de la tecnología honeypot anterior, utilizando tecnologías como cebo, hisopos y creación automatizada de redes de miel. Los honeypots se dividen en honeypots de alta interacción y honeypots de baja interacción.Para lograr un alto grado de confusión, las técnicas de engaño generalmente se basan en honeypots de alta interacción.
honeypot productos de código abierto: Honeytrap, OpenCanary
productos de código abierto cebo: honeybits
Open Source miel firmó los productos Canarytokens
capa de máquina virtual para lograr el control del software de código abierto: LibVMI,rVMI
Cuarto, defensa activa
La tecnología de defensa activa generalmente se centra en la protección. Agregar tecnología de defensa activa a la seguridad predeterminada del sistema generalmente ayuda a interceptar amenazas de seguridad conocidas o desconocidas.
4.1 Prevención de intrusiones del host HIPS
Mecanismo de seguridad propio de Linux: LSM(Módulo de seguridad de Linux, módulo de seguridad de Linux)
Método de implementación: AKO(Observador de kernel adicional) Utilice
productos de protección activa del kernel de código abierto (LKM) de kernel de código abierto LKRG(protección de tiempo de ejecución de kernel de Linux, Linux Kernel Runtime Guard )
4.2 Aplicación web Firewall WAF
Productos de código abierto: ModSecurity(compatible con Nginx), OpenStar
WAF basado en AI: Wallarm
productos de seguridad de aplicaciones antifraude de código abierto:Repsheet
Implementación de protección DDoS:
El DDoS general se implementa en capas. La primera capa (front-end) se puede usar para la programación IP regional a través del protocolo de enrutamiento anycast; la segunda capa se puede resistir mediante un equipo de protección DDoS dedicado en hardware o software; la tercera capa está en el WAF Hacer la capa de aplicación de protección HTTP DDoS.
Para la segunda capa de protección, puede usar productos de equilibrio de carga de 4 capas de red de alto rendimiento de código abierto: Katran
para la tercera capa de protección, puede usar productos de código abierto: Tempesta FWcontrolador de distribución de aplicaciones
4.3 RASP de autoprotección en tiempo de ejecución
En comparación con WAF, RASP funciona dentro de la aplicación y puede obtener más detalles de la operación del programa, lo que puede resolver muchos problemas de falsos positivos de WAF. La intercepción del WAF firmado evita el problema, por lo que RASP es más fuerte que WAF para interceptar ataques de piratas informáticos. Sin embargo, en términos de rendimiento, estabilidad e intercepción DDoS, el WAF tradicional se implementa de forma independiente, por lo que tiene más ventajas.
Productos de código abierto que admiten Java y PHP:OpenRASP
4.4 Base de datos de firewall DBF
A través del firewall de la base de datos, puede interceptar ataques de inyección SQL, desensibilizar datos confidenciales, evitar operaciones de eliminación de datos de alto riesgo, registrar y descubrir violaciones, etc. Proporciona la última capa de protección de seguridad para inyección SQL.
productos Open Source Modelo agencia basado: DBShield, Acre
plug-in modelo basado de productos de código abierto:mysql-audit
Cinco, puerta trasera matando AV
Las puertas traseras generales se dividen aproximadamente en 3 categorías:
1. rootkit de puerta trasera altamente oculta
2.
Puerta trasera de control remoto general 3. Puerta trasera de shell ejecutada en entorno web
5.1 Rootkit
Los rootkits se dividen principalmente en tres tipos según sus etapas de función: rootkits de nivel de aplicación, rootkits de nivel de kernel y bootkits de arranque (puerta trasera de rootkit de nivel inferior). La dificultad de detectar estos tres rootkits aumenta a su vez.
Herramientas de código abierto:
Rootkit capa de aplicación de detección: rkhunter, chkrootkit
fuera de línea herramienta de análisis de la memoria Rootkit: Volatility
Rootkit detección proceso oculto: Linux Process Hunter
una detección amplia Rootkit: Tyton,kjackal
5.2 Puerta trasera
La puerta trasera del host suele ser la puerta trasera de la capa de aplicación de control remoto general. Hay muchas puertas traseras de este tipo, y a menudo se usan en combinación con la tecnología rootkit.
Herramientas:
Linux puerta trasera herramienta de análisis: clamav
abierta guión de herramienta de exploración fuente: malscan
Open Source herramienta de detección de puerta trasera Anfitrión: binaryalert
Open Source distribuido herramienta de análisis: klara
abierta la inteligencia de amenazas de origen y herramientas de análisis de respuesta: el rastrea2r
análisis dinámico y herramientas de detección: cuckoo, sandbox
malicioso software a nivel de empresa automatizadas marco analítico:stoQ
5.3 webshell
Webshell es una puerta trasera web especializada, generalmente escrita en un lenguaje de script, con alta flexibilidad y fácil deformación. Los sitios web comunes incluyen PHP, ASP, ASP.NET, JSP, Python, Node.js y otros tipos de puertas traseras.
Herramientas:
Herramienta de detección PHP de código abierto para web shell: herramienta para php-malware-finder
monitorear cambios de archivos: masc
herramienta de código abierto MLCheckWebshell
para detección de webshell usando aprendizaje automático: plataforma de detección de webshell en línea: BaiduWEBDIR+
Seis, línea de base de seguridad
Los problemas de seguridad de configuración representan una gran proporción de vulnerabilidades de seguridad e incluyen redes, sistemas operativos, varios servidores de aplicaciones y sistemas de bases de datos. Las líneas de base de seguridad comunes incluyen la configuración de seguridad predeterminada y el fortalecimiento de la seguridad.
Herramientas:
Línea de base página web plantilla de seguridad: cisecurity
software de cumplimiento de código abierto: Lynis, inSpec
de código abierto auditoría y gestión de configuración de la plataforma continua:Rudder
7. Cerebro seguro
El cerebro de seguridad es un centro integral de respuesta de automatización de análisis y orquestación para datos de seguridad. Sus funciones principales incluyen conciencia de la situación de seguridad (SSA), información de seguridad y gestión de eventos (SIEM), orquestación de seguridad y respuesta automatizada (SOAR).
7.1 Conciencia situacional de seguridad
La parte principal es la pantalla frontal del cerebro seguro. Los datos involucrados en la seguridad son más complejos y altamente correlacionados, y requieren un mejor marco de visualización front-end.
El cerebro de seguridad debe ser capaz de manejar eventos de seguridad complejos que involucren la interacción y la correlación de múltiples entidades. Con este fin, los gráficos de conocimiento, los cálculos de gráficos, la semántica de datos, el aprendizaje automático y otras tecnologías deben usarse de manera integral para producir mejores resultados. La integración de varios sistemas (como los sistemas de gestión de identidad e inteligencia de amenazas) también requiere una mejora continua por parte del equipo de seguridad.
Referencia:
marco de la pantalla de front-end: Sqrrl
página web de material: SecViz
JS D3.jsmarco: vis.js,,three.js
7.2 Información de seguridad y gestión de incidentes
Producto:
SIEM Splunkproductos QRadar,, LogRhythm
decisión inteligente SparkSoluciones: Flink,,Storm
almacenamiento de datos y el procesamiento de grandes proyectos: Hadoop, ClickHouse
la indexación de datos de registro y consulta de artículos: Elasticsearch/Elastic Stack, Graylog
las reglas de seguridad abiertas registro fuente: Sigma
las soluciones de seguridad de datos de código abierto: grandes Elastic, Metron
proyecto de base de datos cartográfica de código abierto:HugeGraph
Orquestación de seguridad y respuesta automatizada.
El siguiente paso en la toma inteligente de decisiones es la orquestación de seguridad y la respuesta automatizada (SOAR).
Producto:
SOAR productos de código abierto: StackStorm, MozDef(Mozilla plataforma de defensa)
operaciones de seguridad de código abierto coreografía productos:PatrOwl
