当事者Aの基本的なセキュリティ運用プラットフォームの構築実践

基本的なセキュリティ運用プラットフォームは、脅威インテリジェンス、脆弱性の検出、侵入の知覚、アクティブディフェンス、バックドアキリング、セキュリティベースライン、およびセキュリティブレインを統合する包括的なセキュリティプラットフォームです。さまざまなネットワーク攻撃に抵抗し、内部リスクを防ぐために、企業の重要なタスクを実行します。

まず、脅威インテリジェンスを通じて外部から最新の攻撃データとトレンドを取得し、次に、脆弱性検出を使用して企業資産をカウントし、セキュリティの脆弱性を定期的に検査してパッチを適用し、次に侵入の認識に基づいてさまざまなネットワーク、ホスト、サービスへの攻撃を発見し、次にセキュリティブレインを通過します。全体的な分析と自動応答により、インターネット企業の基本的なセキュリティ運用を一度に完了できます。

1.脅威インテリジェンス

インターネット企業の場合、脅威インテリジェンスを習得することで、企業はパブリックネットワークアセットが直面するセキュリティの脅威をタイムリーに警告し、最新の脅威のダイナミクスを理解し、プロアクティブな脅威の防御と迅速な対応戦略を実装し、セキュリティの脅威をセキュリティデータの詳細な分析と包括的に把握、そしてSIEMを脅威の追跡と攻撃の追跡に正確に使用します。

1.1公共情報ライブラリ

インテリジェンスコレクションに関しては、一方ではオープンソースインテリジェンスチャネル（VirusTotal、Cymonなど）から取得でき、他方では内部セキュリティコンポーネント（WAF、NTAなど）から取得でき、バッチスキャン、DDoS攻撃、およびその他のチャネルを通じて取得することもできます。

脅威情報収集カーディングフレームは：GOSINT、Spiderfoot
WhoisのとDNS情報の歴史より良いツール：SecurityTrails
クエリ包括的な脅威インテリジェンスは、より良いツールを持っている：IBM X-Force Exchange、Crymon
ポートは包括的なインターネットサービスの統計で照会され、より良いツールを実行しますSHODAN、Censys、FOFA
悪意のあるファイル、URL、ドメイン名、MD5を分析するための優れたツールは次のとおりです。VirusTotal

1.2脆弱性の警告

多くの脆弱性リリースは、多くの場合、初めてCVE脆弱性データベースに記録されません。CMDBを使用して、実稼働環境で使用されるさまざまなコンポーネントをカウントし、対応する公式Webサイトの脆弱性ページと、ハッカーが脆弱性POCをリリースするいくつかのフォーラムまたはサイトを監視できます。新しい脆弱性がある場合、セキュリティチームはそれらに対処するために電子メールまたはSMSで通知されます。

1.3情報漏洩

会社の管理がゆるい場合、従業員はコードをGitHubなどのプラットフォームにアップロードすることが多く、一部のハッカーはライブラリをドラッグした後に暗いウェブでデータを売買するため、会社の情報漏えいを監視する必要があります。

GitHub情報漏えいをスキャンするためのオープンソースツール：GitrobXiaomiのx-patrol
ダークウェブスキャン用のオープンソースツールは次のとおりOnionScan
です。より包括的な分析フレームワークは次のとおりです。AIL

第二に、脆弱性の検出

2.1ネットワークの脆弱性

OpenSSHのリモートオーバーフローの脆弱性、MySQLの脆弱なパスワードなど、ポートの直接リモートスキャンを通じて発見できる脆弱性

一般的なネットワーク脆弱性スキャンNessusソフトウェアは：OpenVAS、Core Impact、、Nexposeなど
など、また、いくつかの特殊なスキャンツールがありますnmapよう：zmap、、 masscan
、パスワードクラッキングツールmedushaとして：hydra、、Ncrack

2.2ホストの脆弱性

主な理由は、Linux / Windowsシステムがマシンにインストールされた後にアップグレードされないため、ローカルで悪用できるセキュリティホールが多数あるためです。

セキュリティコンプライアンスと脆弱性評価用ソフトウェア：OpenSCAP
オープンソースツールCVEの脆弱性スキャンは、次のとおりcvechecker、cve-checker-tool
Javaのコンポーネントライブラリの脆弱性チェック：OWASP Dependency-Check
JavascriptとNode.jsのライブラリの脆弱性チェック：Retire.js
脆弱性コンテナのスキャン：Anchore

2.3ウェブサイトの脆弱性

一般的なWebサイトの脆弱性スキャナは、次のとおりです。AWVS、AppScan、WebInspect
一般的なWebサイトの脆弱性スキャナのオープンソースは以下のとおりです。Arachni

3.侵入知覚

侵入検知技術は、一連のセキュリティ関連の異常なインジケーターを監視することで侵入を検知する手段です。

一般に、侵入はパッシブチャネルから認識できます。

1. DDoS攻撃、異常なDNSリクエスト、ARPスプーフィングなどのネットワーク異常
2.ブルートフォースクラッキング、リバウンドシェル、システム権限エスカレーションなどのホスト異常
3.仮想マシンエスケープ、コンテナエスケープなどの異常の分離
4.コマンド実行などのアプリケーション例外、ファイルの読み取りと書き込み、SQLインジェクション

アクティブなチャネルからの侵入を感知することもできます。

ハニーポット、餌、ハニースワブなど

3.1ネットワークトラフィック分析NTA

ネットワークトラフィックの一般的な攻撃は次のとおりです。

1. BGPプロトコル攻撃、CDPプロトコル攻撃、MACアドレススプーフィング、ARPキャッシュポイズニング、DHCPスターベーション攻撃などのプロトコルハザード
2.サービス拒否（SYNフラッド、UDPフラッド、NTPリフレクション攻撃、SSDPリフレクション攻撃、DNSリフレクションなど）攻撃など
3. IPスキャン、ポートスキャン、脆弱性スキャン、ウイルスの伝播、マイニングの伝播、ランサムウェアの伝播、ブルートフォースクラッキングなどのプローブスキャン
4.ハードコードされたIPドメイン名、DGAランダムドメイン名などのAPTおよびC＆C通信DNSトンネル、暗号化されたトラフィック分析など
。5. HTTP攻撃、SMTP攻撃、MySQL攻撃、SMB攻撃などの復号化可能なアプリケーションプロトコル攻撃。

NTAセキュリティ製品：

ビジネスネットワークトラフィック分析製品：Greycortex、RSA NetWitness Network、ProtectWise、Moloch、その他
のオープンソースのネットワークトラフィック分析製品：Bro、Apache Spot、Stream4Flow、NetCap
製品のバランスをとる、オープンソース、高性能負荷：Katran、DPVS
オープンソースのネットワーク侵入検知製品：Snort、Suricata
ネットワークトラフィックインデックスレトロスペクティブ分析：Moloch

3.2ホスト侵入検知HIDS

システムの昇格、異常なログイン、リバウンドシェル、ネットワークスニッフィング、メモリインジェクション、異常なプロセス動作、異常なファイルの読み取りと書き込み、異常なネットワーク通信、ウイルスバックドア、セキュリティの脆弱性、構成の欠陥など、ホストレイヤーによって検出できる多くの侵入の脅威があります。 。

オープンソースのOSSEC製品：Osquery、Elastic/beats、sysdig、、Capsule8

Linuxでのリアルタイムプロセスモニタリングにはいくつかの方法があります。

1. ld.so.preloadを使用して、アプリケーション層でglibc execve関数をハイジャックします。オープンソース製品は次のとおりです。exec-logger

2. Linuxが提供するProcess Events Connectorの関連する呼び出しを通じて、アプリケーション層で実装されます。オープンソース製品は次のとおりです。Extrace

3. Linux Auditが提供するインターフェースを介してアプリケーション層で。組み込みのLinuxがありauditd服务、オープンソース製品は次のとおりです。Osquery

4.カーネル層では、Trancepoint、eBPF、またはKprobeによって実現できます。オープンソース製品はSysdig以下のとおりです、Capsule8

5.カーネル層では、フックLinux Syscallテーブルのexecve関数ポインター、またはLSMフレームワークによって提供されるAPIによって実装されます。そこビルトインされているLSM安全模块、オープンソース製品は驭龙HIDS以下のとおりです、AgentSmith

3.3なりすまし技術

欺瞞技術は、餌、蜂蜜綿棒、自動化されたハニーネット作成などの技術を使用して、以前のハニーポット技術に基づいて強化されました。ハニーポットは、相互作用の高いハニーポットと相互作用の少ないハニーポットに分けられます。高度な混乱を実現するために、欺瞞の手法は通常、相互作用の高いハニーポットに基づいています。

オープンソースのハニーポットの製品：Honeytrap、OpenCanary
オープンソース製品は餌：honeybits
：オープンソースの蜂蜜は、製品署名Canarytokens
オープンソースソフトウェアの制御を達成するために、仮想マシンの層を：LibVMI、rVMI

第四に、積極的な防御

アクティブな防御技術は通常、保護に焦点を当てています。システムのデフォルトのセキュリティにアクティブな防御テクノロジーを追加すると、通常、既知または未知のセキュリティ脅威を阻止できます。

4.1ホスト侵入防止HIPS

Linux独自のセキュリティメカニズム：LSM（Linuxセキュリティモジュール、Linuxセキュリティモジュール）
実装方法：（AKO追加のカーネルオブザーバー）動的ロード可能カーネルモジュール（LKM）を使用する
オープンソースカーネルアクティブ保護製品：LKRG（Linuxカーネルランタイム保護、Linuxカーネルランタイムガード）

4.2 WebアプリケーションファイアウォールWAF

オープンソース製品：ModSecurity（Nginxをサポート）、OpenStar
AIベースのWAF：Wallarm
オープンソースの不正防止アプリケーションセキュリティ製品：Repsheet

DDoS保護の実装：

一般的なDDoSはレイヤーに実装されています。最初のレイヤー（フロントエンド）は、エニーキャストルーティングプロトコルによるIPクロスリージョンスケジューリングに使用できます。2番目のレイヤーは、ハードウェアまたはソフトウェアの専用DDoS保護装置によって抵抗できます。3番目のレイヤーはWAFにありますアプリケーション層のHTTP DDoS保護を実行します。

保護の第2層には、オープンソースの高性能ネットワーク4層負荷分散製品Katran
を使用できます。保護の第3層には、オープンソース製品を使用できます。Tempesta FWアプリケーション配布コントローラー

4.3実行時の自己保護RASP

WAFと比較して、RASPはアプリケーション内で動作し、プログラム操作の詳細を取得できます。これにより、WAF誤検知の多くの問題を解決できます。一方、アプリケーションの主要な機能にフックしてプログラムの動作を観察することにより、署名付きWAFのインターセプトは問題を回避するため、ハッカー攻撃のインターセプトではRASPがWAFよりも強力です。ただし、パフォーマンス、安定性、およびDDoSインターセプトの点では、従来のWAFは独立して展開されるため、より多くの利点があります。

JavaとPHPの両方をサポートするオープンソース製品：OpenRASP

4.4データベースファイアウォールDBF

データベースファイアウォールを介して、SQLインジェクション攻撃を阻止し、機密データの感度を落とし、リスクの高いデータ削除操作を防止し、違反を記録および発見することができます。SQLインジェクションのセキュリティ保護の最後のレイヤーを提供します。

オープンソース製品ベースの代理店モデル：DBShield、Acre
プラグインのオープンソース製品のベースモデル：mysql-audit

5、バックドア殺人AV

一般的なバックドアは、大きく3つのカテゴリに分類されます。

1.非常に隠されたバックドアルートキット
2.一般的なリモートコントロールバックドア
3. Web環境で実行されるWebshel​​lバックドア

5.1ルートキット

ルートキットは、機能レベルに応じて、主にアプリケーションレベルのルートキット、カーネルレベルのルートキット、およびブートアップブートキット（下位レベルのルートキットバックドア）の3つのタイプに分類されます。これらの3つのルートキットを検出する難しさは次第に高まります。

オープンソースツール：

ルートキット検出アプリケーション層：rkhunter、chkrootkit
オフラインメモリ分析ツールルートキット：Volatility
ルートキット隠されたプロセスの検出：Linux Process Hunter
包括的なルートキット検出：Tyton、kjackal

5.2バックドア

ホストのバックドアは通常、一般的なリモートコントロールアプリケーションレイヤーのバックドアです。このようなバックドアは数多くあり、ルートキットテクノロジーと組み合わせて使用​​されることがよくあります。

ツール：

Linuxのバックドアスキャンツール：clamav
オープンソーススキャンツールスクリプト：malscan
オープンソースのホストのバックドア検出ツール：binaryalert
オープンソースのツールスキャン分散型klara
のオープンソースの脅威インテリジェンスと応答解析ツール：rastrea2r
動的解析と検出ツール：cuckoo、sandbox
悪意のあるソフトウェアのエンタープライズレベルの自動分析フレームワークを：stoQ

5.3 webshel​​l

Webshel​​lは特殊なWebバックドアであり、通常はスクリプト言語で書かれており、高い柔軟性と簡単な変形を備えています。一般的なWebshel​​lには、PHP、ASP、ASP.NET、JSP、Python、Node.js、およびその他の種類のバックドアが含まれます。

ツール：

オープンソースのPHP Webshel​​l検出ツール：php-malware-finder
ファイルの変更を監視するためのツール：masc
機械学習を使用MLCheckWebshell
したWebshel​​l検出用のオープンソースツール：オンラインWebshel​​l検出プラットフォーム：BaiduWEBDIR+

6、セキュリティベースライン

構成のセキュリティの問題は、セキュリティの脆弱性の大部分を占め、ネットワーク、オペレーティングシステム、さまざまなアプリケーションサーバー、データベースシステムが含まれます。一般的なセキュリティベースラインには、デフォルトのセキュリティ構成とセキュリティ強化が含まれます。

ツール：

ベースラインセキュリティテンプレートのウェブサイト：cisecurity
オープンソースコンプライアンスソフトウェア：Lynis、inSpec
オープンソース継続監査および構成管理プラットフォーム：Rudder

7.安全な脳

セキュリティブレインは、セキュリティデータの包括的な分析およびオーケストレーション自動化応答センターです。その主な機能には、セキュリティ状況認識（SSA）、セキュリティ情報およびイベント管理（SIEM）、セキュリティオーケストレーションおよび自動応答（SOAR）が含まれます。

7.1セキュリティ状況認識

主要部分は、安全な脳のフロントエンドディスプレイです。セキュリティに関連するデータはより複雑で相関が高く、より優れたフロントエンド表示フレームワークが必要です。

セキュリティブレインは、複数のエンティティの相互作用と相関を含む複雑なセキュリティイベントに対処できる必要があります。このため、より良い結果を生成するには、ナレッジグラフ、グラフ計算、データセマンティクス、機械学習、その他のテクノロジーを包括的に使用する必要があります。さまざまなシステム（ID管理や脅威インテリジェンスのためのシステムなど）の統合には、セキュリティチームによる継続的な改善も必要です。

参照：

フロントエンドの表示枠：Sqrrl
材質ウェブサイト：SecViz
JSのD3.jsフレームワーク：vis.js、、three.js

7.2セキュリティ情報とインシデント管理

製品：

SIEM Splunk製品：QRadar、、LogRhythm
インテリジェントな意思決定Sparkソリューション：Flink、、Storm

大規模なデータストレージおよび処理プロジェクト：Hadoop、ClickHouse
ログデータのインデックスやアイテムを照会：Elasticsearch/Elastic Stack、Graylog
オープンソースのロギング安全規則：Sigma
オープンソースのビッグデータ・セキュリティ・ソリューション：Elastic、Metron
オープンソースの地図データベースプロジェクト：HugeGraph

セキュリティオーケストレーションと自動応答

インテリジェントな意思決定の次のステップは、セキュリティオーケストレーションと自動応答（SOAR）です。

製品：

オープンソース製品をSOAR： StackStorm、（MozillaのMozDef防衛プラットフォーム）
、オープンソースのセキュリティ・オペレーションは、製品を振付：PatrOwl