A plataforma básica de operações de segurança é uma plataforma abrangente de segurança que integra inteligência de ameaças, detecção de vulnerabilidades, percepção de intrusão, defesa ativa, invasão de backdoor, linha de base de segurança e cérebro de segurança.Ele assume a importante tarefa das empresas de resistir a vários ataques à rede e evitar riscos internos.
Primeiro, obtenha os dados e tendências mais recentes do ataque de fora por meio da inteligência de ameaças e, em segundo lugar, use a detecção de vulnerabilidades para contar os ativos corporativos e inspecionar e corrigir periodicamente as vulnerabilidades de segurança e, em seguida, descubra ataques em várias redes, hosts e serviços com base na percepção de intrusão e, em seguida, através do cérebro de segurança A análise geral e a resposta automatizada completam as operações básicas de segurança das empresas de Internet de uma só vez.
1. Inteligência contra ameaças
Para empresas de Internet, o domínio da inteligência de ameaças pode ajudar as empresas a alertar oportunamente sobre ameaças à segurança enfrentadas por ativos de rede pública, entender as mais recentes dinâmicas de ameaças, implementar estratégias proativas de defesa contra ameaças e resposta rápida e compreender de maneira abrangente as ameaças à segurança em conjunto com a análise aprofundada dos dados de segurança E use com precisão o SIEM para rastreamento de ameaças e rastreamento de ataques.
1.1 Biblioteca de informações públicas
Em relação à coleta de inteligência, por um lado, ela pode ser capturada a partir de canais de inteligência de código aberto (como VirusTotal, Cymon etc.), por outro, pode ser obtida de componentes de segurança internos (como WAF, NTA) e também pode ser obtida por meio de varredura em lote, ataques DDoS e outros canais.
Ameaça coleta de inteligência quadro carding: GOSINT, Spiderfoot
um Whois e informação DNS história melhores ferramentas: SecurityTrails
consulta ameaça abrangente de inteligência têm melhores ferramentas: IBM X-Force Exchange, Crymon
portos são consultados em uma abrangente estatísticas de serviços de Internet fazer melhores ferramentas: SHODAN, CensysAs FOFA
melhores ferramentas para analisar arquivos maliciosos, URLs, nomes de domínio e MD5 são:VirusTotal
1.2 Aviso de vulnerabilidade
Muitas vezes, muitas versões da vulnerabilidade não são registradas no banco de dados de vulnerabilidades do CVE pela primeira vez. Você pode usar o CMDB para contar vários componentes usados no seu ambiente de produção e monitorar as páginas de vulnerabilidade do site oficial correspondentes e alguns fóruns ou sites em que os hackers liberam POCs de vulnerabilidade. Se houver novas vulnerabilidades, a equipe de segurança será notificada por email ou SMS para lidar com elas.
1.3 Vazamento de informações
No caso de gerenciamento frouxo da empresa, os funcionários costumam fazer upload de código para plataformas como o GitHub, e alguns hackers compram e vendem dados na dark web após arrastar a biblioteca, por isso é necessário monitorar o vazamento de informações da empresa.
Ferramentas de código aberto para varredura de vazamentos de informações do GitHub: Gitrobas ferramentas de código aberto da Xiaomi x-patrol
para varredura na dark web são: OnionScan
estruturas de análise melhores e abrangentes são:AIL
Segundo, detecção de vulnerabilidades
2.1 Vulnerabilidades de rede
Vulnerabilidades que podem ser descobertas através da varredura remota direta de portas, como vulnerabilidades de sobrecarga remota OpenSSH, senhas fracas do MySQL, etc.
varredura de vulnerabilidades de rede comum Nessussoftware: OpenVAS, Core Impact,, Nexposeetc.
Existem também algumas ferramentas de digitalização especiais, tais nmapcomo: zmap,, masscan
quebra de senha ferramentas tais medushacomo: hydra,,Ncrack
2.2 Vulnerabilidade no host
O principal motivo é que há um grande número de falhas de segurança que podem ser exploradas localmente porque o sistema Linux / Windows não é atualizado após a instalação na máquina.
Security Compliance e software de Avaliação de Vulnerabilidade: OpenSCAP
open source varredura de vulnerabilidades ferramentas CVE são: cvechecker, cve-checker-tool
verificações de vulnerabilidade para Java biblioteca de componentes: OWASP Dependency-Check
verificações de vulnerabilidade para Javascript e Node.js biblioteca: Retire.js
varredura para o recipiente vulnerabilidades:Anchore
2.3 Vulnerabilidades no site
scanner de vulnerabilidade website comuns são: AWVS, AppScan, WebInspect
website comum vulnerabilidade scanner de código aberto são:Arachni
3. Percepção de intrusão
A tecnologia de detecção de intrusões é um meio de detectar invasões monitorando uma série de indicadores anormais relacionados à segurança.
Geralmente, a intrusão pode ser percebida a partir de canais passivos:
1. Anomalias de rede, como ataques DDoS, solicitações DNS anormais, falsificação de ARP
2. Anomalias de host, como quebra de força bruta, shell de recuperação, escalonamento de privilégios do sistema
3. Isolamento de anomalias, como escape de máquina virtual, escape de contêiner
4. Exceções de aplicativos, como execução de comandos , Leitura e gravação de arquivos, injeção de SQL
Você também pode perceber a intrusão de canais ativos:
Como honeypot, isca, cotonete, etc.
3.1 Análise de tráfego de rede NTA
Ataques comuns no tráfego de rede são:
1. Riscos de protocolo, como ataque de protocolo BGP, ataque de protocolo CDP, falsificação de endereço MAC, envenenamento de cache ARP, ataque de fome DHCP, etc.
2. Negação de serviço, como SYN Flood, UDP Flood, ataque de reflexão NTP, SSDP, ataque de reflexão SSDP, DNS DNS Ataques, etc.
3. Verificação de análise, como verificação de IP, verificação de portas, verificação de vulnerabilidades, propagação de vírus, propagação de mineração, propagação de ransomware, cracking de força bruta, etc.
4. Comunicações APT e C & C, como nomes de domínio IP codificados, nomes de domínio aleatórios DGA, Túnel DNS, análise de tráfego criptografado, etc.
5. Ataques de protocolo de aplicativo descriptografáveis, como ataques HTTP, ataques SMTP, ataques MySQL, ataques SMB, etc.
Produtos de segurança NTA:
Business Network produtos de análise de tráfego: Greycortex, RSA NetWitness Network, ProtectWise, Moloche outros
tráfego de rede produtos de análise de código aberto: Bro, Apache Spot, Stream4Flow, NetCap
open source, a carga de alto desempenho equilibrar produtos: Katran, DPVS
uma fonte aberta produtos de detecção de intrusão de rede: Snort, Suricata
análise retrospectiva índice de tráfego de rede:Moloch
3.2 Detecção de intrusão no host HIDS
Existem muitas ameaças de intrusão que podem ser detectadas pela camada do host, como elevação do sistema, login anormal, shell de recuperação, sniffing de rede, injeção de memória, comportamento anormal do processo, leitura e gravação de arquivos anormais, comunicação de rede anormal, backdoors de vírus, vulnerabilidades de segurança, defeitos de configuração, etc. .
open source OSSECprodutos: Osquery, Elastic/beats, sysdig,,Capsule8
Existem vários métodos para o monitoramento de processos em tempo real no Linux:
1. Hijack a função glibc execve na camada de aplicação através de ld.so.preload. Os produtos de código aberto são:exec-logger
2. Ele é implementado na camada de aplicativo por meio das chamadas relacionadas do Process Events Connector fornecidas pelo Linux. Os produtos de código aberto são:Extrace
3. Na camada de aplicativo, através da interface fornecida pelo Linux Audit. Existem Linux embutido auditd服务, os produtos de código aberto são:Osquery
4. Na camada do kernel, isso pode ser realizado pelo Trancepoint, eBPF ou Kprobe. produtos de código aberto Sysdigsão: ,Capsule8
5. Na camada do kernel, é implementada pelo ponteiro da função execve da Hook Linux Syscall Table ou pela API fornecida pela estrutura LSM. Há built-in LSM安全模块, produtos de código aberto 驭龙HIDSsão: ,AgentSmith
3.3 Tecnologia de falsificação
A tecnologia de fraude foi reforçada com base na tecnologia anterior de honeypot, usando tecnologias como isca, zaragatoas e criação automática de redes de mel. Honeypots são divididos em honeypots de alta interação e honeypots de baixa interação.Para obter um alto grau de confusão, as técnicas de engano são geralmente baseadas em honeypots de alta interação.
produtos de código aberto honeypot: Honeytrap, OpenCanary
produtos de código aberto isca: honeybits
Open Source mel assinado produtos: Canarytokens
camada de máquina virtual para conseguir o controle de software de fonte aberta: LibVMI,rVMI
Quarto, defesa ativa
A tecnologia de defesa ativa geralmente se concentra na proteção. A adição de tecnologia de defesa ativa à segurança padrão do sistema geralmente ajuda a interceptar ameaças de segurança conhecidas ou desconhecidas.
4.1 HIPS de prevenção de intrusões de host
Mecanismo de segurança do LSMLinux : (módulo de segurança Linux, módulo de segurança Linux)
Método de implementação: AKO(Observador Adicional do Kernel) Use
produtos de proteção ativa de código aberto do LKM (Dynamic Loadable Kernel Module) : LKRG(proteção de tempo de execução do kernel Linux, Linux Kernel Runtime Guard )
4.2 WAF do firewall de aplicativos da Web
Produtos de código aberto: ModSecurity(suporta Nginx), OpenStar
WAF com base em AI: Wallarm
produtos de segurança de aplicativos antifraude de código aberto:Repsheet
Implementação da proteção DDoS:
O DDoS geral é implementado em camadas.A primeira camada (front end) pode ser usada para agendamento IP regional através do protocolo de roteamento anycast; a segunda camada pode ser resistida por equipamentos de proteção DDoS dedicados em hardware ou software; a terceira camada está no WAF Faça a proteção de DDoS HTTP da camada de aplicativo.
Para a segunda camada de proteção, você pode usar produtos de balanceamento de carga de 4 camadas da rede de alto desempenho e código aberto: Katran
para a terceira camada de proteção, você pode usar produtos de código aberto: Tempesta FWcontrolador de distribuição de aplicativos
4.3 RASP de autoproteção em tempo de execução
Comparado com o WAF, o RASP trabalha dentro do aplicativo e pode obter mais detalhes da operação do programa, o que pode resolver muitos problemas de falsos positivos do WAF. A interceptação do WAF assinado contorna o problema, portanto o RASP é mais forte que o WAF na interceptação de ataques de hackers. No entanto, em termos de desempenho, estabilidade e interceptação de DDoS, o WAF tradicional é implantado de forma independente, por isso possui mais vantagens.
Produtos de código aberto que suportam Java e PHP:OpenRASP
4.4 Firewall do banco de dados DBF
Através do firewall do banco de dados, você pode interceptar ataques de injeção SQL, dessensibilizar dados confidenciais, impedir operações de exclusão de dados de alto risco, registrar e descobrir violações, etc. Fornece a última camada de proteção de segurança para injeção de SQL.
produtos de código aberto modelo agência sediada: DBShield, Acre
plug-in modelo baseado de produtos de código aberto:mysql-audit
Cinco, backdoor matando AV
Backdoors gerais são divididos em três categorias:
1. Rootkit backdoor altamente oculto
2. Backdoor geral de controle remoto
3. Backdoor Webshell executado em ambiente web
5.1 Rootkit
Os rootkits são divididos principalmente em três tipos, de acordo com seus estágios de função: rootkits no nível do aplicativo, rootkits no nível do kernel e bootkits de inicialização (backdoors de rootkit de nível inferior). A dificuldade de detectar esses três rootkits aumenta por sua vez.
Ferramentas de código aberto:
Rootkit camada de aplicação de detecção: rkhunter, chkrootkit
off-line de memória ferramenta de análise de Rootkit: Volatility
Rootkit detecção processo oculto: Linux Process Hunter
uma detecção abrangente Rootkit: Tyton,kjackal
5.2 Porta traseira
A porta traseira do host geralmente é a porta traseira da camada geral do aplicativo de controle remoto. Existem muitas dessas backdoors e são frequentemente usadas em combinação com a tecnologia rootkit.
Ferramentas:
Linux backdoor ferramenta de análise: clamav
script de ferramenta de verificação de código aberto: malscan
Open Source ferramenta de detecção de backdoor Anfitrião: binaryalert
Open Source distribuídos digitalização ferramenta: klara
aberto inteligência de ameaças fonte e ferramentas de análise de resposta: rastrea2r
análise dinâmica e ferramentas de detecção: cuckoo, sandbox
de nível empresarial software malicioso automatizado quadro analítico:stoQ
5.3 webshell
O Webshell é um backdoor especializado na Web, geralmente escrito em uma linguagem de script, com alta flexibilidade e fácil deformação. Os webshells comuns incluem PHP, ASP, ASP.NET, JSP, Python, Node.js e outros tipos de backdoors.
Ferramentas:
Ferramenta de detecção de webshell PHP de código aberto: ferramenta para php-malware-finder
monitorar alterações de arquivos: masc
ferramenta de código aberto MLCheckWebshell
para detecção de webshell usando aprendizado de máquina: plataforma de detecção de webshell online: BaiduWEBDIR+
Seis, linha de base de segurança
Os problemas de segurança da configuração representam uma grande proporção de vulnerabilidades de segurança e incluem redes, sistemas operacionais, vários servidores de aplicativos e sistemas de banco de dados. As linhas de base de segurança comuns incluem configuração de segurança padrão e proteção de segurança.
Ferramentas:
Linha de base website modelo de segurança: cisecurity
Open Source Software Compliance: Lynis, inSpec
open source auditoria e gerenciamento de configuração de plataforma contínua:Rudder
7. Cérebro Seguro
O cérebro da segurança é um centro abrangente de resposta à automação de análise e orquestração de dados de segurança, cujas principais funções incluem reconhecimento da situação de segurança (SSA), informações sobre segurança e gerenciamento de eventos (SIEM), orquestração de segurança e resposta automática (SOAR).
7.1 Consciência situacional de segurança
A parte principal é a exibição frontal do cérebro seguro. Os dados envolvidos na segurança são mais complexos e altamente correlacionados e requerem uma melhor estrutura de exibição de front-end.
O cérebro da segurança precisa ser capaz de lidar com eventos complexos de segurança que envolvam a interação e a correlação de várias entidades.Para esse fim, gráficos de conhecimento, cálculos de gráficos, semântica de dados, aprendizado de máquina e outras tecnologias devem ser usados de maneira abrangente para produzir melhores resultados. A integração de vários sistemas (como sistemas de gerenciamento de identidades e inteligência de ameaças) também requer aprimoramento contínuo pela equipe de segurança.
Referência:
Front-end quadro de mostrar: Sqrrl
website de material: SecViz
JS D3.js-quadro: vis.js,,three.js
7.2 Informações de segurança e gerenciamento de incidentes
Produto:
SIEM Splunkprodutos: QRadar,, LogRhythm
decisão inteligente SparkSoluções: Flink,,Storm
armazenamento de dados grandes e processamento de projetos: Hadoop, ClickHouse
indexação de dados log e itens consultando: Elasticsearch/Elastic Stack, Graylog
os abertos regras de segurança logging Fonte: Sigma
as soluções de segurança de dados de código aberto grande: Elastic, Metron
projeto de banco mapa open-source:HugeGraph
Orquestração de segurança e resposta automatizada
O próximo passo na tomada de decisão inteligente é a orquestração de segurança e a resposta automática (SOAR).
Produto:
SOAR produtos de código aberto: StackStorm, MozDef(Mozilla plataforma de defesa)
operações de segurança de código aberto coreografia produtos:PatrOwl
