安全运维学习笔记

一、

1、以资产和平台为目标,明确监控数量和监控维度

    1.1、管理入口、数据区、接口、网络边界和DMZ,这些都是必须重点监控的

    1.2、以管理入口为例:IP绑定,前后台分离,后台验证码、登录监控、IP白名单、二次验证机制、httponly+hash(预防CSRF or XSRF)、登陆凭证单IP锁定,多地登陆告警、异地登陆手机验证、访问行为学习监控、众测和SRC等

 

2、综合考虑现有资源,选择合适的巡检方案

    2.1、能自动化的,一定不要手动。能用一个shell脚本解决的,不要扯框架

    2.2、人工渗透检测的成本一定要严格控制,非核心、非新业务、不建议
    
3、定制巡检规范和反馈机制,打通部门之间的安全信息通路

 

二、被动式安全-安全监控

1、安全监控策略(分而治之)

 1.1多点监控往往比单一监控,更能有效捕捉到异常行为

         虚假bash,捕捉黑阔

         虚假数据库,防脱库

         特制业务蜜罐,保护核心业务平台安全

1.2 网络流量旁路分析+主机监控+容器监控+数据监控+蜜罐+统一接口监控=>完整的数据流监控

 

三、监控平台选择

1、开源

        OSSIM(分析功能强,但是友好度不够)

        OSSEC(HIDS好用)

        Suricata(强)

        HoneyDrive(蜜罐全家桶)

2、闭源

        安全够服云(主机监控+WAF+攻击链智能分析+预警+攻防情报+扩平台+跨边界+巡检+人工服务+物美价廉)

3、造轮子

         后期成本低于其它方案。也是许多互联网企业的选择。可定制性高。要想全权掌控和高度定制化以及和别的部门交互,这是唯一的选择

 

四、安全部署

1、建立安全模板和基线

2、上线前的渗透测试和安全审计

3、统一部署策略,做好系统监控和业务监控,业务下线,统一销毁,业务策略隔离,避免由业务活动导致的安全策略BYPASS
 

五、建立安全模板与安全基线

1、每一种应用、服务、系统、都有针对性的安全检测清单(checklists)。主要涵盖下面三个方面的检测

    1.1、该项之前是由针对性的应用漏洞存在

    1.2、该项配置是否符合特定的安全要求

    1.3、该项应用当前的状态指标

2、checklists需要不断的累计和调整,以适应不同的生产环境和安全需求,最后将其脚本自动化

3、或者使用可定制化安全模板的,安全软件:“比如服务器安全狗,从安全体检到基线修复到最后的权限加固,全程自动化

posted @ 2019-08-08 20:42 RiwellAckerman 阅读(...) 评论(...) 编辑 收藏