基於nginx+lua的waf
可以把lua理解成乙個程序,貫穿整個nginx服務的http保溫處理的流程中,可以針對htt報文的任何字段進行處理。
lua處理流程
分布式waf架構
lvs架構
waf日誌處理
如果有實時檢索原始日誌的需求,可以引入elasticsearch。這部分最基礎的功能包括:
● 統計實時攔截報表;
● 統計實時訪問pv/uv;
● 離線分析小時/天/周/月的pv/uv;
● 離線分析小時/天/周/月的攔截報表;
● 離線儲存原始日誌。
加分功能是:
● 執行hmm分析漏報;
● 執行語義分析漏報。
安全域劃分為,辦公區、業務區、外網、辦公服務區、開發測試服務區。
● 禁止root登入。
● vi /etc/ssh/sshd_config。
● permitrootlogin no。
● 禁用lkm。
● 開啟aslr
蒐集主機級資產資料主要是達到以下兩個目的:
● 事中的入侵檢測;
● 事後的審計與事故排查。
osquery是facebook開源的一款基於sql的作業系統檢測和監控框架,目前它只實現了本地的資料蒐集以及sql互動式查詢,沒有實現資料的統一上傳和集中儲存分析,所以我們可以基於它來開發。
使用kong以後,各個介面可以只專注於自己的業務實現,通用的快取、日誌記錄等功能,尤其是和安全相關的認證、授權、限速都由kong來實現。
nebula由業務層、運營管控層、資料輸出層、資料計算層和資料來源層組成
使用者將資料傳送給資料採集模組,資料採集模組再傳送給風險評估模組,風險評估模組完成提取風險分數與使用者畫像後,再傳遞給管理模組,用於配置自動化處理規則。
蜜罐通常可以作為一類資料蒐集器擴充套件soc的資料來源,蜜罐本身既可以產生相對高質量的報警,同時也可以作為原始資料源提供給soc, soc通過關聯分析多資料來源後會做出更全面精準的判斷
mhn全稱為modern honey network,它整合了多種蜜罐統一管理,並且整合了snort
辦公網入侵
黑客並不直接攻擊企業的員工,而是通過分析該企業員工的網路訪問規律,總結出該企業員工經常訪問的**,然後通過入侵該**,在**上部署惡意附件、惡意指令碼等,被動等待員工中招,然後再通過中招的員工主機進行下一步滲透,整個過程如圖7-21所示,這種攻擊形式也叫做水坑攻擊
簡單而言,態勢感知是一種基於環境的、動態、整體地洞悉安全風險的能力,是以安全大資料為基礎,從全域性視角提公升對安全威脅的發現識別、理解分析、響應處置能力的一種方式,最終是為了決策與行動,是安全能力的落實
web掃瞄器實踐中的不足
1)對api服務支援差
2)爬蟲能力偏弱
3)自動化能力弱
4)缺乏基礎的業務安全檢測能力
5)資訊孤島難以融入安全體系
常見分析技術
基於雙向報文規則檢測
基於時序分析
基於語義
基於沙箱
基於機器學習
● 日誌分析。通過分析日誌,發現異常行為。
● 檔案完整性檢查。監控作業系統中關鍵檔案的修改情況,及時發現篡改行為。
● rootkit檢測。檢測linux系統常見的rootkit行為。
● 動態響應。根據日誌分析、檔案完整性檢測或者rootkit檢測的結果,進行動態響應,包括但不限於防火牆封禁、賬戶禁用等
● 資料庫防火牆,用於直接阻斷基於資料庫協議的攻擊行為。
● 資料庫審計,審計資料庫的操作行為,發現針對資料庫的入侵行為以及違規操作。
● 資料庫運維平台,提供給資料庫管理員管理資料庫的平台,使管理員無法直接接觸資料庫伺服器,全面控制、審計管理員的操作行為。
● 資料庫脫敏,針對流出資料庫的敏感資料進行脫敏處理。
● 資料庫漏洞掃瞄,掃瞄資料庫常見漏洞。
mysql sniffer 基於mysql協議的抓包工具,實時抓取請求,並格式化輸出。
不需要更改網路結構,最關鍵的是,不影響資料庫伺服器效能,不用資料庫管理員安裝監控軟體。
dbproxy dbproxy作為中間層**來自web伺服器的資料庫請求到後端資料庫伺服器,並且把資料庫查詢請求再**給對應的web伺服器。
與ids不同的是,dlp關注的不是攻擊簽名而是使用者定義的核心資料
讀書筆記 企業精簡架構
本文更新版本已挪至 今天花了乙個上午去書店看了一本關於企業架構方面的書籍 企業精簡架構 3星 這本書適合於架構師和cio閱讀,主要論述如何精簡企業架構,道理簡單,做起來很難。全書分為兩部分 第一部分,作者通過一些直觀的問題展示複雜性帶來的問題,接著從數學的角度進行分析 第二部分,討論解決複雜性問題的...
《硬體安全》讀書筆記
gang qu,馬里蘭大學教授,嵌入式系統實驗室以及硬體安全實驗室的director。ucla畢業cs博士,本科為中科大。對他的感覺是講課比較無聊,講的冷笑話超級冷 cad tools 計算機輔助設計工具 computer aided design tools dcc 無關情況 don t care...
安卓安全 讀書筆記
想到什麼就隨手寫點吧,最近剛看完 android軟體安全與逆向分析 另外還有一本 android應用安全防護和逆向分析 準備開始看。兩本書的pdf鏈結我會放在末尾,需要的自取。元件安全 activity安全 activity可以在android exported進行設定,如果為false則不可以被外...