ToB企服应用市场:ToB评测及商务社交产业平台

标题: 从攻防对抗看白环境:怎样提前布局安全防线?从零基础到精通,收藏这篇就够 [打印本页]
作者: 熊熊出没    时间: 昨天 03:10
标题: 从攻防对抗看白环境:怎样提前布局安全防线?从零基础到精通,收藏这篇就够
白环境是网络安全中基于白名单机制的,是面向应用系统的,需要提前思量安全,实现全面的安全左移。本文将介绍白环境的紧张概念,以资助读者更好地相识白环境。同时,将详细介绍构建白环境的四个步调:梳理应用系统资产、梳理安全配置基线、梳理网络攻击路径和梳理防护组件和策略。
01 什么是白环境
网络安全的本质是人与人之间的对抗,是攻防两边对安全的明白与认知的对抗。
从攻击者角度看,他们需要针对攻击目标,研究可行的攻击路径而且实施可靠的攻击本领,才能达到预期的攻击目标。
● **从防守者角度看,**他们需要结合被掩护的应用系统的特点,针对各种可能的攻击路径,订定差别的防守策略,构建纵深防御体系,最终达到有效防御的目标。
从防守的角度来说,当我们试图讲清怎样构建一个纵深防御体系的时间,我们需要思量系统中大量的可能性和变数,例如主机和主机之间可能存在的网络毗连、管理员在系统上可能执行的命令等。当所要掩护的系统规模较小、复杂度较低时,我们还可以处理,但当系统规模较大、复杂度较高时就难以应对了。这就像我们下围棋一样,从落下第一个黑子开始,后续可能的走法有361!种,这是一个难以想象的天文数字。
随着大数据、人工智能在多个领域的广泛应用,近几年也有许多基于这些潮流技术来解决网络安全问题的系统宁静台,但效果并没有那么理想,尤其针对那些隐蔽性和目标性极强的APT攻击仍然束手无策。
为什么会如此困难呢?当我们要掩护一个随时都处于不确定活动状态的对象时,那将是一件难以完成的使命。但如果尽可能地把不确定因素确定下来,把变量转换为常量,那我们的工作量就会大大减少。相比掩护动态对象,掩护静态对象要容易许多。
本书所讲的白环境是我们在防守过程中可选择的一种解决问题的思路和想法,涉及防守体系中的许多环节。总体思路是把能确定的因素明确下来,减少变量,使被掩护的环境和对象保持相对固定和静态。目标是尽可能地降低所构建的防御体系的复杂度,通过对正常行为的定义来区分非常行为,从而快速、准确地防范安全风险,发现安全问题,处置安全变乱。
02 怎样构建白环境

在本末节,我们将从整体思路出发,介绍怎样构建白环境,此中包括梳理应用系统资产、梳理安全配置基线、梳理网络供给路径,以及怎样从多个视角出发举行布防。
2.1 梳理应用系统资产

构建白环境的第一步是梳理应用系统资产,这相称于在做“知己知彼”中"知己"的相关工作。
基于白环境理念,资产梳理至少要包括以下内容:互联网袒露面、硬件资产、软件资产、职员账号等。
➢ 梳理互联网袒露面是我们在梳理资产时的第一步,就是梳理那些直接袒露在互联网上、可以被互联网上的所有人、程序大概服务访问的资产,例如网站服务、邮件服务、数据服务、移动应用、小程序、接口(API)等。如果防护不妥,这些资产就有可能成为攻击者进入企业内网大概生产环境盗取数据的入口,因此需要特别引起关注。
➢ 硬件资产是指在生产环境中应用系统运行的基础办法,例如路由器、互换机、服务器、存储、安全设备等。这些硬件资产往往都带有本身特有的操作环境,例如思科路由器的IOS操作系统等。关注硬件资产主要是和毛病管理以及安全配置基线有关,配置不妥大概升级不及时同样会造成安全隐患。
➢ 软件资产是指在生产环境中支撑应用系统运行的软件环境,例如操作系统、数据库、中间件、文件系统、开源大概贸易化软件等。在梳理完软件资产后,可以通过差别层面的技术本领来逐步健全软件白环境。
➢ 职员账号是指在生产环境中负责运维和支撑的职员,以及他们在各个硬件、软件、应用系统中所对应的账号信息。在梳理完职员账号后,可以通过相应的技术本领逐步完善身份白环境。
在白环境理念中,主要关注的是生产环境,因此资产信息变化不会太快、太频繁。即便如此,资产梳理仍然是一个长期、连续的工作。为了更为全面、高效、准确、实时地梳理资产信息,可以通过手工录入、工具软件大概专业化服务来完成。现在,许多企业都有本身的配置管理数据库(Configuration and Management Database,CMDB),部门资产信息也可以通过这些已有的平台获得。
接下来,我们会分别介绍怎样梳理互联网袒露面以及内网软硬件。职员账号梳理由于相对简单,就不再阐述了。
2.1.1 梳理互联网袒露面

企业互联网袒露面的梳理工作通常包括以下3个阶段:问询访谈阶段、主动探测阶段、被动监测阶段。
➢ 在问询访谈阶段,通常是以走访企业业务运营、应用开发、系统运维等负责人为主,相识企业主要业务、支撑业务的应用系统、应用系统的部署情况以及运维方式等。
➢ 在主动探测阶段,通常是根据在问询访谈阶段获得的信息,获得更为全面的资产信息,包括:每个一级域名下的二级域名、三级域名;在IP地点段中所有活泼的地点,以及每个地点上开放的端口、服务、指纹信息等;业务系统网站上的页面等。在主动探测阶段,使用较多的工具包括扫描器、网站爬虫。
➢ 在被动监测阶段,通常是从一些真实发生的数据中提取有关互联网资产的信息。这些数据包括互联网边界网络设备的NetFlow数据、域名剖析服务提供商的DNS日记、企业互联网边界防火墙的日记、部署在企业侧的流量探针日记、PDNS日记等。这些数据是客观发生的,纵然那些临时开放的端口和服务,只要有访问流量,就会产生相关数据,这些端口大概服务也能被识别出来。
主动探测是现在许多安全厂商和企业使用最多的一种方式,但它存在一定的范围性,甚至在有些场景下是无效的。
在这里给大家举个端口扫描的例子。众所周知,通过扫描器对特定IP地点段举行全端口扫描是一件必做的工作,但它却非常耗时。而且在两个扫描周期之间还会出现临时开放端口和服务的情况,这也是扫描器扫描不到的。因此,完全依靠主动探测做互联网袒露面梳理是不可靠的,而且服从也不高。这也是发起在主动探测完成后继续通过被动监测举行增补完善的主要缘故起因。主动探测阶段的结果偏主观,而被动监测的结果偏客观一些。
除了通过专业的安全服务公司做互联网袒露面梳理,还可以通过一些互联网资产搜索引擎查询。但由于这些引擎是周期性地对全球所有资产举行扫描,并非对某个企业的资产举行针对性扫描,因此,通过它们看到的企业互联网袒露面结果不一定全面。例如,可以通过FOFA(访问链接为https://en.fofa.info/)来查询IP地点大概域名信息。
此外,作为基础网络的建设者、运营者,中国移动、中国电信、中国联通三大运营商商拥有海量基础网络数据资源,这些数据不仅可以服务于网络调优、故障检测,还可以服务于安全领域。
● 运营商在提供互联网接入服务的同时,在网络设备上也会记录下一些路由信息、数据包传输信息等,此中最为有效的就是NetFlow数据。基于这些元数据,可以资助企业准确、快速地梳理出所有在互联网上袒露的IP地点以及开放的端口。
● 运营商除了提供基础网络本事以外,还为千家万户和各行各业提供了域名剖析服务(DNS),基于这些海量的域名剖析记录,还可以资助企业梳理出它的全部域名,这不仅包括一级域名,还包括所有的二级和三级域名等。
以中国联通为例。中国联通基于上述数据资源,构建了国家级威胁情报中心,对外输出了运营商级别的资产测绘服务,综合多种技术本领,为企业的互联网袒露面梳理工作提供了完整的解决方案。
2.1.2 梳理内网软硬件资产

企业内网是企业拥有全部管理权限的私有网络,资产梳理的方式也非常多,例如通过职员手工录入资产的方式举行梳理、通过扫描器扫描对硬件资产举行梳理、通过网络探针收集的流量信息对资产举行分析梳理、通过系统管理软件(例如Zabbix)对软件资产信息举行梳理、通过配置管理数据库(CMDB)对资产举行管理等。
上述梳理内网资产的方式固然多,但每种方式都有范围,企业无法完全依靠一种方式解决所有的资产梳理工作,大多数场景下都需要多种方式配合使用才能达到最终目标。
下面我们从内网资产扫描和系统软件管理两个方面做介绍。
(1)内网资产扫描

支撑企业应用系统正常运行的基础是那些硬件服务器、网络设备、存储设备以及云环境下的虚拟机等。这些资产大多数情况下对外体现的情势是IP地点,我们从安全角度最为关心的也是IP地点,当然,另有开放端口。因此,对这些资产梳理的目标也是如此,即统计整理出内网所有活泼的IP地点以及开放的端口。
具体梳理工具也有许多:
● 通过扫描器(nmap、nc等)对资产举行主动探测。
● 更为精准的方式是登录到主机上,通过操作系统自带工具检察主机上每个IP地点开放的端口,以及开放的范围。常见的工具包括netstat等。
(2)系统软件管理

在梳理完内网环境中的硬件资产后,还要对操作系统、数据库、中间件等软件资产举行梳理,梳理工作通常都会采用登录主机后执行相关命令的方式来完成。
相关的几个命令包括:uname、apt、pip等。
2.2 梳理安全配置基线

在梳理完应用系统的资产后,有一件非常基础性的工作需要进一步完善,它就是硬件、软件的安全配置基线。需要留意的是,第一,安全配置基线非常紧张,但经常被忽视;第二,许多企业固然在做安全配置基线相关工作,但做法有问题,因此起不到应有的作用。
关于安全配置基线,有一个发起是,根据企业自身信息化建设的实际情况和资产分布,参考软硬件原厂以及CISecurity等第三方的安全配置发起,整理实用于企业自身的安全基线配置手册,通过人工大概自动的方式举行配置,而且定期举行配置核查形成闭环。
IBM有一套非常完备的安全配置手册。在这个手册中,详细描述了怎样对IBM使用到的所有软硬件举行安全配置,范围涉及网络设备、服务器、操作系统、数据库等。国外固然没有等保来要求,但安全工作却一点也不马虎。
现在国内许多安全厂商和企业用户所做的安全基线配置主要照旧以满意等保合规为目标,离真正的实战化安全需求另有差距。其实,现在企业所面临的许多安全风险都可以通过合理的安全配置得到缓解,甚至彻底解决。
2.3 梳理网络攻击路径

构建白环境的第三步是绘制网络拓扑图,并基于网络拓扑图梳理网络攻击路径,这相称于在做“知己知彼”中“知彼”的相关工作。
企业在做信息化建设的时间,往往会同步举行网络规划,此时会有一个网络拓扑图,即整个网络环境是什么样子,由哪些网络设备(路由器、互换机)组成,包括哪些网段,以及这些网段之间的通联关系等。通过拓扑图可以或许直观地看清网络结构、差别主机所处的网络位置以及它们之间的关系等。这个网络拓扑图很紧张,它是我们后续梳理攻击路径的基础。如图1所示,这是一个公有云的网络拓扑图示例,此中VPC(sash-test-vpc)包括了三个子网网段(FrontEnd、BackEnd、SashEnd),总共有 60 个实例。通过拓扑图可以或许直观地看清网络结 构、差别主机所处的网络位置以及它们之间的关系等。

图1 公有云网络拓扑图
我们所说的攻击路径是指攻击者从互联网开始,一路到达应用系统内部,而且可以成功破坏系统、盗取数据的网络路径。只有提前梳理完可能的攻击路径后,我们才能清楚在什么位置布防,以及部署什么样的防护步伐。别的,通过对攻击路径的梳理,还可以判断现有的防护本领是否充足和有效。
这个攻击路径可能是:
● 从企业对外开放的网站进入,获得运行网站的主机权限,然后再横向移动到数据库服务器盗取数据;
● 通过社工钓鱼控制某台员工的电脑,反向毗连到互联网上的C2服务器,然后再逐步渗入企业办公网,对流量举行监听从而盗取数据;
● 先控制边界的网络设备,再由此作为跳板,接入企业的生产环境,从而控制主机、盗取数据等。
总而言之,提前梳理可能存在的攻击路径是作为防守方需要做 的一件非常紧张的工作,只有在梳理完可能的攻击路径后,我们才 能清楚在什么位置布防,以及部署什么样的防护步伐。别的,通过 对攻击路径的梳理,还可以判断现有的防护本领是否充足和有效。
在本节中,我们偏重的角度是梳理基于网络空间中的攻击路径,不包括真实世界中,通过社工进入机房造成破坏而告竣的攻击路径。在梳理攻击路径时,是基于基于网络拓扑和业务逻辑的。具体工作至少可以从以下四个方向思量:
● 应用系统正常业务逻辑角度,类似正面攻击
● 应用系统背景运维角度,类似迂回攻击
● 系统基础办法角度,类似正面攻击
● 应用系统供应链角度,类似迂回攻击
我们在梳理攻击路径的时间,需要从攻击者视角,一方面把路径梳理出来,另一方面把涉及的资产梳理出来,以及针对这些资产可能使用的攻击本领。
2.3.1 系统业务逻辑角度

我们在针对某个应用系统梳理攻击路径的时间,首先要从正常的业务逻辑角度来看。
如图2所示,图中是一个简单的网站类应用系统,对外提供一些根本的信息展示和查询功能。真实环境比这个例子要复杂许多,但梳理攻击路径的思路和方法是一致或类似的,只不外需要思量的因素要多一些、可能性要多一些,具体路径有可能会复杂一些。

图2 简单的网站类应用系统
可以或许看到,图2所示的应用系统的互联网袒露面是一个网站,有一系列的页面,当然,后面另有数据库作为数据存储源。
作为攻击者,如果目标是获取背景数据库服务器上的敏感数据,那么最短路径只需要两步:
● 先获得在DMZ的Web服务器的权限;
● 再获取处于企业内网的数据库服务器的权限,从而获得数据。
与攻击路径配合的是各种攻击本领,例如利用应用层毛病举行的注入和越权类攻击、利用应用系统底层框架未及时修复举行的毛病攻击、利用系统存在的弱口令举行口令爆破攻击等。
由于有显着的互联网袒露面,而且路径最短,以是这种正面攻击往往是许多攻击者首先尝试的。
这个例子的攻击路径涉及资产包括两台主机,以及在主机上运行的各种软件。
2.3.2 系统背景运维角度

如图3所示,这是国内使用较多的典型背景运维场景。应用系统管理员通过VPN远程接入生产环境,再通过堡垒机自动登录到应用系统的生产环境服务器。除此之外,另有一个Zabbix服务器来会合监控生产环境中的其他服务器。

图3 典型背景运维场景
从攻击者角度,除了正面攻击以外,另有别的一个路径,就是从运维职员、运维工具、运维通道入手。
● 首先,利用社工攻击(例如邮件、聊天、电话等),引诱管理员点击链接大概打开藏有木马程序的文件,其主要目标是在管理员电脑上驻留木马程序,并通过它来远程控制管理员电脑。
● 然后,攻击者可以利用管理员电脑上的软件以及缓存中的账号信息登录到VPN、堡垒机、Zabbix、应用系统以及背景其他资源,从而获得权限、盗取数据大概破坏系统。不仅如此,攻击者还可以从管理员电脑的文件夹中获得更多有关应用系统的有价值文档和数据。
在这个攻击路径中,从技术角度上讲,VPN和堡垒机是两个非常紧张的环节,正是由于它们自身的问题以及不正确的使用方式才造成了这个攻击路径的存在。类似这种会合集权的系统另有许多,例如监控类软件Zabbix和SolarWinds、配置管理类软件Puppet、自动化软件Ansible等,这些软件平台都具有高权限、高会合、高风险的特点,一旦失陷,它们所管辖的所有资源也都会失陷。从管理和安全意识角度上讲,管理职员则是别的一个非常紧张的环节。
固然不是最短的攻击路径,但同样也是非常有效的。攻击者只要成功突破管理员这个环节,后面的环节就都不是问题了。这种攻击路径在历次实网攻防演练中,是绝大多数攻击队都会使用的。
2.3.3 系统基础办法角度

除了从业务逻辑角度分析攻击路径,还需要从应用系统底层基础办法角度思量,这也是被许多企业忽视的角度。
本节会从云化基础办法和网络基础办法两个方面来梳理攻击路径。
(1)云化基础办法

随着虚拟化技术、容器技术的日趋成熟,企业在部署实施应用系统的时间,也更多地采用了公有云、行业云、私有云以及云原生的技术架构。如图4所示,图中是一个简单的云化基础办法的环境。

图4 云化基础办法
攻击者可以通过用户门户、云管平台甚至虚拟化环境中的各种毛病,获得公有云、行业云的权限,一旦获得其权限,云租户的所有IaaS资源、PaaS资源都会被控制,云平台以及云租户的应用系统也就完全失陷了。
别的,攻击者还可以通过获得AK/SK来控制云租户的云服务。公有云的AK(Access Key)和SK(Secret Access Key)主要提供对租户身份的鉴权以及信息传输的加密功能。之前也有一些攻击者盗用云租户的AK/SK从而窃取隐私数据甚至控制租户环境的案例。
(2)网络基础办法

在过去长达二十多年的信息化发展过程中,无论计算环境是硬件照旧虚拟化,基础网络环境的建设一直以硬件设备为主,尤其是路由器和互换机。在企业建设完四通八达的网络环境之后,构建它的所有设备也自然而然地形成了一个潜伏的、极易被忽视的攻击路径。如图5所示,攻击者可以通过接入路由器、核心路由器以及汇聚互换机等设备,一路到达最终的目标服务器。

图5 网络基础办法
上述的这个攻击路径理论上存在,但在正常情况下,它又是不存在的。如果配置正确,企业网络边界侧的路由器在互联网上是“不可见”的,它的入口处是不存在。但出于多种缘故起因,仍然有不少路由器的配置是有问题的,包括开放一些不应该开放的服务和端口等,这也给企业带来了不少潜伏的安全风险和隐患。
我们通过在Shodan(访问链接为https://www.shodan.io/)上检索路由器设备,可以看到仍然有大量的路由器开放了差别的服务端口,比较多的可见服务包括SNMP、NTP、HTTP、DNS等。
2.3.4 软件供应链角度

软件供应链攻击最典型的,同时也是影响最大的案例,当属2020年底的SolarWinds变乱。软件供应链攻击的本质是攻击路径的变化,即从直接攻击最终目标改为攻击目标的上游软件供应商,从而达到攻击最终目标的目标。这和古代两军作战时的“截粮道、烧粮仓”有着异曲同工之处。
从攻击者视角看,一次软件供应链攻击的完整攻击路径可以分为两个阶段。
● 第一阶段是针对上游软件供应商的攻击路径以及与之配套的攻击本领;
● 第二阶段是针对最终目标的攻击路径。
从整体来看,攻击者的攻击路径变长了,变复杂了,但如果第一阶段成功的话,那么第二阶段的攻击就会变得容易,而且影响范围要广许多。
2.4 梳理防护组件和策略

在我们梳理完互联网袒露面、软硬件资产、安全配置基线、网络拓扑图以及有可能的攻击路径后,最后就要根据应用系统的实际情况举行布防了。
我们在真正布防的时间,可以按照以下三个思路举行。第一,根据攻击路径布防;第二,根据攻击阶段布防;第三,根据系统架构布防。
这里所说的布防,既涉及阻断防护类,也包括检测告警类的本事、产物、平台。下面会分别介绍这些内容。
2.4.1.按攻击路径布防



在我们思量布防的时间,首先可以参考的思路是根据我们前期梳理的攻击路径布防,这种布防方式最为直接,效果也较好。



布防的本事和产物既包括串接的网关防护类,也包括旁路的探针检测类,目标是能在第一时间检测并发现攻击行为,而且在第一时间举行阻断和清理。

(1)系统业务逻辑角度

从攻击者角度,攻击路径由外至内,攻击者以Web服务器大概其他互联网袒露面为突破口,利用目标系统应用层毛病,获得DMZ的服务器权限;进入DMZ后,攻击者横向移动,再次利用系统层毛病大概暴力破解,进而获得企业内网的其他服务器权限。
从防守者角度,防御这种正面阵地战,在入口处布防是必须的,例如应对三、四层攻击的下一代防火墙NGFW,应对七层攻击的WAF等,如图6所示,这些根本是标配。

图6 系统业务逻辑角度的布防
基于白环境的理念,无论在DMZ,照旧在企业内网,都可以在网络环境中以及操作系统上举行检测和阻断。
(2)系统背景运维角度

从攻击者角度,攻击路径由外至内,攻击者以运维职员为突破口,通过利用VPN和堡垒机的一些产物毛病和管理毛病,直接获得企业内网的服务器权限。
从防守者角度,这里不发起采用传统的“VPN+堡垒机”的架构,而是需要升级到接入零信托架构,而且调整背景服务器采用多因素认证方式完成用户身份认证工作,如图7所示。

图7 系统背景运维角度布防
基于白环境的理念,可以在管理员接入企业内网的各个环节举行检测和阻断。
(3)系统基础办法角度

从攻击者角度,攻击路径由下层基础办法到上层租户和应用,攻击者以基础办法云平台为突破口,通过利用云管平台的毛病,直接获得底层云平台的权限,从而控制企业应用系统的底层虚拟环境。
从防守者角度,针对这种攻击路径,由于大部门的攻击行为都发生在云平台侧,在云租户的监控范围之外,以是防守是有很浩劫度的,更多需要依靠公有云厂商自身的安全防护本事。如果攻击者的目标是要彻底瘫痪企业应用系统的话,可以通过停止、删除租户虚拟机等相对暴力的方式实现。
如果不是以瘫痪为目标,基于白环境的理念,公有云厂商仍然可以在租户虚拟机的操作系统层面,针对非常操作举行监控,例如账号登录、账号操作、网络毗连等。
(4)软件供应链角度

从攻击者角度,攻击路径从供应链的上游到卑鄙,攻击者以软件供应链厂商为突破口,通过对供应链厂商的攻击,在软件供应链厂商开发应用的代码层面植入木马程序,再通过正常软件升级渠道,把木马程序直接安装到企业内部服务器上,从而控制企业的内网服务器。
从防守者角度,在这种攻击路径中,大部门攻击行为都发生在供应链厂商侧,发生在目标企业侧的不多,企业侧的攻击路径几乎为零,以是防护起来的难度仍然很大。固然有难度,但基于白环境理念,我们仍然能从以下几个方面举行检测和防护:
● 关于网络方面,我们可以通过监测发生在生产环境中的非常网络毗连,来检测并发现攻击行为。
● 关于身份方面,我们可以对软件运行的账号举行权限控制(DAC、MAC)、操作审计来发现非常行为。
2.4.2 按攻击阶段布防

在介绍完怎样按照攻击路径布防,下一个可以参考的思路是按照攻击阶段布防。
这里所讲的攻击阶段可以参考网络攻击链(CyberKillChain)为模型,也可以参考由MITRE定义的ATT&CK模型。
网络攻击链是由美国洛克希德·马丁公司在2011年提出的,也被称为网络杀伤链模型,其描述了一次完整攻击过程中需要履历的7个阶段:外围侦察、武器制造、投递载荷、毛病利用、安装植入、命令控制、举措破坏。固然距离最早提出已经相隔十多年,但到现在为止,该模型仍然不外时。
ATT&CK是Adversarial Tactics Techniques and Common Knowledge的缩写,可以明白为“对抗战略、战术和知识”。ATT&CK模型有快要6年的历史,最新的ATT&CK模型覆盖了3大技术领域,即传统企业、移动通信以及工业控制(IndustryControlSystem,ICS)。每个技术领域包括多个战略,每个战略又包括了多个战术以及战术的实施细节。碍于篇幅,这里就不再介绍了,详细内容推荐您阅读周凯、张建荣、谢攀老师的新书《构建可信白环境:方法与实践》。
在深入相识模型后,企业可以基于模型中定义的战略、战术内容,结合自身应用系统的实际情况举行布防。
2.4.3 按系统架构布防

在介绍完按攻击路径布防和按攻击阶段布防后,另有第三个布防的思路,就是按系统架构布防。
一个应用系统从开始规划设计之初,首先要决定的就是应用系统的技术架构,从下至上包括物理层、网络层、主机层、数据层、中间件层、应用层等。在架构的差别层,会涉及差别的组件和产物,这些都需要有针对性的防护步伐。
有关这六个层面的布防发起,碍于篇幅,这里就不再介绍了,详细内容推荐您阅读周凯、张建荣、谢攀老师的新书《构建可信白环境:方法与实践》。
2.4.4 综合安全分析与SIEM

介绍完怎样从差别维度举行布防后,下面我们将从综合安全分析角度怎样构建白环境,而且针对支撑综合分析的技术平台SIEM(Security Information and Event Management,安全信息与变乱管理)做相对详细的介绍。
SIEM最早由Gartner在2005年提出,是企业综合采集、分析和研判安全变乱的最终平台,也是支撑安全运营中心(SOC)常态化安全运营的主要平台之一。
随着时间的推移和技术的发展,SIEM的内涵也在发生着变化。现在,Gartner对它的定义是:“SIEM汇聚来自部署在应用、网络、端点、云环境中的所有监控、评估、检测以及响应方案中产生的变乱数据。SIEM的本事主要包括两部门,第一,通过变乱关联和UEBA来实现威胁检测的本事;第二,通过SOAR集成来实现响应处置的本事。除此之外,SIEM还包括安全报告以及连续更新的威胁情报等。”
从2005年至今,SIEM已经发展了快要20年的时间,固然期间遇到了种种问题,例如,部署实施成本高、难度大;针对差别厂商、差别组件的日记和变乱融合难度大;分析与研判规则需要定制;对职员的专业化安全本事要求较高等,但都在逐步解决和优化中。即便近期出现了诸如XDR等技术,也仍然没有改变SIEM的核心职位以及它在SOC中的紧张价值,由此也能看出SIEM固然是个履历岁月沧桑的“老人家”,但仍然可以或许适应当今快速变化的安全技术和市场需求。
03 总结

国内外无数的网络安全案例不停地在给我们敲响警钟。时至今日,企业对于网络安全的需求已经远超等保合规,进入实网、实战阶段,企业所面临的安全挑衅也越来越严峻。
如果您对网络安全与“白环境”想要有更深入的相识,推荐您阅读周凯、张建荣、谢攀老师的新书《构建可信白环境:方法与实践》。

本书摘编于《构建可信白环境:方法与实践》(书号:9787111764083),经出版方授权发布,转载请保留文章泉源。
《构建可信白环境:方法与实践》是一本从技术、架构和实战3个维度全面讲解可信白环境的网络安全攻防类著作。本书作者有超过30年的网络管理、系统管理以及实网攻防经验,本书是他们近年来在联通从事网络安全攻防工作的经验总结。本书理念清晰、方法系统,可操作性极强。基于可信白环境,作者成功完成了多年靶心系统的防护工作,盼望通过这本书把这些经验分享给更多的朋友。本书的主要目标是资助读者和企业以较少的投入,搭建更为有效的防护体系,达到预期的效果。
黑客/网络安全学习路线

对于从来没有打仗过黑客/网络安全的同学,目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。
明白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
这也是泯灭了明白近四个月的时间,吐血整理,文章非常非常长,觉得有效的话,盼望粉丝朋友帮忙点个**「分享」「收藏」「在看」「赞」**
网络安全/渗出测试法律法规必知必会****
今天明白就帮想学黑客/网络安全技术的朋友们入门必须先相识法律法律。
【网络安全零基础入门必知必会】网络安全行业分析报告(01)
【网络安全零基础入门必知必会】什么是黑客、白客、红客、极客、脚本小子?(02)
【网络安全零基础入门必知必会】网络安全市场分类(03)
【网络安全零基础入门必知必会】常见的网站攻击方式(04)
【网络安全零基础入门必知必会】网络安全专业术语全面剖析(05)
【网络安全入门必知必会】《中华人民共和国网络安全法》(06)
【网络安全零基础入门必知必会】《计算机信息系统安全掩护条例》(07)
【网络安全零基础入门必知必会】《中国计算机信息网络国际联网管理暂行规定》(08)
【网络安全零基础入门必知必会】《计算机信息网络国际互联网安全掩护管理办法》(09)
【网络安全零基础入门必知必会】《互联网信息服务管理办法》(10)
【网络安全零基础入门必知必会】《计算机信息系统安全专用产物检测和销售许可证管理办法》(11)
【网络安全零基础入门必知必会】《通信网络安全防护管理办法》(12)
【网络安全零基础入门必知必会】《中华人民共和国国家安全法》(13)
【网络安全零基础入门必知必会】《中华人民共和国数据安全法》(14)
【网络安全零基础入门必知必会】《中华人民共和国个人信息掩护法》(15)
【网络安全零基础入门必知必会】《网络产物安全毛病管理规定》(16)
网络安全/渗出测试linux入门必知必会
【网络安全零基础入门必知必会】什么是Linux?Linux系统的组成与版本?什么是命令(01)
【网络安全零基础入门必知必会】VMware下载安装,使用VMware新建虚拟机,远程管理工具(02)
【网络安全零基础入门必知必会】VMware常用操作指南(非常详细)零基础入门到精通,收藏这一篇就够了(03)
【网络安全零基础入门必知必会】CentOS7安装流程步调教程(非常详细)零基入门到精通,收藏这一篇就够了(04)
【网络安全零基础入门必知必会】Linux系统目次结构详细介绍(05)
【网络安全零基础入门必知必会】Linux 命令大全(非常详细)零基础入门到精通,收藏这一篇就够了(06)
【网络安全零基础入门必知必会】linux安全加固(非常详细)零基础入门到精通,收藏这一篇就够了(07)
网络安全/渗出测试****计算机网络入门必知必会****
【网络安全零基础入门必知必会】TCP/IP协议深入剖析(非常详细)零基础入门到精通,收藏这一篇就够了(01)
【网络安全零基础入门必知必会】什么是HTTP数据包&Http数据包分析(非常详细)零基础入门到精通,收藏这一篇就够了(02)
【网络安全零基础入门必知必会】计算机网络—子网划分、子网掩码和网关(非常详细)零基础入门到精通,收藏这一篇就够了(03)
网络安全/渗出测试入门之HTML入门必知必会
【网络安全零基础入门必知必会】什么是HTML&HTML根本结构&HTML根本使用(非常详细)零基础入门到精通,收藏这一篇就够了1
【网络安全零基础入门必知必会】VScode、PhpStorm的安装使用、Php的环境配置,零基础入门到精通,收藏这一篇就够了2
【网络安全零基础入门必知必会】HTML之编写登录和文件上传(非常详细)零基础入门到精通,收藏这一篇就够了3
网络安全/渗出测试入门之Javascript入门必知必会
【网络安全零基础入门必知必会】Javascript语法基础(非常详细)零基础入门到精通,收藏这一篇就够了(01)
【网络安全零基础入门必知必会】Javascript实现Post哀求、Ajax哀求、输出数据到页面、实现前进后退、文件上传(02)
网络安全/渗出测试入门之Shell入门必知必会
【网络安全零基础入门必知必会】Shell编程基础入门(非常详细)零基础入门到精通,收藏这一篇就够了(第七章)
网络安全/渗出测试入门之PHP入门必知必会
【网络安全零基础入门】PHP环境搭建、安装Apache、安装与配置MySQL(非常详细)零基础入门到精通,收藏这一篇就够(01)
【网络安全零基础入门】PHP基础语法(非常详细)零基础入门到精通,收藏这一篇就够了(02)
【网络安全零基础入门必知必会】PHP+Bootstrap实现表单校验功能、PHP+MYSQL实现简单的用户注册登录功能(03)
网络安全/渗出测试入门之MySQL入门必知必会
【网络安全零基础入门必知必会】MySQL数据库基础知识/安装(非常详细)零基础入门到精通,收藏这一篇就够了(01)
【网络安全零基础入门必知必会】SQL语言入门(非常详细)零基础入门到精通,收藏这一篇就够了(02)
【网络安全零基础入门必知必会】MySQL函数使用大全(非常详细)零基础入门到精通,收藏这一篇就够了(03)
【网络安全零基础入门必知必会】MySQL多表查询语法(非常详细)零基础入门到精通,收藏这一篇就够了(04)
****网络安全/渗出测试入门之Python入门必知必会
【网络安全零基础入门必知必会】之Python+Pycharm安装保姆级教程,Python环境配置使用指南,收藏这一篇就够了【1】
【网络安全零基础入门必知必会】之Python编程入门教程(非常详细)零基础入门到精通,收藏这一篇就够了(2)
python开发之手写第一个python程序
python开发笔记之变量
python基础语法特征
python开发数据类型
python开发笔记之程序交互
python入门教程之python开发学习笔记根本数据类型
python入门教程之python开发笔记之格式化输出
python入门教程之python开发笔记根本运算符
python入门教程python开发根本流程控制if … else
python入门教程之python开发笔记流程控制之循环
python入门之Pycharm开发工具的使用
python入门教程之python字符编码转换
python入门之python开发字符编码
python入门之python开发根本数据类型数字
python入门python开发根本数据类型字符串
python入门python开发根本数据类型列表
python入门python开发根本数据类型
python入门教程之python开发可变和不可变数据类型和hash
python入门教程python开发字典数据类型
python入门之python开发笔记根本数据类型集合
python开发之collections模块
python开发笔记之三元运算
【网络安全零基础入门必知必会】之10个python爬虫入门实例(非常详细)零基础入门到精通,收藏这一篇就够了(3)
****网络安全/渗出测试入门之SQL注入入门必知必会
【网络安全渗出测试零基础入门必知必会】之初识SQL注入(非常详细)零基础入门到精通,收藏这一篇就够了(1)
【网络安全渗出测试零基础入门必知必会】之SQL手工注入基础语法&工具介绍(2)
【网络安全渗出测试零基础入门必知必会】之SQL注入实战(非常详细)零基础入门到精通,收藏这一篇就够了(3)
【网络安全渗出测试零基础入门必知必会】之SQLmap安装&实战(非常详细)零基础入门到精通,收藏这一篇就够了(4)
【网络安全渗出测试零基础入门必知必会】之SQL防御(非常详细)零基础入门到精通,收藏这一篇就够了(4)
****网络安全/渗出测试入门之XSS攻击入门必知必会
【网络安全渗出测试零基础入门必知必会】之XSS攻击根本概念和原理介绍(非常详细)零基础入门到精通,收藏这一篇就够了(1)
网络安全渗出测试零基础入门必知必会】之XSS攻击获取用户cookie和用户暗码(实战演示)零基础入门到精通收藏这一篇就够了(2)
【网络安全渗出测试零基础入门必知必会】之XSS攻击获取键盘记录(实战演示)零基础入门到精通收藏这一篇就够了(3)
【网络安全渗出测试零基础入门必知必会】之xss-platform平台的入门搭建(非常详细)零基础入门到精通,收藏这一篇就够了4
【网络安全渗出测试入门】之XSS毛病检测、利用和防御机制XSS游戏(非常详细)零基础入门到精通,收藏这一篇就够了5
****网络安全/渗出测试入门文件上传攻击与防御入门必知必会
【网络安全渗出测试零基础入门必知必会】之什么是文件包含毛病&分类(非常详细)零基础入门到精通,收藏这一篇就够了1
【网络安全渗出测试零基础入门必知必会】之cve实际毛病案例剖析(非常详细)零基础入门到精通, 收藏这一篇就够了2
【网络安全渗出测试零基础入门必知必会】之PHP伪协议精讲(文件包含毛病)零基础入门到精通,收藏这一篇就够了3
【网络安全渗出测试零基础入门必知必会】之怎样搭建 DVWA 靶场保姆级教程(非常详细)零基础入门到精通,收藏这一篇就够了4
【网络安全渗出测试零基础入门必知必会】之Web毛病-文件包含毛病超详细全解(附实例)5
【网络安全渗出测试零基础入门必知必会】之文件上传毛病修复方案6
****网络安全/渗出测试入门CSRF渗出与防御必知必会
【网络安全渗出测试零基础入门必知必会】之CSRF毛病概述和原理(非常详细)零基础入门到精通, 收藏这一篇就够了1
【网络安全渗出测试零基础入门必知必会】之CSRF攻击的危害&分类(非常详细)零基础入门到精通, 收藏这一篇就够了2
【网络安全渗出测试零基础入门必知必会】之XSS与CSRF的区别(非常详细)零基础入门到精通, 收藏这一篇就够了3
【网络安全渗出测试零基础入门必知必会】之CSRF毛病挖掘与自动化工具(非常详细)零基础入门到精通,收藏这一篇就够了4
【网络安全渗出测试零基础入门必知必会】之CSRF哀求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除5
****网络安全/渗出测试入门SSRF渗出与防御必知必会
【网络安全渗出测试零基础入门必知必会】之SSRF毛病概述及原理(非常详细)零基础入门到精通,收藏这一篇就够了 1
【网络安全渗出测试零基础入门必知必会】之SSRF相关函数和协议(非常详细)零基础入门到精通,收藏这一篇就够了2
【网络安全渗出测试零基础入门必知必会】之SSRF毛病原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了3**
**
****网络安全/渗出测试入门XXE渗出与防御必知必会
【网络安全渗出测试零基础入门必知必会】之XML外部实体注入(非常详细)零基础入门到精通,收藏这一篇就够了1
网络安全渗出测试零基础入门必知必会】之XXE的攻击与危害(非常详细)零基础入门到精通,收藏这一篇就够了2
【网络安全渗出测试零基础入门必知必会】之XXE毛病毛病及利用方法剖析(非常详细)零基础入门到精通,收藏这一篇就够了3
【网络安全渗出测试零基础入门必知必会】之微信XXE安全毛病处理(非常详细)零基础入门到精通,收藏这一篇就够了4
****网络安全/渗出测试入门远程代码执行渗出与防御必知必会
【网络安全渗出测试零基础入门必知必会】之远程代码执行原理介绍(非常详细)零基础入门到精通,收藏这一篇就够了1
【网络安全零基础入门必知必会】之CVE-2021-4034毛病原理剖析(非常详细)零基础入门到精通,收藏这一篇就够了2
【网络安全零基础入门必知必会】之PHP远程命令执行与代码执行原理利用与常见绕过总结3
【网络安全零基础入门必知必会】之WEB安全渗出测试-pikachu&DVWA靶场搭建教程,零基础入门到精通,收藏这一篇就够了4
****网络安全/渗出测试入门反序列化渗出与防御必知必会
【网络安全零基础入门必知必会】之什么是PHP对象反序列化操作(非常详细)零基础入门到精通,收藏这一篇就够了1
【网络安全零基础渗出测试入门必知必会】之php反序列化毛病原理剖析、怎样防御此毛病?怎样利用此毛病?2
【网络安全渗出测试零基础入门必知必会】之Java 反序列化毛病(非常详细)零基础入门到精通,收藏这一篇就够了3
【网络安全渗出测试零基础入门必知必会】之Java反序列化毛病及实例剖析(非常详细)零基础入门到精通,收藏这一篇就够了4
【网络安全渗出测试零基础入门必知必会】之CTF标题剖析Java代码审计中的反序列化毛病,以及其他毛病的组合利用5
网络安全/渗出测试**入门逻辑毛病必知必会**
【网络安全渗出测试零基础入门必知必会】之一文带你0基础挖到逻辑毛病(非常详细)零基础入门到精通,收藏这一篇就够了
网络安全/渗出测试入门暴力猜解与防御必知必会
【网络安全渗出测试零基础入门必知必会】之暗码安全概述(非常详细)零基础入门到精通,收藏这一篇就够了1
【网络安全渗出测试零基础入门必知必会】之什么样的暗码是不安全的?(非常详细)零基础入门到精通,收藏这一篇就够了2
【网络安全渗出测试零基础入门必知必会】之暗码猜解思路(非常详细)零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之利用Python暴力破解邻居家WiFi暗码、压缩包暗码,收藏这一篇就够了4
【网络安全渗出测试零基础入门必知必会】之BurpSuite暗码爆破实例演示,零基础入门到精通,收藏这一篇就够了5
【网络安全渗出测试零基础入门必知必会】之Hydra暗码爆破工具使用教程图文教程,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之暴力破解medusa,零基础入门到精通,收藏这一篇就够了7
【网络安全渗出测试零基础入门必知必会】之Metasploit抓取暗码,零基础入门到精通,收藏这一篇就够了8
Wfuzz:功能强大的web毛病挖掘工具
****网络安全/渗出测试入门把握Redis未授权访问毛病必知必会
【网络安全渗出测试零基础入门必知必会】之Redis未授权访问毛病,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之Redis服务器被攻击后该怎样安全加固,零基础入门到精通,收藏这一篇就够了**
**
网络安全/渗出测试入门把握**ARP渗出与防御关必知必会**
【网络安全渗出测试零基础入门必知必会】之ARP攻击原理剖析,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之ARP流量分析,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之ARP防御策略与实践指南,零基础入门到精通,收藏这一篇就够了
网络安全/渗出测试入门把握系统权限提拔渗出与防御关****必知必会
【网络安全渗出测试零基础入门必知必会】之Windows提权常用命令,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之Windows权限提拔实战,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之linux 提权(非常详细)零基础入门到精通,收藏这一篇就够了
网络安全/渗出测试入门把握Dos与DDos渗出与防御相关****必知必会
【网络安全渗出测试零基础入门必知必会】之DoS与DDoS攻击原理(非常详细)零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之Syn-Flood攻击原理剖析(非常详细)零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之IP源地点诱骗与dos攻击,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之SNMP放大攻击原理及实战演示,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之NTP放大攻击原理,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之什么是CC攻击?CC攻击怎么防御?,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之怎样防御DDOS的攻击?零基础入门到精通,收藏这一篇就够了
网络安全/渗出测试入门把握无线网络安全渗出与防御相****必知必会
【网络安全渗出测试零基础入门必知必会】之Aircrack-ng详细使用安装教程,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之aircrack-ng破解wifi暗码(非常详细)零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之WEB渗出近源攻击,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之无线渗出|Wi-Fi渗出思路,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之渗出WEP新思路Hirte原理剖析,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之WPS的毛病原理剖析,零基础入门到精通,收藏这一篇就够了
网络安全/渗出测试入门把握木马免杀问题与防御********必知必会
【网络安全渗出测试零基础入门必知必会】之Metasploit – 木马天生原理和方法,零基础入门到精通,收藏这篇就够了
【网络安全渗出测试零基础入门必知必会】之MSF使用教程永恒之蓝毛病扫描与利用,收藏这一篇就够了
网络安全/渗出测试入门把握Vulnhub靶场实战********必知必会
【网络安全渗出测试零基础入门必知必会】之Vulnhub靶机Prime使用指南,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之Vulnhub靶场Breach1.0剖析,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之vulnhub靶场之DC-9,零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之Vulnhub靶机Kioptrix level-4 多种姿势渗出详解,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之Vulnhub靶场PWNOS: 2.0 多种渗出方法,收藏这一篇就够了
网络安全/渗出测试入门把握社会工程学必知必会
【网络安全渗出测试零基础入门必知必会】之什么是社会工程学?定义、类型、攻击技术,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之社会工程学之香农-韦弗模式,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之社工学smcr通信模型,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之社会工程学之社工步调整理(附相应工具下载)收藏这一篇就够了
网络安全/渗出测试入门把握********渗出测试工具使用******必知必会**
2024版最新Kali Linux操作系统安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
【网络安全渗出测试零基础入门必知必会】之渗出测试工具大全之Nmap安装使用命令指南,零基础入门到精通,收藏这一篇就够了
2024版最新AWVS安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
2024版最新burpsuite安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
2024版最新owasp_zap安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
2024版最新Sqlmap安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
2024版最新Metasploit安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
2024版最新Nessus下载安装激活使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
2024版最新Wireshark安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
觉得有效的话,盼望粉丝朋友帮明白点个**「分享」「收藏」「在看」「赞」**

黑客/网络安全学习包


资料目次
因篇幅有限,仅展示部门资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图方向不对,积极白费
对于从来没有打仗过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。


因篇幅有限,仅展示部门资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
2.视频教程
许多朋友都不喜好晦涩的文字,我也为大家准备了视频教程,此中一共有21个章节,每个章节都是当前板块的精华浓缩


因篇幅有限,仅展示部门资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.SRC&黑客文籍
大家最喜好也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:

黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网举措资料
此中关于HW护网举措,也准备了对应的资料,这些内容可相称于比赛的金手指!
5.黑客必读书单
**

**
6.面试题合集
当你自学到这里,你就要开始思索找工作的事情了,而工作绕不开的就是真题和面试题。

更多内容为防止调和,可以扫描获取~

因篇幅有限,仅展示部门资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4