本文探讨了网络安全运营中的复杂性,涉及数据收集难题、用户对数据安全的高要求、安全数据分析的高门槛,以及安全事件研判中面临的误报和规则制定问题。作者提供了从入门到进阶的学习路线、工具使用、实战项目和面试指导,强调了系统学习和持续实践的重要性。
但是安全运营相对就复杂的很多
1.首先数据收集的难度就很大因为很多用户普遍不会让安全设备链接互联网、
2.第二就是安全的数据比较敏感用户对数据安全的要求普遍也较高,第三安全数据的分析存在较高的门槛且收集到的数据资料层次不齐。
3.安全数据的分析私下觉得这是一个对综合能力要求相对较高的一个岗位,也是整个运营工作当中最关键的一环。
安全攻击的行为和互联网业务的点击存在的一定的差异,安全攻击的数据的维度往往更多,一般的安全告警包括发生的事件、唯一标识、攻击类型、源、目标、攻击特征、告警描述等举证信息等内容,分析的第一步是需要确认当前事件的准备性,到底是不是误报、还是正常告警。这个其实反而是一件比较有难度的事情,当前主流的安全能力主要有三种方式基于特征的识别、基于行为的检测能力、基于关联分析的识别能力,由于分析人员和安全研究人员的割裂导致运营人员只能依靠现有的数据进行研判,一些常见的攻击举证字段相对容易一些比如识别一个文件是webshell上传,那么可以打开这个文件看一下是否包含一些特殊的函数名如eval、assert、create_function一类的,实在不行还可以借助D盾、河马一类的第三方工具辅助研判。
如果是一些基于HTTP协议的RCE还可以在数据包当中找寻对应的payload字符、一些暴力破解的告警需要收集到对应的行为特征比如是不是1秒发起了很多次不成功的登录请求、比如识别出有Nmap的攻击流量也可以从数据包当中去验证是否存在一个特殊的UA字段或者行为特征。对安全事件的研判,一定的是基于对当前攻防场景的理解、与猜测大概的检测手法到底是什么的背景下进行的,如果接触到一些不熟悉的领域就很容易走到一些盲区,对于很多经验不是很足的分析人员很多时候无法揣摩到对应的检测思路导致对安全告警的研判缺乏准确性,很有可能是识别到了一个0day最后被错判为误报。
另外一个问题在于很多研究攻防的安全人员对业务场景的认知不足,导致规则、方案的质量并不是很高,最开始的调研没有做好造成大量的误报、漏报等情况的出现,比较很多实验室的数据与效果总体来还是缺乏一个广泛的应用性。还有目前很多国内外引入了AI+安全的概念在对应的举证、研判上的难度无疑更上一层楼,很多描述类似雾里看花似的的很难进行识别,该场景下只能依靠运营人员对当前场景的猜测,并结合其他行为的上下文扩展开来了分析关联。
针对于某一个安全事件,我们可以从点、线、面、场景来进行思考和剖析,比如最近二年玩的风声水起的勒索病毒的的确确给很多不懂安全的用户企业造成了比较大的损失,无论是精神上的还是经济上都给大家上了一课开始着力搞适合自己的安全防御体系。
从点来看有必要知道自己到底具备哪些场景下的安全识别能力(安全能力全景图),这些能力的检出率、误报率、假阳性占比(业务误报率)、漏报率目前的数值是多少。安全能力的全景图普遍使用ATT&CK的覆盖度来描述当前能力,个人觉得此类只能从覆盖面来表述一定的问题因为在实际的攻击场景当中场景复杂的多,应该是一个多维的向量去描述当前安全能力的成熟度。覆盖与否、覆盖场景有多少、误报、检出、业务误报等维度。
除开对检出、误报、漏报率的场景数据统计之下,安全运营的工作还需要额外的针对一些流行且热门的攻击进行进行深入分析,比如针对某一个挖矿团伙可以定义他们的活动指纹用于监控该黑产团伙在当前互联网上的活跃情况,技术样本更新趋势,或者提取一些关键的威胁情报信息一类的操作。
同时针对于一些特定的能力进行运营能够较多的发现一些新类型的攻击手法,弥补一下运营人员自身在安全能力的缺失项。知己知彼,百战不殆。毕竟人的精力还是有限的往往也只能在某一个领域或者具体的方向上做的很深入,能覆盖很多个安全技能方向的大佬要么十分努力热爱这个行业,要么就是天赋异禀。
知行合一、格物致知。从理解勒索病毒的场景,首先需要弄清楚几个问题,攻击者的攻击对象是谁?那些能缴赎金且愿意为被加密的数据进行解密、安全建设不足且容易被入侵的群体。
常用的攻击技术手法是那些?从之前的自动化病毒传播到当前定向投毒实施勒索。为何避免被相关部门给盯上呢?基于国外的匿名邮箱联系、通过虚拟货币进行交易。如何保证受害者会交赎金?加密重要服务器的业务数据、保证操作系统可以运行。如何保障用户不会被自己破解算法?使用当前主流的非对称加密、对称加密的结合。如何保证受害者可以顺利的交钱?告诉受害者获取购买虚拟货币的方法,留下联系方式(非微信)。如何提高生产效率?建立完整的产业链条与分工,要有信誉度、防止信任危机。很多安全从业者喜欢用杀伤链(kill-chain)、攻击链、攻击阶段一类的方法用户描述攻击者的步骤,以及目前ATTCK整理好的攻击全景图,还有一些类似于作战图的概念出现,虽然攻击方式比较多常用的攻击手法到底有那些呢?基于RDP、SSH、SMB协议的弱口令爆破与登录,读取密码扩散其他主机;基于鱼叉邮件的方式进行样本投递
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
796
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
