态势感知系统建设:
态势感知是一种基于环境的,动态的,整体的洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现能力,理解分析,响应处置能力的一种
方式,最终是为了决策与行动,是安全能力的落实。包括漏洞扫描,入侵感知以及安全可视化,敏感信息泄露监控等。
1.漏洞扫描
漏洞扫描器,也叫VA漏洞评估或者Vm漏洞管理器。web漏洞扫描器属于检测环节,是动态响应和加强防护的依据,通过不断的检测和监控网络系统,来发现新的威胁和
弱点,通过循环反馈来及时作出有效的响应。当攻击者穿透防护系统时,检测功能就会发挥作用,与防护系统形成互补。
1.场景开源/免费web扫描器
1.Nikto
2.Paros proxy
3.WebInspect
4.OWASP ZAP
5.Burpsuite
6.IBM Security AppScan
7.Acunetix Web Vulnerability Scanner
8.SQLmap
2.web扫描器实践中的不足
1.对api服务支持差
2.爬虫能力偏弱
3.自动化能力弱
4.缺乏基础的业务安全监测能力
5.信息孤岛难以融入安全体系
3.理想中web漏洞扫描器
1.多数据源的支持
2.黑客视角的自动踩点
3.基础的业务安全监测
4.与其他系统的联动
4.端口扫描
端口扫描的目的:
1.发现对外违规开放的端口
2.发现在合法端口开放的违规服务
1.Nmap
2.Zmap
3.Masscan
2.入侵感知
入侵感知又称为入侵检测系统,是安全体系中非常重要的一环,是动态响应和加强防护的依据,通过不断的检测和监控网络系统,来发现新的威胁和弱点。
1.攻击链模型
1.侦查目标
2.制作工具
3.传送工具
4.触发工具
5.控制目标
6.执行活动
7.保留据点
从协议栈的角度看,至少需要覆盖http协议,数据库协议,dns协议。
从数据搜集的角度,需要覆盖至少网络流量,数据库日志,web服务器日志,服务器操作日志,dns服务器查询日志,进程信息,内部调用数据,甚至业务层应用日志。
3.网络入侵检测
1.全网流量分析
网络全流量获取方式:交换机镜像,分光器和网络分流器三种。
2.协议分析
协议分析的过程包括重组,tcp/udp 会还还原以及应用层协议解析。
1.libpcap
最原始的直接使用 libpcap 进行协议分析,tcpdump 就是以他为基础开发的。
2.PF_RING
3.DPDK
3.网络全流量协议分析开源解决方案
1.Bro, 可以与 PF_RING 一起使用
2.Suricata,一款网络入侵检测和阻止引擎软件
4.网络全流量深度解析
网络全流量深度解析是个很大的话题,有个专门的技术叫 DPI,即深度包检测。
1.基于规则的分析
2.基于时序的分析
3.基于语义的分析
4.基于沙箱的分析
5.基于机器学习的分析
4.主机入侵检测
OSSEC
WPScan
5.物联网IOT以及工控设备ICS入侵检测
Sweet Security :
开源监控软件,是基于Bro 和 ELK 的针对 IOT 和 ICS 的安全监控软件。
6.敏感信息外泄监控
在态势感知系统中,以黑客视角实时监控全网的,针对本企业的信息泄露,是非常有意义的。
recon-ng