以业务行为驱动的反入侵安全能力建设

置顶 已于 2023-02-25 21:22:10 修改
阅读量1k 收藏 1
点赞数 3
分类专栏: 安全 文章标签: 安全 安全运营 安全能力建设 异常检测 反入侵
于 2023-02-25 21:11:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/momo_sleet/article/details/129218859
版权

0x0 背景

        最近听到一些甲方安全领域的专家分享了部分安全建设的经验,对安全运营下的反入侵技术能力建设有了些新的看法,依靠单个/多个异构的安全产品的关联能力形成的安全中台并不能在实际的攻防对抗当中占据主动地位,且很容易达到一个天花板,而真实的有效方案应该是伴随着业务环境变化可以持续生长、动态变化的安全能力平台;

        在之前的文章当中曾描述过大部分的SOC和SIEM的平台仅仅只是将异构的安全告警数据进行数据接入、数据标准化处理后,通过一系列的存储分析后和一些流程工单、通报预警、OA系统、绩效评估、处置响应、SOAR系统进行了打通,成为了一些业务系统依赖的数据源;但后续的各项功能,本质上都是依赖于告警/事件的准确性与数量;也很好理解、如果这个告警/事件一开始就是误报、那么后续的所有旅程都是徒劳甚至有反面效果。如果每天的告警/事件的数量过多,一天有成千上万的告警远远超出现有的工作量那么本身也没有意义;

          所以、在日常的安全运营Job当中,最本质的需求是发现那些真实有效的安全隐患与入侵行为并快速响应处置ÿ

最低0.47元/天 解锁文章
si1ence_whitehat
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
企业安全 安全智能驱动的新一代SOC建设 - CNCF.zip
11-06
标题中的“企业安全 安全智能驱动的新一代SOC建设 - CNCF”暗示了本文将讨论的是如何利用先进的安全智能技术来构建新一代的安全运营中心(Security Operations Center,简称SOC)。CNCF,全称为Cloud Native ...
数据驱动数据安全.pdf
08-29
数据驱动的数据安全是一种以数据为基石,通过收集、分析和利用数据来提升网络安全防护能力的策略。美团作为一家涉及众多业务领域的公司,其数据安全建设涵盖了从C端用户到B端商户的全方位保护,旨在确保数据的完整性...
「网络安全」Scale_Your_Auditing_Events - 安全建设.zip
12-05
在网络安全领域,Scale_Your_Auditing_Events的主题聚焦于如何有效地扩大审计事件的规模,以增强安全建设。这一主题涵盖了多个关键知识点,包括风险评估、数据泄露防范、云安全策略、开发安全实践以及对勒索软件的...
二电子商务网站建设需求分析.ppt
11-12
- **现状分析**:研究当前市场的状况,包括市场规模、消费者行为、行业趋势等,以判断电子商务网站是否符合市场需求。 - **竞争分析**:了解主要竞争对手的在线策略,包括他们的网站功能、市场定位、服务特色等,...
安全生产监管物联网平台解决专项方案V.doc
最新发布
12-17
物联网平台需具备强大的数据安全防护能力,包括数据加密传输、访问控制、防火墙和入侵检测系统等,确保敏感信息不被泄露,同时遵循相关法规,保护个人隐私。 1.5 系统扩展性与兼容性 平台设计应考虑未来的扩展需求...
浅谈攻击溯源的一些常见思路
热门推荐
si1ence的博客
07-13 1万+
0x0 背景 攻击溯源作为安全事故中事后响应的重要组成部分,通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险避免二次事件的发生。攻击知识可转换成防御优势,如果能够做到积极主动且有预见性,就能更好地控制后果。 说人话:被黑了就要知道为什么被黑了怎么被黑的,不能这么不明不白。 0x1 主体思路 溯源的过程当中的时候除开相关的技术手段之外,首先...
Ramnit病毒简介
si1ence的博客
01-11 1万+
0x0 背景 1、Ramnit 病毒的网页传播方式 在被植入了 Ramnit 病毒的主机中,病毒会感染主机中的 .html 或 .htm 后缀的网页,在 .html 或 .htm 文件中添加如下的 vbs 攻击代码: 当使用低版本或安全策略配置不当的 IE 浏览器访问被 Ramnit 感染的 html 网页时,感染 html 网页的 vbs 攻击代码将被执行,创建并运行 Ramnit 病毒。继而 Ramnit 病毒会感染访问者本地计算机的 html 文件,从而形成蠕虫的自动...
浅谈信息安全的职业发展方向规划(乙方安全公司篇)
si1ence的博客
03-01 9761
0x0 背景 继上次写了一篇信息安全行业入门与各类技术简介(扫盲贴)之后,在CSDN没有想到还有这么多的访问量。笔者经常被人问起一些关于这个行业的职业发展问题,由于最近疫情期间周末也不能出去浪,算上本科的学习的时间到现在也差不多10年安全研究经验,这里结合自己的一些阅历简单写出来,希望对大家有所帮助,有遗漏和不当之处也希望大家包涵。 0x1 职业规划 笔者第一次接触这个概念的时候,依...
热门的XDR到底是一类什么样安全产品?
si1ence的博客
04-09 5513
最近一段时间XDR的概念十分热门,该产品主要是一个什么类型的产品?具体能够解决那些问题,和当前已有的产品有什么区别? 作为近两年最为热门的安全技术方向,XDR成为被Gartner《Top Security and Risk Management Trends》报告提到的第一项技术和解决方案。对于XDR,虽然很多安全厂商给出的定义都不尽相同,但是却有这样一个基本的共识:它不仅是众多安全能力的集合,更将这些单独的能力进行全面协同,从而使之成为上下联动、前后协作的有机整体。
攻防对抗模拟工具CyberBattleSim的简单分析
si1ence的博客
04-17 4691
0x0总结 整个CyberBattleSim是强化学习在攻防过程当中的一个典型的应用场景,主要针对攻击链当中的内网横向移动阶段;使用了Q-Learning技术训练二个Agent(代理)来模拟攻防演练当中的攻击队员、防守队员,利用高交互的环境模拟了一个相对简单的网络环境(靶场),通过部署一些有典型的漏洞、脆弱性的服务器资产,让攻击的Agent代理(集成了很多攻击方法)对内网资产模拟攻击队进行攻击,同时设置一个防御的Agent代理(defender)进行监控与简答程度的防御,攻击agent拿到不同的服务器权限
Spring Cloud Function Spel表达式注入漏洞分析
si1ence的博客
04-14 3416
Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),当其启用动态路由functionRouter时, HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞,攻击者可通过该漏洞进行远程命令执行。主要影响的版本包括 3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2
漫谈入侵技术的二三事
si1ence的博客
01-11 3042
安全建设的主要方向粗略的看主要也分成二个大类,安全合规与入侵;合规的驱动力为首要业务典型类似于ISO27001、等级保护等维度。而在入侵的方向是以保护现有业务的CIA属性为主要的出发点,以攻击者的视角审视当前的风险并加以防护与检测,相比于法律合规当中明确了各项指标与参数的checklist,入侵的工作开展难度明显要复杂的多,面临的挑战与技术的积累也要求更高。安全工作的本质上还是攻防双方之间人与之间的对抗、攻击技术与检测技术的对抗、流程与组织架构之间的对抗。
攻防演练第四年的一些碎碎念
si1ence的博客
08-02 2979
安全厂商普遍都已经参与过3-4次的护网,当前各家安全产品针对hvv特殊场景都进行了一定的技术倾斜,故整体安全能力侧在未出现真实的入侵成功的场景(0day、钓鱼、凭证窃取),产品与产品之间很难从用户感知上拉开较大的差距、尤其是在hvv场景下用户往往更多的关注于失陷事件(外联、横向)、攻击成功事件(RCE攻击成功)这二类,而且目前攻击成功状态标签(结果)各厂家都基本已经具备、用户很难一下子看清楚差异;基于此背景、此类用户群体的调查场景会成为最关注的功能项;产品的易用性,专业性的提升、进一步促进了用户的成长;..
基于Sysmon初步实现主机侧入侵检测的监控思路
si1ence的博客
04-22 2701
ysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。一旦安装在系统上,便会驻留在系统重新引导期间,以监视系统活动并将其记录到Windows事件日志中。它可以提供有关进程创建,网络连接以及文件创建时间更改的详细信息。可以使用相关日志收集工具,收集事件并随后对其进行分析,可以识别恶意或异常活动;
日常安全运营工作的一些思考
si1ence的博客
10-31 2071
安全运营是一个闭环、螺旋提升的过程;区别于运维保障围绕网络设备正常运行的工作不同,安全运营更为主要是在保障业务正常运行的基础上,提升组织整体安全能力;网络世界里,威胁不断演变,需要可持续的安全运营不断提升对抗能力。借周末二天时间总结一些关于安全运营一些经验与思路,个人觉得安全运营是一个技术复合型要求比较高的工作岗位,对个人素质/技术门槛要求都比较高,在一次一次攻击对抗、溯源的过程中也能获取到新的想法收获、那种充实的成就感也是安全运营带给人为数不多的喜悦;安全能力也需要一步步持续提升,攻防一体、知行合一;
浅谈攻防技术未来几年内的演进趋势
si1ence的博客
08-19 1038
0x0 背景 在过去的几年里网络领域产生了重大影响,疫情改变了企业和组织的运作方式,使它们面临一系列新的风险和恶意攻击,同样也对网络犯罪的行为产生影响。基于安全产品、蜜罐、外部情报等数据来源,并结合安全专家调查的勒索软件、黑产团伙、APT 组织和其他利用客户端和服务器端漏洞的攻击事件进行整理获得,重点收集恶意软件、网站安全、漏洞、数据泄露、APT 攻击等方面的态势后得出的部分结论。 0x1 攻击视角 0x1.1 互联网攻击流量当中占比较大的流程化攻击有效性持续走低 当前互联网用户遭受大...
浅谈安全攻防场景下面的安全检测
si1ence的博客
03-12 1015
0x0背景 安全本质是人与人之间的对抗,攻防技术的更新迭代促进了行业的发展。虽然都是做在安全技术的研究,但是发现其实二个方向的工作思路上还是有较大的区别;防御者从多个维度针对某一类攻击手法进行全面剖析提出一个能够覆盖大多数攻击场景下面的方案。攻击者往往在多次攻击测试之后,只需要有跳跃性思路能够利用一些出其不意的姿势从一些技术点上突破防御即可,攻防技术相辅相成,相互进步。笔者在机缘巧合下从一个...
从webshell的视角谈攻防对抗
si1ence的博客
12-05 794
0x0 背景 由于参加最近特殊多人活动的原因,很多渗透攻击武器也进行了对应的更新。冰蝎出了3.0版本、甚至还有好几个beta版本;还朋友圈还出了一个据说比冰蝎3.0还厉害的神器”哥斯拉”全部类型的shell均过市面所有静态查杀、流量加密过市面全部流量waf、自带的插件是冰蝎、蚁剑不能比拟的;看名字就很厉害的样子,看描述更是功能强大 不禁内心一阵酸爽。 丰富了自己部分武器库之后很多白帽子喜悦之情溢于言表,身边很多小伙伴甚至都开始在本地开始测试了;几家欢喜几家愁,总一些人的快乐终究是建立在一些人的痛苦之上
华为等保驱动的云安全架构:应对新时代挑战与能力展示
总结来说,华为在设计云平台安全架构时,充分考虑了等保标准,通过综合运用技术手段和管理策略,旨在建立一个全方位、多层次的安全防护体系,以抵御内外部威胁,保障云环境中的数据和业务安全。在这个过程中,理解并...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值