安全运维核心技能点-渗透测试与漏洞挖掘

• 渗透测试与漏洞挖掘：依据攻防思维来构建企业安全体系，是安全建设中不可或缺的一部分
• 应急响应与资产巡检：建立应急响应机制，对安全事件进行溯源，预防出现第二次类似事件
• 安全监控与安全部署：安全监控防御三要术，可知、可控、可信。安全部署从基线扫描开始，配置安全、web安全、部署策略、架构风险。另外需要的不仅仅是标准，还需要能够实实在在落地的方法
• 猜测：未来的安全肯定是一个开源安全+个人技能的安全体系

渗透测试与漏洞挖掘

入门

web渗透

• 前端：HTML，javascript、ActionScript、CSS、浏览器...
• 后端：PHP，JSP，ASPX，PYTHON，Ruby，Erlang...
• 其它：常见算法，主流框架，语言约定，集成系统...
• 攻击：弱口令，SQL注入，XSS，上传漏洞，web系统漏洞，命令执行，业务漏洞...

系统渗透

• 数据库：Mysql、Mssql、Oracle、Sqlite、PostgreSql、Access、Nosql、Resin...
• 容器：Apache、IIS、Nginx、Lighttpd、tomcat...
• 服务：FTP、SSH、SYNC、NFS、Samba、SVN、GIT...
• 中间件：weblogic，websphere，JBOSS...
• 系统：BASH、POWSHELL、VBS、防火墙、RDP、组策略、域控...
• 网络：DNS、IP、ARP、TCP、UDP、802.11、SNMP、NetBIOS...各类协议封装，实现
• 攻击：内网持续性攻击、后门技术、隧道技术、缓冲区溢出、提权、域攻击、爆破、中间人、数据劫持...

入门-技巧

• 懒人原则：用的时候再学
• 知识选择：优先学习跨平台语言，基础协议，主流架构
• 思维模式
• 攻防结合：内部建立红蓝队伍，内部对抗

建立漏洞库和漏洞反馈机制

• 记录企业内部的所有漏洞信息
• 漏洞复检，巡检，自动化，减少人工投入
• 根据业务，开发框架和项目团队等多个维度进行统计分析，找出漏洞的源头，从而建立相应的安全开发，运维标准

应急响应与资产巡检

应急响应一般流程

1. 攻击阻断(任何时候应急响应的第一步都是攻击阻断）
2. 现场保存（现场不要做任何破环，也不要关机，最好也不要上服务器；如果有备用机器的话要切换到服务器，这样做是方便人员后期进行取证）
3. 系统恢复
4. 现场分析
5. 漏洞定位-攻击链整理
6. 损失评估
7. 修复建议
8. 必要溯源

日志不全怎么办？1.钓鱼：在可疑的攻击链路上部署具有诱惑下的缺陷服务，同时在可疑通路上，都部署agent和探针，记录触发轨迹，等待黑客上钩。2.推演造路：排除一切当前不可能条件的，剩下的就是唯一答案。

应急响应与资产巡检

主动式安全-资产巡检

• 以资产和平台为目标，明确监控数量和监控维度：1.管理入口，数据区，接口，网络边界和DMZ，这些都是必须重点监控的；2.以管理入口为例：必须做IP绑定（IP跟域名绑定），前后台分离，后台验证码（防止爆破），登录监控（内鬼追查，溯源），IP白名单（有的仅允许内外访问，不允许从外网访问），二次验证机制（一般都标识到个人），httponly+hash（防止xss，csrf等），登录凭证单IP锁定（保证唯一性，一个ip只能登录一个ip凭证），多地登录告警（一个账户限制到一个地域内，超过这个地域进行报警），异地登录手机验证，访问行为学习（如果不能避免安全漏洞，则就尽量要求在该漏洞泄露后不能正常使用）
• 综合考虑现有资源，选择合适的巡检方案：1.能监控自动化的，一定不要手动，能用一个shell脚本解决的，不要扯框架；2.人工渗透检测的成本一定要沿河控制，非核心，非新业务，不建议；3.定制巡检规范和反馈机制，打通部门之间的安全信息通路。

被动式安全-安全监控

• 安全健康策略（分而治之）：多点监控往往比单一监控，更能有效捕捉到异常行为，1.虚假bash，捕捉黑客（自己内部不使用bash，但黑客一般使用bash，如果监控到有bash的记录，则立即报警）；2.虚假数据库，防脱裤（一旦发现虚假的数据库被脱裤，则理解切断核心业务并报警）；3.特制业务蜜罐，保护核心业务平台安全。网络流量盘路分析+主机监控+容器监控+数据监控+蜜罐+统一接口监控=>完整的数据流监控

监控平台选择

• OSSIM（开源，分析功能强，但是友好度不够）
• OSSEC（开源，HIDS好用）
• Suricata（开源，比较好用）
• HoneyDrive（开源，蜜罐全家桶）
• 安全狗服云（闭源，主机监控+WAF+攻击链智能分析+预警+攻防情报+跨平台+跨边界+巡检+人工服务+物美价廉）
• 造轮子（后期成本低于其它方案，也是许多互联网企业的选择，可定制性高，要想全权掌控和高度定制化以及和别的部门交互，这是唯一的选择）

安全部署

• 建立安全模板和基线安全（部署之前必须达到最基本的安全标准）
• 上线前的渗透测试和安全审计（上线之前必须有相应的渗透测试保护和安全审计报告）
• 统一部署策略，做好安全系统监控和业务监控，业务下线，数据统一销毁。业务策略隔离，避免由业务活动导致的安全策略bypass。