一、
1、以资产和平台为目标,明确监控数量和监控维度
1.1、管理入口、数据区、接口、网络边界和DMZ,这些都是必须重点监控的
1.2、以管理入口为例:IP绑定,前后台分离,后台验证码、登录监控、IP白名单、二次验证机制、httponly+hash(预防CSRF or XSRF)、登陆凭证单IP锁定,多地登陆告警、异地登陆手机验证、访问行为学习监控、众测和SRC等
2、综合考虑现有资源,选择合适的巡检方案
2.1、能自动化的,一定不要手动。能用一个shell脚本解决的,不要扯框架
2.2、人工渗透检测的成本一定要严格控制,非核心、非新业务、不建议
3、定制巡检规范和反馈机制,打通部门之间的安全信息通路
二、被动式安全-安全监控
1、安全监控策略(分而治之)
1.1多点监控往往比单一监控,更能有效捕捉到异常行为
虚假bash,捕捉黑阔
虚假数据库,防脱库
特制业务蜜罐,保护核心业务平台安全
1.2 网络流量旁路分析+主机监控+容器监控+数据监控+蜜罐+统一接口监控=>完整的数据流监控
三、监控平台选择
1、开源
OSSIM(分析功能强,但是友好度不够)
OSSEC(HIDS好用)
Suricata(强)
HoneyDrive(蜜罐全家桶)
2、闭源
安全够服云(主机监控+WAF+攻击链智能分析+预警+攻防情报+扩平台+跨边界+巡检+人工服务+物美价廉)
3、造轮子
后期成本低于其它方案。也是许多互联网企业的选择。可定制性高。要想全权掌控和高度定制化以及和别的部门交互,这是唯一的选择
四、安全部署
1、建立安全模板和基线
2、上线前的渗透测试和安全审计
3、统一部署策略,做好系统监控和业务监控,业务下线,统一销毁,业务策略隔离,避免由业务活动导致的安全策略BYPASS
五、建立安全模板与安全基线
1、每一种应用、服务、系统、都有针对性的安全检测清单(checklists)。主要涵盖下面三个方面的检测
1.1、该项之前是由针对性的应用漏洞存在
1.2、该项配置是否符合特定的安全要求
1.3、该项应用当前的状态指标
2、checklists需要不断的累计和调整,以适应不同的生产环境和安全需求,最后将其脚本自动化
3、或者使用可定制化安全模板的,安全软件:“比如服务器安全狗,从安全体检到基线修复到最后的权限加固,全程自动化
来源:CSDN
作者:ovowovo
链接:https://blog.csdn.net/ovowovo/article/details/103496281