从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾
2022-4-29 15:22:13 Author: www.freebuf.com(查看原文) 阅读量:11 收藏

网络安全运营即如何发现不足、分析成因、如何解决及避免事件再度发生。”Mr.Be1ieVe在FreeBuf甲方社群直播中提出上述观点。作为某支付公司的安全运营老兵,Mr.Be1ieVe在4月28日FreeBuf甲方社群的第二场内部直播中担任主讲嘉宾,向大家分享在安全运营中如何从0到1做好监控。

在第二场内部直播中,我们延续了上一场的开场红包雨、主播互动抽奖、演讲嘉宾分享、QA问答互动和结束抽奖环节。本场直播结束后,我们还设置了直播调研表单,通过问卷收集直播反馈,力求满足各方需求精益求精。

如何做好安全运营?

多数企业由于缺乏安全攻防对抗能力、大量数据处理能力、安全智能分析能力、有效协同能力等原因,企业内部的安全运营基本处于起步阶段。而对于企业来说,安全运营落地实践是一个持续的过程,中间面临的各个环节都需要结合自身实际进行相应的架构、流程和规则设计。

设备、SIEM(安全信息和事件管理)、告警、发生事件、解决事件是安全运营过程中的几个步骤。

在前两步,企业的安全部门需要收集日志。收集日志的实现方式分两种,读取本地路径上的日志或者接收syslog。读取本地路径上的日志可以通过filebeat或者splunk的转发器读取Wazuh、Nginx、Zeek等软件日志。syslog是接收WAF、防火墙等TCP或UDP发送的日志。

在告警和发生事件阶段则要充分利用各种工具和产品,利用威胁发现和智能分析识别内外部安全隐患,这样在解决事件环节才可以“对症下药”选择相应的处置方式。同时,在事后还需复盘,进行全流程盘点和优化。

安全运营的最终目的是深入摸查和掌握企业自身安全情况,发现发现安全威胁、敌我态势、规范安全事件处置情况,提升安全团队整体能力,逐步形成适合企业自身的安全运营体系,并通过成熟的运营体系驱动安全管理工作质量、效率的提高。

如何做好安全监控?

安全运营中需要覆盖的监控可分为外部攻击监控和内审监控。外部攻击监控可细分为业务访问监控和邮件网关监控。内审监控则包括域名监控、端口监控、流量监控、主机监控、矩阵化可用性监控。

Mr.Be1ieVe表示,业务访问监控可先从第一道防线WAF日志入手,方便直观地发现单个IP的异常情况。短期的业务访问监控以阻断暴力攻击为主,特殊时期可以用SE漏洞筛选。

对于Nginx日志可以每日调用频率最高的接口,检查是否为重要接口,是否需添加限速防刷。 通过单IP短时间大量调用同一接口可判断是否黑灰产或攻击;单IP短时间大量访问同一站点或文章分享类路径可判断是否爬虫预警。

而邮件网关监控除了使用邮件网关产品,还需公司员工配合,及时申报钓鱼邮件配合调查分析。

内审监控中的域名和端口监控,域名记录可使用脚本轮询查询,检测黑名单有无DNS解析及确认访问控制是否生效。还需通过端口扫描记录了解云服务机器及防火墙新增、下线端口、端口服务是否变更、是否符合预期。

流量监控则可通过Zeek、NIDS等全流量产品实现。应用安全监控可通过黑盒扫描、人工手测(Xray、Bp)、商业IAST或开源的洞态IAST实现。主机监控的实现方式有开源HIDS Wazuh 搭配auditd 、商业HIDS、sysmon 及杀毒软件等。

建设安全监控最好是昨天,其次是现在

在QA问答环节,有用户提问,企业应该何时建设安全运营监控又该从何入手。Mr.Be1ieVe表示,**安全监控建设最好的时机是昨天,其次是现在。安全部门可以从内审监控和外部监控出发,做好端口、流量、主机和命令审计的内部监控,同时也通过WAF、HIDS等手段发现攻击和抑制攻击。

Mr.Be1ieVe还在互动环节提到,做好安全运营还需要和其他部门分工协作,平时要多注意和其他部门的感情联络和分工协作。他还向观看直播的用户推荐了《Web攻防之业务安全实战指南》一书,帮助大家做好业务安全监控。最后Mr.Be1ieVe还和主持人一起抽取了数位互动观众送出书籍、防疫大礼包等精美礼品。

本期直播精彩回顾到此结束啦~此外,FreeBuf会定期开展不同的甲方社群直播,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!

加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?

申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部

如有疑问,也可扫码添加小助手微信哦!


文章来源: https://www.freebuf.com/articles/web/331762.html
如有侵权请联系:admin#unsafe.sh