跳转至

信息安全实践总结

信息安全建设思路

《Web之困:现代Web应用安全指南》 《互联网企业安全高级指南》 为有效应对目前面临的问题和满足安全迫切需求,我们需要利用基于大数据机器学习技术对已知威胁进行模式挖掘,然后通过专家分析,提取恶意行为并输出安全能力,具备威胁情报检测、网络异常检测、入侵检测、主机行为检测等多种安全能力,从“端、边界、云”的空间维度上以及 “预警、监测、分析、清除”的时间维度上实现安全防护的闭环管理,真正做到 “全面防御、主动预警、安全运营,全天候、全方位感知网络安全态势”。

攻防侧:收敛攻击面,具备有效防护各类已知攻击的能力; 网络侧:具备覆盖全部网络协议栈的分析、检测和分析回溯能力,能够覆盖全部边界和 MPLS VPN 互联的链路; 主机侧:以业务主机(服务器)为安全防御重点,构建最后一公里防线,快速搭建自适应防御体系; 终端侧:建立终端安全防御体系,同时通过检测网络流量中的 DGA 域名,定位网络内部已经被控的主机。 安全域划分:基于零信任网络原则,进行层次化划分,尤其是对内网互联的网络进行有效隔离,防止堡垒从内部被突破,打造不被绕过的马奇诺防线。

建设具体成果

在总部数据中心层面,通过开展敏感信息清理、网络资产摸底清理、收敛网络攻击暴露面、安全风险排查整改、重点目标防御等专项工作,同时配合常态化的漏洞扫描工作,逐步整改安全漏洞,淘汰下线不安全业务系统;对安全设备策略进行有效收紧,形成了漏洞收敛、防护有效、保障有力的安全局面。

内网隔离纵深防御 针对内网平坦化问题,我们通过进行安全域划分方式,对内网进行了初步隔离,对来自地区公司和兄弟公司的互联请求不再采取默认放行规则,而是基于零信任网络原则,进行层次化划分,防止病毒木马纵向感染横向传播。

再高级的攻击,都会留下网络痕迹,因此,进行网络全流量分析是精确感知安全的一个非常好用的手段,全流量威胁分析回溯系统能够快速检测各类重点事件,如 APT 攻击事件、Botnet 事件、恶意样本传播、WebShell、隐蔽隧道等高危安全事件。以流量行为为例,正常网络层的连接行为是松散的、随机分布的,如下图:

waf

ModSecurity(http://www.modsecurity.org/),开源的主机Web应用防火墙,支持Apache、Nginx、IIS等Web服务器,研究和体验WAF的首选参考。

创宇盾(https://www.yunaq.com/cyd/),知道创宇出品的在线Web防护服务,是将DNS指向云服务商清洗的原理,免费版给小型用户作为常规攻击防护还是足够的。

阿里云盾(https://cn.aliyun.com/product/waf),阿里云提供的Web应用防火墙,属于收费服务。

腾讯云WAF(https://www.qcloud.com/document/product/296/2227),由腾讯云提供的Web应用防火墙,支持Web漏洞防护以及虚拟补丁,可通过购买腾讯云主机直接使用。

app检测和加固

腾讯金刚(http://service.security.tencent.com/kingkong),由腾讯安全平台部出品的免费终端安全审计服务,脱胎于内部使用的金刚系统,属于国内最早公开的Android APP漏洞检测系统。

阿里聚安全(http://jaq.alibaba.com/),由阿里聚安全开发的移动APP在线审计系统,支持Android/iOS,属于收费项目。

360显危镜(http://appscan.360.cn),360信息安全部开发的Android APP安全风险在线扫描系统,免费服务。

AFL-Fuzz(http://lcamtuf.coredump.cx/afl/),由Google开发的开源的著名Fuzzer,对于开源项目的Fuzzing效果尤其好,目前已发现数百个主流软件的漏洞,能够自动寻找执行路径并反馈驱动Fuzzing,算是漏洞挖掘界中的一颗明星。

腾讯云乐固(http://legu.qcloud.com),腾讯云出品的在线APP加固服务,通过对APP进行加密混淆,可有效地防止APP被逆向分析,防止盗版。同时提供实时的渠道监控和安全SDK包。

腾讯御安全(http://yaq.qq.com/),腾讯手机管家团队出品,主要解决应用安全加密、安全存储、安全加签、反调试、反篡改等难题。

阿里聚安全(http://jaq.alibaba.com),除提供APP漏洞检测外,它还提供有应用加固和持续监控的功能。

360加固保(http://jiagu.360.cn),360开发的Android应用加固服务,同时包括盗版检测、崩溃日志分析、数据分析等服务。

DDoS攻击防护

DDoS本质是资源的消耗,除了极少数的轻量级攻击,基本上没有主机层能够解决的,所以DDoS防护一般需要投入大量成本依靠商业或者自研设备。随着云服务的兴起,由云服务商来提供防护服务或许会比硬件采购/自研节约成本。

腾讯云大禹(https://www.qcloud.com/product/ddd),依托于腾讯自研的DDoS防护系统宙斯盾及CDN,通过动态调度组织腾讯云全网各冗余带宽和防护能力,为用户提供的DDoS防护服务。

电信云堤(http://www.damddos.com/),由中国电信提供的DDoS攻击防护产品,具备异常流量监测、流量压制和流量清洗(近源清洗这种能力只有运营商具备)的功能。

阿里云盾(https://www.aliyun.com/product/ddos),阿里云提供的DDoS防护服务,也支持非阿里云主机。

360网站卫士(http://wangzhan.360.cn/),360提供的免费防DDoS攻击的在线云服务平台,同时也支持Web漏洞防御能力。

文件行为分析

腾讯哈勃(https://habo.qq.com/),由腾讯电脑管家出品的在线文件分析系统,存在在线版和APP版本,支持APK、EXE、PDF、SWF以及压缩包等多种文件格式,能够自动分析出文件存在的一些敏感行为,现在已经开源。

火眼(https://fireeye.ijinshan.com/),金山出品的在线文件行为分析系统,支持多种文件格式,主要包括Windows和Android下的文件,完全免费,报告的展示效果很好,能够给出文件关键的敏感行为,以及是否为恶意文件的结论。

VirusTotal(https://www.virustotal.com/),当前最流行的在线病毒扫描系统,支持各种文件格式,包括病毒和漏洞常利用的文件格式,如doc、pdf、swf等等,当前共有59个主流的病毒扫描系统支持同时扫描,使用方便,常作用优先的病毒检测工具。

微步在线(https://x.threatbook.cn/),业界元老sowhat创办的安全威胁情报分析平台,除了文件行为分析,还有IP/域名分析、域名解析历史记录,功能强大。

建设要求

  1. ssh_key 加密

漏洞案例

  1. fastjson
  2. nacos https://github.com/alibaba/nacos/issues/4593

评论