从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾

admin 2022年4月29日19:23:27企业安全评论10 views2032字阅读6分46秒阅读模式

从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾


从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾
数企业由于缺乏安全攻防对抗能力、大量数据处理能力、安全智能分析能力、有效协同能力等原因,企业内部的安全运营基本处于起步阶段。而对于企业来说,安全运营落地实践是一个持续的过程,中间面临的各个环节都需要结合自身实际进行相应的架构、流程和规则设计。
分享人 | 某支付公司安全运营  Mr.Be1ieVe
编 | yanni


网络安全运营即如何发现不足、分析成因、如何解决及避免事件再度发生。”Mr.Be1ieVe在FreeBuf甲方社群直播中提出上述观点。作为某支付公司的安全运营老兵,Mr.Be1ieVe在4月28日FreeBuf甲方社群的第二场内部直播中担任主讲嘉宾,向大家分享在安全运营中如何从0到1做好监控。

在第二场内部直播中,我们延续了上一场的开场红包雨、主播互动抽奖、演讲嘉宾分享、QA问答互动和结束抽奖环节。本场直播结束后,我们还设置了直播调研表单,通过问卷收集直播反馈,力求满足各方需求精益求精。


 如何做好安全运营 |

多数企业由于缺乏安全攻防对抗能力、大量数据处理能力、安全智能分析能力、有效协同能力等原因,企业内部的安全运营基本处于起步阶段。而对于企业来说,安全运营落地实践是一个持续的过程,中间面临的各个环节都需要结合自身实际进行相应的架构、流程和规则设计。

从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾

设备、SIEM(安全信息和事件管理)、告警、发生事件、解决事件是安全运营过程中的几个步骤。

从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾
在前两步,企业的安全部门需要收集日志。收集日志的实现方式分两种,读取本地路径上的日志或者接收syslog。读取本地路径上的日志可以通过filebeat或者splunk的转发器读取Wazuh、Nginx、Zeek等软件日志。syslog是接收WAF、防火墙等TCP或UDP发送的日志。

在告警和发生事件阶段则要充分利用各种工具和产品,利用威胁发现和智能分析识别内外部安全隐患,这样在解决事件环节才可以“对症下药”选择相应的处置方式。同时,在事后还需复盘,进行全流程盘点和优化。

安全运营的最终目的是深入摸查和掌握企业自身安全情况,发现发现安全威胁、敌我态势、规范安全事件处置情况,提升安全团队整体能力,逐步形成适合企业自身的安全运营体系,并通过成熟的运营体系驱动安全管理工作质量、效率的提高。

从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾


 | 如何做好安全监控 |

安全运营中需要覆盖的监控可分为外部攻击监控和内审监控。外部攻击监控可细分为业务访问监控和邮件网关监控。内审监控则包括域名监控、端口监控、流量监控、主机监控、矩阵化可用性监控。

Mr.Be1ieVe表示,业务访问监控可先从第一道防线WAF日志入手,方便直观地发现单个IP的异常情况。短期的业务访问监控以阻断暴力攻击为主,特殊时期可以用SE漏洞筛选。

对于Nginx日志可以每日调用频率最高的接口,检查是否为重要接口,是否需添加限速防刷。通过单IP短时间大量调用同一接口可判断是否黑灰产或攻击;单IP短时间大量访问同一站点或文章分享类路径可判断是否爬虫预警。

而邮件网关监控除了使用邮件网关产品,还需公司员工配合,及时申报钓鱼邮件配合调查分析。

内审监控中的域名和端口监控,域名记录可使用脚本轮询查询,检测黑名单有无DNS解析及确认访问控制是否生效。还需通过端口扫描记录了解云服务机器及防火墙新增、下线端口、端口服务是否变更、是否符合预期。

流量监控则可通过Zeek、NIDS等全流量产品实现。应用安全监控可通过黑盒扫描、人工手测(Xray、Bp)、商业IAST或开源的洞态IAST实现。主机监控的实现方式有开源HIDS Wazuh 搭配auditd 、商业HIDS、sysmon 及杀毒软件等。

 

安全监控建设最好是昨天,其次是现在 |

在QA问答环节,有用户提问,企业应该何时建设安全运营监控又该从何入手。Mr.Be1ieVe表示,安全监控建设最好的时机是昨天,其次是现在。安全部门可以从内审监控和外部监控出发,做好端口、流量、主机和命令审计的内部监控,同时也通过WAF、HIDS等手段发现攻击和抑制攻击。

Mr.Be1ieVe还在互动环节提到,做好安全运营还需要和其他部门分工协作,平时要多注意和其他部门的感情联络和分工协作。他还向观看直播的用户推荐了《Web攻防之业务安全实战指南》一书,帮助大家做好业务安全监控。最后Mr.Be1ieVe还和主持人一起抽取了数位互动观众送出书籍、防疫大礼包等精美礼品。

从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾

本期直播精彩回顾到此结束啦~此外,FreeBuf会定期开展不同的甲方社群直播,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!

加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?

从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾

申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部

如有疑问,也可扫码添加小助手微信哦!

从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾

精彩推荐


从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾

原文始发于微信公众号(FreeBuf企业安全):从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月29日19:23:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  从0到1之安全运营如何做好监控?| FreeBuf甲方社群直播回顾 http://cn-sec.com/archives/963401.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: