目录：

篇一：浅谈root账号安全管理

篇二：供应商及人员安全管理

篇三：职业欠钱理解的安全运营

篇四：测试环境安全管理漫谈

篇五：流量层检测的未来何去何从？

篇六：安全资产管理

篇七：操作系统补丁管理与代码扫描工具探讨

篇八：矛与盾，攻与防杂谈集锦

篇九：如何进行有效的安全规划与汇报？

篇十：小议数据安全场景应对之道

篇十一：众说纷纭聊安全弹性与韧性

1 流量检测面临的对抗

基于流量分析的防守技术还有多大未来？随着攻防类比赛的升温，蓝军在近几年已经大规模使用了逃避流量审查的攻击方式：

• 加壳木马

• 加密隧道

• 黑白加载

• 域前置

在信息收集阶段是能告很多警，但是0day发现不了（规则未覆盖），投递木马发现不了（反沙箱），执行木马发现不了，c2发现不了（域前置），真正起效的是主机上基于行为的规则，对日志的白名单分析，内网真实业务上跑的蜜罐服务和内网流量分析一起发现的失陷主机。

2 如何正确定位流量层对抗？

既然讨论攻防，那必然是个强对抗的。强对抗中，没有技术可以包打天下，甚至很多不是靠技术解决。老是希望一套产品或者一种技术搞定，实际算是落入厂商的销售陷阱了。

从某个具体的攻击技术上去对抗那就是以卵击石，这是红军的劣势，红军的优势应该是对自己架构策略调度的掌控体系化的纵深防御，琢磨怎么以小博大以弱胜强。一两种技术吃得透也只是个别专而已，不要用劣势去对抗别人的优势，发挥自己的优势是根本，永远不过时，能实现降维打击就是一种控制力。

流量层的攻防就是典型的对抗，同样主机层也有对抗。安全本身就是一个对抗的过程，所以要有纵深防御思路，以及不仅仅依靠黑特征码，还要提炼通用特征。跟区域防御、联防联控一样。防守方比的就是联防控制，关键是各种措施的整合力高低，不改变纵深防御的思路，每一个环节提高5%的检出就能让攻击大大降低。

3 基于业务行为的安全检测

传统的防护手段可以要，可以对抗下“全网扫描”，但是去学习业务行为白名单来发现异常是不是才是未来呢？

基于自身业务的白名单画像是吾辈努力的方向，黑名单画像是当前资源不足的无奈之举。由黑转白是一个漫长的过程，需要从管理、技术、工具和人员能力的多方面共同提升才能推动。内生安全不是一句空谈，外加的安全能力永远不会带来真真的安全感。

随着移动端，应用网关这些技术兴起，对于服务端对于传参或者报文格式校验挺重要的，而且可能边界也就止步于此了。再往前就是业务逻辑校验的事儿，进入业务风控范畴。得接受一个事实，就算做了校验，看到的也是对于错误格式的报错日志，即未成功尝试，可以试着找前期薄弱的点。成功的话纯基础安全看不到。更何况，大部分网关和业务可能没有做校验的过程。到了日志格式校验，就是分水岭了，做再多基础安全就越界。反而，那些用域名前置，加密传马的，在hids环节总会暴露，或者访问白名单。感觉真正引起变革的可能是容器化以后流量代理sidecar对流量的管控(在这里解密)，好多问题可能也就迎刃而解了。

总之，业务行为学习是不是未来不好说，但与业务的结合很重要，去学习业务行为白名单来发现异常也是业务安全带来的价值，安全本来就该在业务战略下去做规划。

4 流量检测面临的常见问题

流量分析当前主要有两个大问题：

• 流量太大：流量侧行为基线的最大问题是流量太大，协议太多，情况复杂，建议是有选择地去做，比如一些集权类系统，如果全做，不太撑得住。流量侧无论是正常行为还是异常行为，建议还是和架构团队合作，尽量通过内嵌到应用监控工具的方式实现。而且不要把所有的攻防对抗场景都丢到流量侧。流量侧有它适合的场景，也有它不适合，需要大成本才能实现，或是实现不好的场景，比如全链路追踪或敏感数据流向这种，流量侧解决方案不一定完全适合复杂情况。

• 加密协议：大量普及的加密协议，这个是NTA要解决的，像HTTPS HTTP3 WebSocket QUIC这些，未来很可能都要大量普及了。生产侧流量无论基础架构如何变化，毕竟证书在自己手里，SSL 终归有办法卸载，不管是通过lvs，API 网关，sidercar都是这样的思路，但是需要云原生环境很好的支持流量 SSL 卸载，没有很好的支持的话，部署和维护成本会很高，到最后成本无法 cover 还是不能落地。但是回到蓝军更高效的办公环境下攻击，SSL 目前真没有特别完善的解法，目前有经验的蓝军基本都会走 https，流量侧的基于规则的检测确实很难检出，个人觉得办公场景 NTA 未来只能往加密恶意流量分析，威胁情报或者异常行为分析去发展，办公环境的主要对抗还是会回到终端侧。

另外在做流量分析的时候，可以在service mesh层去做，但也有很多问题，最后还是在应用内切面去做最合适。应用间做流量，各种反序列化就是巨大的工作量和挑战，应用间流量适合做一些与应用逻辑关联相当低的工作。支持RASP的能力泛化，支持更多的安全应用，为此要将用途单一的切点整合成体系化的切面基础设施。OpenRASP、KARMA、以及支付宝App切面是促使我提出安全平行切面体系的几个主要实践。云端切面应用时，可以从 RASP 下手，一方面是 ROI 最好的切面应用，另一方面也可以给更多的切面应用积累经验。通过服务端的应用切面，可以拦截了大量从 WAF 漏下来的攻击甚至 0day。RASP 一旦覆盖了全互联网入口，可以非常好弥补 WAF 天生的缺陷，从应用内部来解决漏洞利用的问题。同时也给大量高危漏洞的修复，争取了宝贵时间。

最后，欢迎各位读者畅所欲言，您可以在留言区写下您的想法和建议，我们一起讨论。同时，小编也会在后续的群精彩话题中，尽可能结合您的建议来组织编辑，并会将您的问题向强大的群组织请教解题之法，期望能为您带来最大的帮助。

来源:企业安全建设实践群 | 作者：群友 

本期编辑:aerfa

因勒索软件攻击，数据被加密：IT主管和工程师被开除，并要求索赔 21.5 万元

如何进群？

请见下图：