freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

企业的主机安全建设经验
2021-06-04 09:36:26

背景

最近在公司尝试从0到1搭建HIDS,大概的方案是基于开源框架,结合实际场景,进行自定义修改和开发。之前商业HIDS产品测过青藤云的,开源HIDS测过osses、osquery、yulong-hids等,这些产品都是基于规则、数据库、行为等方面对风险进行识别和预测,总体感觉都是在被动的防御,对已知风险风险可以进行识别,那未知风险了、技术人员违规了、变种病毒了,又如何防御。特别是在安全部人力有限情况下,没有人可以去梳理、总结规则,那么HIDS平台即使建立好了,也发挥不出作用。

主机安全面临的问题

攻击方法多样,防御点固定不变

相对于攻击者,业务模型或者线上服务,技术模型基本已经固定,通信要么是HTTP、要么是RPC,很少有自定义网络协议的,服务器操作系统基本就是Linux和Windows,中间件以Nginx、mysql、redis等为主,而攻击者的攻击脚本是不固定的,可以各种混淆加密,更别提各种绕过、免杀技术了,github随便搜就能搜到。

以攻击者视角建立防御策略

安全防御者一直试图猜测攻击者的意图和手法,从而建立防御规则和识别方法,这对付普通攻击者或者伸手党还比较有效,但真正的攻击者攻击手法肯定是多变的,安全防御者一直被攻击者牵着鼻子走。

过分依赖行为识别

现在安全产品不提机器学习、行为分析都不好意思拿出来了,但行为识别带来的问题和规则一样,都是比较固化,适用于特定的场景,同样,误报和漏报情况也比较严重,但研发机器学习模型投入的资源是比较多的,收效甚微。

业务参与度基本为零

主机安全(HIDS)在建设的过程中,由于主要是围绕服务器进行识别,所以在HIDS实施的过程中、规则制定、风险识别业务基本0参与。

建立主机安全防御思考

在我看来,主机安全也好、web安全也好,防御方法基本就是那几种,但是视角要转换一下,以前是攻击者视角制定安全防御,现在转换为以业务模型为视角,攻击视角辅助。

建立细化到业务的安全基线

首先,先定义出业务运行的模型,基线不仅是运维层面的,要深入到业务层面。因为线上业务,一旦上线,基本运行模式就已经固定,进程叫什么、路径是什么、输出什么、输入什么等,所以这些信息,可以整理为业务运行安全基线,基于这个基线,对业务运行、服务器运行进行监控,一旦发生跳出基线的行为,安全立马借入处理。

不同的业务建立不一样的防御策略

不通的业务、不通的环境要建立不一样的防御策略,比如线上业务就不可能往crontab里写入内容,而测试环境就需要经常写入。对数据库、大数据等数据服务器,主要监控非数据相关文件的变化,以防勒索病毒。

与业务一起建立可信运行环境

安全在业务前期架构、部署评审时,不仅要关注业务本身的安全性,比如业务逻辑是否有漏洞、架构是否有漏洞。更要和运维一起,帮助业务规划好线上运行时的环境模型,运维关注资源消耗,安全则关注数据、文件等变化,哪些是固定的,哪些是不固定的。

建立安全告警收敛策略

上面说的建立主机安全的想法,必然带来一个结果,前期安全告警非常多,两方面原因,一是因为安全考虑不周全,很多情况没考虑到,于是就产生了告警,二是业务变化较大,有很多跳出安全模型的行为。但这些随着业务模型固定,以及安全和业务的频发沟通,加上一些自动化平台,这方面会得到比较好的改善。

具体执行策略

建立基本防御策略

先建立基本的能力平台,包括主机信息采集、Agent和Server等,以便对相关数据进行收集,以供安全模型进行判断,通过开源、安全研究员,利用较短的时间,迅速建立起对已知安全风险的识别和防御,此过程不宜太长,一个人的话,半个月到一个月搞定即可。后续重点是放在和业务、运维沟通,制定安全模型。

确定安全基线规范

  • 运维安全基线:确定服务器安全基线,包括端口、进程、服务、目录、用户等规范。

  • 业务安全基线:确定业务运行时的行为,包括端口、进程名、文件hash、目录、log等

  • 中间件安全基线:确定Nginx、redis等运行的行为:包括版本、进程hash、输出目录等

  • 通信安全基线:定义通信模式、通信方式、源地址、目的地址等

基于DevSecOps收敛安全告警

由于业务、运维多变,必然带来跳出安全模型的行为,但这些都是正常的,所以后期需要通过DevSecOps平台,主动和业务平台、运维平台对接,主动接收运维、业务信息的变化,并及时的修正安全模型,以带来安全告警的收敛。

最后

在安全部人力有限的情况下,通过针对业务、运维安全基线的制定,不仅可以配合HIDS,对主机安全风险行为进行发现,也可以已安全基线为基础,制定覆盖业务运行各个阶段的安全规范并落地,这样,安全部工作结果相对也比较好量化。如果陷入以前的那种规则制定、攻击防范,安全部工作结果怎么量化,以规则数还是以抵御攻击数,要知道,攻击不是时时刻刻在发生,规则也不是都有用。

# 系统安全 # HIDS
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录