不急不躁

网络入侵检测传统 NIDS绿盟 IDS 体系架构 绿盟 IPS 体系架构 IDS/IPS 部署示意图 大型全流量 NIDS由于 NIDS 采用的是基于攻击特征的签名库，只要加载的攻击特征一多，系统负载会马上飙升，远到不了系统的标称负载就会出现丢包和误报的上升。不能跟基础架构一起扩展的安全解决方案最终都会掣肘 针对 IPS 一个打折扣的版本就是利用 DDo...

漏洞扫描的种类按漏洞类型分类ACL 扫描ACL 扫描用来按一定的周期监视公司服务器及网络的 ACL 的，其作用如下：安全部分可以根据扫描报告整改暴露在公网中的高危服务某些应用发现新漏洞时，可以快速从数据库中查询对应服务与版本，报到业务部门修复ACL 扫描周期至少一天一次：服务器数量较少，直接用 nmap 扫描，扫描结果直接存放到数据库中服务器数量很多，用 ...

宏观过程第一阶段是基础安全策略的实施，ROI 最高，大多属于整改项，不需要太多额外的投入就能规避 80% 的安全问题第二阶段是系统性整体建设，如果是大型互联网公司，应该直接进入自研之路第三阶段是业务风险分析与业务风控体系建设第四阶段是运营环节，所谓的 PDCA 工作第五阶段安全建设进入自由发挥区间清理灰色地带资产管理的灰色地带（例如，资产管理系统数据不准确，运...

设计方案数据流视角服务器视角IDC 视角逻辑攻防视角场景裁剪应对规模自研 HIDS、RASP 都是奢侈品，可以用 OSSEC、OSquery 等产品代替 网络分光可以用扫描器+ Web 日志分析代替 SQL 审计可以在 CGI 层解决业务类型如果业务流量中中大部分都是 HTTP 类型的，那么应该重点投入 WAF、R...

据我和朋友们观察，10 多年依赖在同一个公司同一个级别上的工程师，大多数安全比运维和开发的工资高，但 CTO 大多来自运维和开发，鲜有从安全晋升来的本质上，安全行业是由理解网络攻防的人为核心构成的。只有以攻防为主线，和以安全咨询体系为主线的人才是和安全行业绑定的安全管理的趋势：企业安全管理最终都会向互联网公司学习云是一种趋势倾向于以技术和产品（工具自动化）解决问题如果你是体...

技术很重要，但攻防只解决了一半问题，安全的工程化以及体系化的安全架构设计能力是业内普遍的软肋，多数人不擅此道大多数乙方安全公司的顾问或者工程师其实都没有企业安全管理的真正经验，虽不能把这些直接等价于纸上谈兵，不过确实是乙方的软肋产品线安全里，一切都会更进一步，不只是像互联网企业那样关注入侵检测、漏洞扫描等，而是从设计和威胁建模的角度去看整体和细节的安全不想当将军的士兵不是好士兵，虽然有...

级别高的人估计还是挖不动的，能挖动的主要就是骨干那一层的人，通常你需要容忍他们业务上有深度但不一定面面俱到，很可能情商和管理能力也差强人意，不过能解决问题就行，面面俱到的人才毕竟还是太贵了Leader 的跨组织沟通能力应该比较高，不是安全策略提的正确就一定会被人接受单纯攻防型的人在前期培养比较快，但当安全团队随着公司规模和业务快速成长时，思维过于单点的人可能会出现“瓶颈”，安全建设实际上是...

初期三件事事前的安全基线事中的监控能力事后的应急响应其实做攻防和研发安全产品完全是两码事，存在巨大的鸿沟，如果拿做攻防的团队直接去做安全工具开发，恐怕挫折会比较多，即便有些研究员擅长做底层的东西，但对于高并发生产环境的服务器工具而言，还是有很大的门槛。另一方面做攻防和做研发的思路也截然不同，此时其实是在交付产品而不是在树立安全机制，所以往往要分拆团队，另外招人如何推动安全策...

互联网服务安全域抽象示例虚线部分代表安全域的边界，把不同的业务（垂直纵向）以及分层的服务（水平横向）切开，只在南北向的 API 调用上保留最小权限的访问控制，在东西向如无系统调用关系则彼此隔离生成网络和办公网络生产网络的 SSH 22 端口在前端防火墙或交换机上默认阻止访问远程访问（运维连接）通过 VPN 或专线连接到机房生产网络通过生产网络的内网而非外网登录各服务器或自...

纵深防御互联网安全有几个比较核心的需求：快速检测、有限影响、快速溯源、快速恢复攻击者视角Plan-A：通常路径，从目标系统正面找漏洞，远程直接 rootshell 在现代基本没有了，大多数是以应用为入口，先获取上层应用的权限，然后通过上传 webshell 等方式间接获得系统 shell，最后提权获得 rootshell，后面继续扩大战果的事情就不提了，安全建设的思路自然是要反...

帐号安全注册账号安全要从源头抓起，对抗垃圾注册的手段一般包括：图片验证码邮件验证码短信验证码语音验证码电话语音验证码逆向的协议如果经常变化或者复杂程度较高就会成为黑产的门槛，甲方安全团队应持有各种社工库，并随时更新，在用户注册时比对社工库内容，如个人注册信息相同，做出风险提示或者强制修改密码登录登录环节的问题包括：撞库、暴力破解、盗号登录、非常用设备登录...

安全域划分终端管理补丁管理微软自身解决方案中的 SCCM（WSUS/SMS 替代品，支持 Linux 和 OSX）利用第三方终端管理软件中附带的补丁推送功能组策略（GPO）例如允许客户端运行软件的黑白名单，系统配置选项，USB 权限管理等终端 HIPS深究其技术意义不大，甲方唯一要做的就是选型，然后买网络准入 NAC802.1x...

数据加密TDE 透明数据加密TDE 可对数据和日志文件执行实时 I/O 加密和解密，这种加密使用数据库加密密钥（DEK），该密钥存储在数据库引导记录中以供恢复时使用。DEK 是使用存储在服务器的 master 数据库中的证书保护的对称密钥，或者是由 EKM（扩展密钥管理模块）保护的非对称密钥。TDE 保护对象为静态数据（相对于内存中的热数据而言），即数据和日志文件，开发人员可以使用 A...

互联网公司的安全体系基本上以运维安全、应用安全、业务安全三管齐下签名管理对于应用开发方，应该保护好本公司用于应用签名的私钥，推荐的解决方案是建立签名服务器，开发者上传需要签名的应用，服务器完成签名提供下载。这样可以对申请应用签名的人员进行权限控制，并包含日志记录，保存上传应用副本等功能，这样做的好处是降低私钥泄漏的风险同一家公司内的应用推荐使用相同的签名密钥，避免不同的应用使用不同的签...

以找到未正确过滤数据类型的漏洞为例，定位问题可以简单分为以下几个步骤：标注出高危行为入口函数标注数据获取来源标注数据过滤函数回溯调用过程自动化审计产品1976 年科罗拉多大学的 Lloyd D.Fosdick 和 Leon J.Osterweil 在 ACM Computing Surveys 上发表了著名的 Data Flow Analysis in Software ...

主机入侵检测开源 HIDSOSSEC、Mozilla InvestiGator 和 OSqueryOSSEC 是典型的 B/S 架构，通常一个 Server 集群最多配置 2000 台 agent 接入。在此基础上，OSSEC 也支持在开发插件、采集数据、解析/检测规则三个方面的功能扩展Mozilla InvestiGator 具备了现代 HIDS 架构的雏形，但是整体上 MI...

外部评价指标攻防能力——如果安全团队没几个懂攻防的骨干，那像样的安全团队这件事就无从谈起、对攻防的理解是做安全的基础，业界普遍的状况是整体实力强的安全团队攻防能力必然不弱，而攻防能力弱的团队其安全建设必然强不到哪里去。一般能养得起一堆攻防人才的安全团队预算都比较充足，说明公司相对重视。攻防技术在安全建设中属于”单点”技术，决定的是单点的驾驭和深入程度视野和方法论——单点技术代表局部的执...