最新消息:XAMPP默认安装之后是很不安全的,我们只需要点击左方菜单的 "安全"选项,按照向导操作即可完成安全设置。

Day 18 指揮挺!組合!打造資安艦隊 (1)

XAMPP下载 admin 487浏览 0评论

從第15天到第17天都在介紹SIEM安全資訊事件管理系統,雖然它有強大的功能幫助我們偵測攻擊事件,但它不是萬靈丹,若沒有資料來源提供資訊,發揮的效能也有限,如果小公司預算有限,優先投資一個好的UTM或次世代防火牆應該比投資在SIEM效益高;若是本身環境已經有多樣資安設備,除了彙整日誌,提供資料分析比對的引擎,SIEM可以提供一個整合平台,將散布於各處的資安設備合為一隻完整的資安艦隊,打造屬於自己的Security Operation Center(SOC) 資通安全防護管理中心。

沒錯!SOC!提到SOC可能很多人會想起電影裡一間黑黑暗暗的大房間,電視牆上顯示密密麻麻的各種儀表板,房間裡每個人低頭研究眼前螢幕,不時抬頭和電視牆上的儀表板比對,好像是大型資料中心、銀行、大公司等等才有的專權,其實如果將本身環境內已有的各項設備透過SIEM整合,我們也可以打造屬於自己的SOC,進行監控、偵測、分析、反應、鑑識。以下介紹幾樣常見的整合資訊:

  1. Threat Intelligence資安情資
    昨天提到,當匯合資安情資(Threat Intelligence) 後,SIEM可以與資安情資的名單比對,如果寄件人、URL、IP、檔案等等來自資安情資登記的已知惡意來源,能加強偵測,提升判斷準確率。
  2. Honeypot蜜罐
    對於蜜罐的解釋,本次鐵人賽已有邦友Fu-Sheng介紹,可以參閱:
    資安的學習心得及分享系列DAY 23 蜜罐(honeypot)
    https://ithelp.ithome.com.tw/articles/10193941

資安情資(Threat Intelligence)是來自外部的資訊,依照情資來源,可能包含來自全球的資料,當本身環境內有Honeypot,它提供的是直接關於本身環境的情資,告訴我們現在正試著入侵我們系統的人在做什麼,如果發現入侵者正在試Apache Struts,那我們趕緊確認是否相關動都補齊,或者主動阻擋入侵者IP;如果發現入侵者在試cross-site scripting,那趕緊確認WAF有好好擋住。藉由Honeypot誘捕,蒐集入侵者手法資訊,從被動反應轉為主動防禦。

  1. UEBA使用者行為分析系統
    所謂千防萬防,家賊難防,我們千辛萬苦希望把入侵者擋在門外,對於來自內部的威脅自然也不能掉以輕心。UEBA分析使用者行為,對於內部的使用者異常行為提出警示,如果有人短時間內在不同電腦系統插入USB隨身碟,執行批次檔,是不是有點奇怪?也許這只是網管人員在執行正常維護工作,但是若那些主機系統之後出現其他異常行為,例如批次檔和Threat Intelligence 比對是登記在案的惡意檔案,或者主機之後開始對外聯繫,聯繫的IP是比對Threat Intelligence下判斷的C&C Center,那USB隨身碟也許被感染了,必須盡快處理避免感染更多系統。
  2. Network Access Control(NAC)網路存取管制系統
    這類系統通常用於管制內部存取行為,同時在符合安全政策下,提供訪客存取內部網路資源的方便,有時也作Network Access Protection網路存取保護系統。公司有訪客、外部顧問需要暫時存取內部網路資源,常常使用自己的筆電,整合NAC之後,如果發現這些筆電有惡意行為,資安團隊可以從SOC下指令,由NAC設備停止該筆電的網路資源存取,

(未完下篇待續)

转载请注明:XAMPP中文组官网 » Day 18 指揮挺!組合!打造資安艦隊 (1)

您必须 登录 才能发表评论!