一、IDS: 当黑客绕过了防火墙,你该如何发现?
IDS (Intrusion Detection System,入侵检测系统)
NIDS 内网中检测网络流量攻击
黑客如果已经进去内网,防火墙就没办法保护了
NIDS部署在交换机和路由器这些路口。市面上有开源工具,如 Snort、Suricata
HIDS 检测入侵主机的攻击
HIDS运行于每一个服务器中。
IPS(Intrusion Prevention System, 入侵防御系统)
IDS强调的是检测,IPS强调的是拦截。如果黑客在半夜攻击,IDS报警后,你不可能起来人工管理吧,这时候IPS就能登场
蜜罐
带有漏洞的服务器,公司内的开发人员不知道它的存在。蜜罐内的一切行为都是黑客产生的。
蜜罐有很多现成的
将蜜罐中黑客的攻击样本输入到IDS和 IPS中去。
入侵检测系统样例
NIDS 负责对网络节点进行检测,网络中包含部署了 HIDS的系统和蜜罐系统。最后需要ELK统一收集日志
二、RASP(Runtime Application Self-Protection)
不是基于应用的输入和输出,而是将安全产品部署在应用的底层,完全站在应用的视角去发现攻击
现成的RASP产品,推荐百度的 OpenRASP
三、SIEM:一个人管理好几个安全工具,如何高效运营?
四、SDL:怎样才能写出更“安全”的代码?
Security Development Lifecycle, 安全开发生命周期
和安全标准一样,SDL是一个宏观知道框架
五、业务安全体系:对比基础安全,业务安全有哪些不同?
与黑产进行资源对抗
用户资源
主要是通过黑名单
总结