小白帽从病毒视角聊企业安全建设

无论是做为内网的突破口还是内网横向扩散使用，这一类高位漏洞都能发挥较好的效果。指不定很多刚刚入门的脚本小子练练手搞点EXP批量扫描，拿到了一个shell之后一个rm -rf /* ,咱们后面又该怎么和领导去交代呢，估计第二天是不是都不用来上班了。

解决建议：

这一类安全漏洞是危险性比较强的，说不定就是导致内网瘫痪的一个入口。定期的跟踪热点的安全事件、安全测试上github收集各类POC回来验证，参考自动化测试那一套玩意做到内部安全风险自己评估。Ummmm….还涉及到一个问题谁去修复的问题?当然是谁开发谁负责，开发不修复怎么办，谁去做回归测试等问题参考如下：

安全意识与安全管理

安全意识这个属于老生长谈了无论说的怎么牛X感觉都是在自嗨，该点击的钓鱼邮件还是要点，说了很多遍不要安装来路不明的软件还是一样安装，不要打开来路不明的附件出于好奇看了看，弱密码一定会改的就从123456改成了12345678，最后发现电脑卡到不行CPU占用率90%，内存占用90%以上中了勒索挖矿就是安全工作没有做好。

每次遇见到这种情况，我也不知道怎么玩，除了本地装上EDR就不知道还能怎么玩了遇见免杀的Virus就呵呵了。

所以这个时候有个人背锅就很重要了，按照XXXX标准结合自己的实际场景搞一些简单的安全管理制度，大家看不看没有关系一定把责任要划分到人头，最好还能走正式的那种制度文档，批准人为：XXX领导。大概就差不多了。

解决建议：

定期抽查部分PC的终端防护软件、多培训多洗脑，多出一些制度。

安全运营

根据一些law的要求需要将日志保存到至少半年，搞一个简单的日志中心就十分的有必要了，购买第三方厂商或者自己搞个开源的都可以主要看领导给不给预算。

开源的日志中心还是比较推荐，毕竟可以根据自己的业务场景自定义，比较推荐比较完善的ELK套装。现在新增了一个FileBeat，它是一个轻量级的日志收集处理工具(Agent)，Filebeat占用资源少，适合于在各个服务器上搜集日志后传输给Logstash，官方也推荐此工具

Elasticsearch是个开源分布式搜索引擎，提供搜集、分析、存储数据三大功能。它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。

Logstash 主要是用来日志的搜集、分析、过滤日志的工具，支持大量的数据获取方式。一般工作方式为c/s架构，client端安装在需要收集日志的主机上，server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。

Kibana 也是一个开源和免费的工具，Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以帮助汇总、分析和搜索重要数据日志。

Filebeat隶属于Beats。目前Beats包含四种工具：

• Packetbeat(搜集网络流量数据，溯源可能用得着)
• Topbeat(搜集系统、进程和文件系统级别的 CPU 和内存使用情况等数据，检测挖矿神器)
• Filebeat(搜集文件数据)
• Winlogbeat(搜集 Windows 事件日志数据，检测暴力破解必备!!!)

主要目的还是能够通过日志发现一些异常点，出了安全事件后方便溯源分析，根据对业务情况的熟悉可以自己写一些报警规则对于很多常规的暴力破解、异常登录都能做到准确的报警提醒。

总结

企业安全还是看资金投入只有领导愿意投入，预算管够直接就购买一些安全厂商的全家桶FW+IPS+IDS+WAF+SIEM+EDR+DLP+Scaner+Codereviewer+APTdetecter，剩下的就是一些运营工作了美滋滋毕竟是真金白银搞出来的。

最后吐槽一下热门的利用”驱动人生”升级通道的那个木马，各种不好查杀还经常变来变去已经被折磨的快吐血了，求大佬放过。

【编辑推荐】

1. 西湖论剑网络安全大会正式开启丨安全：赋能数字新时代
2. 网络安全“惯犯”，有哪些不为人知的秘密？
3. 6种物联网病毒，对全球造成16亿损失
4. 向董事会汇报网络安全工作的12条建议
5. 13款流行无线网络安全工具介绍

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!