8.企业安全建设入门(基于开源软件打造企业网络安全) --- 态势感知系统建设

态势感知系统建设:
	态势感知是一种基于环境的，动态的，整体的洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现能力，理解分析，响应处置能力的一种
  方式，最终是为了决策与行动，是安全能力的落实。包括漏洞扫描，入侵感知以及安全可视化，敏感信息泄露监控等。

1.漏洞扫描
	漏洞扫描器，也叫VA漏洞评估或者Vm漏洞管理器。web漏洞扫描器属于检测环节，是动态响应和加强防护的依据，通过不断的检测和监控网络系统，来发现新的威胁和
  弱点，通过循环反馈来及时作出有效的响应。当攻击者穿透防护系统时，检测功能就会发挥作用，与防护系统形成互补。

	1.场景开源/免费web扫描器
		1.Nikto
		2.Paros proxy
		3.WebInspect
		4.OWASP ZAP
		5.Burpsuite
		6.IBM Security AppScan
		7.Acunetix Web Vulnerability Scanner
		8.SQLmap

	2.web扫描器实践中的不足
		1.对api服务支持差
		2.爬虫能力偏弱
		3.自动化能力弱
		4.缺乏基础的业务安全监测能力
		5.信息孤岛难以融入安全体系

	3.理想中web漏洞扫描器
		1.多数据源的支持
		2.黑客视角的自动踩点
		3.基础的业务安全监测
		4.与其他系统的联动

	4.端口扫描
		端口扫描的目的:
			1.发现对外违规开放的端口
			2.发现在合法端口开放的违规服务

		1.Nmap
		2.Zmap
		3.Masscan


2.入侵感知
	入侵感知又称为入侵检测系统，是安全体系中非常重要的一环，是动态响应和加强防护的依据，通过不断的检测和监控网络系统，来发现新的威胁和弱点。

	1.攻击链模型
		1.侦查目标
		2.制作工具
		3.传送工具
		4.触发工具
		5.控制目标
		6.执行活动
		7.保留据点

	从协议栈的角度看，至少需要覆盖http协议，数据库协议，dns协议。
	从数据搜集的角度，需要覆盖至少网络流量，数据库日志，web服务器日志，服务器操作日志，dns服务器查询日志，进程信息，内部调用数据，甚至业务层应用日志。


3.网络入侵检测
	1.全网流量分析
		网络全流量获取方式:交换机镜像，分光器和网络分流器三种。

	2.协议分析
		协议分析的过程包括重组，tcp/udp 会还还原以及应用层协议解析。

		1.libpcap
		最原始的直接使用 libpcap 进行协议分析，tcpdump 就是以他为基础开发的。	

		2.PF_RING

		3.DPDK

	3.网络全流量协议分析开源解决方案
		1.Bro, 可以与 PF_RING 一起使用
		2.Suricata，一款网络入侵检测和阻止引擎软件

	4.网络全流量深度解析
		网络全流量深度解析是个很大的话题，有个专门的技术叫 DPI，即深度包检测。

		1.基于规则的分析
		2.基于时序的分析
		3.基于语义的分析
		4.基于沙箱的分析
		5.基于机器学习的分析


4.主机入侵检测
	OSSEC
	WPScan


5.物联网IOT以及工控设备ICS入侵检测
	Sweet Security :
		开源监控软件，是基于Bro 和 ELK 的针对 IOT 和 ICS 的安全监控软件。


6.敏感信息外泄监控
	在态势感知系统中，以黑客视角实时监控全网的，针对本企业的信息泄露，是非常有意义的。
	recon-ng