公司的安全建设一般分3个阶段,1)从0-1,着重主机安全;2)从1-60,着 重安全产品落地;3)60-100,着重运营,着重安全产品信息共享/安全中心
在数据链路上层级防御,明确边界、各司其职;以身份认证为中心,以收集数据 为基础,以分析用户行为为手段,挖掘攻击特征、串联攻击行为、评估攻击后果, 发现+溯源攻击者!!!
- 架构上”边界思维”, 0信任
- 数据上”基线思维”
- 行为上”用户思维”
- 日志
认证日志,如用户、权限 登陆日志,如时间 操作日志,如执行命令 - 异常信息
流量异常,如幅度等 协议异常,如TCP重传、序号回绕、协议占比等 应用异常,如SQL非法语句、XSS等
- 聚类
挖掘特征 分析关联 - 基线
流量基线 行为基线