20201005 -
阅读了三篇与安全相关的文章,这里记录一下。
这篇文章发表在了很多地方,发表的念头也比较早了,都过了两年了。对企业的安全能力,从架构上,最后到以后的安全产品都进行了介绍,同时也分析了一些自己的见解。其中一个透露出来的一个点我比较认同:通过各种采集方式尽可能拿到最多的数据源,将这些数据源汇总到类似SIEM的平台后,能够凸显能力的地方,是对这些数据进行建模的能力,这个才是关键。通过各种开源组件搭建各种平台,不管是拼凑的,还是自研的,本质上只有最后贴合到数据中,然后从数据中挖掘知识的过程才是最重要的,当然这仅仅是发现威胁,或者说发现入侵行为的地方,同时还是要注意整个系统的联动,关联分析,整个大系统的调动。
在很久之前的时候,我也经常有这种疑惑,然后看了很多的内容,有时候看到了一些SIEM的平台,或者自己搭建的ELK等,实际上这种平台非常局限性,不够灵活,可能一些定制的SIEM会有更好的使用效果。当然,我觉得,不同的公司他们的业务也是不同的,在业务层面上会展现出不同的模式,这个时候就需要不同的分析方法。所以,我之前的时候,思考的内容或者说要学习的内容“异常检测”是非常重要的,同时配合上大数据的数据挖掘,这肯定是一个可行的路径。
另外,在这种文章中,还提到了一款基于流量的产品,名字叫做Vectra,通过检测流量,同时识别资产,还能发现异常行为。其实一开始我也倾向于这方面的产品,我觉得NTA的东西的确是有用的。能够发现很多有用的东西。但是,现在很少有这种开源的分析框架,有的可能都仅仅是一个流量分析的组件,例如moloch或者说suricata的流量检测能力。
这篇文章相对来说,介绍的更为全面,但是不够具体,很多点都说了,但是都是点到为止,这篇文章就印证了我前面的文章内容,就是利用NTA来进行安全实践。
从前面阅读的两篇文章中来看, 我觉得他们比较重要的一点,就是一个安全平台的检测,这个安全平台不仅仅是说进行数据的展示,我记得之前的时候我还看过一篇美团的文章,那就是一个闭环的形成,这个闭环能够让整个系统更快响应威胁,同时提高检测能力。
Webshell的内容我之前的时候也关注过,当时配合上思考恶意软件的内容,都在思考了同一个内容,那就是到底他的哪一部分算是他的关键,这部分内容触发机器认定他就是恶意软件或者webshell呢?!
之前的时候,我也利用机器学习或者深度学习的方法实现过webshll的检测,效果也是非常好,但是我知道,在实际过程中肯定是要比这个难的多的。当时使用的数据也都是开源的github上找到的。我觉得,如果真的进行实战的话,肯定还是要更难,不然那不就等于说你这个技术都已经能完全杀掉webshell了。这篇文章也因此给我了我很多启发,比如他所说的这种污点分析,实际上我只在恶意软件分析的内容上分析过这个东西,但是webshell这里也能使用倒是让我开了眼界,看来是我格局小了。
同时,还有另外一个方面,那就是这个AST的内容,之前的时候,我看到过一篇类似的文章但是但是没有具体看。当时我做实验的时候,通过opcode的形式实现了具体的分析,我倒是觉得这个有意思的,不过最后的效果不怎么好。
