一 、摘要
本文主要讲述,在一个资(bu)金(xiang)匮(hua)乏(qian)的甲方安全人员,为同病相怜的同学们提供几个免费的替代方案。
随着在上家单位孵化的项目意外流产,我也离职了,来到了一家小甲方。来了之后才知道,原来不是所有甲方都是器大活好,啊!不对,财大气粗!
初到公司之时,安全为0,但由于为一家金融科技类公司,领导层们深知安全的重要,最主要的是,多个检查机构年底要过来检查,所以,我来了,但问题也来了。
我问领导:“领导,你觉得安全重要吗?”;
领导答:“重要,很重要,非常重要,安全容不得马虎!”;
我回复:“好,目前公司该有的安全设备除了过期的防火墙,啥都没有。需要采购。”;
领导问:“How much?”;
我回:”根据公司目前业务,一百万可以挡住!“;
领导:”可以用租的吗?“;
我:”……”;
领导:“公司初创阶段,需要给集团做业绩来看balabala……”;
我:“停!领导,我尽量做!”
这不是笑话,我们老大真的很认真的给我租了三个月的漏扫,还很大气的跟我说:“哎呀,你这回就可劲用吧!”,我心里有句MMP,但我不敢讲。
由于要迎接多个检查机构的多批次检查,我的任务十分沉重。
好了,言归正传了,没钱还想搞安全,怎么办?用免费的代替呗。下面给大家说我的一下替代方案。
为啥放首位了,因为这款漏扫没什么好介绍的,强烈推荐;直接部署在网络当中,路由可达即可。与收费漏扫相比较,扫描结果略有不同,都能扫到对方扫不到的。所以,还是一款值得推荐的免费漏扫。
直接部署在网络当中,对客户端路由可达,对于英语不好的同学可以使用浏览器插件进行翻译。当然,跟收费的IDS根本没法比了,无论是规则还是技术原理。收费的IDS抓取更全面,部署更便捷,规则更完善。
优点:免费;开源;服务端部署容易。
缺点:传统的IDS大部分是抓取镜像流量,可做到全面分析,而OSSIM需要对客户端进行分别部署,但由于每台机器key不一样,即使使用自动化运维工具也挺麻烦的(PS:你们都上自动化运维了,就别用这个东西了);还有就是自带的规则十分辣鸡;
与收费的相比,没有对windows和数据库的安全审计。如果贵单位用的都是linux,没问题,完全够用。
优点:免费,开源,轻量级
缺点:不支持windows的安全审计及数据库的安全审计。
只能做内网当中不同密级的两张网络,无法完全代替。两张网络中的核心路由进行直连,分别对其连接的设备做路由指向和NAT转换。整套方案无法替代网闸,混检查倒是可以。
使用背景:
网络1与互联网进行连接,服务器1需要与服务器A进行数据传输,为了确保网络A的安全,不允许服务器1与服务器A直接进行数据传输。
逻辑步骤:
(1)核心路由A配置NAT转换,将1.1.1.100转至172.16.1.100,同时做端口访问限制及其他网络安全策略 (2)核心路由1配置路由指向,将1.1.1.100地址指向至核心路由A (3)服务器1访问1.1.1.100 (4)服务器A将接收来自服务器1的数据
配置目的:
(1)由于两边无法直接获取对面的路由表,黑客无法探测网络A的资产情况; (2)即使服务器1被网络攻破,也无法得知网络A情况; (3)即使地址IP1.1.1.100被发现,也由于端口访问限制,大部分攻击手段将无法实施; (4)即使通过放行端口入侵至服务器A,也由于无法得知反向IP,少部分攻击手段将无法实施; (5)当然,不可能尽善尽美。
优点:成本低,无法直接获取对端路由表,做到了网闸最基本的功能。
缺点:无法完全取代,无法判断接收的数据是否合规。
一款不错的代码质量管理工具,免费的。我们公司现在就在用,虽然大家只是当做侧面辅助,但聊胜于无。
相对来讲,这款分析工具的UI我十分喜欢,但分析存在误报及漏报。还需要结合人工来进行审计。
Logstash是一个完全开源的工具,他可以对你的日志进行收集、分析,并将其存储供以后使用,您可以使用它。说到搜索,logstash带有一个web界面,搜索和展示所有日志。kibana 也是一个开源和免费的工具,他可以帮助您汇总、分析和搜索重要数据日志并提供友好的web界面。他可以为 Logstash 提供的日志分析的 Web 界面
如果不想费劲的搭建Kibana和logstash(例如说我),那么编写个小脚本,自动压缩目录文件并上传至FTP服务器,做个备份收集即可。
部署在办公网络最外层,可当防火墙也可当路由,还具有上网行为管理的功能,还能做ACL控制。买台服务器,配个双网卡,简单部署后就能用了。
优点:免费,功能挺多的,基本满足中小型企业办公需求; 缺点:大流量估计正面刚不住,公司对外的业务还是不要用了。另据小道消息,可能会未经用户允许上传数据(不知道真假,对此话本人不负责)。
部署在小局域网内,纯粹为了混检查。
优点:免费 缺点:只能针对小范围管理,治标不治本,混下检查还可以,其余就算了。
还需要介绍吗?
去给你的领导和同事们洗脑去吧。
可以看出,收费之所以是收费的,还是十分有道理的。当然不是说免费的就不好。例如nessus,我个人觉得这个漏扫就不错。如果贵单位用的是linux,jumpserver也非常实用。如果资金确实紧张,360星图,sonar也可以上。但其他的,真的就是见仁见智了。
PS:上述产品大家应该也都知道,这里给大家拢一拢,为那些在确实不拿资金做安全的单位工作的安全同学提供些建设方案吧。上述产品也好,方案也好绝大多数实施部署起来都是极容易上手的。
PPS:最后一首凤飞飞的《人在旅途》送给我的老板!