其实我是想不漏报任何入侵的,但是感觉这个目标可能过于难了。
起因是之前听说开源工具效果都不怎么好。然后今天在谷歌上搜“ossec Useless site:www.reddit.com”的时候看到一个观点,就是工具再多都是不够的,还是要看人。https://www.reddit.com/r/cybersecurity/comments/1ma8zwa/comment/n5cx1qr/ 。我基本上信了。然后我雇不起人,所以想自己成为那种人。
目前我找到一本书:《日志管理与分析权威指南》,够吗?入侵检测除了分析日志还有别的什么吗?网络流量分析我总感觉不靠谱。之前我还看过《 WEB 应用安全权威指南》、《编程精粹》、《 Linux 系统安全》。目前我每天大概能拿出五六个小时的时间。大概可以給人肉入侵检测技术半个月的学习时间。之后的日常维护大概可以每天抽出 20 分钟的时间人肉和半人肉分析日志之类的。要是半个月学不到什么的话我就有点想直接放弃入侵检测了。也想直接放弃安装入侵检测软件了,反正效果也不好。
这个技能对练习的要求多不多?有没有什么免费的练习的环境?类似入侵的靶场之类的。入侵检测有没有类似的东西?
我总感觉入侵检测很重要。如果半个月学不到什么东西希望能得到一些吃不到葡萄说葡萄酸的能让我认为这东西不重要和能让我安心的借口。
我想做的网站是个类似豆瓣的网站,但是展示和推荐的主要是方法。我怀疑很多方法的效果都是因人而异的,我想做这个网站验证一下。另外这个网站也可以推荐一般的东西,就是可能会比较麻烦。
 |
1
dsareopsar 8 天前  1
真正的黑客是不会留痕迹的
|
 |
2
onlyu 8 天前 1
出差时我喜欢办图书馆阅读证,我有全国很多城市的阅读证,国外也有好几个,这些城市图书馆中关于黑客和安全的书我都看完了,另外相关的网络/编程/系统/硬件/加解密相关也看了很多,你猜我水平怎么样?
这个领域方向很多,足有几千个,每个方向都很难很难达到顶级,电影里的那种可当武侠小说看 |
 |
3
dfkjgklfdjg 8 天前 1
可能是我的偏见。我觉得如果不是为了建立理论体系,都不要从书本入手。书本上面的信息都是落后至少一个时代的。特别是你预期到自己可能没有那么多的精力分配的时候。
直接找按照你需求的方向按照关键词去找到对应分享,然后分析不同的路线找到一条已经有前人淌过的并且能让你满意的路更实际一些。 而且你也可以通过评论或者邮件去和前人交流沟通,去快速拉平你的信息差。 很多时候考虑的太多了,不如直接开干。一边干一边学,会比你现在瞻前顾后好得多。你现在不知道就频繁备份,有问题直接快照恢复就好了。 如果真的如你所说会被各种攻击,你很快就会在各种攻击中成长成安全领域的专家。 |
 |
4
shendaowu OP @dfkjgklfdjg #3 我会备份的。但是如果我备份的是被黑客修改过的东西怎么办?我就是因为怕备份的是错误的东西才这么在意入侵检测的。
|
 |
5
rodemon 8 天前 1
先理解概念, [入侵检测] :“入侵”是一个需要被定义的的事情,一般来说 “主人” 不愿意你做的事情,都可以称为“入侵”/“攻击”。比入侵检测,更大的概念是 “异常检测”。而异常检测在:大型活动、机械/工业 等都存在。一般都是,先意识到发生了攻击、才知道要检测。
入侵检测,学啥入侵分析分析?都没啥用。常见的入侵,发生在 中间件漏洞( apache, wordpress 等)、业务漏洞。前者有多款商业/免费 ids 检测、认字就行;后者你要结合业务、所以学 “入侵检测” 还不如学习业务研发(更能定义和发现攻击/入侵)。 ### 入侵检测关键 异常检测,在 人 不在术。对 入侵/攻击/异常 的定义,比分析要重要。而往往 ids 检测不出的攻击,需要人的直觉去感受... 这里我觉得可以切换问题、找到更直观的答案:需要看什么书/技术、才能给 总统 做好 保镖 ? ### 入侵检测现状 入侵检测上工具就行了,认字就行了。这样就能把 防御 拉到一个中上的水准。再往下,也下不了了、工具已经拉高了防御下限。再往上,要看人的直觉和运气了。 |
|
6
dfkjgklfdjg 8 天前 1
@shendaowu #4 ,就再往前恢复啊…这有啥的,数据的备份、业务的备份和系统的备份又不是一起备份的。
|
 |
7
illl 8 天前 via iPhone 1
学习 1 个月,复现漏洞半个月,实战 3 个月。可以达到中等水平,剩下的就是持续的学习、实战、学习代码审计。
|
 |
8
nekoneko 8 天前 1
@dsareopsar 不留痕咋那么多被抓的. 只能说黑客尽量会擦除或掩盖痕迹, 但是不可能不留痕.
|
 |
9
hervey0424 8 天前 2
多学学缝纫机吧, 至少进去了有优势
|
|
10
shendaowu OP @dfkjgklfdjg #6
我很可能是在钻牛角尖,甚至可能是在杠。如果黑客做的修改我发现不了怎么办?并且还对用户造成了麻烦的话。我感觉还是从源头上尽量检测出尽可能多的入侵比较好,如果我确实能检测出来一些的话。 我突然想到个方法,就是对比多个备份中的内容,虽然不完美但是感觉也许是个不错的补充。我的网站会实现历史版本的功能,如果历史版本变了很可能说明出问题了。但是我感觉好麻烦,想不到简单的实现方法。我想省钱,我只想备份数据库。代码也会备份。系统盘备份还是免了,不想花那个钱。你说的业务备份是什么?我没在网上搜到。 |
|
11
dfkjgklfdjg 8 天前 1
@shendaowu #10 ,你发现不了就代表你没办法识别是 [用户主动修改的] 还是 [攻击者强行修改的] ,所以你的困扰是没必要的。
需要做的就是在用户反馈的时候按照用户提供的信息去分析导致问题出现的原因,但 99.99%都是因为自己业务逻辑写的有问题导致的,所以在监控、日志层面上是很难辨识的。 我的想法是没有必要 [为了] 做得尽善尽美,导致自己的项目启动不了。很多时候在自己反复纠结,瞻前顾后的时候就把自己的激情消磨殆尽了。 做项目要在情绪上头的时候完成绝大部分的工作推进,然后再按照市场反馈来考虑是否要继续这个项目。绝大多数的项目绝大多数的情况下都很难坚持运行超过一年,所以干就完了。 |
 |
12
Martens 8 天前 2
装一个 Suricata
|
 |
13
phrack 8 天前 2
几万亿的项目啊,至于吗
|
|
14
dfkjgklfdjg 8 天前 1
|
 |
15
p7e4 8 天前 1
这不就是安全运营干的活吗
|
 |
16
zgzhang 7 天前 1
这个行业的知识迭代速度是惊人的,但同时知识流动又存在壁垒,你如果只是想自己的网站不被入侵,可以让 AI 给你列个最佳实践的单子,做完就可以搞定大部分的风险了,没有必要去啃过于专业的知识,如果你的内容真的特别重要,花钱找专业的人验证就好了
|
 |
17
maggch97 7 天前 1
去医院看一下心理问题
|
 |
18
fr13ncl5 7 天前 1
抓紧修漏洞,设置补丁一放出来就能响应立马升级,跟黑客写批量入侵脚本赛跑
另外就是注意配置相关的问题,web 安全里配置错误导致安全风险的案例也不少 |
 |
19
Zhancha 7 天前 1
作为安全行业的,不推荐看书,确实迭代较快,看视频都更好一些。
不过你的需求我可以解决,安装 WAF 和 HIDS 即可,WAF 推荐 SafeLine ,HIDS 推荐 HIDS ,而且都可以自动化部署。 PS:感觉上面的人都挺不重视安全的,不过这样也好,对网安行业是利好,越不重视越利好,也是没谁了。 |
 |
21
SP00F 7 天前 1
|
 |
22
thealert 7 天前 2
本末倒置,不关系业务,关心这些有的没的,业务好这些都不是问题,可以雇专人解决
|
 |
23
mizuhashi 7 天前 1
用成熟的 web 框架如 rails ,再看一遍這個 https://guides.rubyonrails.org/security.html ,端口只開 80 和 443 ,基本就不會有漏洞了
|
 |
24
Iakihsoug 7 天前 1
楼里怎么这么多冷嘲热讽的?生活肯定过得很苦吧
|
 |
25
coefu 7 天前 1
你先做出来你的东西,放到公网上,看有没有价值被 attack 先,这个领域的知识都是 cs 基础+各种实践,书上能给出来的都是过时的东西。
|
 |
26
studyingss 7 天前 via Android 4
@Iakihsoug
友情提醒一下你,以及后面回帖的朋友,先看看 op 的历史发言记录,再想想有没有必要花费铜币回复这个帖子。 https://www.v2ex.com/t/1154647 https://www.v2ex.com/t/1154112 https://www.v2ex.com/t/1153581 我不想评价太多,我只是觉得 op 已经陷入自己的空想艺术中了。 个人认为,op 填补了计算机领域没有民科的空白。 |
 |
27
benjaminliangcom 7 天前 1
实际的安全运营也是靠各种设备, EDR/态势感知/WAF, 再过滤,剩下的分析
|
|
28
dfkjgklfdjg 7 天前 1
@studyingss #26 ,早些时候已经在隔壁 sf 发过好几个类似的问答了。
有激情和钻研的动力是好的,就是奇思妙想太多然后一头扎进自己的预设的幻想里面出不来。 能感觉出来一直想要做的 ”尽善尽美” 导致表现得瞻前顾后,比较典的就是这个帖子 /t/1140798 |
 |
29
onice 7 天前 2
其实网络对抗,是成本的对抗。最经典的就是 ddos ,防御成本远远大于攻击成本,所以至今为止,ddos 都没有好的防御方法(成本低且又有效的防御方法)。
在防御的角色中,不想漏报任何入侵,也不太现实。任何入侵,严格意义上来说,是包含 0day 的。而安全设备只能防御已知的漏洞。 传统的防御方法是纵深防御,即每个入侵的杀伤链中,都有对应的防御措施,就像是战争中阵地战挖战壕一样,有一道防线,二道防线,三道防线,攻击者要实现入侵的墓地,要突破所有防线。 现在比较主流的防御方案的是零信任。零信任的核心思想是,把每个访问系统的人,都视为不可信任的人(潜在的攻击者)。要访问系统,必须要经过身份验证(账户和密码+手机验证码,甚至是+人脸)。 上了零信任后,网络安全问题就大大降低复杂度了,企业只需要关心员工的终端安全和社会工程学方面的防御即可。关注终端安全是为了防止用户的登录凭证被窃取,关注社会工程学是为了防御攻击者向员工发送钓鱼邮件。但零信任,只适合公司的内部资产和系统。 如果是公共服务,开放给互联网访问的公司业务,可以采用纵深防御的方案。 还有,学习安全,研究安全,要始终相信:没有绝对安全的系统。 如果要百分百防御,这是不可能的,别魔怔了。安全是动态的,即使是当下很安全,但随着时间的流逝,随着安全研究人员和黑产挖掘出更多漏洞,系统也会变得不安全。所以,没有百分百安全的系统。 |
 |
30
wcxxxxxxxxxxx 6 天前 1
作为安全行业,我觉得要想防想学会攻,我个人是从 DVWA 开始的,github 可以搜到该靶场,其次联系百度能搜多很多比较详细的。
其次防守这个都是动态的,没有绝对安全的系统。 “没有攻不破的系统,只有不努力的黑客。” |
 |
31
echoechoin 6 天前 1
加一个开源 waf 在前面就行了
|
Select Language