互联网企业安全高级指南读书笔记之大规模纵深防御体系设计与实现

设计方案

数据流视角

服务器视角

IDC 视角

逻辑攻防视角

场景裁剪

应对规模

自研 HIDS、RASP 都是奢侈品，可以用 OSSEC、OSquery 等产品代替
网络分光可以用扫描器+ Web 日志分析代替
SQL 审计可以在 CGI 层解决

业务类型

如果业务流量中中大部分都是 HTTP 类型的，那么应该重点投入 WAF、RASP 和 Web 扫描器，NIDS/NIPS 可以省略，如果有条件搞 HIDS，应该优先关注用户态检测，比如 webshell 和提权

如果非 HTTP 协议例如 SSH、MySQL 等通用协议而非私有协议占多数，网络的部分可以考虑 NIDS、数据库部分可以使用 SQL 审计。如果消息接口、远程过程调用、数据缓存和持久化中私有协议占多数，则不用考虑 NIDS 和 SQL 审计，而应转向 HIDS，私有协议对入侵者来说是一道门槛，被渗透的概率不高，所以更多关注操作系统本身就行。对于大量的非 Web 业务，例如很多存储节点，也只需要关注操作系统的入侵，更多的在 HIDS 上投入，重点在后门程序和 Rootkit 检测