游侠安全网

SOC建设的失败原因
http://bbs.cisps.org/viewtopic.php?f=42&t=27306
------------------------------------
作者: wwanke [ 2011-03-23 21:59 ]
文章标题 : SOC建设的失败原因
------------------------------------
参加过一些SOC

　　游侠在2011年3月到思福迪（LogBase）之后，因为公司的业务重点问题，关注点开始转移到：日志管理综合审计系统、数据库安全审计系统、运维操作审计系统（内控堡垒主机），也经常在网上搜一些相关的资料。

　　这不是，搜到一篇不错的，原文是《SOC理解》，但是很可惜没找到作者，那在这里向原作者致敬了。正文开始：

　　1.在soc的用途方面大家理解上的偏差

　　网路游侠：本文转载自弯曲评论，游侠对存储关注很少，但是鉴于本文开头所言，还是决定转发下。

　　尊敬的陈首席，存储界发生了一件大事。

　　下面这个独立评论员写文章，请参考。

　　(http://www.theregister.co.uk/2011/04/18/hs_specsfs2008_crown/)

　　陈首席，考验您判断力的时刻到了。如果弯曲评论错过了报道‘存储行业

本脚本用于通过Active Directory安装evtsys.exe
如果您不了解evtsys.exe，请参考：
[游侠原创：Evtsys--轻松将Windows日志转换为SYSLOG]

　　安天Android平台反病毒引擎是安天推出的能够为Android移动终端扩展反病毒能力的第三方解决方案，合作方只需要按照简单的接口调用，便可编写自己的手机安全软件，而引擎、病毒库的更新完全由安天来进行。

　　安天Android平台反病毒引擎提供了快速扫描和深度扫描等多种扫描方式，并能够有效检出具有提权能力的风险工具。可以满足合作方在不同环境下的需求。

　　我们也推出了一个引擎Dem

　　NSS Labs最近测试了6个网络防火墙以评估安全弱点。除了一个防火墙之外，其余的防火墙都有容易受到“TCP Split Handshake Attack”（TCP分离握手攻击）攻击的安全漏洞。这个安全漏洞能够让攻击者远程欺骗防火墙以为防火墙后面的一个IP连接是可信赖的。

　　NSS Labs总裁里克·莫伊（Rick Moy）称，如果防火墙认为你在内部，它对你采用的安全政策就是一个内部的安全政策。你可以扫描查看机器在什么地方。然后，一个攻击者能够在网络中到处跑，因为防火墙错误地认为这个IP地址是来自防火墙后面的可信赖的IP地址。
...

我们知道，无论是Unix、Linux、FreeBSD、Ubuntu，还是路由器、交换机，都会产生大量的日志，而这些，一般会以syslog的形式存在。调试过防火墙、入侵检测、安全审计等产品的朋友应该对SYSLOG熟悉，如果您还不了解SYSLOG，请登录百度或Google查询。

SyslogGather.exe其实就是一款测试SYSLOG的绿色版软件。可以设置默认端口，默认是514，可以设置是否保存日志。如果你选择了这个选项，则日志在SyslogGather.exe同目录下的logfiles目录中。

　　据可靠信息渠道，当前国内的天融信、启明、绿盟、网神、深信服等内资安全厂商，只有启明算真正具备MIPS多核芯片防火墙（启明收购联想，两家都有多核，联想基于RMI，启明基于Cavium），而且从成熟度上讲，联想由于比较早的做rmi多核，目前成熟度要远远高于启明做的Cavium多核demo产品。

　　华系的不用说，Cavium和RMI多核都做，用于交换机、路由器、安全、无线等多个数通领域。

　　合适的日志管理工具能大幅减轻管理企业系统日志数据的负担。但是，除非组织为这个工具投入一定的时间和精力，否则再好的工具也会很快变成一个差劲的工具。Diana Kelley为大家提供了6个确保成功的日志管理最佳实践。

　　门外汉用上了工具依然是门外汉

　　如果你不准备投入时间和精力在恰当地安装、管理日志管理工具上，那么就不要把钱浪费在日志管理系统上面。日志管理系统必须进行合理的配置，以

1.DDL （Data Definition Language ）数据库定义语言 statements are used to define the database structure or schema.

DDL是SQL语言的四大功能之一。
用于定义数据库的三级结构，包括外模式、概念模式、内模式及其相互之间的映像，定义数据的完整性、安全控制等约束
DDL不需要commit.
CREATE

　　党的十七届五中全会通过的“十二五”时期的规划建议，对未来我国信息化发展的战略目标、产业、应用以及电子政务、电子商务等都提出了明确的要求。其核心理念，就是要全面推进国家信息化。其中，在谈到电子政务发展时，《建议》明确指出电子政务要以信息共享、互联互通为重点，大力推进国家电子政务网络建设，整合提升政府公共服务和管理能力。本文将对“十二五”期间，特别是2012年我国电子政务发展的趋势和重点做一些分析

日志审计系统是“我要什么”   主要收集各类设备的日志：路由器、防火墙、交换机、数据库等的日志 主要基于agent、syslog、snmp trap等 主要面向合规中“审计”部分的要求 收集上来的一般是原始日志   相对而言，soc偏重运营、工单处理 是收集日志上来之后“我要怎么办” 如筛选日志审计系统中报警级别“高”以上的日志 一线监控提交给二线监控，做分析，或提交客户 主要...

　　最近McAfee.com，MySql.com和Sun.com接连被黑，被黑的根源则在于SQL注入攻击。这个呈下降趋势的攻击方式，重新成为业内人士的焦点。

　　资安厂商Websense在3月29日发布了一则消息，一个被命名为LizaMoon的(SQL Injection)SQL注入攻击正在席卷全球，已有许多网站遭受攻击，网页内容中被塞了lizamoon字串，疑似挂马连结，透过Google查询lizamoon. com关键词，被稙入恶意连结的URL数在两天内由28,000个急速增加到380,000个(2011/03/31 22:00 UTC+8时的资料)，甚至iTune网站也名列其中。
...

　　现在网上最流行的是什么？魔兽世界？偷菜？还是团购大餐？都不是!最火的是“织围脖”。微博，即微博客（MicroBlog）的简称，是一个基于用户关系的信息分享、传播以及获取平台，用户可以通过WEB、WAP等方式发表信息，并实现即时分享。最早也是最著名的微博是美国的twitter，根据相关公开数据，截至2010年1月份，该产品在全球已经拥有7500万注册用户。

　　国内也随之涌现出了很多微博的网站