设计方案
数据流视角
服务器视角
IDC 视角
逻辑攻防视角
场景裁剪
应对规模
自研 HIDS、RASP 都是奢侈品,可以用 OSSEC、OSquery 等产品代替
网络分光可以用扫描器+ Web 日志分析代替
SQL 审计可以在 CGI 层解决
业务类型
如果业务流量中中大部分都是 HTTP 类型的,那么应该重点投入 WAF、RASP 和 Web 扫描器,NIDS/NIPS 可以省略,如果有条件搞 HIDS,应该优先关注用户态检测,比如 webshell 和提权
如果非 HTTP 协议例如 SSH、MySQL 等通用协议而非私有协议占多数,网络的部分可以考虑 NIDS、数据库部分可以使用 SQL 审计。如果消息接口、远程过程调用、数据缓存和持久化中私有协议占多数,则不用考虑 NIDS 和 SQL 审计,而应转向 HIDS,私有协议对入侵者来说是一道门槛,被渗透的概率不高,所以更多关注操作系统本身就行。对于大量的非 Web 业务,例如很多存储节点,也只需要关注操作系统的入侵,更多的在 HIDS 上投入,重点在后门程序和 Rootkit 检测
