TejinderS1130/enterprise-cloud-security-lab

# 企业云安全实验室 – 攻击、检测与防御（AWS + SOC 模拟）

## 概述 本项目模拟了一个**真实的企业云安全环境**，展示 SOC 分析员如何构建基础设施、检测威胁并响应攻击。 它涵盖完整生命周期： ## 目标 * 构建云 + 虚拟化基础设施 * 模拟真实攻击（**SQL 注入**） * 使用云原生工具监控活动 * 检测威胁并生成告警 * 使用安全控制阻止恶意活动 ## 架构 ``` Attacker (Internet) │ ▼ ┌────────────────────────────┐ │ Application Load Balancer │ │ (Protected by AWS WAF) │ └─────────────┬──────────────┘ │ ▼ ┌────────────────────────────┐ │ EC2 Instance (DVWA) │ │ Vulnerable Web Application │ └─────────────┬──────────────┘ │ ▼ MySQL Database │ ▼ ┌────────────────────────────┐ │ CloudWatch (Logs & Alerts) │ └─────────────┬──────────────┘ │ ▼ SNS Notifications GuardDuty → Threat Detection Engine ``` ## 使用技术 | 类别 | 工具 | | ------------- | -------------------------- | | 云 | AWS EC2、VPC | | 安全 | AWS WAF、GuardDuty | | 监控 | CloudWatch、SNS | | 虚拟化 | VMware | | 操作系统 | Ubuntu Linux | | 攻击模拟 | DVWA | | 网络 | 子网、IGW、路由表 | | 访问 | SSH | ## 环境搭建 ### 本地基础设施（VMware） * 部署 Ubuntu 虚拟机 * 配置 SSH 访问 * 验证内部连通性 ### 云基础设施（AWS） * 创建自定义 VPC * 配置公网/私网子网 * 挂载 Internet 网关 * 构建路由表 ### 计算层 * 启动 EC2 实例 * 配置安全组（SSH + HTTP） * 通过 SSH 连接 ## 攻击模拟 部署了一个存在漏洞的应用程序（**DVWA**），并使用 SQL 注入进行测试： ``` Username: admin Password: 1' OR '1'='1 ``` ### 结果： * 尝试身份验证绕过 * 演示真实的 Web 攻击行为 ## 检测与监控 ### CloudWatch * 监控 EC2 活动 * 收集日志和指标 ### SNS 告警 * 生成以下告警： * 实例状态变更 * 可疑活动 ## 防御控制 ### AWS WAF * 配置 SQL 注入防护 * 挂载到应用负载均衡器 ### 验证： * 恶意请求被阻止 * 返回： ``` 403 Forbidden ``` ## 威胁检测 ### AWS GuardDuty * 检测到可疑活动： * 端口扫描 * 侦察行为 ### 示例发现： * **类型：** Recon:EC2/Portscan * **严重性：** 中等 * **检测：** 近乎实时 ## SOC 视角的检测逻辑分解 ### 1. SQL 注入检测（WAF 层） **攻击输入：** ``` 1' OR '1'='1 ``` **检测逻辑：** * AWS WAF 使用托管规则集 * 匹配 SQL 注入模式与负载签名 **触发条件：** * 请求匹配 SQL 注入签名 → 立即阻断 **结果：** ``` 403 Forbidden ``` **SOC 洞察：** * 基于签名的检测 * 对已知攻击模式快速且有效 ### 2. CloudWatch 监控（行为检测） **监控数据：** * EC2 日志 * 应用程序活动 * 系统指标 **检测逻辑：** * 基于阈值的告警： * 流量突增 * 重复失败请求 * 资源异常 **SOC 洞察：** * 检测异常行为 * 补充 WAF 检测 ### 3. GuardDuty 威胁检测（高级层） **模拟活动：** * Nmap 端口扫描 **检测：** ``` Recon:EC2/Portscan ``` **检测逻辑：** * 机器学习与威胁情报 * 识别： * 端口扫描 * 可疑出站连接 * 侦察行为 **SOC 洞察：** * 行为与机器学习检测 * 检测未知威胁 ### 4. 检测关联 | 层级 | 类型 | 示例 | | --------- | ---------- | -------------- | | WAF | 签名 | SQL 注入 | | CloudWatch| 行为 | 流量异常 | | GuardDuty | 机器学习 | 端口扫描 | **SOC 价值：** * 多层检测 * 纵深防御策略 ### 5. 分析员工作流程 1. 触发告警 2. 验证日志 3. 识别攻击 4. 确认恶意活动 5. 响应（阻断 + 监控） ## SOC 工作流 ``` Attack → Detection → Alert → Investigation → Response → Mitigation ``` ## MITRE ATT&CK 映射 | 战术 | 技术 | ID | | --------------- | ------------------------- | ----- | | 初始访问 | 利用面向公网应用 | T1190 | | 凭证访问 | SQL 注入（模拟） | T1003 | | 执行 | 用户输入利用 | T1204 | | 侦察 | 端口扫描 | T1046 | ## 关键证据 ## 作者 **Tejinder Singh** SOC 分析员 | 云安全 | 威胁检测

标签：AWS, AWS WAF, CISA项目, CloudWatch, DPI, DVWA, SOC 模拟, TGT, WAF, Web报告查看器, 云原生监控, 代理支持, 企业安全, 企业网络安全实验室, 告警, 安全控制, 安全运营, 应用负载均衡器, 扫描框架, 攻击模拟, 攻防演练, 漏洞利用检测, 网络安全教育, 网络资产管理, 速率限制, 阻断恶意活动, 驱动签名利用