【笔记】网易微专业-Web安全工程师-05.WEB安全体系建设
课程概述
未知攻,焉知防?通过前面的课程我们掌握了各种攻击技巧,本课将教会大家如何在企业进行安全建设,达到知攻知防的境界,这也是各个公司最终需要的安全人才。
课程大纲
第一节.SDL介绍
第二节.漏洞和事件处理
第三节.安全运营概述
1. SDL介绍
安全开发生命周期(Security Development Lifecycle)
培训:核心安全培训
需求:安全需求分析/质量要求,Bug数量/安全和隐私风险评估
设计:设计需求分析/减小攻击面
实施:使用指定工具/启用不安全函数/静态解析
验证:动态分析/模糊测试/威胁模型和攻击面分析
发布:事件响应计划/最终安全评析/发布存档
响应:执行事情响应计划
更多内容详见:https://www.microsoft.com/en-us/sdl
2. 漏洞和安全处理
2.1 发现安全问题:
安全需求分析:项目初期接入,提前发现安全问题。如使用Web框架和语言的选型建议,敏感信息如密码的保存方案,是否有上传功能等等。
漏洞处理:通过扫描器发现安全问题,自动化,周期性执行。
事件处理:主要方式包括白盒测试和黑盒测试,通常以黑盒测试为主。
入侵检测:项目上线之后进行监控,包含多种检测方式,通过监控入侵行为发现安全问题。
日志分析:项目上线之后分析日志,通过分析日志发现安全问题。常见模式有可疑日志+人工分析,可疑日志+扫描器。
建立SRC:安全应急响应中心,通过安全爱好者发现安全问题。
与漏洞搜集平台合作:借助漏洞平台的力量和影响力,通过漏洞平台发现安全问题。
其它渠道:黑产卧底,与执法部门合作等等。
2.2 处理安全漏洞
防御:输入检查(在服务端检查;数据合法性校验:类型、范围。长度;尽量使用白名单),输出清理(报错信息等);针对性防御(cookie采用httponly);WAF(Web Application Firewall)。
修复:漏洞知识库(提供详细漏洞说明和修复方法,需要落地可执行),漏洞修复周期(需要有时间限制,根据漏洞危害等级限定漏洞修复周期),漏洞复查(需要安全团队复查,业务方和开发不可信)。
2.3 安全事件处理
分类:入侵/攻击/信息泄露
分级:低危/中危/高危
安全事件应急响应流程:事件确认,事件汇报,事件处理,归档和复盘。
3. 安全运营概述
发现和修复安全问题,防御体系建设和快速响应攻击,SDL落实推动
如何落地?
对内工作:安全扫描(周期性,定期检测保障安全),安全漏洞预警(关注重大漏洞和时间,提前部署防御方案,提前提供解决方案),应急响应,安全监控与入侵检测(通过监控发现安全问题,及时响应与处理)。
对外工作结合:建立外部沟通渠道和流程(提供统一对外沟通的邮件和IM工具,提供安全相关的沟通群,提供外部反馈问题的网站),安全圈关系(了解著名安全公司和安全圈子,积极参加安全会议,积极融入安全圈进行合作),品牌建设(参加合作会议,举办安全会议,打造安全产品,成立安全实验室)。