【笔记】网易微专业-Web安全工程师-05.WEB安全体系建设

课程概述

未知攻,焉知防?通过前面的课程我们掌握了各种攻击技巧,本课将教会大家如何在企业进行安全建设,达到知攻知防的境界,这也是各个公司最终需要的安全人才。

课程大纲

第一节.SDL介绍 

第二节.漏洞和事件处理

第三节.安全运营概述


1. SDL介绍

安全开发生命周期(Security Development Lifecycle)

培训:核心安全培训

需求:安全需求分析/质量要求,Bug数量/安全和隐私风险评估

设计:设计需求分析/减小攻击面

实施:使用指定工具/启用不安全函数/静态解析

验证:动态分析/模糊测试/威胁模型和攻击面分析

发布:事件响应计划/最终安全评析/发布存档

响应:执行事情响应计划

更多内容详见:https://www.microsoft.com/en-us/sdl

 

2. 漏洞和安全处理

2.1 发现安全问题:

安全需求分析:项目初期接入,提前发现安全问题。如使用Web框架和语言的选型建议,敏感信息如密码的保存方案,是否有上传功能等等。

漏洞处理:通过扫描器发现安全问题,自动化,周期性执行。

事件处理:主要方式包括白盒测试和黑盒测试,通常以黑盒测试为主。

入侵检测:项目上线之后进行监控,包含多种检测方式,通过监控入侵行为发现安全问题。

日志分析:项目上线之后分析日志,通过分析日志发现安全问题。常见模式有可疑日志+人工分析,可疑日志+扫描器。

建立SRC:安全应急响应中心,通过安全爱好者发现安全问题。

与漏洞搜集平台合作:借助漏洞平台的力量和影响力,通过漏洞平台发现安全问题。

其它渠道:黑产卧底,与执法部门合作等等。

2.2 处理安全漏洞

防御:输入检查(在服务端检查;数据合法性校验:类型、范围。长度;尽量使用白名单),输出清理(报错信息等);针对性防御(cookie采用httponly);WAF(Web Application Firewall)。

修复:漏洞知识库(提供详细漏洞说明和修复方法,需要落地可执行),漏洞修复周期(需要有时间限制,根据漏洞危害等级限定漏洞修复周期),漏洞复查(需要安全团队复查,业务方和开发不可信)。

2.3 安全事件处理

分类:入侵/攻击/信息泄露

分级:低危/中危/高危

安全事件应急响应流程:事件确认,事件汇报,事件处理,归档和复盘。

  

3. 安全运营概述

发现和修复安全问题,防御体系建设和快速响应攻击,SDL落实推动

如何落地?

对内工作:安全扫描(周期性,定期检测保障安全),安全漏洞预警(关注重大漏洞和时间,提前部署防御方案,提前提供解决方案),应急响应,安全监控与入侵检测(通过监控发现安全问题,及时响应与处理)。

对外工作结合:建立外部沟通渠道和流程(提供统一对外沟通的邮件和IM工具,提供安全相关的沟通群,提供外部反馈问题的网站),安全圈关系(了解著名安全公司和安全圈子,积极参加安全会议,积极融入安全圈进行合作),品牌建设(参加合作会议,举办安全会议,打造安全产品,成立安全实验室)。

posted @ 2018-02-24 21:29  KPlayer  阅读(490)  评论(0编辑  收藏  举报