【筆記】網易微專業-Web安全工程師-05.WEB安全體系建設

課程概述

未知攻，焉知防？經過前面的課程咱們掌握了各類攻擊技巧，本課將教會你們如何在企業進行安全建設，達到知攻知防的境界，這也是各個公司最終須要的安全人才。

課程大綱

第一節.SDL介紹 

第二節.漏洞和事件處理

第三節.安全運營概述

1. SDL介紹

安全開發生命週期（Security Development Lifecycle）

培訓：核心安全培訓

需求：安全需求分析/質量要求，Bug數量/安全和隱私風險評估

設計：設計需求分析/減少攻擊面

實施：使用指定工具/啓用不安全函數/靜態解析

驗證：動態分析/模糊測試/威脅模型和攻擊面分析

發佈：事件響應計劃/最終安全評析/發佈存檔

響應：執行事情響應計劃

更多內容詳見：https://www.microsoft.com/en-us/sdl

 

2. 漏洞和安全處理

2.1 發現安全問題：

安全需求分析：項目初期接入，提早發現安全問題。如使用Web框架和語言的選型建議，敏感信息如密碼的保存方案，是否有上傳功能等等。

漏洞處理：經過掃描器發現安全問題，自動化，週期性執行。

事件處理：主要方式包括白盒測試和黑盒測試，一般以黑盒測試爲主。

入侵檢測：項目上線以後進行監控，包含多種檢測方式，經過監控入侵行爲發現安全問題。

日誌分析：項目上線以後分析日誌，經過分析日誌發現安全問題。常見模式有可疑日誌+人工分析，可疑日誌+掃描器。

創建SRC：安全應急響應中心，經過安全愛好者發現安全問題。

與漏洞蒐集平臺合做：藉助漏洞平臺的力量和影響力，經過漏洞平臺發現安全問題。

其它渠道：黑產臥底，與執法部門合做等等。

2.2 處理安全漏洞

防護：輸入檢查（在服務端檢查；數據合法性校驗：類型、範圍。長度；儘可能使用白名單），輸出清理（報錯信息等）；針對性防護（cookie採用httponly）；WAF（Web Application Firewall）。

修復：漏洞知識庫（提供詳細漏洞說明和修復方法，須要落地可執行），漏洞修復週期（須要有時間限制，根據漏洞危害等級限定漏洞修復週期），漏洞複查（須要安全團隊複查，業務方和開發不可信）。

2.3 安全事件處理

分類：入侵/攻擊/信息泄露

分級：低危/中危/高危

安全事件應急響應流程：事件確認，事件彙報，事件處理，歸檔和覆盤。

  

3. 安全運營概述

發現和修復安全問題，防護體系建設和快速響應攻擊，SDL落實推進

如何落地？

對內工做：安全掃描（週期性，按期檢測保障安全），安全漏洞預警（關注重大漏洞和時間，提早部署防護方案，提早提供解決方案），應急響應，安全監控與入侵檢測（經過監控發現安全問題，及時響應與處理）。

對外工做結合：創建外部溝通渠道和流程（提供統一對外溝通的郵件和IM工具，提供安全相關的溝通羣，提供外部反饋問題的網站），安全圈關係（瞭解著名安全公司和安全圈子，積極參加安全會議，積極融入安全圈進行合做），品牌建設（參加合做會議，舉辦安全會議，打造安全產品，成立安全實驗室）。