【笔记】网易微专业-Web安全工程师-05.WEB安全体系建设

课程概述

未知攻，焉知防？经过前面的课程咱们掌握了各类攻击技巧，本课将教会你们如何在企业进行安全建设，达到知攻知防的境界，这也是各个公司最终须要的安全人才。

课程大纲

第一节.SDL介绍 

第二节.漏洞和事件处理

第三节.安全运营概述

1. SDL介绍

安全开发生命周期（Security Development Lifecycle）

培训：核心安全培训

需求：安全需求分析/质量要求，Bug数量/安全和隐私风险评估

设计：设计需求分析/减少攻击面

实施：使用指定工具/启用不安全函数/静态解析

验证：动态分析/模糊测试/威胁模型和攻击面分析

发布：事件响应计划/最终安全评析/发布存档

响应：执行事情响应计划

更多内容详见：https://www.microsoft.com/en-us/sdl

 

2. 漏洞和安全处理

2.1 发现安全问题：

安全需求分析：项目初期接入，提早发现安全问题。如使用Web框架和语言的选型建议，敏感信息如密码的保存方案，是否有上传功能等等。

漏洞处理：经过扫描器发现安全问题，自动化，周期性执行。

事件处理：主要方式包括白盒测试和黑盒测试，一般以黑盒测试为主。

入侵检测：项目上线以后进行监控，包含多种检测方式，经过监控入侵行为发现安全问题。

日志分析：项目上线以后分析日志，经过分析日志发现安全问题。常见模式有可疑日志+人工分析，可疑日志+扫描器。

创建SRC：安全应急响应中心，经过安全爱好者发现安全问题。

与漏洞搜集平台合做：借助漏洞平台的力量和影响力，经过漏洞平台发现安全问题。

其它渠道：黑产卧底，与执法部门合做等等。

2.2 处理安全漏洞

防护：输入检查（在服务端检查；数据合法性校验：类型、范围。长度；尽可能使用白名单），输出清理（报错信息等）；针对性防护（cookie采用httponly）；WAF（Web Application Firewall）。

修复：漏洞知识库（提供详细漏洞说明和修复方法，须要落地可执行），漏洞修复周期（须要有时间限制，根据漏洞危害等级限定漏洞修复周期），漏洞复查（须要安全团队复查，业务方和开发不可信）。

2.3 安全事件处理

分类：入侵/攻击/信息泄露

分级：低危/中危/高危

安全事件应急响应流程：事件确认，事件汇报，事件处理，归档和复盘。

  

3. 安全运营概述

发现和修复安全问题，防护体系建设和快速响应攻击，SDL落实推进

如何落地？

对内工做：安全扫描（周期性，按期检测保障安全），安全漏洞预警（关注重大漏洞和时间，提早部署防护方案，提早提供解决方案），应急响应，安全监控与入侵检测（经过监控发现安全问题，及时响应与处理）。

对外工做结合：创建外部沟通渠道和流程（提供统一对外沟通的邮件和IM工具，提供安全相关的沟通群，提供外部反馈问题的网站），安全圈关系（了解著名安全公司和安全圈子，积极参加安全会议，积极融入安全圈进行合做），品牌建设（参加合做会议，举办安全会议，打造安全产品，成立安全实验室）。