【笔记】网易微专业-Web安全工程师-05.WEB安全体系建设

课程概述

未知攻，焉知防？通过前面的课程我们掌握了各种攻击技巧，本课将教会大家如何在企业进行安全建设，达到知攻知防的境界，这也是各个公司最终需要的安全人才。

课程大纲

???第一节.SDL介绍 

???第二节.漏洞和事件处理

???第三节.安全运营概述

???

???1. SDL介绍

???安全开发生命周期（Security Development Lifecycle）

???培训：核心安全培训

???需求：安全需求分析/质量要求，Bug数量/安全和隐私风险评估

???设计：设计需求分析/减小攻击面

???实施：使用指定工具/启用不安全函数/静态解析

???验证：动态分析/模糊测试/威胁模型和攻击面分析

???发布：事件响应计划/最终安全评析/发布存档

???响应：执行事情响应计划

???

更多内容详见：https://www.microsoft.com/en-us/sdl

???2. 漏洞和安全处理

???2.1 发现安全问题：

???安全需求分析：项目初期接入，提前发现安全问题。如使用Web框架和语言的选型建议，敏感信息如密码的保存方案，是否有上传功能等等。

???漏洞处理：通过扫描器发现安全问题，自动化，周期性执行。

???事件处理：主要方式包括白盒测试和黑盒测试，通常以黑盒测试为主。

???入侵检测：项目上线之后进行监控，包含多种检测方式，通过监控入侵行为发现安全问题。

???日志分析：项目上线之后分析日志，通过分析日志发现安全问题。常见模式有可疑日志+人工分析，可疑日志+扫描器。

???建立SRC：安全应急响应中心，通过安全爱好者发现安全问题。

???与漏洞搜集平台合作：借助漏洞平台的力量和影响力，通过漏洞平台发现安全问题。

???其它渠道：黑产卧底，与执法部门合作等等。

???2.2 处理安全漏洞

???防御：输入检查（在服务端检查；数据合法性校验：类型、范围。长度；尽量使用白名单），输出清理（报错信息等）；针对性防御（cookie采用httponly）；WAF（Web Application Firewall）。

???修复：漏洞知识库（提供详细漏洞说明和修复方法，需要落地可执行），漏洞修复周期（需要有时间限制，根据漏洞危害等级限定漏洞修复周期），漏洞复查（需要安全团队复查，业务方和开发不可信）。

???2.3 安全事件处理

???分类：入侵/攻击/信息泄露

???分级：低危/中危/高危

???安全事件应急响应流程：事件确认，事件汇报，事件处理，归档和复盘。

3. 安全运营概述

???发现和修复安全问题，防御体系建设和快速响应攻击，SDL落实推动

???如何落地？

???对内工作：安全扫描（周期性，定期检测保障安全），安全漏洞预警（关注重大漏洞和时间，提前部署防御方案，提前提供解决方案），应急响应，安全监控与入侵检测（通过监控发现安全问题，及时响应与处理）。

???对外工作结合：建立外部沟通渠道和流程（提供统一对外沟通的邮件和IM工具，提供安全相关的沟通群，提供外部反馈问题的网站），安全圈关系（了解著名安全公司和安全圈子，积极参加安全会议，积极融入安全圈进行合作），品牌建设（参加合作会议，举办安全会议，打造安全产品，成立安全实验室）。