企业安全SDL流程及漏洞管控
目的:提升web的安全性,降低修复成本
全称:Security development Lifecycle
组成:培训,需求,设计,实施,验证,发布,相应
- 培训:核心安全培训
- 需求:安全需求分析,质量要求/Bug数量,安全和隐私风险评估
- 设计:设计需求分析,减小攻击面
- 实施:使用指定工具,弃用不安全函数,静态分析
- 验证:静态分析,模糊测试,威胁建模和攻击分析
- 发布:事件响应计划,最终安全分析,发布存档
发现需求分析
- 项目初期接入
- 提前发现安全问题
- 使用web框架和语言的选型建议
- 敏感信息如密码的保存方案
- 是否有上传功能
安全扫描
- 通过扫描器发现安全问题(自动化,周期进行)
安全测试
- 白盒测试和黑盒测试
入侵检测
- 通过入侵行为发现安全问题
日志分析
- 可疑日志+人工分析
- 可疑日志+扫描器
建立src(security response center) 与漏洞集合平台合作
- 安全应急响应中心
- 结果平台的影响力发现安全问题
- 黑产卧底
- 国家执法部门合作
漏洞处理
防御输入检查
- 在服务端检查
- 数据合法性校验:类型,范围,长度
- 尽可能使用白名单
防御输出检查
- 在输出点做出过滤和转义,比如xss(cookie设置httponly)xss得不到cookie
WAF
- web application firewall
修复
漏洞数据库
- 提供详细的漏洞说明和修复方案
修复方案需要可落地执行:
结合公司的开发情况:框架,语言
包含各种框架,语言的修复方案
漏洞的修复周期
- 漏洞修复需要有时间限制
根据漏洞危害等级限定漏洞修复周期
如严重漏洞需要24小时修复
漏洞复查
- 漏洞修复后需安全团队复查
业务方和开发不可信
企业如何处理安全事件
安全事件分类
- 入侵事件
- 攻击事件
- 信息泄露事件
安全事件分级
- 高中低漏洞
安全时间应急响应流程
安全是一个过程,需要持续的运营
- 发现和修复安全问题
- 防御体系建设和快速响应攻击
- SDL落实推动
如何落地
- 对内
- 周期性安全扫描
- 漏洞预警
- 应急响应
- 安全监控和入侵检测
- 对外
- 建立外部沟通渠道和流程
- 安全圈关系
- 品牌建设(安全实验室)