漏洞和事件处理学习笔记,包括发现安全问题、漏洞处理、时间处理。
发现安全问题
为什么要发现安全问题
- Web服务和应用一旦开放到互联网,就会遭到全球黑客的扫描和渗透攻击,安全问题就像屏蔽的定时炸弹,随时会威胁到企业信息安全。一旦Web应用被攻陷植入后门,服务器就会变成入侵者的前哨站,通过被攻陷的服务器作为跳板,进一步内网渗透,导致整个内网沦陷。
安全需求分析
- 项目初期接入、提前发现安全问题
- 使用Web框架和语言的选型建议
- 敏感信息如密码的保存方案(加盐+强哈希)
- 是否有上传功能
- ……
安全扫描
- 通过扫描器发现安全问题、自动化、周期性执行
- 第三课学习的安全扫描工具,安全工程师必备技能
安全测试(人工)
- 发现安全问题的主要方式包括白盒测试和黑盒测试、通常以黑盒测试为主
- 逻辑漏洞等
入侵检测
- 项目上线之后进行监控,包含多种检测方式。
- 网络层:分析流量
- 主机层:主机上安装小程序收集信息综合分析
日志分析
- 可疑日志+人工分析
- 可疑日志+扫描器
建立SRC
- 安全应急响应中心 Security Response Center,通过安全爱好者发现安全问题。
与漏洞收集平台合作
- 借助漏洞平台的力量和影响力
其他渠道
- 黑客卧底,和国家执法部门合作。
漏洞处理
防御
- 输入检查(服务端检查、数据合法性检验、尽可能使用白名单)
- 输出检查(在数据输出的点做特定过滤和转义)
- 针对性防御(特定安全漏洞的特定防御策略,如cookie设置为httponly缓解XSS漏洞危害)
- WAF Web Application Firewall, Web应用防火墙(拦截攻击、虚拟补丁)
修复
- 漏洞知识库(提供详细的漏洞说明和修复方案,修复方案需要可落地执行:结合公司的开发情况(框架、语言),包含各种框架、语言的修复方案)
- 漏洞修复周期(需要时间限制,根据危害等级限定漏洞修复周期,如严重漏洞需要在24小时内修复)
- 漏洞复查
事件处理
安全事件分类
- 入侵事件、攻击事件、信息泄露事件
安全事件分级
- 每个公司都有自己的安全事件分级标准,一般分为高、中、低三级
企业如何处理安全时间(建立流程-安全事件应急响应流程)
- 事件确认
- 事件汇报
- 事件处理
- 归档和覆盘