白帽子講Web安全（第 18 章安全運營）

俗話說，安全是「三分技術，七分管理」。安全對於企業來說，結果才是最重要的。安全方案設計完成後，即使看起來再美好，也需要經受實踐的檢驗。

網際網路公司如何規劃自己的安全藍圖呢？從戰略層面上來說， aberdeen group 提到了三句話：find and fix，defend and defer，secure at the source。

乙個安全評估的過程，就是乙個「 find and fix 」的過程。通過漏洞掃瞄、滲透測試、**審計等方式，可以發現系統已知的安全問題；然後再通過涉及安全方案，實施安全方案，最終解決這些問題。

而像入侵檢測系統、web 應用防火牆，反 ddos 裝置等則是一些防禦性的工作，這也是保證安全必不可少的乙個部分。他們額能防範問題於未然，或者當安全事件發生後，快速的響應和處理問題。這些防禦性的工作，是乙個「 defend and defer 」的過程。

最後「 secure at the source 」指的則是「安全開發流程（ sdl ）」，它能從源頭降低安全風險，提高產品的安全質量。

這三者的關係是互補的，當 sdl 出現差錯時，可以通過週期性的掃瞄、安全評估等工作將問題及時解決『而入侵檢測、waf 等系統，則可以再安全事件發生後的第一時間進行響應，並有助於事後定損。如果三者只剩下其一，都可能使得公司的安全體系出現短板，出現可乘之機。

安全運營貫穿在整個體系之中。安全運營需要讓埠掃瞄、漏洞掃瞄、**白盒掃瞄等發現問題的方式變成一種週期性的任務。

在安全運營的過程中，必然會與各種安全產品、安全工具打交道。有的安全產品時商業產品，有的則是開源工具，甚至安全團隊還需要自主研發一些安全工具，這些安全產品都會產生大量的日誌，這些日誌對於安全運營來說是非常由價值的。通過事件之間的關聯，可以全面對的分析出企業的安全現狀，並對未來的安全趨勢做出一些預警，為決策提供參考意見。

將各種安全日誌、安全事件關聯起來的系統我們稱之為 soc（ security operation center ）。建立 soc 可以算是安全運營的乙個重要目標。

建立漏洞修補流程，是在「 fix 」階段要做的第一件事情。

在制定補丁的方案時，首先應該由安全工程師對漏洞進行分析，然後再和開發團隊一起制定技術方案，並由安全工程師 review 補丁的**，最後才能發布上線。

對於「安全運營」的工作來說，建立漏洞修補流程，意味著需要完成這幾件事情：

安全監控與報警，是「 defend and defer 」的一種有效手段。

對於網際網路公司來說，由於其業務的高度連續性，所以監控網路、系統、應用的健康程度是一件非常重要的事情。監控能使公司在發生任何異常時第一時間就做出反應。

常見的安全監控產品有 ids （入侵檢測系統）、ips （入侵防禦系統）、ddos 監控裝置等。

入侵檢測系統或其他安全監控產品的規則被觸發時，根據攻擊的嚴重程度，最終會產生「事件」（ event ）或「報警」（ alert ），報警是一種主動通知管理員的提醒方式。

常見的報**式有三種。

郵件報警

im 報警

簡訊報警

監控與報警都建立後，就可以開始著手制定「緊急響應流程」了。緊急響應流程是在發生緊急安全事件時，需要啟動的乙個用於快速處理事件的流程。很多時候由於缺乏緊急響應流程，或者緊急響應流程執行不到位，使得一些本來可以快速平息的安全事件，最終造成巨大的損失。

建立緊急響應流程，首先要建立「緊急響應小組」，這個小組全權負責對緊急安全事件的處理、資源協調工作。小組成員需要包括：

這個小組的主要工作是在第一時間弄清楚問題產品的原因，並協調相關的資源進行處理。因此小組的成員可能隨時擴大。

小組成員中包含公司公關，是因為遇到一些影響較大的安全事件時，需要公關發對外的新聞稿。由於公關對外發的新聞稿需要參考安全專家的意見，以免出現言辭不當的情況。

當安全事件發生時，首先應該通知到安全專家，並由安全專家召集緊急響應小組，處理相關問題。在處理安全問題時，有兩個需要注意的地方。

需要保護安全事件的現場。

以最快的速度處理完問題。

白帽子講Web安全（第 18 章安全運營）

白帽子講Web安全（第 14 章 PHP 安全）

白帽子講Web安全（第 10 章訪問控制）

《白帽子講Web安全》學習筆記

白帽子講Web安全（第 18 章 安全運營）

白帽子講Web安全（第 14 章 PHP 安全）

白帽子講Web安全（第 10 章 訪問控制）

《白帽子講Web安全》 學習筆記

相關推薦

白帽子講Web安全（第 18 章安全運營）

白帽子講Web安全（第 10 章訪問控制）

《白帽子講Web安全》學習筆記