安全运营
find and fix 通过漏洞扫描、渗透测试、代码审计等方式,发现系统中的安全问题,设计安全方案、实施安全方案并最终解决这些问题。
defend and defer 像入侵检测系统、web应用防火墙、反DDOS设备等防御性工作,防范问题于未然或当安全事件发生后,快速响应和处理问题。
secure at the source 即安全开发流程(SDL),从源头降低安全风险,提高产品的安全质量。
安全是一个持续的过程。
漏洞修补流程 Fix阶段的第一件事情
A、建立类似bugtracker的漏洞跟踪机制,并为漏洞的紧急程度选择优先级;
B、建立漏洞分析机制,并与程序员一起制定修补方案,同时review补丁的代码实现;
C、对曾经出现的漏洞进行归档,并定期统计漏洞修补情况。
对存在过的漏洞进行归档,是公司安全经验的一种积累,是公司成长的宝贵财富;对漏洞数量、类型、产生原因进行统计,也可以从全局的角度看到系统的短板在什么地方,为决策提供依据。
安全监控与报警 Defend and Defer的一种有效手段
入侵检测
IDS入侵检测系统,并联部署,其中Web应用防火墙(WAF)专注于应用层攻击的检测与防御
IPS入侵防御系统,串联部署
DDOS监控
优秀的WAF:modsecurity、PHPIDS
紧急响应流程
入侵检测系统或其他安全监控产品的规则被触发时,根据攻击的严重程度,可产生“事件”或“报警”,报警是一种主动通知管理员的提醒方式。
常用报警方式:邮件、IM、短信
紧急响应小组成员:
技术负责人
产品负责人
最了解技术架构的资深开发工程师
资深网络工程师
资深系统运维工程师
资深DBA
资深安全专家
监控工程师
公司公关
小组主要工作:第一时间弄清楚问题产生的原因,并协调相关资源进行处理。
安全处置重点:
1、需要保护安全事件的现场
当入侵发生时,先弄清楚入侵者的所有行为都有哪些,然后评估损失;合理做法:先下线被入侵机器,然后线下分析。
2、以最快的速度处理完问题