互联网企业安全高级指南3.7.1 攻防驱动修改

3.7.1 攻防驱动修改

大多数甲方安全团队所做的工作实际上处于这个维度。通过对已知的攻击手段,例如SQL注入,XSS等建立事前的安全编码标准,并在发布前做代码审计、渗透测试和提出漏洞修补方案。这种模式的显著优点是针对性比较强,直入主题,见效快。

简单的流程+事件驱动型构成了这种日常行为的本质,简单的流程通常包括:

事前基线:Web安全编码标准,各公司内部范围流传的APP应用安全设计文档,这个文档的质量水平通常可以差很远,当然文档永远只是文档,可能就是开发部门不强制不考试800年都不看的东西。

事中措施:代码审计,发布前过一轮扫描器+渗透测试。

事后机制:HTTP全流量IDS,Web日志大数据分析,等等。

事件驱动:发现了新的安全问题就“事后诸葛亮一把”,做点补救性措施。

从整个过程看,攻防驱动修改比较偏“事后”,相对于完整的SDL,威胁建模等工作而言,它似乎不用发散精力投入太多就能覆盖已知的攻击点,而且在研发侧不用面对比较大的“推动SDL落地的压力”

但是它的缺点也是显而易见的,由于过程方法论的施力点的比较偏事后,所以在从源头上发现和改进问题的能力不足,弱于在产品内建的安全机制上建立纵深防御,被绕过的可能性比较大,事后的bug率到一定程度就很难再改善,只能通过不断的攻防对抗升级去事后修补。笼统一点讲就是考虑不够系统性。这跟当前安全行业缺少真正的安全架构设计人才有关,攻防的声音铺天盖地,跟国外比一下在设计和工程化方面差距不小。

事后修补是不是总是有效的,缝缝补补的感觉你觉得会如何呢,对于公司的边缘性产品你可以希望它早日归入历史的尘埃,而对于公司的支柱型产品你只能寄希望于某一个大版本更新时把某些机制推倒重新来过。

时间: 2024-10-24 17:42:25

互联网企业安全高级指南3.7.1 攻防驱动修改的相关文章

互联网企业安全高级指南导读

信息安全技术丛书 互联网企业安全高级指南 赵彦 江虎 胡乾威 编著 图书在版编目(CIP)数据 互联网企业安全高级指南/赵彦,江虎,胡乾威编著. -北京:机械工业出版社,2016.8 (信息安全技术丛书) ISBN 978-7-111-54301-5 I. 互- II.① 赵- ② 江- ③ 胡- III. 网络公司–企业安全–指南 IV. F276.6-62 中国版本图书馆CIP数据核字(2016)第166015号 本书由业内多位顶级安全专家亲力打造,分享了他们十多年的安全行业经验,特别是对大

互联网企业安全高级指南

信息安全技术丛书 互联网企业安全高级指南 赵彦 江虎 胡乾威 编著 图书在版编目(CIP)数据 互联网企业安全高级指南/赵彦,江虎,胡乾威编著. -北京:机械工业出版社,2016.8 (信息安全技术丛书) ISBN 978-7-111-54301-5 I. 互- II.① 赵- ② 江- ③ 胡- III. 网络公司–企业安全–指南 IV. F276.6-62 中国版本图书馆CIP数据核字(2016)第166015号 本书由业内多位顶级安全专家亲力打造,分享了他们十多年的安全行业经验,特别是对大

互联网企业安全高级指南3.7.4 SDL在互联网企业的发展

3.7.4 SDL在互联网企业的发展 目前SDL在大部分不太差钱的互联网企业属于形式上都有,但落地的部分会比较粗糙.通常只有一两个环节.最主要的瓶颈还是人和工具的缺失.以前互联网企业只生产Web,攻防驱动修改得以应付,但是现在大型的互联网企业不再只生产Web,而是会自己生产诸如分布式数据库.浏览器.手机操作系统这样的大型软件,单纯的攻防驱动修改已经日渐乏力,没有足够的安全设计能力将无法应对未来的威胁.因此推测以后的安全行业中,设计方面的人才会严重缺失,大部分甲方安全团队仍然游离在设计的大门之外,

互联网企业安全高级指南3.7 如何看待SDL

3.7 如何看待SDL SDL(安全开发生命周期)优化模型如图3-1所示.   图3-1 SDL优化模型 SDL起源于微软,2004年将SDL引入其内部软件开发流程中,目的是减少其软件中的漏洞数量和降低其严重级别.SDL侧重于长期维护.流程改进并能够帮助开发过程应对不断变化的威胁状况.早些年微软的产品安全问题比较多,微软在某一年甚至下令所有产品线开发计划停止半年,全部用于整顿安全问题.起初SDL适用于传统的瀑布模型和螺旋式开发,到了2010年SDL增加了敏捷的部分改进,用于应对互联网下的Web开

互联网企业安全高级指南1.1切入“企业安全”的视角

第1章 安全大环境与背景 如果从一个很微观的角度切入企业安全这个话题,那么大多数人会像一叶孤舟跌进大海茫茫然找不到方向,所以本章从安全领域整体环境入手,以便于读者找到系统性的那种感觉.尽管笔者没有致力于提供关于企业安全的一个非常完整的"上帝视角",但也尽可能地兼顾了这方面的需求. 1.1 切入"企业安全"的视角 目前安全行业中"二进制"和"脚本"流派广为人知,虽然他们是安全行业的主力军,但除了微观对抗之外,安全是一个很大的工程

互联网企业安全高级指南2.2 如何建立一支安全团队

2.2 如何建立一支安全团队 如果要去一家公司领衔安全建设,第一个问题就是如何建立安全团队.上面提到不同的公司状况对应的安全建设需求是不一样的,需要的安全团队也是不一样的,所以我按不同的场景来深入分析这个问题. 在目前国内的市场中,BAT这种公司基本是不需要组团队的,对安全负责人有需求的公司大约是从准生态级互联网公司.平台级互联网公司.大型集团的互联网+,到千千万万的互联网创业型公司. 1. 极客团队 如果你在一个小型极客型团队,例如Youtube被Google收购前只有17个人,在这样的公司里

互联网企业安全高级指南1.2 企业安全包括哪些事情

1.2 企业安全包括哪些事情 企业安全涵盖7大领域,如下所示: 1)网络安全:基础.狭义但核心的部分,以计算机(PC.服务器.小型机.BYOD--)和网络为主体的网络安全,主要聚焦在纯技术层面 2)平台和业务安全:跟所在行业和主营业务相关的安全管理,例如反欺诈,不是纯技术层面的内容,是对基础安全的拓展,目的性比较强,属于特定领域的安全,不算广义安全. 3)广义的信息安全:以IT为核心,包括广义上的"Information"载体:除了计算机数据库以外,还有包括纸质文档.机要,市场战略规划

互联网企业安全高级指南1.3 互联网企业和传统企业在安全建设中的区别

1.3 互联网企业和传统企业在安全建设中的区别 总体来看,传统企业偏重管理,有人说是"三分技术,七分管理":而互联网企业偏重技术,我认为前面那个三七开可以倒过来.其实这种说法也是不准确的,到底什么算技术,什么算管理,这些都没有明确的定义.安全领域大部分所谓管理不过是组织技术性的活动而已,充其量叫技术管理. 先说一下传统企业和互联网企业在安全建设需求上的差异. 传统企业安全问题的特征如下: 1)IT资产相对固定. 2)业务变更不频繁. 3)网络边界比较固定. 4)IDC规模不会很大,甚至

互联网企业安全高级指南1.4 不同规模企业的安全管理

1.4 不同规模企业的安全管理 1. 创业型公司 对于创业型公司而言,安全不是第一位的,我在唱反调吗?应该只是大实话而已.安全建设的需求应该是:保障最基本的部分,追求最高性价比,不求大而全,映射到技术实现应该是做如下事情: 基本的补丁管理要做. 漏洞管理要做. L3-L7的基本的访问控制. 没有弱密码,管好密码. 账号认证鉴权不求各种基于条件的高大上的实时风控,但求基本功能到位. 办公网络做到统一集中管理(100人以上规模)和企业防病毒,几个人的话,就完全不用考虑了,APT什么的就听一听拉倒了.

互联网企业安全高级指南1.5 生态级企业vs平台级企业安全建设的需求

1.5 生态级企业vs平台级企业安全建设的需求 生态级企业和平台级企业之间的安全建设需求不仅仅是量的差别而是质的差别. 1. 差别的表象 主要差别表现在是否大量地进入自己造轮子的时代,即安全建设需要依托于自研,而非采用商业解决方案或依赖于开源工具的实现. 那么平台级公司和生态级公司的区别又在哪里?从表象上看,生态级公司的大型基础架构如果用传统的安全方案几乎都无法满足,所以会大量的进入自研.而平台级公司则会依赖开源工具更多一些,不会对所有解决方案场景下的安全工具进行自研.如果有预算也会优先投在"业