如何进行安全运营
战略层面包括:Find and Fix,Defend and Defer,Secure and Source。安全运营贯穿在整个体系之中。安全运营需要让端口扫描、漏洞扫描、代码白盒扫描等发现问题的方式变成一种周期性的任务。
Find and Fix
一个安全评估的过程,就是一个“Find and Fix”的过程。通过漏洞扫描、渗透测试、代码审计等方式,可以发现系统中已知的安全问题;然后再通过设计安全方案,实施安全方案,最终解决这些问题。
Defend and Defer
“Defend and Defer”包括入侵检测系统、Web应用防火墙,反DDoS设备等一些防御性的工作。它们能防范问题于未然,或者当安全事件发生后,快速地响应和处理问题。
Secure and Source
“Secure and Source”指的是“安全开发流程(SDL),它能从源头降低安全风险,提高产品的安全质量。
漏洞修补流程
建立漏洞修补流程,是在“Fix”阶段要做的第一件事情。
- 建立类似bugtracker的漏洞跟踪机制,并为漏洞的紧急程度选择优先级;
- 建立漏洞分析机制,并与程序员一起制定修补方案,同时review补丁的代码实现;
- 对曾经出现的漏洞进行归档,并定期统计漏洞修补情况。
安全监控
安全监控与报警,是“Defend and Defer”的一种有效手段。
安全监控的主要目的,是探测网站或网站的用户是否被攻击,是否发生了DDoS,从而可以做出反应。
入侵检测
常见的安全监控产品有IDS(入侵检测系统)、IPS(入侵防御系统)、DDoS监控设备、Web应用防火墙(简称WAF)等。
IDS、WAF等设备一般的布署方式是串联或并联在网络出口处,对网站的所有流量进行监控。
除了部署入侵检测产品外,在应用中也可以实现代码级的安全监控功能。
紧急响应流程
入侵检测系统或其他安全监控产品的规则被触发时,根据攻击的严重程度,最终会产生“事件”(Event)或“报警”(Alert),报警是一种主动通知管理员的提醒方式。常见的报警方式有三种。
邮件报警
成本最低、内容可以写得丰富、实时性较差。
IM报警
实时性更好、内容有限。
短信报警
实时性最好,内容最少。
处理安全问题时,有两个需要注意的问题:
- 需要保护安全事件的现场;
- 以最快的速度处理完问题。