《白帽子讲Web安全》安全运营

安全运营

前言

安全是“三分技术，七分管理”
安全是一个持续的过程，“安全运营”的目的就是把这个“持续的过程”执行起来
健康的企业安全需要依靠“安全运营”来保持新陈代谢，保持活力
安全运营需要让端口扫描、漏洞扫描、代码白盒扫描等发现问题的方式变成一种周期性的任务。
需要安全运营不断地去发现问题，周期性地做安全健康检查

安全蓝图

一、Find and Fix

一个安全评估的过程，就是一个“Find and Fix” 的过程。通过漏洞扫描、渗透测试、代码审计等方式，可以发现系统中已知的安全问题；然后再通过设计安全方案，实施安全方案，最终解决这些问题。

Fix工作分两类：

一是例行的扫描任务发现了漏洞，需要及时修补
二是再安全时间发生时，或者有0day漏洞被公布时，需要进行紧急响应。

二、Defend and Defer

例如入侵检测系统，Web应用防火墙，反DDOS设备等则是一些防御性的工作，这也是保证安全必不可少的一个部分。防范问题于未然，当安全事件发生后，快速地响应和处理问题。这些防御性的工作，是一个“Defend and Defer”的过程

三、Secure at the Source

指“安全开发流程（SDL）他能从源头降低安全风险，提高产品的安全质量。

注：以上三者关系互补

什么是SOC？

SOC被定义为：以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。将各种安全日志、安全事件关联起来的系统我们称之为SOC，建立SOC可以算是安全运营的一个重要目标。

漏洞修补流程

说明：建立漏洞修补流程，是在“Fix”阶段要做的第一件事情。

对于“安全运营”的工作来说，建立漏洞修补流程，意味着需要完成这几件事情:

建立类似 bugtracker的漏洞跟踪机制，并为漏洞的紧急程度选择优先级;
建立漏洞分析机制，并与程序员一起制定修补方案，同时 review补丁的代码实现;
对曾经出现的漏洞进行归档，并定期统计漏洞修补情况。

对存在过的漏洞进行归档，是公司安全经验的一种积累。历年来曾经出现过的漏洞，是公司成长的宝贵财富。对漏洞数量、漏洞类型、产生原因进行统计，也可以从全局的角度看到系统的短板在什么地方，为决策提高数据。

安全监控

安全监控与报警，是“Defend and Defer”的一种有效手段。

监控能使公司在发生任何异常时第一时间就做出反应。

开源监控系统（Nagios）

网站的安全性也是需要监控的，安全监控的主要目的，是探测网站或者网站的用户是否被攻击，是否发生了DDOS，从而可以做出反应。

入侵检测

常见的安全监控产品有IDS（入侵检测系统）、IPS（入侵防御系统）、DDOS监控设备等。

Web应用防火墙（简称WAF）属于IDS这个大家族中。WAF专注于应用层攻击的检测和防御。

IDS、WAF等设备一般布署方式是串联或并联在网络出口处，对网站的所有流量进行监控。

什么是IDS？

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

什么是IPS？

入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙(Packet Filter, Application Gateway)的补充。入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

紧急响应流程

报警是一种主动通知管理员的提醒方式。

常见的报警方式：

（1）邮件报警

优点：报警内容可以描写得很丰富翔实
缺点：实时性差，并且邮件服务器可能会被队列堵塞，导致邮件延时或者丢邮件。

（2）IM报警

优点：实时性比邮件服务器好
缺点：IM报警得内容长度有限，难以像邮件报警的内容一样丰富。

（3）短信报警

优点：实时性最好，无论管理员在何时何地都能收到警报。
缺点：单条短信能容纳的内容较少，因此短信报警内容一般都短小精悍。

应急响应小组

建立紧急响应流程，首先要建立“紧急响应小组”，这个小组全权负责对紧急安全事件的处理、资源协调工作。

小组成员需要包括:

技术负责人
产品负责人
最了解技术架构的资深开发工程师资深网络工程师
资深系统运维工程师
资深DBA
资深安全专家
监控工程师
公司公关

在处理安全问题时，需要注意以下两点

一、需要保护安全事件的现场

当入侵事件发生时，首先不要慌张，应该先弄清楚入侵者的所有行为都有哪些，然后评估入侵事件所造成的损失。比较合理的做法是先将被入侵的机器下线，在线下进行分析。

二、以最快的速度处理完问题

应急响应流程启动以后，就是与时间争分夺秒。应急响应小组的成员，一定要是最了解公司业务和架构的人，这样才能快速定位和解决问题。

总结

安全运营实施的好坏，将觉定公司安全是否能健康地发展。只有把安全运营起来，在变化中对抗攻击，才能真正让安全成为一个持续的过程，才能走在正确的道路上。