因为今天刚汇报了23年H1的工作内容,H1的内容和之前在CSDN发布帖子,但是经过了整理后的。基本上是比较全面和精练的。所以这里再列举一下相关情况,即安全治理的几个要点:
其实基本上的企业Web安全治理内容我总结为如下:
- 安全提升动因:解决业务增长中安全隐患问题,解决客户对安全的需求
- 黑盒测试-主动攻击阶段
- 灰盒测试-结合源码
- 问题的处理方法:威胁图,解决沟通问题,观察潜在风险
- 早期介入尝试:**云尝试
- 长效治理尝试:周期循环
- WAF
- 前端治理------结合同行调研,漏洞依赖风险提升
- 客户端治理------根源是后端,本身需要一定设备指纹能力+设备威胁鉴定能力
- 后端治理------治标治本,治标:+权限隔离+内外网隔离+请求限频,治本:干掉后端漏洞,干掉中间件漏洞
- 各组件风险鉴定:前端、后端、中间件、客户端依赖的DevOps自动化扫描能力
- 纵深防御:我们用的是AWS的服务是,所以是GuardDuty落地
- 实战演练:第三方做相关安全演练