浅谈甲方安全架构建设.PDF

浅谈甲方安全架构建设 方小顿 目录 •  ⾃我介绍 •  对安全的误解 •  安全的标准与定义 •  建设的困惑与挑战 •  自上而下的设计 •  ⾃下⽽上的实践 •  QA 自我介绍 •  跨站师，web渗透师，业余渗透手 •  戴着镣铐跳舞的黑客实用主义者 •  80sec/wooyun创始人 •  百度安全工程师 我们的⽅式 •  Know it •  Then hack it 对安全的误解 •  角色定位 •  中国国情 OWASP top 10 真实的安全 •  几个例子 甲方安全定义 •  不以数据为中心的安全都是耍流氓 安全（防护者视角） •  我有一个价值____ 的东西 •  它可能会遇到____ 的风险 •  这风险会导致____损失 •  我愿意接受这种____损失（我该如何____ 避免这种损失） 安全（攻击者视角） •  我想要那个价值____ 的东西 •  它哪些地方会存在____ 的问题 •  利⽤这些问题需要多⼤____投入 •  我愿意接受这种____投入 （我该如何____ ⽤其他⽅式来实现这个⺫标） 甲方安全 •  产品安全（中小企业） –  黑客，恶意用户 –  案例 •  信息安全（大中企业） –  黑客，恶意员工 –  案例 •  运营安全（平台企业） –  黑客，黑色产业 –  案例 案例 •  产品安全案例 •  信息安全案例 •  业务安全案例 安全建设困惑与挑战 •  困惑与挑战 –  时机（往往是发生一个重要的安全事件才导致 开始安全建设） –  环境（企业整体对安全认识并不充分） 什么是甲方安全 •  理想 –  我们需要直接向vp汇报 •  现实 –  运维部安全运维⼯程师 什么是甲方安全 •  理想 –  我们已经规划好新的安全设计⽅案了，我们将 可以及时发现恶意的行为和阻断黑客的攻击， 在下个季度将和业务部门一起完成它 •  现实 –  这个改造成本过⼤，业务⽆法接受/请以数据评 估该方案带来的收益/这个方案的确收益很大， 但是我们有优先级更高的事情要做 什么是甲方安全 •  理想 –  安全⼯程师：真好，上半年我们没有被披露的 / 安全事件 真好，上半年我们发现了⼀起针对我 们的恶意攻击 •  现实 –  ⽼板：没有事件的话安全预算是不是有点⼤了/ 有安全事件的话你们的绩效是不是不好 自上而下设计 •  有什么数据 •  数据的风险 •  需要的策略 •  策略的实现