打造IT与业务融合的WAF流程

信息安全 Web应用程序 企业政策 华夫 操作 操作安全
2021-08-21 13:20:52

一位客户要求我帮助他们完成 WAF 流程。目前,他们有一些关键的 Web 应用程序受到几个 WAF 的保护。我已经设法调整 WAF 并准备好投入生产。该公司相当大,并且正在扩大。因此,我想通过创建一个流程来解决他们的 Web 应用程序安全性的可管理性问题,该流程将公司的 IT 部门与业务方面集成在一起。同时,我想将目前看来是我将要创建的三个不同的过程组合成一个。

过程 1

假设 WAF 检测到 XSS 尝试并发出警报:我不希望 Operational Security 简单地继续阻止来自该 IP 的流量;该决定应属于业务的职权范围,而不是 OpSec 的职权范围。由于 WAF 是在不久前实施的,我不愿意让它默认阻止它不喜欢的任何东西。目前,他们没有为此目的的专用数据库,因此应创建电子表格跟踪器。

定义如何做到这一点的过程可能很简单: 

 1. Operational Security is notified of an alert against one of their
    assets.
 2. Operational Security immediately checks their Security Information
    Event Management for signs of compromise.
 3. If there is a sign of compromise, an high-priority Security Incident
    is raised and the IP is blocked.
 4. If there is no sign of compromise, the IP is not blocked, but a
    low-priority incident is raised and forwarded onto the service owner
    of the web application being attacked.
 5. Business makes a decision whether this should blocked or not based
    on certain information such as “has this IP been seen before?”
 6. Security Management logs all the activity on their Tracker.

过程 2

每当将应用程序添加到其 WAF 以进行保护时,或者将应用程序从 WAF 的保护中删除时,都需要建立另一个流程。仅此过程就是一个直接的过程。安全管理在其 Tracker 上记录所有活动。

过程 3

最后,一个可能稍微复杂一点的过程涉及跟踪已受 WAF 保护的应用程序的重大更改(例如添加/删除的页面/参数)。这将影响 WAF 对警报的处理。到目前为止,我想到了类似的东西:

 1. If a project is to change any of the application’s contents, they
    should notify and liaise with Security Management
 2. Security Management sends a Questionnaire for the project to fill in.
 3. Project forwards the filled Questionnaire to Security Management.
 4. Security Management can then tune the WAFs to reflect these changes.
 5. Security Management continues to monitor the application for say,
    one week and if so, the changes are consolidated.
 6. Should any issues occur, Security Management is to liaise with the
    project to address the problem.
 7. Security Management logs all the activity on their Tracker.

问题:

  1. 这三个过程(不)合适还是我错过了整个事情的任何步骤/过程?
  2. 让一个流程解决所有这些问题真的更好,还是应该将它们保留为三个(或更多)单独的流程?
  3. 有没有人遇到过跟踪器和/或问卷模板,或者对我应该如何布置它们有任何建议?到目前为止,我想拥有一个 Tracker 工作簿和一个问卷,每个问卷有三个不同的选项卡,每个子流程一个。
  4. 有没有更好的方法来做到这一点?
  5. 最后,企业决定是否封禁IP的依据是什么?
1个回答

1.这三个过程(不)合适还是我错过了整个事情的任何步骤/过程?

您是否需要检查 SSL 加密流量?根据您的 WAF 在网络中的位置,您可能需要一个过程来处理与 WAFviews 流量有关的证书配置和续订。

我将其分为以下区域:

  • 对潜在事件作出反应

    • 检测到的事件的研究/取证
    • 对事件的回应
      • 确定处理真实事件的正确方法 - 您的流程 1
      • 减少误报的情况

  • 管理变革

    • 新应用
    • 旧应用程序的重大变化
    • 对旧应用程序的小改动

  • 管理整体健康

    • 故障排除
    • 升级
    • 业务连续性

2. 让一个流程解决所有这些问题真的更好,还是应该将它们保留为三个(或更多)单独的流程?

这与您通常如何记录流程有很大关系。作为一个在庞大的基础架构和组织中工作的人,我总是在文书工作、流程和文档的层次结构中工作——在这样的世界中,你可能提供的任何东西,如果适合现有模型,就会更好。让它变得奇怪,人们不会理解或使用它。

对于一个目前规模较小但希望变得更大的成长中的组织 - 我的主要警告是,第一个突破应该与组织或学科相关,并且每个过程都按导致它的触发器分组。因此,理想情况下,您最终会得到与人们一样清楚地隔离的块。

我的经验是,操作人员和开发人员是如此不同的基因库,以至于他们几乎可以算作不同的物种。他们可能使用相似的词,但他们处理单一工具、协议或想法的方式可能完全不同。出于这个原因,我的第一个故障将在那里:

1 - 运营指南 - 可供运营团队使用,最好折叠到现有流程中,例如防火墙。

  • 当 WAF 检测到事件时该怎么办

    • 已知的可能案例
    • 未知进程(当你不知道从哪里开始时该怎么办)
    • 包括移交给开发人员 - 你去哪里为误报写错误报告?当您需要开发人员帮助您研究问题时,您会怎么做?等等。

  • 责任范围指南

  • 风险管理指南以及何时/何地获得风险批准

2 - WAF 维护指南 - 为哪个团队维护此组件。WAF 很有趣——可能是您的边界控制人员(防火墙帮派),可能是 Web 服务器支持,也可能是其他东西。取决于架构和组织

3 - 软件部署和维护 - 对于任何受 WAF 保护的服务器 - 如何将软件部署到受 WAF 保护的站点,如何帮助调试 WAF 事件。

基本上是独立的流程,您可以将它们链接到使用 WAF 或 Web 服务器的人通常会看到的地方。

3.是否有人遇到过跟踪器和/或问卷模板,或者对我应该如何布置它们有任何建议?到目前为止,我想拥有一个 Tracker 工作簿和一个问卷,每个问卷有三个不同的选项卡,每个子流程一个。

不是我可以分享的。我大部分使用公司保护格式。

4.有没有更好的方法来做到这一点?

此外,请意识到您在此处创建的任何内容都是动态文档。今天可能是 XSS 攻击,明天可能会有所不同。您希望创建建立知识库的流程,尽可能实现自动化,以及一种清晰的沟通方式(无论是在危机中还是预防危机中)。

5.最后,企业决定是否封禁IP的依据是什么?

WAF 比 IP 阻止更多 - 如果您专门寻找 IP,我认为您正在尝试阻止森林中的单个树。具体来说,对于 IP 阻止,我认为任何使用 WAF 的组织也在使用防火墙,并且 IP 阻止将以与任何防火墙类型进程一致的方式进行管理。

风险方面,全面 - 理想情况下,无论风险的性质如何,都应该有一个一致的结构 - 阻止已知不良攻击者的行为,阻止已知攻击配置文件的漏洞等 - 应该有一个相当高的实体级别,其工作是权衡风险。权衡归结为:

  • 将弱点留在原地(允许您当前允许的)对整个系统和业务的安全性风险

  • 加强防御会给业务运营带来风险——当你阻止威胁时,你不能做什么?

  • 做/不做的成本

做出决定的人通常是可以在组织内承担责任的高级人员。通常是 ISO - 信息安全官。但是一个足够高的人可以看到业务,而不仅仅是 IT 方面。有可能有些东西会归结为一般指导方针 - 所以这个人不会逐个 IP - 他正在制定一些规则 - 如果 IP 攻击大于某个指标,肯定会阻止......等等。

其它你可能感兴趣的问题
上一篇KASLR 真的提供了更多的安全性来抵御攻击吗? 下一篇使用自签名证书加密本地 HTTP 流量