企业Web安全治理的十三个要点

因为今天刚汇报了23年H1的工作内容，H1的内容和之前在CSDN发布帖子，但是经过了整理后的。基本上是比较全面和精练的。所以这里再列举一下相关情况，即安全治理的几个要点：

其实基本上的企业Web安全治理内容我总结为如下：

1. 安全提升动因：解决业务增长中安全隐患问题，解决客户对安全的需求
2. 黑盒测试-主动攻击阶段
3. 灰盒测试-结合源码
4. 问题的处理方法：威胁图，解决沟通问题，观察潜在风险
5. 早期介入尝试：**云尝试
6. 长效治理尝试：周期循环
7. WAF
8. 前端治理——结合同行调研，漏洞依赖风险提升
9. 客户端治理——根源是后端，本身需要一定设备指纹能力+设备威胁鉴定能力
10. 后端治理——治标治本，治标：+权限隔离+内外网隔离+请求限频，治本：干掉后端漏洞，干掉中间件漏洞
11. 各组件风险鉴定：前端、后端、中间件、客户端依赖的DevOps自动化扫描能力
12. 纵深防御：我们用的是AWS的服务是，所以是GuardDuty落地
13. 实战演练：第三方做相关安全演练

---