OWASP 软件保证成熟度模型 2.0
成熟度模式SAMM 是一个规范性模型,是一个开放的框架,易于理解、定义明确且可衡量。它帮助组织制定和实施软件安全策略。
事件管理
3好处 能够检测最明显的安全事件 活动 分析可用的日志数据(例如访问日志、应用日志、基础设施日志),以根据已知的日志数据保留周期检测可能的安全事件。在小型环境中,可以借助常用命令行工具手动完成此操作。在日志量较大的情况下,应使用自动化技术。即使是一个 `cron` 任务,运行一个简单的脚本来查找可疑事件,也是一个进步!如果你将来自不同来源的日志发送到专用的日志聚合系统,在那里分析日志并使用基本的日志关联原则。即使你没有全天候的事件检测流程,也要确保在负责人员(例如…)不可用时有相应安排。由于休假或疾病)不会显著影响检测速度或质量。建立并共享正式创建安全事件的联系人信息。好处 及时且持续地检测预期的安全事件 活动 为事件检测流程指定专门负责人,使所有流程相关方都能访问明确的文档,并确保定期审查和必要时更新。确保负责事件检测的员工遵循此流程(例如,通过培训)。该过程通常依赖高度自动化,从不同来源收集并关联日志数据,包括应用程序日志。如果合适,可以将日志集中到一个地方进行汇总。定期验证分析数据的完整性。如果添加了新的应用程序,请确保该过程在合理时间内涵盖它。使用可用的检查表检测可能的安全事件。清单应涵盖预期的攻击向量以及已知或预期的杀伤链。应定期评估和更新清单。当你确定某一事件是安全事件(有足够高的信心)时,应立即通知相关人员,即使在非工作时间也要通知。根据情况进行进一步分析,并启动升级流程。好处 能够及时检测安全事件 活动 确保流程文档包含持续改进流程的措施。检查流程改进的连续性(例如,通过跟踪变更)。确保可疑事件检测的清单至少与以下来源和知识库相关联:(i) 公司外部的来源和知识库(例如新漏洞公告影响所使用的技术)、(ii)过去的安全事件,以及(iii)威胁模型结果。对所有合理的事件场景使用日志关联来进行事件检测。如果用于事件检测的日志数据不可用,应将其缺失记录为缺陷,并根据既定的缺陷管理流程进行分类和处理。事件检测的质量不依赖于事件发生的时间或日期。如果安全事件在指定时间内(例如 20 分钟)未被确认和解决,请确保根据既定的升级路径生成进一步的通知。标准:您有一个安全事件创建的联系人 | 您根据日志数据保留期限分析数据 | 此分析的频率与您应用程序的重要性相一致
优势 能够检测最明显的安全事件 活动 分析可用的日志数据(例如访问日志、应用日志、基础设施日志),以根据已知的日志数据保留期检测可能的安全事件。在小型环境中,你可以借助常用的命令行工具手动进行此操作。在较大的日志量情况下,使用自动化技术。即使是一个 `cron` 任务,运行一个简单的脚本来查找可疑事件,也是一个进步!如果你将来自不同来源的日志发送到专用的日志聚合系统,在那里分析日志并使用基本的日志关联原则。即使你没有全天候的事件检测流程,也要确保在负责人员不可用时(例如)。由于休假或疾病)不会显著影响检测速度或质量。建立并共享正式创建安全事件的联系人信息。好处 及时且持续地检测预期的安全事件 活动 为事件检测流程指定专门负责人,使所有流程相关方都能访问明确的文档,并确保定期审查和必要时更新。确保负责事件检测的员工遵循此流程(例如,通过培训)。该过程通常依赖高度自动化,从不同来源收集并关联日志数据,包括应用程序日志。如果合适,可以将日志集中到一个地方。定期验证分析数据的完整性。如果添加了新应用程序,请确保该过程在合理时间内涵盖它。使用可用检查表检测可能的安全事件。清单应涵盖预期的攻击向量以及已知或预期的杀伤链。应定期评估和更新清单。当你确定某个事件是安全事件(有足够高的信心)时,应立即通知相关人员,即使在非工作时间也要通知。根据情况进行进一步分析,并启动升级流程。好处 能够及时检测安全事件 活动 确保流程文档包含持续改进流程的措施。检查流程改进的连续性(例如,通过跟踪变更)。确保可疑事件检测的清单至少与公司外部的来源和知识库相关联(例如。(新公布的影响所使用技术的漏洞)、(过去的安全事件)以及(威胁模型的结果)。在所有合理的事件场景中,使用日志关联进行事件检测。如果用于事件检测的日志数据不可用,应将其缺失记录为缺陷,并根据已建立的缺陷管理流程进行分级处理和处理。事件检测的质量不取决于事件发生的时间或日期。如果安全事件在指定时间内(例如 20 分钟)未被确认和解决,请确保根据既定的升级路径生成进一步的通知。标准:该流程有专门负责人 | 您将流程文档存放在可访问的位置 | 流程考虑了进一步分析的升级路径 | 您培训负责事件检测的员工掌握此流程 | 您有潜在攻击清单以简化事件检测
好处 能够检测最明显的安全事件 活动 分析可用的日志数据(例如访问日志、应用日志、基础设施日志),以根据已知的日志数据保留周期检测可能的安全事件。在小型环境中,可以借助常用命令行工具手动完成此操作。在日志量较大的情况下,应使用自动化技术。即使是一个 `cron` 任务,运行一个简单的脚本来查找可疑事件,也是一个进步!如果你将来自不同来源的日志发送到专用的日志聚合系统,在那里分析日志并使用基本的日志关联原则。即使你没有全天候的事件检测流程,也要确保在负责人员(例如…)不可用时有相应安排。由于休假或疾病)不会显著影响检测速度或质量。建立并共享正式创建安全事件的联系人信息。好处 及时且持续地检测预期的安全事件 活动 为事件检测流程指定专门负责人,使所有流程相关方都能访问明确的文档,并确保定期审查和必要时更新。确保负责事件检测的员工遵循此流程(例如,通过培训)。该过程通常依赖高度自动化,从不同来源收集并关联日志数据,包括应用程序日志。如果合适,可以将日志集中到一个地方。定期验证分析数据的完整性。如果添加了新应用程序,请确保该过程在合理时间内涵盖它。使用可用检查表检测可能的安全事件。清单应涵盖预期的攻击向量以及已知或预期的杀伤链。应定期评估和更新清单。当你确定某一事件是安全事件(有足够高的信心)时,应立即通知负责的工作人员,即使在非工作时间也要通知。根据需要进行进一步分析,并启动升级处理流程。好处 能够及时检测安全事件 活动 确保流程文档包含持续改进流程的措施。检查流程改进的连续性(例如,通过跟踪变更)。确保可疑事件检测的清单至少与公司外部的来源和知识库相关联(例如。(新公布的影响所使用技术的漏洞)、(ii)过去的安全事件,以及(iii)威胁模型的结果。使用日志关联进行所有合理事件场景的事件检测。如果用于事件检测的日志数据不可用,应将其缺失记录为缺陷,并根据已建立的缺陷管理流程进行分级处理和处理。事件检测的质量不取决于事件发生的时间或日期。如果安全事件在指定时间内(例如 20 分钟)未被确认或解决,请确保根据既定的升级路径生成进一步的通知。标准:您至少每年进行一次审查 | 您会根据外部和内部数据更新潜在攻击的清单