多層防御はWebアプリに何を伴いますか？

多層防御のパラダイムで最も重要な資産は人間の知性です。継続的で永続的な防御を担当するセキュリティに精通した人々を採用します。

ツールの変化、Webアプリフレームワークの変化、新しいエクスプロイトテクニックの発見–強力な人間チームを構築して防御するための前兆となるもの。

戦術に移りますが、まだ高いレベルです：

安全なコーディング（アプリ層）->チームが攻撃者に強いアプリケーションを開発できるようにする-> [〜＃〜] owasp [〜＃〜 ]

安全なインフラストラクチャ->チームが攻撃者に強いサーバーとサポート機器を配備できるようにする

http://cisecurity.org/ Center for Internet Security（CIS）は非営利企業であり、そのベンチマークおよびメトリック部門は、不十分な技術から生じるビジネスおよびeコマースの混乱のリスクを軽減するのに役立ちます。セキュリティ管理。この部門は、セキュリティの構成に関するコンセンサスのベストプラクティス標準と、情報セキュリティの状態を測定し、セキュリティ投資に関する合理的な意思決定を行うためのリソースを企業に提供します。

http://iase.disa.mil/stigs/checklist/ 国防情報システム局（DISA）

http://web.nvd.nist.gov/view/ncp/repository
http://csrc.nist.gov/fdcc/faq-common_security_configurations.html
NISTによって定義された国家チェックリストプログラム（NCP）SP 800-70 Rev. 1は、公的に利用可能なセキュリティチェックリスト（またはベンチマーク）の米国政府リポジトリであり、オペレーティングシステムとアプリケーションのセキュリティ構成の設定に関する詳細な低レベルのガイダンス。

対応可能なインシデントの検出と対応->チームが検出、封じ込め、対応、修正できるようにする

インシデント対応チェックリストのコレクション： http://www.knowyourenemy.eu/checklists.php

Richard Bejtlich 最近ブログに追加：

「インシデントレスポンスチームを構築するためのリソース最近、同僚からインシデントレスポンスチームを構築するためのリソースを求められました。いくつかのアイデアを提供すると約束しました[...]

CERT.org CSIRT Development サイトは、おそらく開始するのに最適な場所です。そこから、無料のドキュメント、CIRTの構築に関してSEIが提供するクラスへのリンクなどを見つけることができます。あなたはそのサイトを倒すことができないと思います！

FIRSTサイトのリソースはそれほど役に立たないと思いますが、メンバーシップに向けて取り組むプロセスは、新しいCIRTにとって素晴らしい練習になります。

TaoSecurityの私の書籍のページには、CIRTが役立つと思われる書籍がいくつかリストされています。」

簡潔にするために、おそらく上記で十分ですか？