前言
如今很多中小型網際網路公司對安全需求不高,安全資源貧乏,領導只重視業務忽略安全,在這種情況下可能安全人員很難立足,推動公司做好安全,從而進入了進退兩難的窘境,目前從事國內某車聯網公司,公司團隊在300人左右,生產伺服器數量在千餘臺級別,業務線冗長,以下給各位介紹一下個人的工作經驗:
一、熟悉環境
該部分為後續工作做鋪墊,所以此部分工作也是十分重要的,首先需要有如下三個圖:
2、拓撲圖:第二步是熟悉網路環境,公司之前也可能採購了一些安全裝置,這些裝置是如何部署的,部署在哪些機房的哪個節點下,會有助於以後故障排查;
3、業務圖:第三部是熟悉業務,這也是最困難的,乙個企業可能有多個業務,每個業務分部在不同的機房與伺服器上,這些就算無法完全梳理透徹,也要有乙個簡單的了解與掌握;
二、基礎安全工作
基礎性的工作不難,但瑣碎,比如:週期性安全測試、裝置運維、弱口令審計、外網埠監控、等保測評以及安全策略審批管控等,如何優化做好這部分工作十分重要:
1、策略管控:部分業務進展需要安全部門審批,如果對業務非常熟悉的情況下可以堅持安全性的原則去審批,但往往並沒有那麼熟悉,況且還是乙個人的情況下,可以先放寬條件,日後再逐步縮緊,但不要成為背鍋俠,該提的原則要提前表明,鍋要先扣到業務部門頭上,這樣才方便做事;
2、安全測試:在有限的時間內週期性對重點業務進行滲透測試,每次迭代更新可以選擇性做測試,比如大版本改動時,並且可以將安全測試放在sdl裡面,在sdl階段會介紹我的方式方法,在這不做過多解釋;
3、裝置運維:起初還是需要了解一下安全裝置的,如堡壘機、waf、ips 等,不出問題則罷,一旦影響其他使用者使用如堡壘機,就會比較頭疼,建議提前了解好裝置處故障的「套路」;
4、賬號審計:弱口令是乙個極其簡單而威脅程度又特別高的安全隱患,價效比極高,所以關鍵系統的弱口令一定要排除,必然是放在基礎工作之中的;
5、外網埠監控:埠監控剛開始可以直接用nmap掃瞄,手工肉眼核查,沒有特殊埠開放即可;
6、等級保護:這點不需多說了,都是套路~~~
三、優化工作
根據上述基礎工作大致可以看出,某些工作是可以優化的,如果你不優化,自己乙個人無休止的搞下去,要麼公司死,要麼你死。
1、埠監控自動化:外網埠監控每次都手動掃瞄,然後人工肉眼核查是特比low的方式,完全可以靠指令碼自動化完成, python裡面包含了nmap模組,可以返回掃瞄結果,效率雖然比直接使用nmap低一點,但也可以將就,所以第一步就是抽時間寫了自動化的監控指令碼,當然也可以借助巡風這樣的系統去監控掃瞄;
2、弱口令死於初始化:弱口令審計重點把控幾個位置,郵箱、vpn、以及即時通訊軟體(當時我們用的是rtx),其中vpn每次是管理員建立且使用者無法自己修改密碼,一般沒什麼問題;企業郵箱我們在密碼修改功能模組強制新增密碼複雜度策略,弱口令無法通過;rtx已經棄用,並不需要付出太多精力,這樣一來弱口令審計工作也從此消失。
3、安全掃瞄:如今的awvs11已經支援web介面,更加直觀,如果再漢化一下就更加得心應手,既能體現掃瞄結果,還方便各部門人員使用,可以從一台機器上搭建後由各專案組自行去掃瞄測試,會變得更加方便。
四、sdl安全開發周期
乙個人的sdl安全開發周期?是的,沒錯,安全部門僅一人,如何推動?許多大型網際網路公司舉全團隊之力都難以完成的專案,如何乙個人去完成,近期也跟朋友簡單聊過,得到了認可,答案就是「 閹割版的sdl」,國外的東西不要照搬,也未必合適,但思路可以借鑑,下面介紹一下個人的思路:
1、明確目標:要明確自己的目標,什麼是sdl,自己能做多少,要評估出最終的效果,在我看來 sdl簡單概括就是:減少漏洞頻率、降低人力成本。因為傳統的安全測試基本都在上線前,漏洞不斷重複出現,開發人員再重複修改,效率極其低下。
2、團隊支援:其次才是得到各專案組負責人的認可,剛開始大領導支援還好,不支援的話小領導支援一下也不錯,當然要讓他們知道推動sdl的目標是給他們減輕工作量,而不是增加成本。然後從各專案組安排一名 「安全負責人」,這樣很多安全工作的落地對接,業務資訊的收集就比較方便了,並且還安排他們講問題**做整理統計,形成內部的 「 漏洞庫 」,以此作為sdl的基礎。
3、專案選擇:專案選擇也十分重要,有些專案領導壓得緊,別說sdl了,正常的安全測試都做不完就需要緊急上線,這種並不適合你自己去搞sdl,可以選擇乙個迭代沒那麼快,最好週期性的專案最佳。
4、安全負責人核心價值:每個專案組的「安全負責人 」 作為介面人主要兩方面作用:第一是在開發過程中能看到功能的實現方式,可提前避免出現安全漏洞;第二是在開發後修復漏洞時可以協助安全人員歸納總結,提取案例,將修復後的**提取出來供其他專案組參考,這樣無形之中減少了很多溝通與重複擼**的成本,後來發現安全負責人這個概念在唯品會有使用。
五、制度推動
1、所有上線走jira,安全審批後才能上線;
2、安全負責人不會平白無故給你幹活,能在制度績效上為他們謀福利一定要去努力;
3、每月定期召開安全月會,請大領導參加,並將目前的安全問題丟擲來由大領導拍板定奪;
六、安全意識
最後來說安全意識,也是貫穿始終的,目前以培訓方式為主,地毯式轟炸為輔,盡30%努力去覆蓋70%的成員就覺得已經成功了,做安全不要總想著100%,實際工作主要是:
1**、平台搭建:**公司內網搭建資訊保安中心(包含烏雲的映象**、xss跨站平台;攻防演練平台、 awvs遠端掃瞄、以及巡風系統),**都是比較簡單的開源系統,但方便推廣,也比較實用一些,主要是有一種歸屬感,起碼有個平台屬於自己;
2**、安全培訓:**安全意識培訓可以對公司的人力、財務、新員工等做培訓,偶爾也發幾個釣魚郵件給被培訓的同事(20% 中招概率),都是比較好玩的過程;
3**、安全文章:**如果公司有內刊的話可以寫幾個安全科普的文章,雖然很多人不看,但領導偶爾閒暇會瞄一眼,不要放過任何乙個角落與機會,包括此文也希望更多中小型企業借鑑推廣,希望提供參考價值。
乙個人的企業安全建設之路
如今很多中小型網際網路公司對安全需求不高,安全資源貧乏,領導只重視業務忽略安全,在這種情況下可能安全人員很難立足,推動公司做好安全,從而進入了進退兩難的窘境,目前從事國內某車聯網公司,公司團隊在300人左右,生產伺服器數量在千餘臺級別,業務線冗長,以下給各位介紹一下個人的工作經驗 該部分為後續工作做...
乙個人久了
乙個人久了,會懶得戀愛 乙個人久了,朋友會越重要 乙個人久了,會越來越喜歡聽歌 乙個人久了,會常常忘記帶 乙個人久了,對愛情會越來越挑剔 乙個人久了,會更加勤奮 乙個人久了,除了寂寞點外還是蠻開心的 乙個人久了,會慢慢變得成熟起來 乙個人久了,會比以前更重視更愛父母,更重視親情 乙個人久了,對所有的...
很愛乙個人
外邊的雨依然下著,沒有停的意思 下了兩天兩夜,感覺好悶 這幾天看著男友,很心疼,每天要洗碗,洗衣服 我很聽話不去惹寶貝生氣,醫生不讓我用冷水,我也很害怕 害怕身體因此而跨掉 我們都還年輕 以後的路還很長 這個代價會很大 我也希望這些日子能過的快些,自己的身體能恢復的快些,為此事我們花了一千元,想來不...