互联网企业该如何构建安全团队第三季—困惑与突破

前言：

为了迎合广大安全爱好者的要求，301特地约稿smarttang同学，希望能够继续连载下去。当然，结果不负众望。smarttang第一时间就准备好了相关内容。前天《成长型互联网企业该如何构建安全团队—第一季》和昨天《互联网企业该如何构建安全团队第二季—安全初期》的内容反响还不错，也刷爆了301的朋友圈。希望今天的这篇内容能够喜欢。

接下来的时间，301交给smarttang~(≧▽≦)/~啦啦啦。

-----------------------------------华丽分割线-----------------------------------------

相信在做完了当前遇到的业务系统的一些渗透，你对业务已经有了简单的了解。在这个时候，不妨将自己的维度放大些，开始针对业务整体全景做个全面的梳理。在那会没有人指引的情况下，笔者开始进入困惑期，开始思考应该怎样做梳理更加合适，这个时候，笔者把所有的需求进行统一分类，具体如下图所示：

     在这个时候就很清晰的看到，当前的一些作业情况，并且可以试图按照这个分类进行相应的规划。再详细的说说这个分类的具体指标：

1、重点项目：指的是公司战略级别的项目，需要做全局的安全支撑，确保项目的安全质量。

2、特殊项目：指的是突发型的项目，也就是时效较短，有可能类似广告业务、或者临时对外开放的一些不是特别重要的项目，一般称呼为试水项目。

3、安全巡检：经过上线前的检测，或迭代版本后的变更测试，需要做持续的安全监控和安全检测。

4、运营需求：运营数据的后台统计类的平台。

经过简单分类以后，笔者开始试图根据业务的特性、需求、以及业务体量进行一个权重衡量，做了业务分级化。

暂且先忽略上面的时间，在后续会提到这个时间是具体干嘛的。（由于涉及到老东家核心业务以及一些不对外提供服务的业务，所以默认不显示具体的业务名称。）按照上面的业务分类，并且对全盘的业务进行进行分级后，很多东西都已经变得清晰了。在这个时候要考虑的是，不同的业务等级做不同的服务。有点类似在乙方做的安全服务一样，只是我们做法不同而已。你要考虑的是，用有限的精力，放在该着力的地方。也就是把当前环境中需要做深的业务做起来，而可以放一放的事情，将它放一下。当时跟cto沟通安全问题的时候，他皱着眉头提出一个疑问：“你怎么知道当前业务是安全的？”从老大的眼里，笔者可以看到深深的疑问和怀疑。这个时候正好碰上众测服务，当时体验了一把，发现白帽子从某个机器跳到内部业务的一些核心机器上，这个过程瞬间把我们惊呆了。从信任度上，安全的可信度在降低，同样给予笔者的压力在增加。

笔者反复思考当前应该怎么做才能保证安全达到一定级别，这个过程是痛苦的，毕竟经验有限，这个过程里面你需要考虑到各种会出现问题的地方，你需要去不断想象对方会从什么地方进来，怎么进来。为了避免被干掉，我们做了很多工作，例如自动化的基线检测。（baseline_testing在github上有分享源码）、堡垒机等，然而这都是通过表层做的一些限制，并没有直接解决根本的问题，源头还是在于整体安全怎么做。

在后面笔者开始考虑整体的安全问题，从基础安全做起，围绕着五大块做基础安全的落地。在实施上，根据制定的优先级进行酌情的处理。

第一、应急响应（实施、落地）：

1）web应用被入侵，针对线上的web应用攻击，我们主要做的事情是快速响应和排查具体造成该情况的原因，通过日志分析、查看源码的方式查出漏洞所在的位置，从而定位问题所在，快速修复，并且解决当前问题。

2）线上系统被入侵，针对系统被入侵的情况主要排查从服务开始，去检查，并且模拟黑客入侵的行为进行检查，查看黑客入侵的手法，并且根据入侵后留下的痕迹进行追踪定位，配合运维的技术人员修复问题。

3）漏洞事件，将漏洞实现的方式、方法，以邮件、通讯工具的方式告知研发进行紧急处理。

第二、业务应用安全（实施、落地）：

1）上线前的安全检查、主要针对业务系统层面、web应用层面、服务层面进行全面的检测，其中使用到商用工具、开源工具提高工作效率，在完成后将整体的结果输出。

2）例行检查主要针对业务进行定期的巡检，随着技术不断更新，长期保持业务的安全稳定，最后生成例行的结果报告。

第三、终端安全（实施、落地）：

终端安全主要偏向于内部PC端的安全，其中需要做的是内部的端口扫描、开放服务的弱点检查，并且定期输出报告。

第四、网络安全（实施、落地）：

网络安全主要针对设备的IOS进行检查，查看是否存在安全风险，如果存在则需要返厂或更新IOS版本、打补丁等。根据实际需求，定时进行相应的检查，并且根据弱点进行定期整理汇报。

第五、口令安全（实施、落地）：

口令安全属于例行工作，需要定期进行口令安全的扫描和测试，根据目前提供的资产设备、应用进行口令的爆破和分析，找出口令薄弱的地方，并且进行整理和输出。

     在基础安全上，笔者做了很多的汇聚，包括跟业内比较专业的人士交流学习，并且转化成自己的沉淀，在实践上不断的磨合的尝试，最后得到的结果非常不错。

文中工具地址：https://github.com/smarttang/baseline_testing

后续再给诸位分享下安全中期做的事情，且听下回分解。

ps：点击阅读原文查看《301在路上》知乎专栏。

强烈推荐内容，想必您会喜欢：

1、成长型互联网企业该如何构建安全团队—第一季

2、互联网企业该如何构建安全团队第二季—安全初期

3、这才是互联网与安全团队需要的几种人才！

4、安全从业者记住改掉的几个毛病

5、白帽子：年轻人要有危机意识

6、白帽子黑客：EX，还记得我们一起去太平山顶的约定么？

7、少年黑客：我的初恋女友，你在哪里？

8、开春巨献！全球TOP500安全公司到底在做些什么

9、2015年至今国内信息安全领域那些投资那些事

10、301:浅谈互联网安全现状与攻击趋势

11、招人必看！301浅谈国内安全人才薪酬现状

12、301：从安全角度浅谈云计算服务平台现状与发展

长按以下二维码，关注301在路上，分享干货、共同成长！

欢迎投（约）稿、商务合作、广交天下朋友！

微信：2036234

Mail:[email protected]

原文始发于微信公众号（301在路上）：互联网企业该如何构建安全团队第三季—困惑与突破