互联网企业该如何构建安全团队第三季—困惑与突破

admin 2022年4月13日22:35:00企业安全评论9 views2557字阅读8分31秒阅读模式

前言:

为了迎合广大安全爱好者的要求,301特地约稿smarttang同学,希望能够继续连载下去。当然,结果不负众望。smarttang第一时间就准备好了相关内容。前天《成长型互联网企业该如何构建安全团队—第一季》和昨天《互联网企业该如何构建安全团队第二季—安全初期》的内容反响还不错,也刷爆了301的朋友圈。希望今天的这篇内容能够喜欢。

接下来的时间,301交给smarttang~(≧▽≦)/~啦啦啦。

-----------------------------------华丽分割线-----------------------------------------

相信在做完了当前遇到的业务系统的一些渗透,你对业务已经有了简单的了解。在这个时候,不妨将自己的维度放大些,开始针对业务整体全景做个全面的梳理。在那会没有人指引的情况下,笔者开始进入困惑期,开始思考应该怎样做梳理更加合适,这个时候,笔者把所有的需求进行统一分类,具体如下图所示:

互联网企业该如何构建安全团队第三季—困惑与突破

     在这个时候就很清晰的看到,当前的一些作业情况,并且可以试图按照这个分类进行相应的规划。再详细的说说这个分类的具体指标:

1、重点项目:指的是公司战略级别的项目,需要做全局的安全支撑,确保项目的安全质量。

2、特殊项目:指的是突发型的项目,也就是时效较短,有可能类似广告业务、或者临时对外开放的一些不是特别重要的项目,一般称呼为试水项目。

3、安全巡检:经过上线前的检测,或迭代版本后的变更测试,需要做持续的安全监控和安全检测。

4、运营需求:运营数据的后台统计类的平台。

经过简单分类以后,笔者开始试图根据业务的特性、需求、以及业务体量进行一个权重衡量,做了业务分级化。

互联网企业该如何构建安全团队第三季—困惑与突破

暂且先忽略上面的时间,在后续会提到这个时间是具体干嘛的。(由于涉及到老东家核心业务以及一些不对外提供服务的业务,所以默认不显示具体的业务名称。)按照上面的业务分类,并且对全盘的业务进行进行分级后,很多东西都已经变得清晰了。在这个时候要考虑的是,不同的业务等级做不同的服务。有点类似在乙方做的安全服务一样,只是我们做法不同而已。你要考虑的是,用有限的精力,放在该着力的地方。也就是把当前环境中需要做深的业务做起来,而可以放一放的事情,将它放一下。当时跟cto沟通安全问题的时候,他皱着眉头提出一个疑问:“你怎么知道当前业务是安全的?”从老大的眼里,笔者可以看到深深的疑问和怀疑。这个时候正好碰上众测服务,当时体验了一把,发现白帽子从某个机器跳到内部业务的一些核心机器上,这个过程瞬间把我们惊呆了。从信任度上,安全的可信度在降低,同样给予笔者的压力在增加。

笔者反复思考当前应该怎么做才能保证安全达到一定级别,这个过程是痛苦的,毕竟经验有限,这个过程里面你需要考虑到各种会出现问题的地方,你需要去不断想象对方会从什么地方进来,怎么进来。为了避免被干掉,我们做了很多工作,例如自动化的基线检测。(baseline_testing在github上有分享源码)、堡垒机等,然而这都是通过表层做的一些限制,并没有直接解决根本的问题,源头还是在于整体安全怎么做。

在后面笔者开始考虑整体的安全问题,从基础安全做起,围绕着五大块做基础安全的落地。在实施上,根据制定的优先级进行酌情的处理。

互联网企业该如何构建安全团队第三季—困惑与突破
第一、应急响应(实施、落地):

1)web应用被入侵,针对线上的web应用攻击,我们主要做的事情是快速响应和排查具体造成该情况的原因,通过日志分析、查看源码的方式查出漏洞所在的位置,从而定位问题所在,快速修复,并且解决当前问题。

2)线上系统被入侵,针对系统被入侵的情况主要排查从服务开始,去检查,并且模拟黑客入侵的行为进行检查,查看黑客入侵的手法,并且根据入侵后留下的痕迹进行追踪定位,配合运维的技术人员修复问题。

3)漏洞事件,将漏洞实现的方式、方法,以邮件、通讯工具的方式告知研发进行紧急处理。

第二、业务应用安全(实施、落地)

1)上线前的安全检查、主要针对业务系统层面、web应用层面、服务层面进行全面的检测,其中使用到商用工具、开源工具提高工作效率,在完成后将整体的结果输出。

2)例行检查主要针对业务进行定期的巡检,随着技术不断更新,长期保持业务的安全稳定,最后生成例行的结果报告。

第三、终端安全(实施、落地)

终端安全主要偏向于内部PC端的安全,其中需要做的是内部的端口扫描、开放服务的弱点检查,并且定期输出报告。

第四、网络安全(实施、落地)

网络安全主要针对设备的IOS进行检查,查看是否存在安全风险,如果存在则需要返厂或更新IOS版本、打补丁等。根据实际需求,定时进行相应的检查,并且根据弱点进行定期整理汇报。

第五、口令安全(实施、落地)

口令安全属于例行工作,需要定期进行口令安全的扫描和测试,根据目前提供的资产设备、应用进行口令的爆破和分析,找出口令薄弱的地方,并且进行整理和输出。

     在基础安全上,笔者做了很多的汇聚,包括跟业内比较专业的人士交流学习,并且转化成自己的沉淀,在实践上不断的磨合的尝试,最后得到的结果非常不错。

文中工具地址:https://github.com/smarttang/baseline_testing

后续再给诸位分享下安全中期做的事情,且听下回分解。

ps:点击阅读原文查看《301在路上》知乎专栏


强烈推荐内容,想必您会喜欢

1、成长型互联网企业该如何构建安全团队—第一季

2、互联网企业该如何构建安全团队第二季—安全初期

3、这才是互联网与安全团队需要的几种人才!

4、安全从业者记住改掉的几个毛病

5、白帽子:年轻人要有危机意识

6、白帽子黑客:EX,还记得我们一起去太平山顶的约定么?

7、少年黑客:我的初恋女友,你在哪里?

8、开春巨献!全球TOP500安全公司到底在做些什么

9、2015年至今国内信息安全领域那些投资那些事

10、301:浅谈互联网安全现状与攻击趋势

11、招人必看!301浅谈国内安全人才薪酬现状

12、301:从安全角度浅谈云计算服务平台现状与发展


长按以下二维码,关注301在路上,分享干货、共同成长!

欢迎投(约)稿、商务合作、广交天下朋友!

微信:2036234

Mail:[email protected]

互联网企业该如何构建安全团队第三季—困惑与突破

原文始发于微信公众号(301在路上):互联网企业该如何构建安全团队第三季—困惑与突破

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月13日22:35:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  互联网企业该如何构建安全团队第三季—困惑与突破 http://cn-sec.com/archives/884499.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: