昨天第一篇内容《成长型互联网企业该如何构建安全团队—第一季,前言》反响没有达到预期的效果,当然希望今天的这篇内容能够给大家带一些方向性和指导性的建议,如果没看到上一篇内容的同学,可以点击上篇内容。
第二季:(作者前37wan安全负责人smarttang)
在早期入职的时候,可能你要学会自我驱动,因为在当前情况下没有人可以帮助你,你要考虑该怎么入手,笔者不知道别人是怎么做的,起码笔者当时机会不错,进去的时候有一周的时间熟悉当前的业务和环境,然后一步步的了解所有的业务环境。笔者大致列举了一些当时做的事情,给诸位做一个简单的参考:
1、了解当前的核心业务,比如(登录、注册、支付)。
2、了解当前环境所使用的开发技术。(前端、后端)。
3、了解当前的整体业务流程。(上线的流程、迭代的流程、项目管理的流程)。
4、熟悉相关的接口人(运营、开发、运维)。
5、解决临时发生的安全事件。(入侵、攻击)。
6、解决上线前的安全检测。(必备技能)
这个阶段可以说就是俗称的救火员,哪着火就去哪。这个过程可能会很长,也有可能会很短,主要看你发现的问题和自己总结的观点是否能够说服上层的人。
这个过程是转化知识和沉淀的开始,你需要做一些安全的补充,以及自身不断的总结。在这个过程当中,你可能还要跟各个厂商做好关系,毕竟说不定哪天就有需求。当然,如果你本身就有这些关系存在就更好了。同时,在这个过程当中,你会发现很多问题,不要慌张,淡定。没有问题你就没有存在的价值,一般发现问题以后,我都会记下来,一个个消灭,不埋地雷。
当时37运维的负责人周磊童鞋带了一路,讲了很多业务的细节,帮助我熟悉当前环境,到现在都还挺感激他的。在刚开始,笔者从最小的部分开始做起,毕竟刚进来的时候,安全还是0,所以就从内部的业务开始搞起,最初搞的是内部的论坛,算是内部员工上得最多的地方了。印象里面,当时用的是一个nginx解析的漏洞拿下了论坛,挂了个页面,发到当时的部门大群。拿到权限以后当时写了一份报告,给运维还有研发的负责人,我记得那会解决这个问题花得时间挺长的。没记错应该是花了一周多的时间吧,后面是升级解决问题。这个过程里面,偶然跟研发的负责人聊了起来,感觉聊得不错,就开始逐步对线上的环境开始做安全测试。同样也发现了不少的问题,积累了很多信任度。
在这个过程里面,研发提出一个新的问题:“你是怎么做web安全检测的?具体检测哪些?”这个时候我发现问题来了,跟乙方不同的是,你只需要列出一个列表来就可以,而甲方不行。他需要清晰的知道你检测哪些内容,具体的细节,以及相应的原理。在这个过程里面大家都是在积累和沉淀。
当时发现这个问题以后,我用xmind做了一个检测的列表视图,作为我检测的清单。
同时,在这个过程里面,我把以往接触到的一些漏洞,做了一些深入的整理,并且做成一个漏洞归档,方便日后给研发和运维做相应的指引。当然,不一定足够全面,但是起码该有的应该都有了。
看到这些以后,双方都是挺满意的,起码我们要表达的意思对方明白了,同时也展现了自己的专业技能,为后续的合作打下坚定的基础。
这个是最早期要做的一些事情,仅限刚入职没多久在做的事情。后面讲讲安全中期碰到的一些问题以及解决的思考,且听下回分解。
最后:
今天的内容就到这里,301给大家推荐一些之前写过的相关安全内容的话题,希望能够给大家带来一些帮助,本系列内容为原创,转载请私聊授权。
如果你想招人的话,可以参考以下薪资标准。
如果还有其他安全话题或想找301沟通的,可以长按以下二维码或者加我微信(2036234)详谈。
拒绝封闭、只分享安全行业干货,专注互联网安全发展和安全人才。
原文始发于微信公众号(301在路上):互联网企业该如何构建安全团队第二季—安全初期
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论