聊一聊你我眼中的0-1安全体系建设

首先本文讲的仅是个人观点，其次大家可以留言说下自己的一些经验。

在甲方跌摸打滚有一年多的时间，0-1的套路也略懂一些。从我眼中看来0只不过是在公司发展的情况下加入SDL流程并把它完善到项目开发当中。之前讲过需要给针对特定人群进行安全培训原因无非就是减少自身的工作，像是开发如果给他讲解哪些点容易常出问题，他在某个项目当中开发这个功能出现这样的问题则需要问清楚究竟是为什么会这样，如何才能避免下一次的发生。而安全测试在什么时候接入呢？笔者觉得更应该是前后端联调功能完毕后立马进行安全测试，如果等到测试人员冒烟后进行测试已经来不及在上线前完成了，有问题反馈需要时间修复，没问题倒还好说。毕竟风险都是不可控的，需要做到可控的就是教育和规范。

还有0的这个过程需要记录公司ip、域名、服务、端口、人员等资产信息，避免出事故后在找人方面麻烦(后续会提下“麻烦”两个字)，除了记录还需要拥有自身的扫描器去定时扫描相关服务是否存在xx安全隐患然后推动。如外部出现Nday漏洞且有poc的情况尽快弥补漏扫平台插件能发现自身资产是否存在相应问题。从而这个流程进行一个闭环过程。

其实甲方来看最好拥有多个(5-10+)以上的安全研发做自身的安全产品，不仅能做出牛逼的漏扫平台还需要有更好的hids分布式入侵检测平台，哪怕它在外面攻击我也不会care，重要的是它是否攻进来，如何攻击的，持续了多久，用什么手段等等。以前在乙方接触过溯源平台其实跟那些差不多只不过需要做的更详细，更强大的一些功能。目前还在写这块规划，如果大家有好的方案欢迎一起来探讨。

在内部已经把控好了漏洞，漏洞能有一个可控的范围不会出现较大问题的时候，还没有做防御时，问题就出现了。攻击虽然自己看起来没什么问题但是不排除有人能找到利用点然后攻进来并持续维持这个shell，但你由于没有安全防御平台导致没有办法清晰掌握攻击者的来源，存在位置。笔者经历过几次应急，每次都是要啥没啥，没办法清晰定位哪台服务究竟是出现问题的，这样一来浪费了非常多的时间在里面，如果还没有更清晰的思路做一次应急恐怕花费的时间更长，精力耗的更多。

我眼中的防御，分了两步走，一步是web还有一步是服务器。讲讲web，可以参考阿里云等的一些产品，能感知攻击者攻击哪些业务，用什么方式攻击，攻击的手段是什么，是否攻击成功。如果是则进入服务器安全防御，服务器是否被中shell，能否检测反弹，挖矿，写入rootkit等。都是需要我们思考能否发现的，如果少一步漏一步都有可能导致最后结果没有办法清晰溯源到攻击者。像似今日某酒店数据泄漏事件，这其实不排除人为导致的，人为因素有很多，比如把代码含数据库账户密码、连接方式上传至外网，再比如是内部员工与外部结合(内鬼事件)等，都是需要把控的一些方向。

防御的概念还有很多，移动端有给apk加壳加固等，上至WAF下至风控都是一整套的防御，这里先简单讲解下WAF吧。主要防御是外界的一些已知和未知的攻击，已知的攻击可以通过一些指纹识别去判断攻击者采用了哪些手段去攻击。以阿里云为例子

他们有能力去判断你哪些代码会存在什么样的问题 然后给你详细写出来具体位置，修复方案等。如果waf被bypass 我们需要完善一些机制，去弥补后端的一些平台，即使bypass了一层防御，我后面还有主机层等等的防御，我要做到的是让你没有办法来到后端进行后面的渗透操作。

甲方安全不仅有攻击检测，实则还需要更多的是防御。

关于KCon演讲的ppt还在进行删减，请耐心等待…

未完，待续…！

本文始发于微信公众号（逢人斗智斗勇）：聊一聊你我眼中的0-1安全体系建设