首先,没有看前三季内容的同学,可以先看前三季再来阅读本文的效果会更佳,当然文末还会有更多你会关心的内容,请耐心阅读。
作者: smarttang
在基础安全上,衍生了很多工具化的东西,例如安全基线检测、口令扫描,应用安全扫描等。这个也是笔者在不断完善的东西,未来预备做成一套完整的平台化汇聚的东西。(类似私有的安全平台,为企业内部提供完整的安全汇聚。)在这个阶段,笔者假设基础安全已经做的差不多了,且当前最基层的安全已经规划好的时候,可以将一些输出汇聚出来。(上层的领导最喜欢看到的东西,这个时候你应该能够用丰富的数据展现出当前的安全状况,起码让上面有直观的认知。在37的时候,别的没学会,数据报表这块我自认做得还行。)截取自年中report,在阐述时记得用数据说话。
个人建议,在你的汇报体系上,最好有以下内容,显得更加专业,毕竟看的人是你的领导或者更上层的boss,最好有相关的阐述,当然,你也可以在这个基础上做相应的补充。(要注意阅读时间成本问题)
在这个阶段,你要考虑的是整体的流程问题以及hc的问题。流程是为了把整个业务体系做得更加完美,但是并不是让你把流程做得大量冗余。
在这个阶段你可以做的流程包含了以下流程:
简单的阐述下上线的安全流程,当时我们设定的环节比较简单。跟大多数的企业一样,当时我还画了一张比较挫的图,当然,最近梳理的时候画了张比较健全的图作为标准。
这张图已经把整个流程非常详细的阐述出来,笔者深度相信大多数企业都是按照这个标准做的,几乎没有什么疑问。在这个过程里面,安全应该是需求阶段就开始介入,审核业务的逻辑,在这图上没有展现出来,还望海涵。但是在做的时候,需要注意下。
在说下笔者在当时做应急响应这块的一些事情,笔者认为,这块做得还算不错,可以罗列出来给诸位做个参考了解。在当时,为了体现出我们自身的专业,以及展现出一线互联网企业的标准,我们做了一些时限的设置,以及相应的说明。
整体的流程具体如下所示:
从收到消息开始到最后修复问题的完整思路如上面的图,遵循16个字的原则进行,整体的时间消耗如下表所示:
执行项目 |
响应时长 |
说明 |
收到 |
≈5~8分钟 |
收到具体信息需要在5~8分钟内响应 |
了解 |
≈5~10分钟 |
了解具体信息,需要在5~10分钟内及时响应整个事件的具体情况。(排除通信成本) |
处理 |
≈5分钟 |
处理收集的信息,初步判断入侵的原因是哪些,从什么地方入手,快速精准判断。 |
执行 |
≈15分钟 |
根据所有收集、了解到的情况,进行技术排查。 |
分析 |
≈15分钟 |
根据实际情况,进行技术上的分析,看攻击者的入侵手段,思考修复、防御以及规避的方案。 |
归类 |
≈1分钟 |
快归类该问题所在的位置,积累成响应的文档库。 |
生成 |
≈10分钟 |
将实际情况以文档输出,把整个过程进行记录,并且提出相应的防御、规避方案。 |
督促 |
≈30分钟 |
督促相应的人员进行漏洞的修复,并且提供反馈。 |
督促相应的人员进行漏洞的修复,并且提供反馈。这就是笔者当时做的流程设计,为了做到一定把控,真对漏洞事件,笔者还手贱的做了一下分类。
在后续的安全管理上,这个安全时效标准做得比预期还要棒,毕竟我们已经把一些规范落地完成,相应的东西都已经做得很到位了。
这个时候你就要开始考虑团队扩展的问题,你需要把所有的安全工作进行完整的量化,将优先级体现出来,并且根据需求提出hc的规划方案。
后续再给诸位分享下关于hc的规划和设计,包含安全工作量化的一些事情,且听下回分解。
强烈推荐内容,想必您会喜欢:
长按以下二维码,关注301在路上,分享干货、共同成长!
欢迎投(约)稿、商务合作、广交天下朋友!
微信:2036234
原文始发于微信公众号(301在路上):互联网企业该如何构建安全团队第四季—安全中期
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论