话题讨论 | “传说中”的甲方安全

前言:

之前有人跟我说甲方的安全技术人员不如乙方。但是事实上我了解的却是多数“技术高超” 的乙方人员无法胜任甲方的工作,先别急着反驳 ,我们先来看看技术人员对比。

一、工作内容对比

既然是对比,我们先来看看工作内容。这里我们提到的乙方是指乙方的安服人员。

1. 安全评估:

甲方安全人员比较少,需要的是全能型技术人员,web评估,移动应用评估,物联网产品评测甚至是公司购买产品的评估。相应的,技能熟练度要求相对较低。(技术深度靠众测弥补)

对于乙方而言,技术人员相对较多,需要的是针对性人才,只要精通一个方向的评测即可。技能熟练度要求较高,当然,这也是乙方技术比甲方高的原因之一,至少在挖洞方面。(当然也有部分乙方实在是不敢恭维,发现个漏洞,给个 “ 你懂得” 的描述,一个谁都看得懂,但是谁都不知道怎么做的修复方案,就走了,问题定位,具体整改方案都交给甲方安全人员了)

2. 代码审计

身处甲方,说实话,代码审计这种东西肯定不能少,业务系统那么多,尤其是在外包公司,依赖自动化审计工具都有点吃力。毕竟工作量在那摆着呢,能审计出常规问题就不错了。毕竟除了审计还有其他事情要做,能做的是尽可能减少安全隐患。

身在乙方,代码审计都是按照项目来划分的,人员技能当然不用说,毕竟是针对性的。这也是乙方技术比甲方高的原因之一,乙方还是胜在专精。

3. 应急响应

甲方安全技术头疼的事情之一,业务部门被攻击了,服务器中病毒了,新漏洞曝光了等等。这个处理方法甲乙方都一样,但是乙方处理完了给个建议就可以走了,甲方呢,处理完了,不光给建议,还要具体的操作,协同处理,连打个补丁,都要你把地址给出来,补丁下载好,写个补丁安装手册,然后事件回顾,各种报告。光流程就多了好多。

乙方就比较好了,针对什么时间有 什么样的技术人员支持,找出问题,给出建议,至于你们能不不能实现,管他呢,反正我们有规定不能操作你们的关键设置。然后任务就给了甲方……

4. 认证审计

好吧,这个事情基本上不会断的,各种内审外审,审到你能怀疑人生。工作两年,技术人员都可以当审计咨询顾问了。

我们来看看乙方,依旧是有专人负责这块服务,但是他们只需要给出建议,讲讲审计内容,“可能 ” 需要的资料,然后资料准备,合不合格他们也不知道啊。毕竟决定权还在审计老师手里。

5. 安全管控平台

这里我不得不说,甲方的强大,都是逼出来的,任务那么多,时间那么少,自动化平台就出来,这里可以参考大神的思路,分布式漏洞扫描系统 (其实这个思路不止可以做扫描系统,我们公司的安全管理平台,按照这个思路设计的,说到这,我突然间想写一篇文章“一个人的安全平台研发部 ” ,对的,我们公司的平台就是一个人研发的。),当然如果你运气比较好,刚入职就发现公司有这个东西,那么恭喜你,中奖了,好多事情都简化了。

乙方安服,我不是很清楚他们需要这个吗???有知道的跟我说一下。

6. 工作汇报

身在甲方,安全怎么体现价值,工作汇报是重中之重,绝不含糊,你辛辛苦苦付出那么多,没问题理所应当,有问题就是你的锅。关键是不出问题领导不知道你干了什么啊(死循环中),所以工作汇报,数据最重要,这个时候,安全平台加上安全设备上的数据就成了救命稻草。所有各种设备操作,数据汇总分析,图标展示等要求一个也不能少,基本上每周 40% 的时间都是在写报告(如此浪费时间,技术怎么提高)。

乙方安服的话,他们有工单,做了多少事,什么时候做,带来多少价值,基本上明明白白,只要专心干活就好了。

7. 预留

讲真,其他的工作内容我就没碰到过,要有的话,欢迎大家在评论区补充。

二、拨乱反正

既然工作内容对比完了,我们会发现,乙方技术比甲方高,赢在专精上,很明显,乙方技术单独来到甲方,很快会被工作内容淹没(之前有一个乙方的朋友问我甲方工作内容,我给他说完,他就开始怀疑自己能不能在甲方工作下去了,其实他web渗透还不错)。当然,别担心,既然本文是写甲方安全技术的生存之道,那么就来说说,怎么生存在甲方。

第一关,关于未知领域的项目

想做安全,无论什么情况下,基础的安全技能都是必要的。最少要有自己擅长的技术。这是你在工作的根基,不能忘本啊,一点技术都没有,怎么通过面试的。当然有了根基以后,就要开始扩展了,毕竟甲方事情多,人却少。至于怎么扩展,要知道无论哪种类型渗透,本质是不变的。我们举一个例子,大家体会一下怎么扩展。

你是做web安全的,现在公司让你评估一个APP项目,怎么完成呢(安全技术没有速成,但是安全可以循序渐进),首先项目进度在那,那我们先从熟悉的方向入手

1.先把服务器和网站作为单独的一块进行评测,先保证项目进度。 2.APP评估,首先需要找的是APP的攻击面,列出一个表单,然后根据这个表单,根据表单找到方向。(这里你没有基础,但是你有目标,针对性的找评测方法,缩短本次评估的学习周期)。 3.找到攻击面了,那开始测试,既然web有扫描器,那么app就有分析工具,百度然后发现一个MobSF的自动化评测工具,在一无所知的情况下,自动化工具是最好的选择。然后对照攻击面,进行对照分析(平时学习也可以这么做)。 4.但是到这里就结束了吗,很明显,做到以上,你只是在应付任务,如果你想长久地工作下去,就必须在这个基础上提升。结合项目进度,我们利用手上的资源或者朋友,找app的评估的资料或者外援,进行二次扩展,请牢记一点,外援可以请,但是仅限于方法,而不是项目,毕竟保密范围在那,你可以根据之前列的表单,针对性的去咨询。 5.写报告,到这里,你就可以写评测报告和整改建议了。然后开始应对对方无休止的 “ 困(基)难(础)”技术咨询。这段时间,你要开始根据你这次评估,形成针对这类项目的方案,包括评估计划,评估方案,报告模板,检查列表(这个列表是你扩展的基础,重中之重)。 应对以后类似的评估,至少会比这次轻松不少。 6.项目到这结束了吗,当然不是,别忘了你在甲方,不是那种评测完就可以走人的安服。这个项目后期还有周期评测,新上线评测以及后续的加固(这也是我为什么敢建议你进行初步评测原因,因为无论Deadline在哪天,它的安全责任最后还是会到你)。回归正道。评测完成了,你应该就知道你还差什么,然后开始利用空闲时间以及以后类似项目扩展你的项目评估方案。 7.扩展完你的通用评估方案,你需要以复查或周期检查为由,对之前不完善的评估项目二次评测。至于更深层次的,就需要依赖众测平台或者你们公司的SRC了。

第二关,关于应急响应

乙方是针对特定事件响应的,但是作为甲方的你,需要应急的事件是不定向的,预防就很重要了。外部攻击,服务器中毒等,根据经验来吧,但是新漏洞的应急响应,就比较费劲了。所以,作为安全人员的你,对内,需要收集整理公司内的资产信息了,对外,关注最新的安全通告,当然,最重要的还是整改,需要费一番功夫。

1. 对内,收集资产信息

我的方案有三个,第一,找运维团队,从他们手里获取现成的数据,第二,使用自动化平台进行收集处理,第三,找领导,各部门配合收集,或者借助审计,把需要的资料收集全。我比较推荐第二个,毕竟自动化平台才能保证数据正常更新。自动化平台的话,github开源的很多,改一改就能用了,只要能快速查询受影响服务器和负责人就好了。

2. 对外,安全动态关注

讲真,这个最不担心,毕竟安全圈就这么大,只要不是消息特别闭塞,翻一翻资料就全有了 。

3. 整改,规范化整改

这个的话,我都是把漏洞的修复方案操作一遍,弄个修复指南,给有问题的部门发过去,遇到有多种修复方案的,都试一遍,反正在甲方,这事你跑不了。写成指南,能省好多时间,毕竟你还要花很多时间去跟业务部门交(扯)流(皮)漏洞该不该改,他们业务会不会停之类的。

第三关,关于安全管控平台

这个是身在甲方工作存活下去的重点,尤其是安全人员比较少的公司,先说说我们的管控平台吧,下边这个列表是我们当前已经完成的(毕竟属于公司资产,审批通过了,我就把这个系统开源,一个人维护这个系统很累的)。

第四关,关于工作汇报

这一点做不好的话,当真是欲哭无泪。常规呢,有日报、周报、月报、季度汇总、年度总结,领导有兴趣了,还有针对各个项目的汇报。每周都有40%的时间在写汇报资料或者在汇报(好在自动化平台建的好,不然数据都没法看)。当然,我们需要的是完成这些,而不是抱怨。

首先,安全设备上的日志、安全平台的数据,这些都很容易,固定好模板就好,正如上面提到的,安全是个循序渐进的过程,作为安全,我们需要展示的数据分为以下几个方面:

1.我们做了什么,这一部分数据来源就是安全部门被分派的任务了,设计一个表格,每次做完一个项目,直接写里边,周报、月报、季度总结、年度汇报的数据就有了。 2.我们做了哪些投入,产生什么效果,做安全,通常会建议买许多安全设备,我们需要把这些设备的投入和所达到的效果进行一个量化对比,这个数据来源就是安全设备日志了,建立好模板,每次汇报导入数据就好了。 3.公司安全状态正在往好的发展,比如说我们周期巡检范围扩大,检测种类增多,这些是渐进式的。 4.当前的不足,这一点需要注意,提出不足的同时,给出你正在实施的改进方案。

第五关,关于“无事可做”

这一关是难点,也是重点,其实在公司安全工作步入正轨以后(这个按照各人理解是各个事件都有规范流程,线上操作处理,反正我们公司还没到正轨,毕竟安全人太少了,小小吐槽),安全技术人员空闲时间可能就多了,这个时候可不能闲着,毕竟咱们的主要目标是公司整体安全。这个时候安全培训就很重要了。个人理解培训分三类

第一类:安全意识培训

这个大家都知道,就不多说,网上很多资料,同一套资料,列个计划表,周期培训。

第二类:安全审计培训

这个的话,主要是应对内、外审计的,每次审计前进行培训就好,各部门审计接口人作为培训对象。(这个的话,可以按照不同审计标准写一个资料收集系统,让他们每月按照系统提示上交资料,审计的时候直接调出来就好了,因为内容比较多,还没彻底实现T_T)

第三类:研发、运维安全培训

这个的话,直接从安全平台调用数据,看看哪个研发漏洞多,然后针对性的给培训,效果非常明显,之前研发说任务重,不接受培训,然后我把漏洞统计给他们领导,就被赶过来培训了(做安全的不当坏人都是骗人的)

最后

说了那么多,干货却不多,先开个头,后续按照功能,详解安全平台实现,开源Dome,未完待续。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-12-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏用户3246163的专栏

[脑书笔记]《整体性学习》5-Study Less

这篇文章讲这本书的最后一部分:超越整体性学习,这本书前面两个部分主要再说Learn More,最后这部分是说Study Less的,还有当大家离开了课堂以后如何...

16210
来自专栏大数据文摘

用脑电波代替密码的时代来临了吗?

18610
来自专栏网络产品使用分享

腾讯云发布Supermind智能网络

信息网络的应用逐渐渗透社会发展的各个领域,网络业务量的迅速膨胀给数据传输能力和大吞吐量的交叉能力提出了更高要求。11月22日,腾讯云正式发布Supermind智...

46260
来自专栏云计算D1net

构建在PaaS上的应用安全性远超通用SaaS?

企业应用迈入公有云,构建在PaaS上的应用为何在“安全”上远超通用SaaS? 从全球范围和国内的云计算趋势中我们看到,未来的IT将不再是企业的资产,这种趋势对数...

403100
来自专栏恰童鞋骚年

对技术的态度—CoolShell 陈皓

原文地址:http://coolshell.cn/articles/8088.html

14440
来自专栏腾讯技术工程官方号的专栏

从有界到无界,腾讯新一代企业网引领安全创新

? 背景:2018年8月21-22日,由中央网信办、工信部和公安部指导,中国互联网协会联合阿里巴巴集团、蚂蚁金服和阿里云等主办的“2018网络安全生态峰会”在...

13340
来自专栏BestSDK

VRTK将各种VR SDK/API整合:不会编程也可以开发VR

这个免费的开源Unity工具包旨在将各种VR API的单一工作流程结合在一起。它包含了你可能会在任何单个专有SDK中找到的相同库存预制和脚本机制,无论是被部署到...

45060
来自专栏九彩拼盘的叨叨叨

我为什么加入简书一哥私密群

另外,我感兴趣的是,小六会如何帮助我们提高。最近,我和一朋友弄了个 Web 前端共同学习小组,希望能产出些自驱动的前端工程师。正好来小六这取取经。

12420
来自专栏腾讯社交用户体验设计

产品趋势的设计软着陆

18930
来自专栏java一日一条

自由程序员的3个开发技巧

我们有三个系列的小技巧要分享:与你的客户沟通,保护你的声誉以及解决常见的自由职业问题。下面让我们开始吧!

7910

扫码关注云+社区

领取腾讯云代金券