专栏首页信安之路你为企业提出的安全问题都复现了吗

你为企业提出的安全问题都复现了吗

你是否遇到过,你发现一个安全问题,在让研发或者运维修复的时候,他们会告诉你,如果你拿到权限或者造成危害之后再来找我修复,比如你们公司有一台网络设备暴露在公网上,该设备未被防火墙保护,没有访问控制,虽然设置了强密码,但是所有开放的端口均可以被访问,这个时候,你发现了这个威胁,告诉运维,你这个设备可能被黑客攻击,不只是暴力破解密码,比如溢出、协议漏洞等方式,然而运维会告诉你,你要是能打下来,我再来整改,这个时候,你一万句草泥马从心中掠过。

类似场景我身边的朋友或多或少都遇到过,因为在甲方做安全建设、渗透测试的时候,经常会遇到存在安全威胁但是又无法复现的情况,这里的无法复现不是不存在安全问题,而是由于自己实力的问题,无法一一复现,但是对于专业黑客而言是可以攻击成功的,所以这个就被我们叫做威胁,针对这个威胁是不是要我们可以复现之后,你才要去修复呢?

假设一个企业做安全建设,修复安全问题是基于甲方安全小伙伴的复现漏洞的能力来做,那么可以想象的到,这个企业的安全成熟度就会跟安全小伙伴的能力成正比,只要安全小伙伴无法复现,就觉得是安全的,不用修复,可想而知,这个企业的安全性如何,企业的安全对手是外面的黑客,而不是我们自己的安全小伙伴,你能防住自家人,你防得住外面的黑客吗?所以出发点就不对,对于企业的安全建设,一定是只要存在安全威胁或者安全风险就应该整改,因为你不知道外面的黑客能力有多强,他们手里有多少 0day,掌握多少资源,这就是企业所面临的问题。

我刚入甲方的时候,问过很多大佬,做企业安全建设从什么角度去做?大家的回复都是从风险的角度做企业安全建设,做到风险可控,当时的我经验非常少,完全不能理解是为什么,我当时的考虑还是从攻防的角度去做,基本上是以我自身的能力做参照,我能成功利用的就提出来做整改,后来,慢慢发现企业有非常多的风险是无法复现,自己无法利用成功,但是知道一定有大神可以搞定,这时就明白了大佬们做安全建设从风险的角度做安全建设的经验不是空穴来风,只要存在风险,我们就应该整改。

安全风险是什么?安全风险就是对外暴露了入口,全世界只要有一个未授权的人能进去,那么这个入口就存在风险,我们就应该整改,或者关闭对外的入口,或者严格访问控制,最小权限原则,然后再加上审计,审计每一个进入的人以及他在里面做了什么事等等。

甲方做安全主要做防御,做防御考虑问题要很全面,只要有一个地方没考虑到,那么你的防御工事就会失效。作为甲方安全人员,需要能力更多的是建设能力,攻防能力要求没有那么高,如果你在甲方不搞建设只搞攻防,很多领导会觉得你啥都没干,你不建设几个系统,无法体现你的工作量和你的价值,所以甲方的小伙伴不懂开发是不行的,既然已经要求开发能力多于攻防能力了,领导还要你将提出的安全风险进行复现,谁能告诉我,我该怎么办?

综上所述,我们作为甲方安全的一份子,要做到上能开发系统,下能 PK 所有黑客,无所不能才能推动研发、运维对于安全问题的整改,才能实现领导心中的期待,企业的安全才能做好,你是一个合格的甲方安全从业人员吗?你有过这样的经历吗?欢迎吐槽!

本文分享自微信公众号 - 信安之路(xazlsec)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-01-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 从乙方工程师转为甲方工程师的一些思考

    2020 年的第一天,就由我来开篇吧,我在 2018 年从乙方转到了甲方工作,能够转甲方一方面是机会,更重要的一方面是因为自己的积累和在面试之前的准备,准备时间...

    信安之路
  • 信息安全基础

    确保授权的用户对数据和资源进行及时和可靠的访问。 网络由众多长时间不间断运行的硬件设备和软件组成,硬件设备像路由器、交换机、DNS服务器、DHCP服务器、代理和...

    信安之路
  • RedTiger 通关学习总结

    学习 SQL 注入有两套必刷题,一个是 sqli-labs,这个已经有了成套的 wp 讲解,在上面的网盘里。

    信安之路
  • 一篇文章,全面总结2020最新整理 Android 大厂高频面试知识点

    在这个日异月新的时代,不光需要Follow一线技术,更重要的是要引领时代,才能在技术快速发展的阶段不被淘汰,才能在下一次技术革命中抓住机会。

    Android技术干货分享
  • Tomcat用户权限设置

    1、vi /etc/tomcat6/tomcat-user.xml //系统安装目录 2、删除注释符 <!-- --> 3、增加账号 Tomcat ...

    Java帮帮
  • 初学者第71节网络编程-Socket(二)

    java.net.Socket 类代表客户端和服务器都用来互相沟通的套接字。客户端要获取一个 Socket 对象通过实例化 ,而 服务器获得一个 Socket ...

    用户5224393
  • ASP.NET5 Beta8可用性

    ASP.NET5 beta8现已上都的NuGet作为一个工具升级到Visual Studio2015!此版本极大地扩展.NET核心对OS X和Linux所支持的...

    逸鹏
  • 等保2.0安全管理中心要求解读

    今年5月,随着《信息安全技术网络安全等级保护基本要求》(GBT22239-2019)的公布,宣告等保2.0时代正式开启,并将于2019年12月1日正式实施。也就...

    FB客服
  • Python递归函数,二分查找算法

    正如你们刚刚看到的,递归函数如果不受到外力的阻止会一直执行下去。但是我们之前已经说过关于函数调用的问题,每一次函数调用都会产生一个属于它自己的名称空间,如果一直...

    changxin7
  • FME转换器介绍之(三)

    如上图所示,这个转换器支持的test operator很多,本次推送重点介绍下正则。

    数据处理与分析

扫码关注云+社区

领取腾讯云代金券