視角不同,業(yè)務不同彼念,由點到面的方向不同挪圾,安全是一個面浅萧,各種安全好比一個點,安全是一個點到面的過程
日常工作
互聯(lián)網(wǎng)信息泄露
使用開源產(chǎn)品監(jiān)控git泄露哲思,針對公司產(chǎn)品名稱洼畅,域名,郵箱進行監(jiān)控
開源產(chǎn)品例如(以前總結(jié)的)
1.http://gitleaks.com/
2.https://github.com/UnkL4b/GitMiner
3.https://github.com/mschwager/gitem
4.https://github.com/repoog/GitPrey
5.https://github.com/ezekg/git-hound
6.https://github.com/dxa4481/truffleHog
7.https://github.com/shengqi158/svn_git_scanner
8.https://github.com/0xbug/Hawkeye?
9.谷歌github bigquery-
我是用的是Hawkeye
image.png
主要是爬到關(guān)鍵字可以使用自帶的查看詳細過程中棚赔,使用一些關(guān)鍵字進行搜索敏感信息帝簇,例如
pass OR password OR passwd OR pwd OR smtp OR database
image.png -
Web/App/內(nèi)網(wǎng)滲透測試
Web使用WVS進行掃描,更主要還是人工為主靠益,主要對大的迭代更新進行測試丧肴,業(yè)務太多,小變動完全根不過來胧后。
APP主要使用開源產(chǎn)品來搞定芋浮,一般例如Drozer,MobSF,針對IOS使用Idb绩卤,相關(guān)可以參考http://www.droidsec.cn/移動app漏洞自動化檢測平臺建設(shè)/
image.png 應用上線/版本迭代更新安全測試
上線前使用工具+人工進行測試途样,對其業(yè)務和容易出現(xiàn)問題的地方,(測試多了會發(fā)現(xiàn)企業(yè)漏洞集中在哪塊濒憋,現(xiàn)在較多的為XSS何暇,)對于小功能比如活動頁面上線,配合開發(fā)進行上線前測試凛驮,后續(xù)也快速迭代裆站。-
漏洞安全預警/建立知識庫
- 一般關(guān)注cncert看漏洞預警,通過釘釘和郵件通報漏洞預警黔夭,釘釘主要吧每個部門lead拉倒一起宏胯,通告他們,然后進行排查本姥,有問題升級肩袍,沒問題就那樣唄。
關(guān)于知識庫婚惫,分為三個方向氛赐,
從主機,應用 數(shù)據(jù)庫建立先舷,不用需求艰管,側(cè)重不同
主機方面,提升運維的應急能力蒋川,各種系統(tǒng)的加固方式牲芋,比如最新漏洞的處理。
應用方面
主要從linux的中間件下手,進行安全配置和漏洞情況的一些資料講解缸浦,再次可以參考《安全運維那些洞-Aerfa(脫敏版)》
- 安全應急/漏掃系統(tǒng)/IPS/數(shù)據(jù)庫審計
- 安全應急
目前主要針對業(yè)務層面比較多夕冲,比如短信接口被刷,和服務器的安全情況處理餐济,這個資料很多了耘擂,后續(xù)也準備吧一些知識傳播給其他部門同事
安全四個能力
1.信息資產(chǎn)管理能力
- 資產(chǎn)情況目前還是從產(chǎn)品那邊獲取的。后續(xù)打算購買成熟產(chǎn)品解決絮姆。市面上也很多了
2.已知問題的防護能力 - 一般出現(xiàn)問題先使用WAF進行攔截醉冤,在快速迭代上線,高危漏洞一天內(nèi)必須修復篙悯。
3.安全事件的發(fā)現(xiàn)能力 - 安全問題自己挖坑吧蚁阳。
4.新發(fā)現(xiàn)問題的修復能力 - 交給開發(fā)了
安全管理
- 1)27001: 側(cè)重安全管理
- 2)SDL: 側(cè)重安全開發(fā)
- 3)ITIL: 側(cè)重安全運維
- 安全制度/規(guī)范
- 安全流程
- 安全檢查
- 安全內(nèi)控
- 安全審計
- 安全月報
對每個月安全問題進行匯總,匯報給lead - 安全培訓
- 針對運維人員做系統(tǒng)安全和應急的安全培訓
- 對開發(fā)人員講漏洞和框架安全
- 對測試人員講安全測試和測試的區(qū)別如何做安全測試
- 普通人員安全意識鸽照,郵件安全螺捐,辦公安全,無線安全
攻防安全
- 1 應用安全
- WEB安全
- APP安全
- 服務端主要對矮燎,AndroidManifest.xml檢查定血,反編譯測試,認證機制和組件進行安全測試
- 客戶端對常見漏洞進行測試诞外,主要從身份認證澜沟,會話管理,權(quán)限管理峡谊,數(shù)據(jù)驗證茫虽,輸入輸出下手, - 內(nèi)網(wǎng)主機安全
目前內(nèi)網(wǎng)沒咋搞既们,后續(xù)打算做域控濒析。 - 軟件開發(fā)安全
開發(fā)指定了一些安全開發(fā)指南,從框架啥纸,編碼上去解決部分問題 - 第三方外包產(chǎn)品安全
第三方產(chǎn)品目前很多号杏,拿過也按照正常應用一樣搞,期間也挖了幾個0day斯棒,另外就是檢查下后門馒索,如果是集成框架就去看看框架有什么問題沒
- 2 架構(gòu)安全
- 內(nèi)網(wǎng)監(jiān)控
內(nèi)網(wǎng)最大的安全問題在弱口令上,主要而且開發(fā)經(jīng)常本地搭各種服務名船,也是最頭痛的,目前用的巡風旨怠。 - 網(wǎng)絡(luò)安全
目前走的傳統(tǒng)路線渠驼。面太廣了 - 系統(tǒng)安全
系統(tǒng)目前架構(gòu)做了個一套監(jiān)控,后續(xù)打算采用商業(yè)HIDS - 等保/ISO27001建設(shè)
找的安全廠商做的鉴腻。
- 內(nèi)網(wǎng)監(jiān)控
- 3 安全防護
- WAF
- 安全運維中心(SOC)
- 網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)
- 主機入侵檢測系統(tǒng)(HIDS)
- 蜜罐/github/掃描器/自研安全工具
- 4安全應急響應中心
- 公眾渠道建設(shè)
- 平臺漏洞收集
- 漏洞成因分析
- 應急響應定期演練
- 安全編碼/攻防技術(shù)研究
-Web安全規(guī)范- APP安全規(guī)范
- 服務器安全配置
- 數(shù)據(jù)庫安全培訓
- 標準安全組件開發(fā)
- 語言類安全編碼規(guī)范
安全建設(shè)的五個過程
- 基本能力
- 基礎(chǔ)的訪問控制迷扇,上線的系統(tǒng)不能包含常見高危漏洞
- 應急能力
- 安全團隊具備一定的攻防能力百揭,有一定應急響應能力,系統(tǒng)化整個過程
- 安全體系化
- 安全建設(shè)的系統(tǒng)化蜓席,開發(fā)運維器一,測試,都要有對應的約束流程厨内,在系統(tǒng)的整體上去考慮安全祈秕,從全方位出發(fā)。
- 業(yè)務安全
- 相比傳統(tǒng)互聯(lián)網(wǎng)安全雏胃,更注重的的業(yè)務和風控请毛,業(yè)務層面的安全需要系統(tǒng)化的去考慮和提出解決方案。
- 業(yè)務安全
- 完整的縱深防御瞭亮,實現(xiàn)自動化防御和抵抗能力方仿。
