视角不同,业务不同,由点到面的方向不同,安全是一个面,各种安全好比一个点,安全是一个点到面的过程
日常工作
互联网信息泄露
使用开源产品监控git泄露,针对公司产品名称,域名,邮箱进行监控
开源产品例如(以前总结的)
1.http://gitleaks.com/
2.https://github.com/UnkL4b/GitMiner
3.https://github.com/mschwager/gitem
4.https://github.com/repoog/GitPrey
5.https://github.com/ezekg/git-hound
6.https://github.com/dxa4481/truffleHog
7.https://github.com/shengqi158/svn_git_scanner
8.https://github.com/0xbug/Hawkeye?
9.谷歌github bigquery-
我是用的是Hawkeye
image.png
主要是爬到关键字可以使用自带的查看详细过程中,使用一些关键字进行搜索敏感信息,例如
pass OR password OR passwd OR pwd OR smtp OR database
image.png -
Web/App/内网渗透测试
Web使用WVS进行扫描,更主要还是人工为主,主要对大的迭代更新进行测试,业务太多,小变动完全根不过来。
APP主要使用开源产品来搞定,一般例如Drozer,MobSF,针对IOS使用Idb,相关可以参考http://www.droidsec.cn/移动app漏洞自动化检测平台建设/
image.png 应用上线/版本迭代更新安全测试
上线前使用工具+人工进行测试,对其业务和容易出现问题的地方,(测试多了会发现企业漏洞集中在哪块,现在较多的为XSS,)对于小功能比如活动页面上线,配合开发进行上线前测试,后续也快速迭代。-
漏洞安全预警/建立知识库
- 一般关注cncert看漏洞预警,通过钉钉和邮件通报漏洞预警,钉钉主要吧每个部门lead拉倒一起,通告他们,然后进行排查,有问题升级,没问题就那样呗。
关于知识库,分为三个方向,
从主机,应用 数据库建立,不用需求,侧重不同
主机方面,提升运维的应急能力,各种系统的加固方式,比如最新漏洞的处理。
应用方面
主要从linux的中间件下手,进行安全配置和漏洞情况的一些资料讲解,再次可以参考《安全运维那些洞-Aerfa(脱敏版)》
- 安全应急/漏扫系统/IPS/数据库审计
- 安全应急
目前主要针对业务层面比较多,比如短信接口被刷,和服务器的安全情况处理,这个资料很多了,后续也准备吧一些知识传播给其他部门同事
安全四个能力
1.信息资产管理能力
- 资产情况目前还是从产品那边获取的。后续打算购买成熟产品解决。市面上也很多了
2.已知问题的防护能力 - 一般出现问题先使用WAF进行拦截,在快速迭代上线,高危漏洞一天内必须修复。
3.安全事件的发现能力 - 安全问题自己挖坑吧。
4.新发现问题的修复能力 - 交给开发了
安全管理
- 1)27001: 侧重安全管理
- 2)SDL: 侧重安全开发
- 3)ITIL: 侧重安全运维
- 安全制度/规范
- 安全流程
- 安全检查
- 安全内控
- 安全审计
- 安全月报
对每个月安全问题进行汇总,汇报给lead - 安全培训
- 针对运维人员做系统安全和应急的安全培训
- 对开发人员讲漏洞和框架安全
- 对测试人员讲安全测试和测试的区别如何做安全测试
- 普通人员安全意识,邮件安全,办公安全,无线安全
攻防安全
- 1 应用安全
- WEB安全
- APP安全
- 服务端主要对,AndroidManifest.xml检查,反编译测试,认证机制和组件进行安全测试
- 客户端对常见漏洞进行测试,主要从身份认证,会话管理,权限管理,数据验证,输入输出下手, - 内网主机安全
目前内网没咋搞,后续打算做域控。 - 软件开发安全
开发指定了一些安全开发指南,从框架,编码上去解决部分问题 - 第三方外包产品安全
第三方产品目前很多,拿过也按照正常应用一样搞,期间也挖了几个0day,另外就是检查下后门,如果是集成框架就去看看框架有什么问题没
- 2 架构安全
- 内网监控
内网最大的安全问题在弱口令上,主要而且开发经常本地搭各种服务,也是最头痛的,目前用的巡风。 - 网络安全
目前走的传统路线。面太广了 - 系统安全
系统目前架构做了个一套监控,后续打算采用商业HIDS - 等保/ISO27001建设
找的安全厂商做的。
- 内网监控
- 3 安全防护
- WAF
- 安全运维中心(SOC)
- 网络入侵检测系统(NIDS)
- 主机入侵检测系统(HIDS)
- 蜜罐/github/扫描器/自研安全工具
- 4安全应急响应中心
- 公众渠道建设
- 平台漏洞收集
- 漏洞成因分析
- 应急响应定期演练
- 安全编码/攻防技术研究
-Web安全规范- APP安全规范
- 服务器安全配置
- 数据库安全培训
- 标准安全组件开发
- 语言类安全编码规范
安全建设的五个过程
- 基本能力
- 基础的访问控制,上线的系统不能包含常见高危漏洞
- 应急能力
- 安全团队具备一定的攻防能力,有一定应急响应能力,系统化整个过程
- 安全体系化
- 安全建设的系统化,开发运维,测试,都要有对应的约束流程,在系统的整体上去考虑安全,从全方位出发。
- 业务安全
- 相比传统互联网安全,更注重的的业务和风控,业务层面的安全需要系统化的去考虑和提出解决方案。
- 业务安全
- 完整的纵深防御,实现自动化防御和抵抗能力。
