企业安全

企业安全
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
一个人的企业安全建设之路 Sophone认证厂商2017-07-07现金奖励共777462人围观 ，发现 49 个不明物体 企业安全观点
* 本文作者：Sophone，本文属FreeBuf原创奖励计划，未经许可禁止转载

前言
如今很多中小型互联网公司对安全需求不高，安全资源贫乏，领导只重视业务忽略安全，在这种情况下可能安全人员很难立足，推动公司做好安全，从而进入了进退两难的窘境，目前从事国内某车联网公司，公司团队在300人左右，生产服务器数量在千余台级别，业务线冗长，以下给各位介绍一下个人的工作经验：

一、熟悉环境
该部分为后续工作做铺垫，所以此部分工作也是十分重要的，首先需要有如下三个图：

企业安全建设
1、架构图：第一步就是要了解企业的组织架构，认清哪些部门是跟自己紧密相关的，哪些部门是日后可能开展合作的，安全信息应该发给谁，这些都是十分必要的；

2、拓扑图：第二步是熟悉网络环境，公司之前也可能采购了一些安全设备，这些设备是如何部署的，部署在哪些机房的哪个节点下，会有助于以后故障排查；

3、业务图：第三部是熟悉业务，这也是最困难的，一个企业可能有多个业务，每个业务分部在不同的机房与服务器上，这些就算无法完全梳理透彻，也要有一个简单的了解与掌握；

二、基础安全工作
基础性的工作不难，但琐碎，比如：周期性安全测试、设备运维、弱口令审计、外网端口监控、等保测评以及安全策略审批管控等，如何优化做好这部分工作十分重要：

企业安全建设

1、策略管控：部分业务进展需要安全部门审批，如果对业务非常熟悉的情况下可以坚持安全性的原则去审批，但往往并没有那么熟悉，况且还是一个人的情况下，可以先放宽条件，日后再逐步缩紧，但不要成为背锅侠，该提的原则要提前表明，锅要先扣到业务部门头上，这样才方便做事；

2、安全测试：在有限的时间内周期性对重点业务进行渗透测试，每次迭代更新可以选择性做测试，比如大版本改动时，并且可以将安全测试放在SDL里面，在SDL阶段会介绍我的方式方法，在这不做过多解释；

3、设备运维：起初还是需要了解一下安全设备的，如堡垒机、WAF、IPS 等，不出问题则罢，一旦影响其他用户使用如堡垒机，就会比较头疼，建议提前了解好设备处故障的“套路”；

4、账号审计：弱口令是一个极其简单而威胁程度又特别高的安全隐患，性价比极高，所以关键系统的弱口令一定要排除，必然是放在基础工作之中的；

5、外网端口监控：端口监控刚开始可以直接用Nmap扫描，手工肉眼核查，没有特殊端口开放即可；

6、等级保护：这点不需多说了，都是套路~~~

三、优化工作
根据上述基础工作大致可以看出，某些工作是可以优化的，如果你不优化，自己一个人无休止的搞下去，要么公司死，要么你死。

企业安全建设

1、端口监控自动化：外网端口监控每次都手动扫描，然后人工肉眼核查是特比Low的方式，完全可以靠脚本自动化完成， python里面包含了Nmap模块，可以返回扫描结果，效率虽然比直接使用Nmap低一点，但也可以将就，所以第一步就是抽时间写了自动化的监控脚本，当然也可以借助巡风这样的系统去监控扫描；

2、弱口令死于初始化：弱口令审计重点把控几个位置，邮箱、VPN、以及即时通讯软件（当时我们用的是RTX），其中VPN每次是管理员创建且用户无法自己修改密码，一般没什么问题；企业邮箱我们在密码修改功能模块强制添加密码复杂度策略，弱口令无法通过；RTX已经弃用，并不需要付出太多精力，这样一来弱口令审计工作也从此消失。

3、安全扫描：如今的AWVS11已经支持Web界面，更加直观，如果再汉化一下就更加得心应手，既能体现扫描结果，还方便各部门人员使用，可以从一台机器上搭建后由各项目组自行去扫描测试，会变得更加方便。

四、SDL安全开发周期
一个人的SDL安全开发周期？是的，没错，安全部门仅一人，如何推动？许多大型互联网公司举全团队之力都难以完成的项目，如何一个人去完成，近期也跟朋友简单聊过，得到了认可，答案就是“ 阉割版的SDL”，国外的东西不要照搬，也未必合适，但思路可以借鉴，下面介绍一下个人的思路：

企业安全建设

1、明确目标： 要明确自己的目标，什么是SDL，自己能做多少，要评估出最终的效果，在我看来 SDL简单概括就是：减少漏洞频率、降低人力成本。因为传统的安全测试基本都在上线前，漏洞不断重复出现，开发人员再重复修改，效率极其低下。

2、团队支持：其次才是得到各项目组负责人的认可，刚开始大领导支持还好，不支持的话小领导支持一下也不错，当然要让他们知道推动SDL的目标是给他们减轻工作量，而不是增加成本。然后从各项目组安排一名 “安全负责人”，这样很多安全工作的落地对接，业务信息的收集就比较方便了，并且还安排他们讲问题代码做整理统计，形成内部的 “ 漏洞库 ”，以此作为SDL的基础。

3、项目选择：项目选择也十分重要，有些项目领导压得紧，别说SDL了，正常的安全测试都做不完就需要紧急上线，这种并不适合你自己去搞SDL，可以选择一个迭代没那么快，最好周期性的项目最佳。

4、安全负责人核心价值：每个项目组的“安全负责人 ” 作为接口人主要两方面作用：第一是在开发过程中能看到功能的实现方式，可提前避免出现安全漏洞；第二是在开发后修复漏洞时可以协助安全人员归纳总结，提取案例，将修复后的代码提取出来供其他项目组参考，这样无形之中减少了很多沟通与重复撸代码的成本，后来发现安全负责人这个概念在唯品会有使用。

5、他山之石：从测试部门“借人”，做功能测试的人员要比安全测试人员更加熟悉业务，这样其实更容易发现细微的逻辑漏洞，所以跟测试部门强强联手也是是非必要的，这块参考京东的一部分做法。

五、制度推动
具体落地时还会有很多问题，很多工作空口无凭，口头承诺不代表一定会做，所以有相关制度流程是一种控制措施，但不是完全有效的，比如：

1、所有上线走JIRA，安全审批后才能上线；

2、安全负责人不会平白无故给你干活，能在制度绩效上为他们谋福利一定要去努力；

3、每月定期召开安全月会，请大领导参加，并将目前的安全问题抛出来由大领导拍板定夺；

六、安全意识
最后来说安全意识，也是贯穿始终的，目前以培训方式为主，地毯式轰炸为辅，尽30%努力去覆盖70%的成员就觉得已经成功了，做安全不要总想着100%，实际工作主要是：

1、平台搭建：公司内网搭建信息安全中心（包含乌云的镜像网站、XSS跨站平台；攻防演练平台、 AWVS远程扫描、以及巡风系统），来源都是比较简单的开源系统，但方便推广，也比较实用一些，主要是有一种归属感，起码有个平台属于自己；

2、安全培训：安全意识培训可以对公司的人力、财务、新员工等做培训，偶尔也发几个钓鱼邮件给被培训的同事（20% 中招概率），都是比较好玩的过程；

3、安全文章：如果公司有内刊的话可以写几个安全科普的文章，虽然很多人不看，但领导偶尔闲暇会瞄一眼，不要放过任何一个角落与机会，包括此文也希望更多中小型企业借鉴推广，希望提供参考价值。

* 本文作者：Sophone（微信：wx631768292），本文属FreeBuf原创奖励计划，未经许可禁止转载

Sophone
Sophone
2 篇文章
等级： 3级
||
上一篇：Java 9 HTTP2的支持功能前瞻下一篇：六月SSL行业新闻回顾
这些评论亮了

Fiend520 (7级)回复
兄弟以后不许写一个人的什么什么了，上次有一拼文章叫一个人的安全部，我单位有位XXO就认为他啥都知道了，然后自那以后买两本书就看看目录就开始和我们讲安全了，当你和他讲技术的时候，他给你讲管理，当你和他讲管理的时候，他给你讲情怀，完了，估计下周开会又要墨迹了！！
)48(亮了

123123 回复
WAF（nginx-lua）、IPS（suricata、OSSIM）、堡垒机（麒麟）、防火墙（pfsense）、SSL VPN（openvpn）都是用的开源搞的，还有谁
)27(亮了

linger118927 (2级)回复
一个人的搞基之路
)6(亮了
发表评论已有 49 条评论

linger118927 (2级) 2017-07-07回复 1楼
一个人的搞基之路

亮了(6)

Sophone 认证厂商(3级) 中交兴路 2017-07-07回复
@ linger118927 来一起搞基

亮了(4)

janepeak0324 (1级) 呵呵哒 2017-07-07回复 2楼
又有思路可以借鉴了

亮了(3)

Sophone 认证厂商(3级) 中交兴路 2017-07-07回复
@ janepeak0324 相互学习~~~

亮了(3)

晨总请吃饭 2017-07-07回复 3楼
晨总v5

亮了(5)

Sophone 认证厂商(3级) 中交兴路 2017-07-07回复
@ 晨总请吃饭 吃你妹！

亮了(1)

hjcsdc (1级) 2017-07-07回复 4楼
羡慕你们这些 一个人的安全部

亮了(3)

Sophone 认证厂商(3级) 中交兴路 2017-07-07回复
@ hjcsdc 咋啦？有故事？

亮了(3)

黑色双眼 (3级) 门外汉，一直在找能够敲门的砖头 2017-07-07回复 5楼
一个人的安全部。。简单的内容，都是辛酸泪

亮了(2)

Michaelka 2017-07-07回复 6楼
这种单位的安全部门就是业绩为0因为它就该是好的啊，专门背锅

亮了(2)

Fiend520 (7级) 2017-07-07回复 7楼
兄弟以后不许写一个人的什么什么了，上次有一拼文章叫一个人的安全部，我单位有位XXO就认为他啥都知道了，然后自那以后买两本书就看看目录就开始和我们讲安全了，当你和他讲技术的时候，他给你讲管理，当你和他讲管理的时候，他给你讲情怀，完了，估计下周开会又要墨迹了！！

亮了(48)

Sophone 认证厂商(3级) 中交兴路 2017-07-07回复
@ Fiend520 这位XXO就很有灵性 企业安全文化即将迎来一波高潮~~~

亮了(2)

Fiend520 (7级) 2017-07-07回复
@ Sophone 太有灵性了，我都感觉我这么多年的安全是白干了，假如公司的安全处于暂时擦屁股还擦不过来的阶段，然后大家一起看奇思妙想，对这个A厂有，这个T厂也有，我们也要干，就整。然后过一段时间，我说着这样的话吗？没有吧

亮了(2)

Fiend520 (7级) 2017-07-07回复
@ Sophone 弄得我都快慢慢的负能量了哈哈哈哈哈

亮了(2)

Sophone 认证厂商(3级) 中交兴路 2017-07-07回复
@ Fiend520 哈哈 别急 负能量都有 负能量越多 越要好好干 不然怎么有能力找下家呢~~~是吧~~

亮了(0)

LionZ (2级) >这里过滤了xss,, 2017-07-07回复
@ Fiend520 手动捂脸..XXO也是厉害了..

亮了(0)

Fiend520 (7级) 2017-07-07回复
@ LionZ 我是佩服的

亮了(0)

5431 (3级) 所有的笑容都给了面前的屏幕 2017-07-07回复
@ Fiend520 我快要笑喷了，最佩服你这样有文化，又会吹牛逼的领导了，看着目录就能开始扯

亮了(0)

Fiend520 (7级) 2017-07-07回复
@ 5431 我也是十分佩服他的，很有能力的领导哈哈

亮了(0)

l1n9d0n9 (1级) 2017-07-07回复
@ Fiend520 我倒希望有这样的一位XXO，不孤独

亮了(0)

能能 2017-07-07回复 8楼
其实这种情况很正常，就三百多人的公司，不可能招太多的安全人员，那是成本问题；对于有些公司，安全是一个平衡点，真没重要到那么草木皆冰的份上，只要做好基础安全足矣。

亮了(0)

Sophone 认证厂商(3级) 中交兴路 2017-07-07回复
@ 能能 分公司吧 之前遇到一个公司 也二三百人 业务单一 比较简单 目前项目多达十几个 有时还要对外输出安全技术 偶尔会忙不过来

亮了(0)

雏鹰 (2级) 热爱网络技术、关注信息安全！ 2017-07-07回复 9楼
最佳实践，互联网企业安全最佳实践也是这么讲的。

亮了(0)

Sophone 认证厂商(3级) 中交兴路 2017-07-07回复
@ 雏鹰 嗯 那本书刚出就买了 刚来公司看了不少 宏观上讲的很清楚 可惜细节不能面面俱到 需要自己慢慢挖坑 踩坑 填坑

亮了(0)

一无所有 2017-07-07回复 10楼
堡垒机、WAF、IPS 等，同样是一个人，为什么我这一样都没有

亮了(0)

Sophone 认证厂商(3级) 中交兴路 2017-07-07回复
@ 一无所有 哈哈 我这也形同虚设 不需要他们发现什么问题 尽量少出问题就不错了。。。。

亮了(0)

raistlin00 (5级) 2017-07-07回复
@ 一无所有 哈哈，我只有一台防火墙。。。。。。

亮了(1)

hisec 2017-07-08回复
@ raistlin00 我这只有iptables

亮了(0)

123123 2017-07-07回复 11楼
WAF（nginx-lua）、IPS（suricata、OSSIM）、堡垒机（麒麟）、防火墙（pfsense）、SSL VPN（openvpn）都是用的开源搞的，还有谁

亮了(27)

银月城 (1级) 2017-07-07回复
@ 123123 大兄弟 不容易

亮了(0)

Sophone 认证厂商(3级) 中交兴路 2017-07-08回复
@ 123123 兄弟可以的 让我一个人搭这些东西我得死。。。

亮了(0)

123123 2017-07-08回复
@ Sophone 关键是waf还得tmd在开源基础上自己撸功能，哦对了还有SOC（splunk、graylog）

亮了(1)

lisc5231@qq.com (1级) 2017-07-10回复
@ 123123 兄弟你可以的

亮了(0)

xtdugu (1级) 2017-07-07回复 12楼
一个人漫长之路，加油！

亮了(0)

weber213 (4级) 2017-07-07回复 13楼
mark

亮了(0)

墨霝 (3级) 2017-07-07回复 14楼
不错不错！我也是一个人的安全部门。楼主师傅来一发自动端口扫描的脚本分享借鉴一下！

亮了(0)

hisec 2017-07-08回复
@ 墨霝 妹的，都是一个人的安全部啊。。基础都还没做好。。刚开始。

亮了(0)

Sophone 认证厂商(3级) 中交兴路 2017-07-10回复
@ 墨霝 主要代码参考的《Python自动化运维》里面的，然后加一些对特定字段的自定义的筛选过滤，有需要可以加我微信

亮了(0)

黑贱 (1级) 2017-07-10回复 15楼
一个人的安全部，真心酸。尤其业务都有问题的，领导根本还顾不过来安全。

亮了(0)

Sophone 认证厂商(3级) 中交兴路 2017-07-10回复
@ 黑贱 还好我们业务线多 我可以拿不急的来开刀 着急的先放放 反正我也忙不过来 及时转变思路吧

亮了(1)

x1aoh0n 专栏作者(3级) 403 forbidden city 2017-07-10回复 16楼
锅要先扣到业务部门头上，这样才方便做事；

哈哈哈哈 机智

亮了(0)

Sophone 认证厂商(3级) 中交兴路 2017-07-10回复
@ x1aoh0n 必须的哈~~~

亮了(0)

ahaya 2017-07-10回复 17楼
佩服佩服，我就只管测试和sdl都觉得搞不过来。没想到兄弟什么都能搞定。

亮了(0)

Sophone 认证厂商(3级) 中交兴路 2017-07-12回复
@ ahaya 哈哈 也没有全都做的很好 选重点的做吧 SDL很庞大 很难的 昨天还跟朋友讨论了甲乙方对SDL的看法区别

亮了(0)

成大事者不拘小节 (1级) 2017-07-25回复 18楼
企业安全真难做

亮了(0)

范海辛之歌 (1级) 2017-07-28回复 19楼
学习了~

亮了(0)

frank 2017-09-06回复 20楼
使用全套国产硬件的飘过

亮了(0)

Minggle (1级) 2017-12-27回复 21楼
膜拜大神，刚刚进入甲方做安全，感觉身心俱疲啊。

亮了(0)

lex1993 (1级) 这家伙很勤快，但是懒得写个人描述。 2018-09-25回复 22楼
一个人要做这么多事，厉害了

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
Sophone
Sophone认证厂商

中交兴路

2
文章数
57
评论数
最近文章
中交兴路信息科技招聘信息安全工程师
2017.11.20

一个人的企业安全建设之路
2017.07.07

浏览更多
相关阅读
企业安全策略越大越好？Facebook CEO扎克伯格给了几点建议机器学习黄金时代下，业务安全攻与防：Qcon2017上海「直击黑产」专题回顾企业安全建设初期的几点反思如何通过Kibana、Wazuh和Bro IDS提高中小企业的威胁检测能力？思科、苹果、安联以及怡安联手推出面向企业的网络风险管理解决方案
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php0daybank