话题讨论 | “传说中”的甲方安全

2017-12-18 604284人围观 ,发现 47 个不明物体 企业安全观点

*本文作者:FallenAngels,本文属 FreeBuf 原创奖励计划,未经许可禁止转载

前言:

之前有人跟我说甲方的安全技术人员不如乙方。但是事实上我了解的却是多数“技术高超” 的乙方人员无法胜任甲方的工作,先别急着反驳 ,我们先来看看技术人员对比。

一、工作内容对比

既然是对比,我们先来看看工作内容。这里我们提到的乙方是指乙方的安服人员。

1. 安全评估:

甲方安全人员比较少,需要的是全能型技术人员,web评估,移动应用评估,物联网产品评测甚至是公司购买产品的评估。相应的,技能熟练度要求相对较低。(技术深度靠众测弥补)

对于乙方而言,技术人员相对较多,需要的是针对性人才,只要精通一个方向的评测即可。技能熟练度要求较高,当然,这也是乙方技术比甲方高的原因之一,至少在挖洞方面。(当然也有部分乙方实在是不敢恭维,发现个漏洞,给个 你懂得的描述,一个谁都看得懂,但是谁都不知道怎么做的修复方案,就走了,问题定位,具体整改方案都交给甲方安全人员了)

2. 代码审计

身处甲方,说实话,代码审计这种东西肯定不能少,业务系统那么多,尤其是在外包公司,依赖自动化审计工具都有点吃力。毕竟工作量在那摆着呢,能审计出常规问题就不错了。毕竟除了审计还有其他事情要做,能做的是尽可能减少安全隐患。

身在乙方,代码审计都是按照项目来划分的,人员技能当然不用说,毕竟是针对性的。这也是乙方技术比甲方高的原因之一,乙方还是胜在专精。

3. 应急响应

甲方安全技术头疼的事情之一,业务部门被攻击了,服务器中病毒了,新漏洞曝光了等等。这个处理方法甲乙方都一样,但是乙方处理完了给个建议就可以走了,甲方呢,处理完了,不光给建议,还要具体的操作,协同处理,连打个补丁,都要你把地址给出来,补丁下载好,写个补丁安装手册,然后事件回顾,各种报告。光流程就多了好多。

乙方就比较好了,针对什么时间有 什么样的技术人员支持,找出问题,给出建议,至于你们能不不能实现,管他呢,反正我们有规定不能操作你们的关键设置。然后任务就给了甲方……

4. 认证审计

好吧,这个事情基本上不会断的,各种内审外审,审到你能怀疑人生。工作两年,技术人员都可以当审计咨询顾问了。

我们来看看乙方,依旧是有专人负责这块服务,但是他们只需要给出建议,讲讲审计内容,可能 需要的资料,然后资料准备,合不合格他们也不知道啊。毕竟决定权还在审计老师手里。

5. 安全管控平台

这里我不得不说,甲方的强大,都是逼出来的,任务那么多,时间那么少,自动化平台就出来,这里可以参考大神的思路,分布式漏洞扫描系统 (其实这个思路不止可以做扫描系统,我们公司的安全管理平台,按照这个思路设计的,说到这,我突然间想写一篇文章一个人的安全平台研发部 ,对的,我们公司的平台就是一个人研发的。),当然如果你运气比较好,刚入职就发现公司有这个东西,那么恭喜你,中奖了,好多事情都简化了。

乙方安服,我不是很清楚他们需要这个吗???有知道的跟我说一下。

6. 工作汇报

身在甲方,安全怎么体现价值,工作汇报是重中之重,绝不含糊,你辛辛苦苦付出那么多,没问题理所应当,有问题就是你的锅。关键是不出问题领导不知道你干了什么啊(死循环中),所以工作汇报,数据最重要,这个时候,安全平台加上安全设备上的数据就成了救命稻草。所有各种设备操作,数据汇总分析,图标展示等要求一个也不能少,基本上每周 40%的时间都是在写报告(如此浪费时间,技术怎么提高)。

乙方安服的话,他们有工单,做了多少事,什么时候做,带来多少价值,基本上明明白白,只要专心干活就好了。

7. 预留

讲真,其他的工作内容我就没碰到过,要有的话,欢迎大家在评论区补充。

二、拨乱反正

既然工作内容对比完了,我们会发现,乙方技术比甲方高,赢在专精上,很明显,乙方技术单独来到甲方,很快会被工作内容淹没之前有一个乙方的朋友问我甲方工作内容,我给他说完,他就开始怀疑自己能不能在甲方工作下去了,其实他web渗透还不错)。当然,别担心,既然本文是写甲方安全技术的生存之道,那么就来说说,怎么生存在甲方。

第一关,关于未知领域的项目

想做安全,无论什么情况下,基础的安全技能都是必要的。最少要有自己擅长的技术。这是你在工作的根基,不能忘本啊,一点技术都没有,怎么通过面试的。当然有了根基以后,就要开始扩展了,毕竟甲方事情多,人却少。至于怎么扩展,要知道无论哪种类型渗透,本质是不变的。我们举一个例子,大家体会一下怎么扩展。

你是做web安全的,现在公司让你评估一个APP项目,怎么完成呢(安全技术没有速成,但是安全可以循序渐进),首先项目进度在那,那我们先从熟悉的方向入手

1.先把服务器和网站作为单独的一块进行评测,先保证项目进度。

2.APP评估,首先需要找的是APP的攻击面,列出一个表单,然后根据这个表单,根据表单找到方向。(这里你没有基础,但是你有目标,针对性的找评测方法,缩短本次评估的学习周期)。

3.找到攻击面了,那开始测试,既然web有扫描器,那么app就有分析工具,百度然后发现一个MobSF的自动化评测工具,在一无所知的情况下,自动化工具是最好的选择。然后对照攻击面,进行对照分析(平时学习也可以这么做)。

4.但是到这里就结束了吗,很明显,做到以上,你只是在应付任务,如果你想长久地工作下去,就必须在这个基础上提升。结合项目进度,我们利用手上的资源或者朋友,找app的评估的资料或者外援,进行二次扩展,请牢记一点,外援可以请,但是仅限于方法,而不是项目,毕竟保密范围在那,你可以根据之前列的表单,针对性的去咨询。

5.写报告,到这里,你就可以写评测报告和整改建议了。然后开始应对对方无休止的 “ 困(基)难(础)”技术咨询。这段时间,你要开始根据你这次评估,形成针对这类项目的方案,包括评估计划,评估方案,报告模板,检查列表(这个列表是你扩展的基础,重中之重)。 应对以后类似的评估,至少会比这次轻松不少。

6.项目到这结束了吗,当然不是,别忘了你在甲方,不是那种评测完就可以走人的安服。这个项目后期还有周期评测,新上线评测以及后续的加固(这也是我为什么敢建议你进行初步评测原因,因为无论Deadline在哪天,它的安全责任最后还是会到你)。回归正道。评测完成了,你应该就知道你还差什么,然后开始利用空闲时间以及以后类似项目扩展你的项目评估方案。 

7.扩展完你的通用评估方案,你需要以复查或周期检查为由,对之前不完善的评估项目二次评测。至于更深层次的,就需要依赖众测平台或者你们公司的SRC了。

第二关,关于应急响应

乙方是针对特定事件响应的,但是作为甲方的你,需要应急的事件是不定向的,预防就很重要了。外部攻击,服务器中毒等,根据经验来吧,但是新漏洞的应急响应,就比较费劲了。所以,作为安全人员的你,对内,需要收集整理公司内的资产信息了,对外,关注最新的安全通告,当然,最重要的还是整改,需要费一番功夫。

1. 对内,收集资产信息

我的方案有三个,第一,找运维团队,从他们手里获取现成的数据,第二,使用自动化平台进行收集处理,第三,找领导,各部门配合收集,或者借助审计,把需要的资料收集全。我比较推荐第二个,毕竟自动化平台才能保证数据正常更新。自动化平台的话,github开源的很多,改一改就能用了,只要能快速查询受影响服务器和负责人就好了。

2. 对外,安全动态关注

讲真,这个最不担心,毕竟安全圈就这么大,只要不是消息特别闭塞,翻一翻资料就全有了 。

3. 整改,规范化整改

这个的话,我都是把漏洞的修复方案操作一遍,弄个修复指南,给有问题的部门发过去,遇到有多种修复方案的,都试一遍,反正在甲方,这事你跑不了。写成指南,能省好多时间,毕竟你还要花很多时间去跟业务部门交(扯)流(皮)漏洞该不该改,他们业务会不会停之类的。

第三关,关于安全管控平台

这个是身在甲方工作存活下去的重点,尤其是安全人员比较少的公司,先说说我们的管控平台吧,下边这个列表是我们当前已经完成的(毕竟属于公司资产,审批通过了,我就把这个系统开源,一个人维护这个系统很累的)。

功能项 说明 主要工作 备注
任务管理 可创建以下四种类别安全扫描任务:
1.移动应用( 对接 mobsf )
2.Web应用(对接AWVS 
3.数据库(对接dbscan
4. 操作系统(对接nessus
1.根据不同任务对接不同的扫描器
2.扫描结果规范化
3.实现分布式任务
4.任务执行使用异步机制
用于开发和运维 团队自助扫描,对于关键业务,自动化扫描不满足,还是需要人工检查,给他们自查的话,会减少很多不必要的争论。
资产管理 能够实现以下功能:
1.新增资产
2.资产识别
3.资产变更
1.新建任务后同步新资产
2.新增资产识别对外服务及版本
3. web应用识别组件及版本
4.app识别第三方包及版本
漏洞安全预警时快速定位受影响范围
漏洞管理 能够实现以下功能:
1.对接cnnvd漏洞库
2.安全隐患管理
3.漏洞整改方案(具体到执行哪个命令)
1.实现漏洞库自动更新
2.实现漏洞自助复查
3.业务部门自助查询整改方案
用于规范化漏洞数据,便于查询统计
整改咨询自动化,安全人员只要根据top漏洞写方案就好了,一劳永逸
安全聚合 能够实现以下功能:
1.安全隐患分析
2.资产状态分析
3.日志分析管理(对接splunk)
1.将平台中的数据报表化
2.对接不同系统的日志聚合分析
3. 数据处理及分析引擎
安全现状分析,主要用于检查异常、生成汇报数据

第四关,关于工作汇报

这一点做不好的话,当真是欲哭无泪。常规呢,有日报、周报、月报、季度汇总、年度总结,领导有兴趣了,还有针对各个项目的汇报。每周都有40%的时间在写汇报资料或者在汇报(好在自动化平台建的好,不然数据都没法看)。当然,我们需要的是完成这些,而不是抱怨。

首先,安全设备上的日志、安全平台的数据,这些都很容易,固定好模板就好,正如上面提到的,安全是个循序渐进的过程,作为安全,我们需要展示的数据分为以下几个方面:

1.我们做了什么,这一部分数据来源就是安全部门被分派的任务了,设计一个表格,每次做完一个项目,直接写里边,周报、月报、季度总结、年度汇报的数据就有了。

2.我们做了哪些投入,产生什么效果,做安全,通常会建议买许多安全设备,我们需要把这些设备的投入和所达到的效果进行一个量化对比,这个数据来源就是安全设备日志了,建立好模板,每次汇报导入数据就好了。

3.公司安全状态正在往好的发展,比如说我们周期巡检范围扩大,检测种类增多,这些是渐进式的。

4.当前的不足,这一点需要注意,提出不足的同时,给出你正在实施的改进方案。

第五关,关于“无事可做”

这一关是难点,也是重点,其实在公司安全工作步入正轨以后(这个按照各人理解是各个事件都有规范流程,线上操作处理,反正我们公司还没到正轨,毕竟安全人太少了,小小吐槽),安全技术人员空闲时间可能就多了,这个时候可不能闲着,毕竟咱们的主要目标是公司整体安全。这个时候安全培训就很重要了。个人理解培训分三类

第一类:安全意识培训

这个大家都知道,就不多说,网上很多资料,同一套资料,列个计划表,周期培训。

第二类:安全审计培训

这个的话,主要是应对内、外审计的,每次审计前进行培训就好,各部门审计接口人作为培训对象。(这个的话,可以按照不同审计标准写一个资料收集系统,让他们每月按照系统提示上交资料,审计的时候直接调出来就好了,因为内容比较多,还没彻底实现T_T)

第三类:研发、运维安全培训

这个的话,直接从安全平台调用数据,看看哪个研发漏洞多,然后针对性的给培训,效果非常明显,之前研发说任务重,不接受培训,然后我把漏洞统计给他们领导,就被赶过来培训了(做安全的不当坏人都是骗人的)

最后

说了那么多,干货却不多,先开个头,后续按照功能,详解安全平台实现,开源Dome,未完待续。

*本文作者:FallenAngels,本文属 FreeBuf 原创奖励计划,未经许可禁止转载

这些评论亮了

  • x1aoh0n (3级) 403 forbidden city 回复
    同感,甲方招聘JD 一拉一大串
    又懂web又懂移动又懂网络又懂开发又懂管理又懂等保
    能用工具能用手 能配置设备能接受审计
    然后:面试造火箭 入职拧螺丝
    )88( 亮了
  • 甲方呢,处理完了,不光给建议,还要具体的操作,协同处理,连打个补丁,都要你把地址给出来,补丁下载好,写个补丁安装手册,然后事件回顾,各种报告。真是说到心里面去了。
    而楼上乙方还吐槽给甲方做了评测,买了设备,没接入, 说这种话的100%没有做过甲方,甲方想告诉乙方一句话,并不是甲方不想做,而是做不了,不能做,光业务部门就一句话就怼甲方没话说,"凡是影响到业务的统统给我往后放!丢了公司业务,你负责!",哪个甲方敢负责?哪个乙方敢负责?但是就算是这样,真出了问题,业务部门毛都不会掉一根,因为出问题的是你的甲方IT,是甲方IT背锅!!!你甲方IT怼业务部门?你够胆怼怼看!
    甲方的苦乙方哪里能知道,说句不好听的,一两台服务器的公司打个补丁很容易,1000台物理服务器,上面还挂了N多虚拟机,跑不同的应用和平台,你给我打个补丁试试看?光评估,测试,计划都不知道要搞多久,然后下个补丁又来了。。。NMMP.
    )32( 亮了
  • a.tm.k (3级) 亚拉那一卡 回复
    上次去给一个甲方做测评, 砸了几十万买了设备, 但是呢, 没接入. 去年他们内部做过的保护方案, 也没接入, 该有的都还有, 该用的都没用, 该没的都还在, 哪怕给出了修复建议, 没有相关的实施人员也就拉倒, 但是甲方是大爷啊, 给钱的, 写报告只能一改再改, 主动忽略掉那些 "低(Gao)危(Wei)".
    )13( 亮了
  • 拥有甲方和乙方双向视角的人来说说。
    乙方更为精转,可以追求极致,将产品和服务做到极致。众所周知,安全覆盖的范围很广,没有任何一个安全公司敢声称自己能覆盖所有安全领域,所以安全领域也很难出现一个巨无霸公司。在产品/服务/咨询中选择一个方向都可以深入的发展下去,或者膀定一个行业的安全痛点,都可以发展下去。
    但是乙方最大的问题是,往往自己都不用自己的安全产品,或者不践行等保和ISO27001的体系,很多安全公司的整体安全防护水平反而不如一般甲方公司。
    甲方安全更为宽泛,技术在这里只是手段,更多的是基于管理的概念,制定策略、流程、跨部门沟通等等,所谓的信息安全体系其实就是通过这些制度、流程呈现的,技术和平台都是在下面支撑的。甲方的安全不能追求极致,追求的是平衡,安全和业务效率的平衡,追求极致的安全就什么也干不了了。
    甲方最难的在于将安全理念结合本企业的实际情况进行工作,也就是常说的乙方安全提供的咨询不落地的原因。大家都知道ISO27001体系框架,但是具体落到每个企业就是不同的样子,这需要一个时间,包括良好的人际关系和对业务的熟悉。这是乙方很难通过一个项目在短短几个月之内去推动的。甲方的安全人员换工作成本比较高,因为需要对周围的环境有个熟悉的过程。
    Ps.上面的甲方指符合型人员,不是单单的安全运维或渗透测试人员。
    现在一二线互联网公司囤积了大量的安全人才,即建设自己企业的安全体系,同时也对外输出自己的安全能力,他们是得到历练最大的。
    最后,楼主的安全平台很厉害(也很复杂),期待详细的介绍,甲方的安全管理急需这样的平台提高效率。
    )10( 亮了
  • a8 (1级) 这家伙太懒了,还未填写个人描述! 回复
    看完了,表示是个懂行的甲方
    )9( 亮了
发表评论

已有 47 条评论

取消
Loading...
css.php