前言:
之前有人跟我说甲方的安全技术人员不如乙方。但是事实上我了解的却是多数“技术高超” 的乙方人员无法胜任甲方的工作,先别急着反驳 ,我们先来看看技术人员对比。
一、工作内容对比
既然是对比,我们先来看看工作内容。这里我们提到的乙方是指乙方的安服人员。
1. 安全评估:
甲方安全人员比较少,需要的是全能型技术人员,web评估,移动应用评估,物联网产品评测甚至是公司购买产品的评估。相应的,技能熟练度要求相对较低。(技术深度靠众测弥补)
对于乙方而言,技术人员相对较多,需要的是针对性人才,只要精通一个方向的评测即可。技能熟练度要求较高,当然,这也是乙方技术比甲方高的原因之一,至少在挖洞方面。(当然也有部分乙方实在是不敢恭维,发现个漏洞,给个 “ 你懂得”的描述,一个谁都看得懂,但是谁都不知道怎么做的修复方案,就走了,问题定位,具体整改方案都交给甲方安全人员了)
2. 代码审计
身处甲方,说实话,代码审计这种东西肯定不能少,业务系统那么多,尤其是在外包公司,依赖自动化审计工具都有点吃力。毕竟工作量在那摆着呢,能审计出常规问题就不错了。毕竟除了审计还有其他事情要做,能做的是尽可能减少安全隐患。
身在乙方,代码审计都是按照项目来划分的,人员技能当然不用说,毕竟是针对性的。这也是乙方技术比甲方高的原因之一,乙方还是胜在专精。
3. 应急响应
甲方安全技术头疼的事情之一,业务部门被攻击了,服务器中病毒了,新漏洞曝光了等等。这个处理方法甲乙方都一样,但是乙方处理完了给个建议就可以走了,甲方呢,处理完了,不光给建议,还要具体的操作,协同处理,连打个补丁,都要你把地址给出来,补丁下载好,写个补丁安装手册,然后事件回顾,各种报告。光流程就多了好多。
乙方就比较好了,针对什么时间有 什么样的技术人员支持,找出问题,给出建议,至于你们能不不能实现,管他呢,反正我们有规定不能操作你们的关键设置。然后任务就给了甲方。。。。
4. 认证审计
好吧,这个事情基本上不会断的,各种内审外审,审到你能怀疑人生。工作两年,技术人员都可以当审计咨询顾问了。
我们来看看乙方,依旧是有专人负责这块服务,但是他们只需要给出建议,讲讲审计内容,“可能 ” 需要的资料,然后资料准备,合不合格他们也不知道啊。毕竟决定权还在审计老师手里。
5. 安全管控平台
这里我不得不说,甲方的强大,都是逼出来的,任务那么多,时间那么少,自动化平台就出来,这里可以参考大神的思路,分布式漏洞扫描系统 (其实这个思路不止可以做扫描系统,我们公司的安全管理平台,按照这个思路设计的,说到这,我突然间想写一篇文章“一个人的安全平台研发部 ” ,对的,我们公司的平台就是一个人研发的。),当然如果你运气比较好,刚入职就发现公司有这个东西,那么恭喜你,中奖了,好多事情都简化了。
乙方安服,我不是很清楚他们需要这个吗???有知道的跟我说一下。
6. 工作汇报
身在甲方,安全怎么体现价值,工作汇报是重中之重,绝不含糊,你辛辛苦苦付出那么多,没问题理所应当,有问题就是你的锅。关键是不出问题领导不知道你干了什么啊(死循环中),所以工作汇报,数据最重要,这个时候,安全平台加上安全设备上的数据就成了救命稻草。所有各种设备操作,数据汇总分析,图标展示等要求一个也不能闪,基本上每周 40%的时间都是在写报告(如此浪费时间,技术怎么提高)。
乙方安服的话,他们有工单,做了多少事,什么时候做,带来多少价值,基本上明明白白,只要专心干活就好了。
7. 预留
讲真,其他的工作内容我就没碰到过,要有的话,欢迎大家在评论区补充。
二、拨乱反正
既然工作内容对比完了,我们会发现,乙方技术比甲方高,赢在专精上,很明显,乙方技术单独来到甲方,很快会被工作内容淹没(之前有一个乙方的朋友问我甲方工作内容,我给他说完,他就开始怀疑自己能不能在甲方工作下去了,其实他 web渗透还不错)。当然,别担心,既然本文是写甲方安全技术的生存之道,那么就来说说,怎么生存在甲方。
第一关,关于未知领域的项目
想做安全,无论什么情况下,基础的安全技能都是必要的。最少要有自己擅长的技术。这是你在工作的根基,不能忘本啊,一点技术都没有,怎么通过面试的。当然有了根基以后,就要开始扩展了,毕竟甲方事情多,人却少。至于怎么扩展,要知道无论哪种类型渗透,本质是不变的。我们举一个例子,大家体会一下怎么扩展。
你是做web安全的,现在公司给你一让你评估一个APP项目,怎么完成呢(安全技术没有速成,但是安全可以循序渐进),首先项目进度在那,那我们先从熟悉的方向入手
1.先把服务器和网站作为单独的一块进行评测,先保证项目进度,
2.APP评估,首先需要找的是APP的攻击面,列出一个表单,然后根据这个表单,根据表单找到方向。(这里你没有基础,但是你有目标,针对性的找评测方法,缩短本次评估的学习周期)
3.找到攻击面了,那开始测试,既然web有扫描器,那么app就有分析工具,百度然后发现一个MobSF的自动化评测工具,在一无所知的情况下,自动化工具是最好的选择。然后对照攻击面,进行对照分析(平时学习也可以这么做)。
4.但是到这里就结束了吗,很明显,做到以上,你只是在应付任务,如果你想长久 的工作下去,就必须在这个基础上提升。结合项目进度,我们利用手上的 资源或者朋友,找app的评估的资料或者外援,进行二次扩展,请牢记一点,外援可以请,但是仅限于方法,而不是项目,毕竟保密范围在那,你可以根据之前列的表单,针对性的去咨询。
5.写报告,到这里,你就可以写评测报告和整改建议了。然后开始应对对方无休止的 “ 困(基)难(础)”技术咨询。这段时间,你要开始根据你这次评估,形成针对这类项目的方案,包括评估计划,评估方案,报告模板,检查列表(这个列表是你扩展的基础,重中之重)。 应对以后类似的评估,至少会比这次轻松不少。
6.项目到这结束了吗,当然不是,别忘了你在甲方,不是那种评测完就可以走人的安服。这个项目后期还有周期评测,新上线评测以及后续的加固(这也是我为什么敢建议你进行初步评测原因,因为无论Deadline在哪天,它的安全责任最后还是会到你)。回归正道。评测完成了,你应该就知道你还差什么,然后开始利用空闲时间以及以后类似项目扩展你的项目评估方案。
7.扩展完你的通用评估方案,你需要以复查或周期检查为由,对之前不完善的评估项目二次评测。至于更深层次的,就需要依赖众测平台或者你们公司的SRC了。
第二关,关于应急响应
乙方是针对特定事件响应的,但是作为甲方的你,需要应急的事件是不定向的,预防就很重要了。外部攻击,服务器中毒等,根据经验来吧,但是新漏洞的应急响应,就比较费劲了。所以,作为安全人员的你,对内,需要收集整理公司内的资产信息了,对外,关注最新的安全通告,当然,最重要的还是整改,需要费一番功夫。
1. 对内,收集资产信息
我的方案有三个,第一,找运维团队,从他们手里获取现成的数据,第二,使用自动化平台进行收集处理,第三,找领导,各部门配合收集,或者借助审计,把需要的资料收集全。我比较推荐第二个,毕竟自动化平台才能保证数据正常更新。自动化平台的话,github开源的很多,改一改就能用了,只要能快速查询受影响服务器和负责人就好了。
2. 对外,安全动态关注
讲真,这个最不担心,毕竟安全圈就这么大,只要不是消息特别闭塞,翻一翻资料就全有了 。
3. 整改,规范化整改
这个的话,我都是把漏洞的修复方案操作一遍,弄个修复指南,给有问题的部门发过去,遇到有多种修复方案的,都试一遍,反正在甲方,这事你跑不了。写成指南,能省好多时间,毕竟你还要花很多时间去跟业务部门交(扯)流(皮)漏洞该不该改,他们业务会不会停之类的。
第三关,关于安全管控平台
这个是身在甲方工作存活下去的重点,尤其是安全人员比较少的公司,先说说我们的管控平台吧,下边这个列表是我们当前已经完成的(毕竟属于公司资产,审批通过了,我就把这个系统开源,一个人维护这个系统很累的)。
第四关,关于工作汇报
这一点做不好的话,当真是欲哭无泪。常规呢,有日报、周报、月报、季度汇总、年度总结,领导有兴趣了,还有针对各个项目的汇报。每周都有40%的时间在写汇报资料或者在汇报(好在自动化平台建的好,不然数据都没法看)。当然,我们需要的是完成这些,而不是抱怨。
首先,安全设备上的日志、安全平台的数据,这些都很容易,固定好模板就好,正如上面提到的,安全是个循序渐进的过程,作为安全,我们需要展示的数据分为以下几个方面:
1.我们做了什么,这一部分数据来源就是安全部门被分派的任务了,设计一个表格,每次做完一个项目,直接写里边,周报、月报、季度总结、年度汇报的数据就有了
2.我们做了哪些投入,产生什么效果,做安全,通常会建议买许多安全设备,我们需要把这些设备的投入和所达到的效果进行一个量化对比,这个数据来源就是安全设备日志了,建立好模板,每次汇报导入数据就好了。
3.公司安全状态正在往好的发展,比如说我们周期巡检范围扩大,检测种类增多,这些是渐进式的。
4.当前的不足,这一点需要注意,提出不足的同时,给出你正在实施的改进方案。
第五关,关于“无事可做”
这一关是难点,也是重点,其实在公司安全工作步入正轨以后(这个按照各人理解是各个事件都有规范流程,线上操作处理,反正我们公司还没到正轨,毕竟安全人太少了,小小吐槽),安全技术人员空闲时间可能就多了,这个时候可不能闲着,毕竟咱们的主要目标是公司整体安全。这个时候安全培训就很重要了。个人理解培训分三类
第一类:安全意识培训
这个大家都知道,就不多说,网上很多资料,同一套资料,列个计划表,周期培训。
第二类:安全审计培训
这个的话,主要是应对内、外审计的,每次审计前进行培训就好,各部门审计接口人作为培训对象。(这个的话,可以按照不同审计标准写一个资料收集系统,让他们每月按照系统提示上交资料,审计的时候直接调出来就好了,因为内容比较多,还没彻底实现T_T)
第三类:研发、运维安全培训
这个的话,直接从安全平台调用数据,看看哪个研发漏洞多,然后针对性的给培训,效果非常明显,之前研发说任务重,不接受培训,然后我把漏洞统计给他们领导,就被赶过来培训了(做安全的不当坏人都是骗人的)
最后
说了那么多,干货却不多,先开个头,后续按照功能,详解安全平台实现,开源Dome,未完待续。
