甲方工作杂谈
新媒体管家 无论对于甲方还是乙方,信息安全都是一个非常重要且复杂的话题。引用圈内某佬的一句话“安全本身就是个伪概念,没法准确定义,只能说相对妥善而已“。初听时觉得装X,现在想想,确有几…
新媒体管家
对于甲方和乙方来说,信息安全是一个非常重要和复杂的话题。“安全本身是一个伪概念,无法准确定义,它只能说是比较恰当的。“当我第一次听到它时,我觉得我有X.现在我考虑一下。有一些痕迹。因此,参与安全行业的每个人都值得尊重,因为我们都在永无止境的道路上,我们与您分享!
我出生在一个网络专业(不是一天的网络管理),还研究了各种网站开发(为了赚钱吃),第一次触摸安全是在11年,当时为了解决一个.net应用程序错误的问题(sqli .)我无法摆脱安全,我已经通过D,Yujian,wvs,metasploit等。我有两家着名的安全公司,一家国有企业,目前在一家橙色公司工作。
从公司在公司的不经意的一天,和厨房里的朋友们从菜刀吹几个数字来分析各种木马,开发代码,利用漏洞,然后进入聚会考虑如何“正确”回应企业。安全问题,虽然是一路小跑,但也在一步一步找到了一点方向和理解,干脆聊天,不喜欢喷〜
从B到A的过渡的初衷发生在国有企业停留的那一年。虽然国有企业确实是B党的工作,但是当他们第一次去的时候,他们发现公司的网络被所有“兄弟”都很悲惨,甚至更多的公司的通讯录,直接找到我的联系方式信息,嘲笑/威胁..当时我很生气地做好了安全工作,但我一直没有等待我的计划部署它已经由国有企业的所有知名事物所做。好点。
离开岗位后,我想了一个多月。即使我部署了具有乙方特色的保护计划,也无济于事。它最多增强了某些地区的攻击捕获和拦截能力,并没有提高整个公司的安全水平。有许多与技术无关的技术,如业务,系统,合规性,通信等,与技术无关。许多程序真的无能为力。一遍又一遍地考虑,我决定全身心投入甲方,弥补学习不足,更负责任,更耐嚼。
甲方的安全涉及太多领域。在作者所在的公司中,安全性涵盖技术,业务,合规性,法律事务和许多其他主要部门,但一个技术部门涵盖开发,运营和维护以及运营。平台等小平台可分为waf,app类,无线,漏洞分析,入侵检测,src等小包。此外,某些领域没有涵盖这种划分,也不合理。
甲方的安全是一个系统的存在,即安全团队内部的系统建设,以及安全处理过程的系统管理,以及与其他部门沟通和安全的系统程序。
正如我所说,甲方的安全性太复杂,没有人可以覆盖所有需要关注的领域,所以我只列出我在甲方关注的一些方面的问题。 安全资产清理
这里我们还将人员视为企业安全操作中的资产。安全资产始终是企业伤害。从黑暗时代的各种企业漏洞到各个圈子的秘密,所有这些都表明,没有多少公司可以真正找出自己的资产。这里提到的资产是广泛而动态的概念。 资产不一定只是在线/离线服务器,它们可能包括合并和收购,扩展业务线,协作实验项目,可能是公司员工,外包员工,临时实习生或新的购买设备,替代运营商的出口,更多可能是用于测试几个小时的开发接口,用于临时应用程序的域名等。这些是具有有限可控性的实时资产,当数据溢出到某个时当您处于未知资产时,安全性存在风险成为几何倍数。其中一个最直接的例子是经验丰富的白帽经常在新业务和兼并和收购中挖掘漏洞。风险不是那么大吗?它会让人筋疲力尽,但这是一切的基础,必须要做! [本文来自先知技术社区定居账号安全脉冲栏发表文章的作者:redflog 转载注明来源安全脉搏] 漏洞扫描
扫描扫描看起来很简单,事实上,它并不是那么容易,每一方都应该有着名的商业泄密,并且还可以自己编写方式,这真的很难用破解版的wvs哦。 乙方签订渗透测试协议,表明渗透过程中不存在任何风险。但如果在线业务被扫除,甲方的问题即将来临!后果可能是不可接受的处罚。一家公司的一位朋友告诉我,每个季度的在线扫描,操作和维护,开发和操作都必须由爷爷请教奶奶询问,这样每个人都可以签名/出席扫描,遇到不好通讯。一块面砖。 这是甲方的常见问题。我们的解决方案只能减少poc损坏的程度,减少线程,扫描区域,并制定备份计划。 有时候,企业的脆弱性比你想象的要大得多!缺少的坑远非如此。清扫部署的位置也非常重要。外部网络,内部网络,测试,专用线路,应用程序应覆盖扫描的位置,以及有多少公司将泄漏扫描放在办公室网络上。到专线申请。对于泄漏扫描的规范,紧急事件的泄漏,扫描能力的评估等,它甚至更加纠结。 漏洞推修
当漏洞被清除时,需要修复漏洞,这也是企业中的一个大问题。 生产环境修复涉及业务迁移和波动,如何沟通和解决问题,使老板确定问题是一个问题; 测试环境的漏洞是无穷无尽的,找到的不仅仅是修复问题;如果漏洞未及时修复,但风险非常高,如何分配安全功能以专注于这些威胁或问题。 作者在孔修复问题上遇到了太多的问题,并且有各种原因。简而言之,孔修复比B渗透报告中的线要复杂得多。 安全审计
甲方是一项大生意,有很多应用程序。许多安全措施无法立即进行干预。这一次,审计需要帮助。有许多安全审计对象。从技术上讲,您可以登录。操作命令,网络,进程,日志,文件等,但审计技术本身并不那么简单,审计数据来自何处,如何传输,如何防止篡改,如何确保覆盖率和生存率等问题是必须有一个计划。 是否会在一定时间增加业务应用程序的压力,如何实时存储审计数据,如何交叉链接多个审计数据源的威胁信息等,可以考虑并解决,最重要的是,审计规则如何有效和准确,如何捕获/定义例外和违规?我和我的朋友讨论了关于安全审计规则的配置文件,评分系统,异常比例,机器学习等。但是,在业务场景的实际应用中,目前还没有特别好的通用方法能够兼容效率,性价比,报警精度等方面的需求,只能不断优化,不断探索。 安全规范
安全规范也是一个非常广泛的事情,这里只提到我在工作中遇到了几点,比如 在线登录规范(Party的朋友估计员工的私钥随处可见); 部署规范(不相关的文件存储在服务器的各处); 数据规范(数据隐私级别的制定和访问和存储方法); 模板安装规范(是否使用通用密码,是否存在硬编码密码问题); 代码规范(未解释); 制定在线规范�� 每种规范都值得仔细考虑,制定和规范其他人的实施并不是安全部门。好的,发展和安全。由于标准中“打架”的问题,估计它已成为甲方餐后的消遣,以及规格需求和操作维护的问题。开发,多个部门进行谈判,挤压过程只能用唉来描述,但这也是一个必须面对的问题。 安全建设
安全建设也是甲方非常重要的问题。有人曾经说过,在甲方,安全是基本资源,如空气和水。确实是这样的。通常没有人注意安全,但一切都是致命的。 如何让大家关注安全系统的变化和运行,以及各种安全平台,帮助安全部门更好地运行安全,这需要安全建设。 安全构建涉及资产平台,漏洞平台,扫描平台,事件处理平台和警报规则平台的构建。并不是说所有必须建造,需要根据实际情况选择。 但您需要知道每个平台都需要依赖数据流,然后数据流中涉及的所有方面可能暂时无法确认!建立游轮并不是一件简单的事。 应急止血
当服务器出现异常时,您需要手动登录才能进入干预。如果是在线服务问题,业务首先是安全的吗? 保险业务可能会导致担心无法在短时间内排除异常情况,甚至会让攻击者有更多时间来攻击内部网或域名,从而失去宝贵的拦截机会。 安全意味着企业可能受到影响甚至被绞死,安全部门必须承担后果。 Party A的朋友需要做的是手动评估这两个成本然后做出选择。 如何紧急止血,可能每个公司都有自己的方法,一些iptables限制,一些加防火墙,一些加网络黑名单,一些直接切热备用,关机离线,这些都需要一方认真考虑, 包括与其他领域相关的取证取证,攻击源追踪分析,攻击源重新审核,服务器无害确认等都需要非常困难的工作,而不仅仅是关闭网络电缆。 红蓝对抗
当甲方的安全已经完成了几年并且没有发现入侵时,将出现新的安全问题。是因为安全性好还是因为找不到它? 因此,渗透测试需要添加到安全的豪华套餐中。渗透团队开始了他们自己的红色和蓝色对抗,并没有穿透团队进行商业渗透测试。 但是,这两者都有自己的问题。自我支持的红色和蓝色对抗实际上是一种相对安全的解决方案。它可以检测内部威胁,尽可能地暴露安全问题,并减少渗透造成的不确定性。 但是如何建立蓝军行动以及自营蓝军如何涵盖所有业务场景,以及发现所有危险点成为该解决方案的核心问题。另外,因为它太靠近公司,蓝军的渗透自然会缩小攻击范围。内核的几点(大多数企业安全是外部硬和软),导致渗透测试覆盖不完整。 另一方面,商业渗透具有强大的攻击模拟,可以有效地验证外部入侵的杀菌链是否得到有效关注。但是,由于时间短,业务理解不足,会出现一些问题,无法揭示所有攻击情况。 因此,如何将内部蓝军和外部业务渗透融入红蓝对抗的企业安全试金石已成为关键考虑因素。 人才招聘
这是一个有趣的话题。当我在乙方时,我已经招募了公司的安全部门。招聘是求职者的一个问题。事实上,对于甲方安保公司来说,这也是一个问题。 有一个安全的圈子,拉我在圈子里众所周知的奶牛超出了我的讨论范围。需要解决的问题是加强团队在某个领域的能力差距或平衡工作量。 招聘时,前者应以硬实力为基础,评估是否可以承担甲方的相应工作。后者需要检查访谈员的安全普遍能力,如脚本,漏洞理论,简单的故障排除/修复能力。 为了安全起见,我认为区分好班级或狂野班级并不好。能力,潜力和团队合作是最重要的调查标准。 面试过程不应该自问面试官。面试官应该解释能力输出。面试官将指导细节并判断其是否真实。目前安全的求职和从业者确实有点混乱,有硬实力,CTF球员,白帽子,新手初学者,以及自己的假装是自己的案例,没有像混合圈这样的主动学习能力的傻瓜,只有简单技巧但雄辩也有人想要洗白,而且没有顾客。如何识别,甲方安全确实是一个难题。 我有很多这样做。我只想与坚持参加甲方的小伙伴,特别是乙方的朋友交流经验。如果他们在甲方安全,他们可以考虑更多,减少一些坑。 安全并不容易,而且很珍惜。甲方的安全必须与业务需求密切相关。服务器日战技术当然是重要的,但是有效地将安全能力输出到企业安全并提高业务场景下的安全水位是甲方的安全。重要的方式。 [本文来自先知技术社区定居账号安全脉冲栏发表文章的作者:redflog 转载注明来源安全脉搏]
正如我所说,甲方的安全性太复杂,没有人可以覆盖所有需要关注的领域,所以我只列出我在甲方关注的一些方面的问题。 安全资产清理
这里我们还将人员视为企业安全操作中的资产。安全资产始终是企业伤害。从黑暗时代的各种企业漏洞到各个圈子的秘密,所有这些都表明,没有多少公司可以真正找出自己的资产。这里提到的资产是广泛而动态的概念。 资产不一定只是在线/离线服务器,它们可能包括合并和收购,扩展业务线,协作实验项目,可能是公司员工,外包员工,临时实习生或新的购买设备,替代运营商的出口,更多可能是用于测试几个小时的开发接口,用于临时应用程序的域名等。这些是具有有限可控性的实时资产,当数据溢出到某个时当您处于未知资产时,安全性存在风险成为几何倍数。其中一个最直接的例子是经验丰富的白帽经常在新业务和兼并和收购中挖掘漏洞。风险不是那么大吗?它会让人筋疲力尽,但这是一切的基础,必须要做! [本文来自先知技术社区定居账号安全脉冲栏发表文章的作者:redflog 转载注明来源安全脉搏] 漏洞扫描
扫描扫描看起来很简单,事实上,它并不是那么容易,每一方都应该有着名的商业泄密,并且还可以自己编写方式,这真的很难用破解版的wvs哦。 乙方签订渗透测试协议,表明渗透过程中不存在任何风险。但如果在线业务被扫除,甲方的问题即将来临!后果可能是不可接受的处罚。一家公司的一位朋友告诉我,每个季度的在线扫描,操作和维护,开发和操作都必须由爷爷请教奶奶询问,这样每个人都可以签名/出席扫描,遇到不好通讯。一块面砖。 这是甲方的常见问题。我们的解决方案只能减少poc损坏的程度,减少线程,扫描区域,并制定备份计划。 有时候,企业的脆弱性比你想象的要大得多!缺少的坑远非如此。清扫部署的位置也非常重要。外部网络,内部网络,测试,专用线路,应用程序应覆盖扫描的位置,以及有多少公司将泄漏扫描放在办公室网络上。到专线申请。对于泄漏扫描的规范,紧急事件的泄漏,扫描能力的评估等,它甚至更加纠结。 漏洞推修
当漏洞被清除时,需要修复漏洞,这也是企业中的一个大问题。 生产环境修复涉及业务迁移和波动,如何沟通和解决问题,使老板确定问题是一个问题; 测试环境的漏洞是无穷无尽的,找到的不仅仅是修复问题;如果漏洞未及时修复,但风险非常高,如何分配安全功能以专注于这些威胁或问题。 作者在孔修复问题上遇到了太多的问题,并且有各种原因。简而言之,孔修复比B渗透报告中的线要复杂得多。 安全审计
甲方是一项大生意,有很多应用程序。许多安全措施无法立即进行干预。这一次,审计需要帮助。有许多安全审计对象。从技术上讲,您可以登录。操作命令,网络,进程,日志,文件等,但审计技术本身并不那么简单,审计数据来自何处,如何传输,如何防止篡改,如何确保覆盖率和生存率等问题是必须有一个计划。 是否会在一定时间增加业务应用程序的压力,如何实时存储审计数据,如何交叉链接多个审计数据源的威胁信息等,可以考虑并解决,最重要的是,审计规则如何有效和准确,如何捕获/定义例外和违规?我和我的朋友讨论了关于安全审计规则的配置文件,评分系统,异常比例,机器学习等。但是,在业务场景的实际应用中,目前还没有特别好的通用方法能够兼容效率,性价比,报警精度等方面的需求,只能不断优化,不断探索。 安全规范
安全规范也是一个非常广泛的事情,这里只提到我在工作中遇到了几点,比如 在线登录规范(Party的朋友估计员工的私钥随处可见); 部署规范(不相关的文件存储在服务器的各处); 数据规范(数据隐私级别的制定和访问和存储方法); 模板安装规范(是否使用通用密码,是否存在硬编码密码问题); 代码规范(未解释); 制定在线规范�� 每种规范都值得仔细考虑,制定和规范其他人的实施并不是安全部门。好的,发展和安全。由于标准中“打架”的问题,估计它已成为甲方餐后的消遣,以及规格需求和操作维护的问题。开发,多个部门进行谈判,挤压过程只能用唉来描述,但这也是一个必须面对的问题。 安全建设
安全建设也是甲方非常重要的问题。有人曾经说过,在甲方,安全是基本资源,如空气和水。确实是这样的。通常没有人注意安全,但一切都是致命的。 如何让大家关注安全系统的变化和运行,以及各种安全平台,帮助安全部门更好地运行安全,这需要安全建设。 安全构建涉及资产平台,漏洞平台,扫描平台,事件处理平台和警报规则平台的构建。并不是说所有必须建造,需要根据实际情况选择。 但您需要知道每个平台都需要依赖数据流,然后数据流中涉及的所有方面可能暂时无法确认!建立游轮并不是一件简单的事。 应急止血
当服务器出现异常时,您需要手动登录才能进入干预。如果是在线服务问题,业务首先是安全的吗? 保险业务可能会导致担心无法在短时间内排除异常情况,甚至会让攻击者有更多时间来攻击内部网或域名,从而失去宝贵的拦截机会。 安全意味着企业可能受到影响甚至被绞死,安全部门必须承担后果。 Party A的朋友需要做的是手动评估这两个成本然后做出选择。 如何紧急止血,可能每个公司都有自己的方法,一些iptables限制,一些加防火墙,一些加网络黑名单,一些直接切热备用,关机离线,这些都需要一方认真考虑, 包括与其他领域相关的取证取证,攻击源追踪分析,攻击源重新审核,服务器无害确认等都需要非常困难的工作,而不仅仅是关闭网络电缆。 红蓝对抗
当甲方的安全已经完成了几年并且没有发现入侵时,将出现新的安全问题。是因为安全性好还是因为找不到它? 因此,渗透测试需要添加到安全的豪华套餐中。渗透团队开始了他们自己的红色和蓝色对抗,并没有穿透团队进行商业渗透测试。 但是,这两者都有自己的问题。自我支持的红色和蓝色对抗实际上是一种相对安全的解决方案。它可以检测内部威胁,尽可能地暴露安全问题,并减少渗透造成的不确定性。 但是如何建立蓝军行动以及自营蓝军如何涵盖所有业务场景,以及发现所有危险点成为该解决方案的核心问题。另外,因为它太靠近公司,蓝军的渗透自然会缩小攻击范围。内核的几点(大多数企业安全是外部硬和软),导致渗透测试覆盖不完整。 另一方面,商业渗透具有强大的攻击模拟,可以有效地验证外部入侵的杀菌链是否得到有效关注。但是,由于时间短,业务理解不足,会出现一些问题,无法揭示所有攻击情况。 因此,如何将内部蓝军和外部业务渗透融入红蓝对抗的企业安全试金石已成为关键考虑因素。 人才招聘
这是一个有趣的话题。当我在乙方时,我已经招募了公司的安全部门。招聘是求职者的一个问题。事实上,对于甲方安保公司来说,这也是一个问题。 有一个安全的圈子,拉我在圈子里众所周知的奶牛超出了我的讨论范围。需要解决的问题是加强团队在某个领域的能力差距或平衡工作量。 招聘时,前者应以硬实力为基础,评估是否可以承担甲方的相应工作。后者需要检查访谈员的安全普遍能力,如脚本,漏洞理论,简单的故障排除/修复能力。 为了安全起见,我认为区分好班级或狂野班级并不好。能力,潜力和团队合作是最重要的调查标准。 面试过程不应该自问面试官。面试官应该解释能力输出。面试官将指导细节并判断其是否真实。目前安全的求职和从业者确实有点混乱,有硬实力,CTF球员,白帽子,新手初学者,以及自己的假装是自己的案例,没有像混合圈这样的主动学习能力的傻瓜,只有简单技巧但雄辩也有人想要洗白,而且没有顾客。如何识别,甲方安全确实是一个难题。 我有很多这样做。我只想与坚持参加甲方的小伙伴,特别是乙方的朋友交流经验。如果他们在甲方安全,他们可以考虑更多,减少一些坑。 安全并不容易,而且很珍惜。甲方的安全必须与业务需求密切相关。服务器日战技术当然是重要的,但是有效地将安全能力输出到企业安全并提高业务场景下的安全水位是甲方的安全。重要的方式。 [本文来自先知技术社区定居账号安全脉冲栏发表文章的作者:redflog 转载注明来源安全脉搏]
- 发表于 2017-09-16 08:00
- 阅读 ( 714 )
- 分类:黑客技术
你可能感兴趣的文章
相关问题
0 条评论
请先 登录 后评论
