Archive for the ‘随笔杂谈’ Category.

帝都国贸三期来过~

新年快乐!

新年快乐!朋友们!

近期情况

国庆期间终于学会了一直没掌握的几个问题,这种感觉太爽了~

为了这个我真的绕了很长很长的路,踩了很深很深的坑,几年,早遇到多好,不过已经解决了,欣慰啊。

现在重点放在漏洞分析和fuzz这块~ 还有一个季度,工作内容有变换,很可能到云安全团队啦。

我对甲方安全的理解(一)

technology

随着工作经验的增长,对信息安行业的了解也慢慢的加深,一直想写出个一两篇文章,但文笔又实在是太差,平常也很少对行业的发展方向乱下结论或者不负责任的点评。

近几年也是一直在学习的路上,大学进入开始对软件破解逆向照着葫芦画瓢玩儿了几年,来现单位从事web安全,
后来在服务端团队度过漏洞分析,风险评估,漏洞挖掘,之后又学习移动安全团队从事android安全,
又机缘巧合从事安全运营这个摊子上来了,前乙方公司做售前技术支持,后来专业甲方公司做安全防御一线上,
也算是不能说精通也有一定的经验可谈。现把问题抛出来,望各位同行一起加入讨论。

今天下班刚好闲来没事,前些日子群里聊起甲方安全如何去做兴致讨论了一番,今天就写出来吧。

在甲方做好防御工作其实远难于漏洞挖掘挖掘,很多挖到漏洞的人总是满怀调侃语气的说 “你看,这厂商对安全太不重视了,我挖到了一个安全漏洞,他们修复一个,再挖一个同样的问题,他们再修复那个。”
导致这样问题的结果厂商终究会为此负责任,但是仔细了解下来造成这问题的原因也不简单。

从长远看来攻方还是占据一定的优势的,其中攻方需要更多的精力时间投入在于努力学习,提高自己的攻击技术能力等水平。
厂商就不一样了,厂商需要做的工作就很多了,一个大厂商几千人的公司,最简单来说吧,至少设计出一个合理的网络安全架构,安全编码标准
,研发流程定制,资产识别,IT运营,异常监控,员工安全意识培训,还有自身安全团队的建设及能力的提升等等等等
这些工作大部分是基础建建设上,还有个要命的是安全运营,应急响应等这些脏乱差的活儿大家都不愿意干,一是重复性劳动较多,
二是作为专业安全人员更愿意做漏洞挖掘,更觉得安全研究这个工作看起来更挑战一些,大家都知道谁也不愿意盯着海量告警中
识别出来的一条安全线索持续的分析和跟进,日复一日,人的精力会被这种基础性分析工作而疲惫不堪,而KPI也看起来不是很显著的眼前一亮。

其实做企业的应该心里非常清楚如何保证业务稳定上升发展,利润达到最大化。
就按普通网民来说在家每天最主要工作是上班,赚钱,养家,肯定不会天天去想如何防盗,如何加装监控系统,如何选用最好的锁来锁住自己家门。
偷盗者反而会天天盯着你们家大门什么时候忘了上锁,什么时候窗户忘关了这个逻辑是说的通的。

做安全防御KPI驱动是问题,另一问题就是攻方们的获取利益的欲望了,想一想如果你没有对网络安全有着非常强大的热情来做防御工作,如何能和天天想赚钱的黑客们比呢? 这其实也是对做防御工作的一线工程师们基本素质要求了。 真正喜欢安全的人才能胜任这工作。

白帽子和厂商精彩吵架,不过白帽子也希望理解厂商的难处,一般都是低效率的沟通导致厂商恨白帽子,白帽子骂厂商等情况。
如果还是觉得不服气可以拉到甲方,搞几次应急,就知道防御不好搞了。

要在一家厂商,如果你是一个成功的leader的话你至少以下工作你做的好那就是非常了不得一件事情了。
如果你的团队,就是安全部门跟IT团队,运维,开发团队配合的好,执行安全部门的标准和准则那你的安全之路上的阻碍将会大幅度减少,不过至少我到现在还没看到。更何况有些企业,安全时挂在IT部门,信息化部门,运维部门,那这安全做的难度将会非常大,除非你有一栏狂澜的能力来把控局面。
如果你现在无法改变这局面我给你一个建议不妨试试这个办法,对漏洞进行分析,得出风险评估报告,对运维工作施加压力,有必要时候使用安全事件来获得威望,对安全漏洞造成的损失加以评估出来责任强制推给开发团队和运维人员,这样一来他们开始对安全人员有一定的敬畏之心,运维最大的职责就是保持系统稳定不出问题,你恰好利用这点来推动你的安全工作。

但是运维和安全又是一个离不开的话题,安全如果想要做好,那就得看IT基础架构搭建好不好,在这个基础上安全运维自动化,运维和安全目标绑定一起,结合业务开发自动化的安全工具或者第三方产品引入到安全运营平台上来。你要对企业的资产要明晰,了解自己的业务,不懂业务的安全工程师也很难与业务进一步沟通提供有效的解决方案,如果你自己多少资产都不知道的话只能攻方帮你清点有多少资产可以入侵了,攻方通过各个信息系统去刺探和收集信息来通过不同维度进行分析和了解你业务,这样一来攻击者比你还了解你企业了你还谈何防御。

随着企业的规模增大,员工的安全意识越来越会薄弱,这时候开始对内部进行安全教育是尤为重要了,可以通过新员工入职时对员工进行安全意识教育强制培训,对研发人员提供代码红线,编码规范,定期进行安全技术培训。对技术人员的职位晋升强加一个安全能力的考评,如果达不到那就晋升收到障碍,产品部门和研发部门红黑榜进行通报等非技术手段让安全意识灌输到员工脑子里。

如果对安全上要求过高那就得牺牲产品的用户体验,所以在这个问题上一定要找好平衡点,既能产品功能影响不大,又能保证安全。
如果失去安全,得到了用户体验,与产品妥协,最终造成了严重的安全问题,这责任你还是要负责的,至少是职业道德上是这样的,毕竟保障安全是你的职责,这时候你找产品理论,你真的比窦娥还窦娥了,相信我!

企业安全防御可不是简简单单的扫描漏洞,修复漏洞就完事,我的理解是这是一个不断持续的过程,从被动防御到主动出击的过程,一个不断的建设防御体系的过程,一个项目推动完成目标的过程,一个持续的安全运营的过程。

攻防只是安全业务线上的必不缺少的一环,但绝对不是所有,你要想如何做好安全防御工作那你首先想好我所做的工作的商业价值在哪?用何种方式体现?
对安全的理解很大一部分是对一个企业的安全发展路能走多远有必然的关系。

自从有了攻防的对抗,没有一个攻不破的系统,厂商是在一定程度上可以容忍入侵和受攻击的,在企业大家都玩儿挖漏洞,安全研究,挖到很赞的漏洞,你没勤快的把这项技术合理的运用在安全防御上,你的团队被攻破,这其实一件很尴尬的事情。我老板说在这样的团队你挖到的漏洞再好,再厉害耶恐怕很多人不认为你厉害了,难道不是吗?

ayazero说的单点防御技术–》系统化防御架构–》全局的安全管理 这个理论我还是比较赞同的!今天就记录到这吧,想写的东西其实也不少,企业安全防御包罗万象,变幻莫测,瞬息万变,很难一两篇文章能形容和阐述明白,大部分还是实践中得到证实,灵活运用,结合自己的实际情况进行安全目标制定,啰哩啰嗦的写了一堆,也没什么重点,有用的观点吸收,没用的观点拍砖~ 欢迎通过关注我的微博:http://weibo.com/bincker 或者微信bincker一起交流,2016-5-16,北京

传播一下正能量

弱者总是一味地嫉妒和吐槽,总是看不惯别人好。他永远都不知道别人付出了多少苦累才拼得那一点点的成功,永远都不思考自己与别人的差距在哪,
一旦受挫就怨环境不好、怨命运不公、怨对手太强,最后一事无成。你还有时间在嫉妒和吐槽,说明你还不够努力~

classic