最近從乙方安福實(shí)驗(yàn)室轉(zhuǎn)入甲方的業(yè)務(wù)安全部門(mén)。接觸了一些業(yè)務(wù)安全的運(yùn)維工作后，也對(duì)自己的業(yè)務(wù)優(yōu)化方向進(jìn)行了思考。

資產(chǎn)統(tǒng)計(jì)和變更

這段時(shí)間正好FastJson漏洞百出。因?yàn)楣P者所在的甲方屬于一定規(guī)模的互聯(lián)網(wǎng)公司，所以最近與各事業(yè)部通宵合作，進(jìn)行漏洞修復(fù)。

公司本身?yè)碛袕?qiáng)大的統(tǒng)計(jì)平臺(tái)和相對(duì)成熟的資產(chǎn)規(guī)格，但統(tǒng)計(jì)和升級(jí)受影響的資產(chǎn)需要大量的時(shí)間。

例如，自己公司的It資產(chǎn)連接到自動(dòng)化操作和維護(hù)，并采用基于ES群集的平臺(tái)。資產(chǎn)變更可以及時(shí)以*鍵為基準(zhǔn)納入全球搜索，便于未來(lái)搜索和資產(chǎn)統(tǒng)計(jì)、未來(lái)自動(dòng)升級(jí)和部署。

但是，統(tǒng)一安排這些變化的方法也存在一些問(wèn)題。其中之一是，如果Agent部署平臺(tái)和Agent本身存在問(wèn)題，如果不及時(shí)恢復(fù)，本身的大小不會(huì)很小，這可能會(huì)影響全球資產(chǎn)的恢復(fù)進(jìn)度。

因此，有多種資產(chǎn)升級(jí)/變更/測(cè)試方案，輕量級(jí)/重量級(jí)方案可能會(huì)相互制約，所以我認(rèn)為需要盜竊。

此外，整理內(nèi)部網(wǎng)Git資產(chǎn)，通過(guò)代碼掃描找到可能存在的漏洞和服務(wù)，也可以輔助受影響資產(chǎn)的統(tǒng)計(jì)。

自動(dòng)檢測(cè)認(rèn)證

對(duì)于大甲方，安全團(tuán)隊(duì)在研究新出的漏洞Poc、對(duì)IT資產(chǎn)安全性進(jìn)行自檢時(shí)，如果按照正常程序進(jìn)行，可能需要先進(jìn)行任務(wù)申請(qǐng)升級(jí)，然后向整個(gè)集團(tuán)發(fā)送郵件，最后掃描。

但是，在相對(duì)緊急的漏洞緊急情況下，部門(mén)間協(xié)作的情況下，經(jīng)常會(huì)來(lái)不及完成所有流程。

筆者還見(jiàn)過(guò)研發(fā)、運(yùn)維等部門(mén)。因?yàn)橥蝗徽业搅斯鬖og，半夜嚇了一跳，去保安部門(mén)確認(rèn)攻擊的來(lái)源是否屬于內(nèi)部自檢。

那么，如何為此進(jìn)行優(yōu)化呢？

很多大公司有時(shí)采用統(tǒng)一簽名和加密機(jī)制，或者自己構(gòu)建單獨(dú)的平臺(tái)，以確保傳輸加密的可靠認(rèn)證。

筆者盜用這一點(diǎn)可以參考。如果可以進(jìn)行一定范圍的成本管理，則每次執(zhí)行自動(dòng)安全檢測(cè)時(shí)，都可以將加密的認(rèn)證信息添加到測(cè)試數(shù)據(jù)包頭，作為內(nèi)部安全檢測(cè)的信號(hào)。每個(gè)BU都可以更容易地識(shí)別實(shí)際的攻擊事件。

敏感數(shù)據(jù)泄漏控制

據(jù)悉，防止敏感數(shù)據(jù)泄露和事后責(zé)任追蹤一直是甲方比較重視的一點(diǎn)，大致有這樣的方案。

1.防止DLP數(shù)據(jù)泄漏

DLP軟件一般是為了尋找公司敏感數(shù)據(jù)外部分發(fā)，對(duì)數(shù)據(jù)流量?jī)?nèi)容進(jìn)行監(jiān)控審核，目前市面上也有很多成熟的合規(guī)產(chǎn)品。

2.堡壘機(jī)

最近機(jī)具有監(jiān)控、數(shù)據(jù)傳輸限制、全屏錄制等功能，結(jié)合查詢(xún)系統(tǒng)的水印功能，可以在一定程度上防止數(shù)據(jù)泄漏，并跟蹤泄漏源。

3.數(shù)據(jù)脫敏

存儲(chǔ)和顯示敏感數(shù)據(jù)時(shí)，本身要做好脫敏工作，加密數(shù)據(jù)，進(jìn)行不完整的展示，防止內(nèi)鬼和意外泄露事件。

4.數(shù)據(jù)監(jiān)控

Github監(jiān)控和輿論監(jiān)控等產(chǎn)品，但不能有效地抑制數(shù)據(jù)泄露。但是，在防止數(shù)據(jù)擴(kuò)散和跟蹤數(shù)據(jù)泄漏來(lái)源的層面上，這可能很有用。

如果不僅能綜合利用多種產(chǎn)品，還能共同利用企業(yè)本身的安全管理規(guī)范，那么一定程度上就能保證數(shù)據(jù)安全。

產(chǎn)品檢查過(guò)程

本來(lái)乙方安全測(cè)試崗位上需要對(duì)產(chǎn)品進(jìn)行安全檢查的時(shí)候，隨便咨詢(xún)資深相關(guān)產(chǎn)品、售前或研發(fā)，基本上都可以問(wèn)。

但是現(xiàn)在的甲方安全運(yùn)維真的很了不起。(威廉莎士比亞、哈姆雷特、《安全名言》)工作流微調(diào)和記錄后，如果需要進(jìn)行安全測(cè)試，就要逐個(gè)詢(xún)問(wèn)多個(gè)QA/RD/PM，一點(diǎn)一點(diǎn)地挖掘要求和設(shè)計(jì)方案。最后，必須找到、補(bǔ)充和補(bǔ)充API文檔本身，才能進(jìn)行下一步。大衛(wèi)亞設(shè)(David Assell)，Northern Exposure(美國(guó)電視新聞)。

筆者這兩天還訪(fǎng)問(wèn)了非互聯(lián)網(wǎng)甲方，和負(fù)責(zé)安全的Leader朋友聊天，產(chǎn)品在線(xiàn)遵守的重要性確實(shí)比安全遵守優(yōu)先得多。當(dāng)然，這也是不得已的事。

一般來(lái)說(shuō)，法規(guī)遵從性有助于梳理流程，簡(jiǎn)化有助于加快產(chǎn)品在線(xiàn)速度，各有各的好處。

當(dāng)然，筆者見(jiàn)識(shí)有限，不能窺一斑而見(jiàn)全豹。但是總的來(lái)說(shuō)，確實(shí)可以根據(jù)其他產(chǎn)品的實(shí)際情況對(duì)流程進(jìn)行變通。

后期

以上只是簡(jiǎn)單談了幾段感情，這方面的工作履歷還很淺，期待各路讀者斧頭和教導(dǎo)。

*作者：dawner、FreeBuf。在COM上再現(xiàn)