一個人的企業安全建設之路

新聞 07-08

* 本文作者：Sophone，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

前言

如今很多中小型互聯網公司對安全需求不高，安全資源貧乏，領導只重視業務忽略安全，在這種情況下可能安全人員很難立足，推動公司做好安全，從而進入了進退兩難的窘境，目前從事國內某車聯網公司，公司團隊在300人左右，生產伺服器數量在千餘台級別，業務線冗長，以下給各位介紹一下個人的工作經驗：

一、熟悉環境

該部分為後續工作做鋪墊，所以此部分工作也是十分重要的，首先需要有如下三個圖：

1、

架構圖：

第一步就是要了解企業的組織架構，認清哪些部門是跟自己緊密相關的，哪些部門是日後可能開展合作的，安全信息應該發給誰，這些都是十分必要的；

2、

拓撲圖：

第二步是熟悉網路環境，公司之前也可能採購了一些安全設備，這些設備是如何部署的，部署在哪些機房的哪個節點下，會有助於以後故障排查；

3、

業務圖：

第三部是熟悉業務，這也是最困難的，一個企業可能有多個業務，每個業務分部在不同的機房與伺服器上，這些就算無法完全梳理透徹，也要有一個簡單的了解與掌握；

二、基礎安全工作

基礎性的工作不難，但瑣碎，比如：周期性安全測試、設備運維、弱口令審計、外網埠監控、等保測評以及安全策略審批管控等，如何優化做好這部分工作十分重要：

1、

策略管控：

部分業務進展需要安全部門審批，如果對業務非常熟悉的情況下可以堅持安全性的原則去審批，但往往並沒有那麼熟悉，況且還是一個人的情況下，可以先放寬條件，日後再逐步縮緊，但不要成為背鍋俠，該提的原則要提前表明，鍋要先扣到業務部門頭上，這樣才方便做事；

2、

安全測試：

在有限的時間內周期性對重點業務進行滲透測試，每次迭代更新可以選擇性做測試，比如大版本改動時，並且可以將安全測試放在SDL裡面，在SDL階段會介紹我的方式方法，在這不做過多解釋；

3、

設備運維：

起初還是需要了解一下安全設備的，如堡壘機、WAF、IPS 等，不出問題則罷，一旦影響其他用戶使用如堡壘機，就會比較頭疼，建議提前了解好設備處故障的「套路」；

4、

賬號審計：

弱口令是一個極其簡單而威脅程度又特別高的安全隱患，性價比極高，所以關鍵系統的弱口令一定要排除，必然是放在基礎工作之中的；

5、

外網埠監控：

埠監控剛開始可以直接用Nmap掃描，手工肉眼核查，沒有特殊埠開放即可；

6、

等級保護：

這點不需多說了，都是套路~~~

三、優化工作

根據上述基礎工作大致可以看出，某些工作是可以優化的，如果你不優化，自己一個人無休止的搞下去，要麼公司死，要麼你死。

1、

埠監控自動化：

外網埠監控每次都手動掃描，然後人工肉眼核查是特比Low的方式，完全可以靠腳本自動化完成， python裡面包含了Nmap模塊，可以返回掃描結果，效率雖然比直接使用Nmap低一點，但也可以將就，所以第一步就是抽時間寫了自動化的監控腳本，當然也可以藉助巡風這樣的系統去監控掃描；

2、

弱口令死於初始化：

弱口令審計重點把控幾個位置，郵箱、VPN、以及即時通訊軟體（當時我們用的是RTX），其中VPN每次是管理員創建且用戶無法自己修改密碼，一般沒什麼問題；企業郵箱我們在密碼修改功能模塊強制添加密碼複雜度策略，弱口令無法通過；RTX已經棄用，並不需要付出太多精力，這樣一來弱口令審計工作也從此消失。

3、

安全掃描：

如今的AWVS11已經支持Web界面，更加直觀，如果再漢化一下就更加得心應手，既能體現掃描結果，還方便各部門人員使用，可以從一台機器上搭建後由各項目組自行去掃描測試，會變得更加方便。

四、SDL安全開發周期

一個人的SDL安全開發周期？是的，沒錯，安全部門僅一人，如何推動？許多大型互聯網公司舉全團隊之力都難以完成的項目，如何一個人去完成，近期也跟朋友簡單聊過，得到了認可，答案就是「閹割版的SDL」，國外的東西不要照搬，也未必合適，但思路可以借鑒，下面介紹一下個人的思路：

1、

明確目標：

要明確自己的目標，什麼是SDL，自己能做多少，要評估出最終的效果，在我看來 SDL簡單概括就是：減少漏洞頻率、降低人力成本。因為傳統的安全測試基本都在上線前，漏洞不斷重複出現，開發人員再重複修改，效率極其低下。

2、

團隊支持：

其次才是得到各項目組負責人的認可，剛開始大領導支持還好，不支持的話小領導支持一下也不錯，當然要讓他們知道推動SDL的目標是給他們減輕工作量，而不是增加成本。然後從各項目組安排一名「安全負責人」，這樣很多安全工作的落地對接，業務信息的收集就比較方便了，並且還安排他們講問題代碼做整理統計，形成內部的「漏洞庫」，以此作為SDL的基礎。

3、

項目選擇：

項目選擇也十分重要，有些項目領導壓得緊，別說SDL了，正常的安全測試都做不完就需要緊急上線，這種並不適合你自己去搞SDL，可以選擇一個迭代沒那麼快，最好周期性的項目最佳。

4、

安全負責人核心價值：

每個項目組的「安全負責人」作為介面人主要兩方面作用：第一是在開發過程中能看到功能的實現方式，可提前避免出現安全漏洞；第二是在開發後修復漏洞時可以協助安全人員歸納總結，提取案例，將修復後的代碼提取出來供其他項目組參考，這樣無形之中減少了很多溝通與重複擼代碼的成本，後來發現安全負責人這個概念在唯品會有使用。

5、

他山之石：

從測試部門「借人」，做功能測試的人員要比安全測試人員更加熟悉業務，這樣其實更容易發現細微的邏輯漏洞，所以跟測試部門強強聯手也是是非必要的，這塊參考京東的一部分做法。

五、制度推動

具體落地時還會有很多問題，很多工作空口無憑，口頭承諾不代表一定會做，所以有相關制度流程是一種控制措施，但不是完全有效的，比如：

1、所有上線走JIRA，安全審批後才能上線；

2、安全負責人不會平白無故給你幹活，能在制度績效上為他們謀福利一定要去努力；

3、每月定期召開安全月會，請大領導參加，並將目前的安全問題拋出來由大領導拍板定奪；

六、安全意識

最後來說安全意識，也是貫穿始終的，目前以培訓方式為主，地毯式轟炸為輔，盡30%努力去覆蓋70%的成員就覺得已經成功了，做安全不要總想著100%，實際工作主要是：

1**

、平台搭建：**公司內網搭建信息安全中心（包含烏雲的鏡像網站、XSS跨站平台；攻防演練平台、 AWVS遠程掃描、以及巡風系統），來源都是比較簡單的開源系統，但方便推廣，也比較實用一些，主要是有一種歸屬感，起碼有個平台屬於自己；