企业安全杂谈

视角不同，业务不同，由点到面的方向不同，安全是一个面，各种安全好比一个点，安全是一个点到面的过程

日常工作

• 互联网信息泄露
  使用开源产品监控git泄露，针对公司产品名称，域名，邮箱进行监控
  开源产品例如（以前总结的）
  1.http://gitleaks.com/
  2.https://github.com/UnkL4b/GitMiner
  3.https://github.com/mschwager/gitem
  4.https://github.com/repoog/GitPrey
  5.https://github.com/ezekg/git-hound
  6.https://github.com/dxa4481/truffleHog
  7.https://github.com/shengqi158/svn_git_scanner
  8.https://github.com/0xbug/Hawkeye?
  9.谷歌github bigquery

• 我是用的是Hawkeye

  
  
  image.png
  
  

  主要是爬到关键字可以使用自带的查看详细过程中，使用一些关键字进行搜索敏感信息，例如
  pass OR password OR passwd OR pwd OR smtp OR database

  
  
  image.png

• Web/App/内网渗透测试
  Web使用WVS进行扫描，更主要还是人工为主，主要对大的迭代更新进行测试，业务太多，小变动完全根不过来。
  APP主要使用开源产品来搞定，一般例如Drozer,MobSF，针对IOS使用Idb，相关可以参考http://www.droidsec.cn/移动app漏洞自动化检测平台建设/
  

  image.png

• 应用上线/版本迭代更新安全测试
  上线前使用工具+人工进行测试，对其业务和容易出现问题的地方，（测试多了会发现企业漏洞集中在哪块，现在较多的为XSS，）对于小功能比如活动页面上线，配合开发进行上线前测试，后续也快速迭代。

• 漏洞安全预警/建立知识库

  • 一般关注cncert看漏洞预警，通过钉钉和邮件通报漏洞预警，钉钉主要吧每个部门lead拉倒一起，通告他们，然后进行排查，有问题升级，没问题就那样呗。

• 关于知识库，分为三个方向，
  从主机，应用 数据库建立，不用需求，侧重不同

主机方面，提升运维的应急能力，各种系统的加固方式，比如最新漏洞的处理。
应用方面
主要从linux的中间件下手，进行安全配置和漏洞情况的一些资料讲解，再次可以参考《安全运维那些洞-Aerfa（脱敏版）》

• 安全应急/漏扫系统/IPS/数据库审计
• 安全应急
  目前主要针对业务层面比较多，比如短信接口被刷，和服务器的安全情况处理，这个资料很多了，后续也准备吧一些知识传播给其他部门同事

安全四个能力

1.信息资产管理能力

• 资产情况目前还是从产品那边获取的。后续打算购买成熟产品解决。市面上也很多了
  2.已知问题的防护能力
• 一般出现问题先使用WAF进行拦截，在快速迭代上线，高危漏洞一天内必须修复。
  3.安全事件的发现能力
• 安全问题自己挖坑吧。
  4.新发现问题的修复能力
• 交给开发了

安全管理

• 1)27001： 侧重安全管理
• 2)SDL： 侧重安全开发
• 3)ITIL： 侧重安全运维
• 安全制度/规范
• 安全流程
• 安全检查
• 安全内控
• 安全审计
• 安全月报
  对每个月安全问题进行汇总，汇报给lead
• 安全培训
  • 针对运维人员做系统安全和应急的安全培训
  • 对开发人员讲漏洞和框架安全
  • 对测试人员讲安全测试和测试的区别如何做安全测试
  • 普通人员安全意识，邮件安全，办公安全，无线安全

攻防安全

• 1 应用安全
  • WEB安全
  • APP安全
    - 服务端主要对，AndroidManifest.xml检查，反编译测试，认证机制和组件进行安全测试
    - 客户端对常见漏洞进行测试，主要从身份认证，会话管理，权限管理，数据验证，输入输出下手，
  • 内网主机安全
    目前内网没咋搞，后续打算做域控。
  • 软件开发安全
    开发指定了一些安全开发指南，从框架，编码上去解决部分问题
  • 第三方外包产品安全
    第三方产品目前很多，拿过也按照正常应用一样搞，期间也挖了几个0day，另外就是检查下后门，如果是集成框架就去看看框架有什么问题没
• 2 架构安全
  • 内网监控
    内网最大的安全问题在弱口令上，主要而且开发经常本地搭各种服务，也是最头痛的，目前用的巡风。
  • 网络安全
    目前走的传统路线。面太广了
  • 系统安全
    系统目前架构做了个一套监控，后续打算采用商业HIDS
  • 等保/ISO27001建设
    找的安全厂商做的。
• 3 安全防护
  • WAF
  • 安全运维中心(SOC)
  • 网络入侵检测系统(NIDS)
  • 主机入侵检测系统(HIDS)
  • 蜜罐/github/扫描器/自研安全工具
• 4安全应急响应中心
  • 公众渠道建设
  • 平台漏洞收集
  • 漏洞成因分析
  • 应急响应定期演练
  • 安全编码/攻防技术研究
    -Web安全规范
    • APP安全规范
    • 服务器安全配置
    • 数据库安全培训
    • 标准安全组件开发
    • 语言类安全编码规范

安全建设的五个过程

• 基本能力
  • 基础的访问控制，上线的系统不能包含常见高危漏洞
• 应急能力
  • 安全团队具备一定的攻防能力，有一定应急响应能力，系统化整个过程
• 安全体系化
  • 安全建设的系统化，开发运维，测试，都要有对应的约束流程，在系统的整体上去考虑安全，从全方位出发。
• 业务安全
  • 相比传统互联网安全，更注重的的业务和风控，业务层面的安全需要系统化的去考虑和提出解决方案。
• 业务安全
  • 完整的纵深防御，实现自动化防御和抵抗能力。