本篇是之前参与的一个小密圈的作业。
1、梳理内外部所有资产列表(越全越好),如何收集?
先申明一下我理解的这里的资产的含义哈,应用系统(包括web应用和移动应用),它所使用的操作系统和版本、中间件和版本、框架和版本等等。
有的公司应该有资产管理平台,可以通过该平台获取,但是可能会不全面,一个是数量不全,一个是你需要的信息不全(我们公司是两样都占)。
你还可以让资产所有者反馈,但是一般没人理你(我以前发邮件让人反馈就没人搭理),或者是建立一个别人不得不反馈的流程机制,比如新系统上线前必须进行渗透测试,你就可以借机收集资产信息。但是这种方式太被动了,一旦流程不到位,很容易跳过这一环。
另外主动的方式就是自己找了,用工具扫什么的。
2、漏洞如何管理,如何推动修复,用什么工具?
漏洞最重要的是要修复,你挖了一堆洞,结果没人修,工作不就白做了。
最好建立漏洞跟踪闭环机制,从开始挖漏洞,到通知开发修复(同时给出截止日期),开发修复后验证,验证修复的关闭,没修复的继续修。
以前我是用excel表格统计,现在是用jira平台,可以定期发邮件提醒相关人员漏洞情况。
至于如何推动修复,我的经验是先给开发提供充分的支持,不知道怎么修的教,不想修的直接邮件抄送领导们(尤其加上大领导,有的大领导很重视安全问题),讲清后果,让领导来催。甚至可以将漏洞修复的指标跟绩效挂钩,延期修复的扣分。
还有,重复出现的漏洞也要发邮件通报给领导或者扣分。
3、如何提升漏洞的挖掘能力?
我们公司漏洞的挖掘是来自三方面,一是渗透测试人员自己挖,但是测试人员能力有限精力有限,而且一轮一轮下来很容易产生倦怠情绪,觉得自己测过这么多遍的系统不会有事情,就不认真仔细的看了,可以结合其他两种方式。
二是买外面的渗透测试服务,但是也要注意选择厂商,我们去年选择的厂商就派了几个刚毕业的小朋友来,感觉没有挖出很大价值的漏洞来。
三是SRC,我们是整个集团统一有一个SRC,属于我们公司的漏洞会通过平台邮件通知我们去跟踪推动。
4、内部推动SDLC流程,在上线前解决大部分的问题。
我们公司的SDLC流程包括了安全培训、需求评审、安全设计、代码审计、安全测试几个阶段。
对于开发团队的共性安全问题可以开展专门的安全培训,教给大家怎么避免出现该问题。
需求评审可以是线下的,也可以是线上的,可以整理一个在需求评审阶段必要的检查清单。
安全设计阶段包括了架构评审,同样整理一个检查清单,可以跟需求评审阶段的表合成一个。
代码审计阶段有安全编码规范,还要过代码扫描工具的检测。
安全测试阶段就是上线前先进行一轮的渗透测试,漏洞修复后才能上线。
以上过程中,检查的部分还要有一个核对的过程,保证说的和做的一致才行。
要将这些阶段整合到公司的开发&发版流程中,使用管理类的工具跟踪。
网友评论