1、背景
最近發(fā)現(xiàn)很多都在討論一個人的安全部這個話題，兩年前在某A輪互聯(lián)網(wǎng)公司（80人左右的研發(fā)團隊）做過一段一個人的安全部的經(jīng)驗就簡單分享自己的經(jīng)驗。

2、工作環(huán)境
往往也就是自己一個人做安全，通常就放在了測試部門或者運維部門或者開發(fā)部門，你的直屬上級可能是一個經(jīng)驗豐富的開發(fā)大佬、運維大佬、或者有著PMP管理經(jīng)驗的項目經(jīng)理，他們對于安全的理解并沒有那么深刻。
目標就只有一個：安全還是很重要。你來了，安全方面的事情就交給你了，不要再出安全事件了。
由于互聯(lián)網(wǎng)公司往往提倡扁平化管理，公司的Boss對你也是有一定期待的：大家都說安全很重要，你要做好盡量少花錢。

3、 工作計劃
主要系統(tǒng)產(chǎn)品可能包括手機APP包括安卓端與IOS端、幾個對外的網(wǎng)站系統(tǒng)、幾個對內(nèi)的網(wǎng)站系統(tǒng)，涉及幾十臺主機系統(tǒng)。
當務(wù)之急是盡快發(fā)現(xiàn)未知的安全漏洞，先救火再治理分5步走：安全漏洞修復、應用加固、安全開發(fā)、安全測試、安全運營。

4、 安全漏洞修復
首先需要確認范圍從同事們手里拿到當前最新的應用系統(tǒng)清單與開發(fā)的同事確認一下使用了怎么樣的技術(shù)組件等，順便熟悉一下相關(guān)的一些業(yè)務(wù)流程與功能。
需要治理的安全漏洞主要簡單的分為4類：
1.傳統(tǒng)的web安全風險，如常見的sql盲注、cookies注入、多種xss、代碼注入、CSRF、敏感數(shù)據(jù)泄漏、命令執(zhí)行漏洞，文件包含、文件上傳繞過、弱密碼、任意文件下載等；
2.業(yè)務(wù)相關(guān)的安全風險，比如短信借口過濾不嚴格、越權(quán)查詢、配置文件合理、校驗不嚴格、驗證碼爆破、明文傳輸密碼、任意用戶密碼重置等；
3.組件框架類安全風險，比如Struct2命令執(zhí)行、Weblogic組件漏洞、jboss漏洞、ImageMagick命令執(zhí)行、網(wǎng)頁編輯器漏洞、Apace解析漏洞、Nginx解析漏洞等；
4.操作系統(tǒng)類風險，比如windows 338弱口令、MS08-067、http.sys命令執(zhí)行 數(shù)據(jù)庫的弱漏洞、Sqlserver的配置風險等。

企業(yè)安全建設(shè)

剩下的工作就是對每一個系統(tǒng)和應用進行測試、當然也許要借助一些成熟的安全工具進行測試。
當時也想到一些不錯的idea可以偷懶比如Burpsuit聯(lián)動Sqlmap跑接口參數(shù)對測試sql注入與xss就能省下不少工作量、比如使用wvs的web端設(shè)置任務(wù)列表可以半夜掃描、檢查linux配置項可以自己寫shell、github找poc批量測試組件漏洞等等。
其實還是一個比較費時間的工作，一個應用系統(tǒng)差不多一周到二周就測試完畢，畢竟996的工作模式。將發(fā)現(xiàn)的安全問題截圖保存并梳理成excel表格提交給領(lǐng)導，并跟進后續(xù)的整改工作，后來發(fā)現(xiàn)常見的安全問題基本都有，比如一些參數(shù)遍歷可以導致系統(tǒng)所有的訂單數(shù)據(jù)被***、還有短信驗證碼就4位又沒有次數(shù)限制的情況也是很普遍的，想想還是覺得很可怕比較還是有不少個人數(shù)據(jù)。

5、應用加固
安全加固就是相對比較容易一些了，但是風險也是比較大的因為不清楚可能會造成什么樣的影響，所以這個事情之前一定要給領(lǐng)導們說清楚先慢慢測試最后實施的時候出一個整體的方案。
主要包含Linux主機的加固、Windows主機的加固、數(shù)據(jù)庫的策略優(yōu)化、應用加固，其實google一下還是能搜到不少相關(guān)資料具體的流程還是要結(jié)合業(yè)務(wù)流程，內(nèi)容大同小異。
網(wǎng)站應用的防護不想花錢買WAF，只能用開源的，比如有modsecurity、nginx+lua方式。但真講，用起來很費勁！不少地方是需要自己能安全編程能力的。WEB安全，不是一個人可以搞的。所以這里強烈的建議，這一塊多少花錢搞一下。WEB是企業(yè)門面，也是來業(yè)務(wù)的地方。如果是經(jīng)營性網(wǎng)站，安全性更是十分重要。
這里可以推薦兩個WEB產(chǎn)品，便宜，好用：
http://waf.jshaman.com/
http://www.sharewaf.com/
運維安全也是要有才行，既然不花錢買設(shè)備就使用開源的JumpServer，現(xiàn)在都已經(jīng)支持docker部署了，當時我搭建這個還是花了一些時間，有需要的還可以做二次開發(fā)。
https://github.com/jumpserver/jumpserve
接口安全，由于一個應用有很多客戶端比如IOS、安卓端、微信端等多種平臺一套統(tǒng)一的API就顯得格外重要了。由于接口很多參數(shù)的條件過濾不嚴格、權(quán)限控制不嚴格存在較大的安全隱患、整改起來工作量較大，于是想了一個簡單的辦法，對http提交的安全進行加密，主要采用AES加密保證了完整性和保密性，性能消耗也在毫秒級可以忽略不計。
由于有前車之鑒，對圖片上傳的控制就更加嚴格一些，最開始只是準備采用數(shù)據(jù)流的方式加上白名單進行校驗，領(lǐng)導居然還覺得不夠。于是就將所有的圖片重名之后保存在另外的服務(wù)器，數(shù)據(jù)庫當中只關(guān)聯(lián)相關(guān)的訪問的路徑。

6、安全開發(fā)
開發(fā)的各位都是大佬們，當然不能得罪只能小心伺候著。但是安全也還是要做，那就只能提需求了，這里較多的參考了OWASP 指南，與各類編程語言的安全編碼規(guī)范，但是又不能說別人代碼有問題，只能說代碼可以這樣優(yōu)化一下會更好。
代碼審計的設(shè)備還是比較貴的、什么Fortify，Checkmarx就想都不要想了，還好有一些開源的代碼審計工具可以用用。
RIPS：https://sourceforge.net/projects/rips-scanner/
VCG（VisualCodeGrepper）：http://sourceforge.net/projects/visualcodegrepp/
對于編碼完成之后的項目，都可以去跑一下但是涉及到的誤報也是相當?shù)亩?#xff0c;所以靜態(tài)掃描一般就只解決高中風險的問題，自己還要配合開發(fā)大佬們一起看看是不是問題還要說一下要怎么優(yōu)化會更好，開發(fā)大佬是得罪不起的。

7、安全測試
在中小型企業(yè)推SDL落地其實就有點扯淡了，談ISO27001之類的安全體系也沒有那么精力支撐。對上線前的應用系統(tǒng)主要進行安全測試，主要還是部署漏掃工具，主要沒有什么大問題其他都好說。
比如在Kali下面就集成了ZAP、openvas和github上也能找到一些掃描工具重點關(guān)注一些高位漏洞風險大的問題，有預算的可以考慮買了個Appscan或者WVS的商業(yè)版也不是特別貴，pojie版不推薦如果不怕版權(quán)也無所謂。
大版本有較多新代碼的版本就自己手動測試一下，不過還好頻率也不是特別頻繁，發(fā)現(xiàn)的問題及時修正可以在內(nèi)部jira這種缺陷管理工具注冊一個帳號專門來提安全Bug。

8、安全運營
運營工作工作主要分成三個部分：
第一，將日常發(fā)現(xiàn)的安全問題、被各大SRC披露的安全問題及時響應并跟進修復，形成案例庫定期給開發(fā)大佬們交流經(jīng)驗根本不敢說是培訓。
第二，及時跟進一些最新的安全漏洞、最新的***手法督促開發(fā)大佬修補。
第三，總結(jié)工作內(nèi)容，日常給領(lǐng)導匯報體現(xiàn)價值。

9、總結(jié)
一個人的安全部有時候壓力還是很大的，要和很多對安全不是很了解大佬們一起工作總會被嫌棄，感覺是親媽不要后娘不愛的感覺。領(lǐng)導們的想法也很簡單，只要不出特別大的安全事件不花太多錢工作自由度還是比較高的。

轉(zhuǎn)載于:https://blog.51cto.com/14237227/2361899

總結(jié)

以上是生活随笔為你收集整理的中小型互联网企业安全建设漫谈。的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。