0x00前言

先简单说说吧,来了某公司一段时间了,做了很多事也让我成长的很快。但是在公司安全似乎不太被重视,却又不知道如何慢慢建立起来。本文主要阐述的是把小事情做好了一步步往上爬:-)

0x01借鉴

之前ysrc在github上发布过“巡风”这么一套系统:https://github.com/ysrc/xunfeng 里面有详细讲解了搭建的方法,大家可以去看一下。然后这段时间一直忙于搭建,调试等,现在算是搭建好可以使用了

首先使用这套系统的目的是想更清晰的对内部办公网络、及内部服务器的资产管理,想先从内部出发再慢慢延伸到线上(当然了。线上现在采用了第三方厂商的一套系统所以才把心思放在内部上)不用不知道,一使用才发现内部员工会在自己使用的电脑上部署一些cms或者服务

一些没有密码就能访问到的服务


当然了还有很多,这里就不一一列举了

巡风这套系统确实很实用,闲了的时候可以自己写写PoC然后让它定期去进行检测,后期如果时间允许的情况下可能会把UI这一块修改,为了让自己看的更舒服(zhuangbility)

其实不仅限于巡风这一套系统,在github上寻找一些有关资产管理的系统,从中学习该系统的优点,把它们完善与结合在一起。比如https://github.com/Cryin/AssetsView这套系统的好处就是

可对网络设备资产进行扫描、发现、管理,并对设备开发端口、服务、漏洞信息(后续会添加漏洞扫描功能)进行管理,采用Echarts对资产进行可视化展示,并对网络拓扑进行可视化展示、操作!


它的好处就是覆盖了网路拓扑图一目了然,也可以看到ip、主机名、操作系统、mac地址等

前段时间在FreeBuf上有大牛发布过:一个人的“安全部文章,http://www.freebuf.com/articles/security-management/126254.html

对于他做的一个总结在这里想引用一下

1.  没有老板支持一切都是吹牛逼;从上往下推和从下往上推是两个概念;
2.  先做最紧急的需求,全部解决以后再考虑可视化;东西丑不重要  关键是管用,东西再好看解决不了问题也是白搭;
3.  必要时可考虑商业化产品/合作,如堡垒机,渗透测试等;
4.  统计公司相关资源如外网IP,机器部署服务,别到了漏洞爆发在去问开发你的机器有没有部署XX服务;
5.  做好外部控制别忘记做内控,有时候内部安全事件比外面攻击更可怕;
6.多和公司老司机聊聊天,你碰到的一些坑他们可能也遇到过,一些架构上的设计、冗余、优化方案都可以多找他们讨论下;

其实就我目前而言,公司上的程序猿上报bug还是很乐意修复它的,当然我的leader对安全也比较关注,只是她不太懂,现在全靠一个人支撑着内部的安全测试,测试通过了才允许上线。可惜很不幸,在某次新功能点上的安全测试当中发现并没有任何问题。就在这一次让羊毛党有利可图。是的,我们不得不关注线上羊毛党的风吹草动

隐隐约约记得webqq上是可以实施监控的,由于码代码还不是我擅长的一块。只能每天人工打开qq去阅览一遍,看下存在什么样的风险及时上报于公司

最近也在看一些关于企业内部安全的事情,看到了专业种田大牛在公众号上写的这么一文:

我觉得即使公司不注重安全但是他既然让你来上班,自己就应该做好分内事,没有时间或者说不会码代码可以善用开源,然后自己再删删改改就可以了

0x03 推动

内部安全要如何推动?这相信难倒很多人,其实啊,技术很难做到位的,但可以给他们定制一份安全策略,比如“web安全验收参考文档”



让开发人员按照这个标准去进行开发,如果再检测安全时候发现上述安全问题那么就让他进行一些小惩罚,既可以减少彼此之间的工作量,又可以让自己舒心,何乐而不为~

还有的就是定期进行内部的安全培训,小到信息泄露讲解,大到对企业模拟一两次大规模的黑客攻击(包括但不限于钓鱼、APT等)当然了这种做好最好先给自己领导报备了让他申请给上级,以免发生纠纷!

另外,一律禁止员工在办公网络分享WiFi网络,以免被外界进行物理渗透从而进入内网。

目前所做的一些事情:保垒机(作用于员工操作服务器的时候监控操作命令以及各种应用和服务器的视频录制,不通过堡垒机跳板无法连接服务器)、上线前的安全测试、安全规范、内部系统设置单点登录、WEB安全审计、每月一次线上的渗透测试、安全培训等。

打算日后等新人员到岗后可能做的事情就是要做扫描器的开发功能点包括但不限于(服务弱口令、SQL注入、域名暴破与监控、XSS漏洞扫描、url爬虫、开源CMS漏洞扫描、目录文件泄露扫描,github爬虫监控等)

0x04 总结

其实我更应该感谢现公司能让我一个人做那么多事情,以前总觉得挖漏洞是一件让人兴奋的事情,而到了现在更希望维护好企业的安全。懂攻击不懂防御万一哪天把自己公司给黑了呢?

在攻防两端对立之间,在甲方做过后,就知道了乙方所谓有多屌多屌的技术和产品,也只是解决某些问题。有些时候是需要外力帮忙的,甲方自身安全人员也不一定能推得动。

另外大家也可以参考一些文章及书籍:

http://www.freebuf.com/articles/security-management/126643.html

http://www.freebuf.com/special/127172.html

http://www.freebuf.com/special/127264.html

http://www.freebuf.com/articles/neopoints/127508.html

书籍:《互联网企业安全高级指南》

相信以上这些可以帮助你点什么,一起加油吧~

点击收藏 | 0 关注 | 0
登录 后跟帖