甲方工作雜談

新媒體管家

無論對於甲方還是乙方，信息安全都是一個非常重要且複雜的話題。引用圈內某佬的一句話「安全本身就是個偽概念，沒法準確定義，只能說相對妥善而已「。初聽時覺得裝X，現在想想，確有几絲意味。故而每個投身安全行業的人都值得人們尊敬，因為我們都走在一條永遠沒有盡頭的路上，與君共勉！

本人出身網工專業（沒當過一天網管），同時兼學多種網站開發（為了賺錢吃飯），初碰安全是在11年，當時為了解決一個.net應用下的報錯問題（sqli..）就無法自拔的迷戀上安全，走過了啊D，御劍，wvs，metasploit等等這麼些個時代，途徑2家知名甲方安全公司，一家國企，目前供職於某橙色公司。從在乙方公司忘我日站，和基友們吹比菜刀里的shell是幾位數到沉下心分析各種木馬，開發代碼，挖掘漏洞，再到進入甲方考慮如何「妥善」應對企業里的安全問題，雖然是一路小跑，但也在亦步亦趨中找到了自己的一點方向和理解，簡單聊下，不喜勿噴~

從乙到甲轉型的初衷發生在國企呆的那一年，雖是國企確是偏乙方的工作，剛去的時候發現公司的網路被各路「兄弟們」搞得慘不忍睹，更有甚者翻出公司通訊錄，直接找到我聯繫方式，調戲/威脅…，當時就惱怒的要把安全搞好，但是還沒等把我的計劃部署下去就已經被國企里各種all-known的事情搞得精分。離職後整整思考了一個多月，我那些帶有乙方特色的防護方案即使部署了也無濟於事，至多在某些領域增強了攻擊捕獲和攔截能力，完全沒有提升整個公司安全水位，而且當時就已經感覺到甲方安全涉及到眾多和業務，制度，合規，溝通等與技術沒太多關聯的東西，很多方案施行起來真的是有心無力。考慮再三，決定投身甲方，學補不足，做更有責任，更有嚼勁的企業安全。

甲方安全涉及的領域實在太多了，在筆者的所在的公司，安全覆蓋了技術，業務，合規，法務，等等多個大部門，但技術一個部門又涵蓋了開發，運維，運營，平台等小部門，再往下還可以分為waf，app類，無線，漏洞分析，入侵檢測，src等多個小分組。況且這麼劃分對有些領域還無法覆蓋，不甚合理。甲方安全是一個體系化的存在，即在於安全團隊內部的體系建設，也在於安全處置流程的體系管理，同樣也在於安全與其他部門溝通約定的系統規程。

正如我所說，甲方的安全太過複雜，沒有任何人能cover所有需要關注的領域，所以下面我只是逐一列列我在甲方中關注的某些領域的問題。

?安全資產清理

這裡姑且把人員也當成企業安全運營中的資產。安全資產永遠是一個企業的硬傷。說真的從烏雲時代各種企業漏洞，到現在各種圈內爆出的秘聞，無不表明沒有多少公司能真搞清楚自己的資產，這裡所說的資產是廣義的，動態的概念。資產不一定僅僅是線上/線下的伺服器，有可能包含併購的公司，拉長的業務線，合作的某實驗項目，還有可能是公司員工，外包員工，臨時實習生，也有可能是新採購的設備，替換的運營商出口，更有可能是進行幾小時測試的開發介面，臨時申請的域名等等等等，這些都是實時在變，可控性有限的資產，當數據外溢到某個未知資產上時，安全受到就成幾何倍數的風險，一個最為直接的例子就是有經驗的白帽子往往會在新業務和併購公司上挖洞，難道風險不也是這麼來的? 安全資產真的會把人弄得筋疲力盡，但這是一切一切的基礎，不得不做！

?漏洞掃描

漏掃看起來簡單，其實絕沒那麼輕鬆，甲方各家應該都有知名商業漏掃，任性的還可以自己寫寫，實在不濟的也會用用破解版wvs 啥的。在乙方的時候簽個滲透測試協議，註明滲透過程中造成的任何風險無需承擔即可。但在甲方問題來了，如果把線上業務掃掛了！後果可能是不能承受之懲罰。某甲方公司朋友曾跟我說，每次季度線上漏掃，都要把運維，開發，運營都挨個求爺爺告奶奶問一遍，讓大家簽字/在場才能進行掃描，碰到不好交流的一臉板磚相。這是甲方普遍出現的問題，我們的解決方案只能是儘可能降低poc危害程度，壓低線程，分區域掃描，做好備份計劃。有的時候業務的脆弱性遠比想像中大的多！漏掃的坑遠不至這個，漏掃部署的位置也很重要，外網，內網，測試，專線，應用在哪裡掃描理應覆蓋哪裡，多少公司把漏掃放在辦公網，殊不知根本掃不到專線應用。至於漏掃規範，緊急事件漏掃，漏掃能力評估等等問題更是糾纏不斷。

?漏洞推修

掃到了漏洞就需要對漏洞進行修復，這也是企業里的老大難問題。生產環境修復涉及業務遷移和波動，如何溝通解決讓老大們拍板確定是個問題；測試環境漏洞層出不窮，發現的比修復的還多也是個問題；碰到漏洞實在無法及時修復，但風險又很高，如何調撥安全能力重點關注這些威脅還是問題。筆者在漏洞推修問題上碰到了太多坑，什麼原因都有，總之漏洞推修遠比乙方滲透報告里那幾行字複雜出無數倍。

?安全審計

甲方企業大了，應用多了，很多安全就沒法做到即時親身干預，這個時候就需要審計來幫忙，安全審計的對象有很多，技術上來說可以有登錄，操作命令，網路，進程，日誌，文件等等，但就審計技術本身就沒那麼簡單，審計數據從哪裡來，如何傳輸，如何防繞過篡改，覆蓋率和存活率如何保證等，這些基礎問題是必須有方案的。是否會在某一時間增大業務應用的壓力，審計數據如何實時存儲計算，如何將多個審計數據源的威脅情報交叉關聯等這些問題也許要考慮和解決，還有最重要的，審計規則怎麼做的有效準確，如何捕獲/界定異常和違規？之前和朋友們就安全審計規則討論過profile，打分制，異常比例，機器學習等等。然而，真正應用在業務場景下，目前還沒有一個特別好的通用的方法能兼容效率，性價比，告警準確度等多方面需求，只能是不斷優化，不斷探索。

?安全規範

安全規範也是個極寬的東西，這裡只提我在工作中碰到幾個點，比如線上登錄規範（甲方的朋友估計都會感慨員工的私鑰到處亂放的問題）；部署規範（無關文件在伺服器上到處存放）；數據規範（數據隱私級別制定以及訪問、存放的方式）；模板裝機規範（是否使用通用口令，是否有硬編碼密碼問題）；代碼規範（不解釋）；開發上線規範等等，每種規範都值得深思細究，而且並不是安全部門制定規範其他人執行就OK了，開發和安全因為規範「打架」的問題，估計已成甲方公司茶餘飯後的消遣，規範類問題需要與運維，開發，多個部門進行協商，扯皮的過程只能用唉來形容，但也是不得不面對的問題。

?安全建設

安全建設在甲方也是個很重要的問題，有人曾說過在甲方，安全是基礎資源，像空氣和水，確實是這樣的，平時沒人關注安全，但是出事請都是致命的。怎樣平時就讓大家關注到安全體系的變化和運行，以及多種安全平台幫助安全部門更好的運營安全，這就需要安全建設。安全建設涉及到資產平台建設，漏洞平台，掃描平台，事件處置平台，告警規則平台等多個平台建設，這裡不是說所有都要建，這需要根據實際情況來選擇，但需要知道的是每個平台都需要以數據流程為依託，然後數據流程中涉及的方方面面整理確認恐怕也不是一時半會兒能搞定的！絕不是架起來個巡風那麼簡單的事情。

?應急止血

當伺服器出現異常，就需要人工登錄進入干預，如果是線上服務問題就來了，業務第一還是安全第一？保業務可能導致畏手畏腳短時間內無法排除異常，甚至給攻擊者更多時間進攻內網或者是域，喪失了寶貴的攔截時機。保安全意味著業務可能會受影響甚至掛掉，安全部門不得不承擔這種後果。甲方朋友們需要做的可能是要人工評估兩種代價，然後做出選擇。如何應急止血，可能每個公司每個人都有自己的辦法，有的iptables限制，有的加防火牆，有的加網路黑名單，還有的直接切熱備，關機下線，這些都是需要甲方認真去考量的，包括涉及到其他領域需要的入侵取證，攻擊溯源分析，攻擊源反查，伺服器無害性確認等等都是需要很艱難的工作來搞定的，不僅僅是關機拔網線那麼簡單。

?紅藍對抗

當甲方的安全做了好幾年，發現不到入侵事件了，那麼新的安全問題也就來了。到底是因為安全做的不錯還是因為你發現不了呢？於是滲透測試便需要加入到安全的豪華套餐里來，有滲透團隊的做起了自己的紅藍對抗，沒滲透團隊的搞來了商業滲透測試，但是兩者存在著各自的問題，自營紅藍對抗其實是一個比較穩妥的方案，既能從內部發現威脅，儘可能暴露安全問題，也能降低滲透造成的不確定危害，但如何組建運營藍軍以及自營藍軍怎麼覆蓋所有的業務場景，發現所有危險的點也就成了這一方案的核心問題，同樣因為與公司過於貼近，藍軍的滲透自然會縮小攻擊眼界到內部核心的幾個點（大多數企業安全都是外硬內軟），產生滲透測試覆蓋面不全的問題。反過來看，商業滲透有很強的攻擊模擬性，可以有效驗證外部入侵的killchain是否被有效關注，但是由於時間短，業務理解度低，也會產生一些問題，無法揭示所有的攻擊場景。那麼如何在紅藍對抗中將內部藍軍和外部商業滲透合併到一起作為企業安全的試金石就成了該重點考慮的問題。

?人才招聘

這是個有意思的話題，我在甲方乙方的時候都幫公司安全部門招聘過人，招聘對於求職者是個難題，其實對於甲方安全公司也是個難題。安全是有圈子的，把圈子裡熟知的牛們拉來不在我的討論範圍。招聘要解決的是補強團隊在某個領域能力的缺口或者平衡工作量。前者招聘時就該以硬實力為基礎，評估其能否承擔起甲方對應工作，後者則需要考察面試者的安全普適能力，比如腳本編寫，漏洞原理，簡單的排查/修復能力等。對於安全出身，我倒不覺得應該區分科班好還是野路子好，憑能力，潛力以及和團隊適配度是最重要的考察標準。面試的過程不應該是以問倒面試者為榮，應該是讓面試者自己闡述能力輸出的案例，面試官來引導細節，判斷是否真實，有邏輯。現在的安全求職和從業者確實有點魚龍混雜，有硬實力者，CTF選手，白帽子，入門新手，也有拿著別人案例冒充自己的tricker，無主動學習能力喜歡混圈子的，只會簡單技巧卻口若懸河的，也有想洗白的，還有不素之客…，如何甄別，真成為甲方安全又一個艱難的問題。

扯了這麼多，無非就是想和在甲方堅持的小夥伴們，尤其是乙方轉到甲方的小夥伴們多交流下經驗，在甲方做安全可以多考慮一些，少入一些坑。安全不易，且行且珍惜，甲方的安全一定是與業務需求息息相關，擼伺服器日戰的技術固然重要，但將安全能力有效輸出至企業安全，提升業務場景下的安全水位，才是甲方安全的重要之道。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！