起步-宠物电商[持续更新中]
输入“/”快速插入
起步-宠物电商[持续更新中]
由于我是从PHP开发起步转Web安全的,前面3年的PHP开发经验已经将常见的业务场景都编码实践过,然后从Seay的《PHP代码审计》这本书入门,自学了一遍安全的相关基础知识。
这里分享我在宠物电商科技公司的安全建设(2016.7~2019.11)的历程,中间碰到各种奇葩问题以及解决方案,但只作为参考,不是什么标准答案。
这段时间的安全建设思路:一些是我在实际工作中,对一些存在的安全问题的思考后优化,一些是参考了业内甲方企业安全建设分享,因为是一个人的安全部,所以很多知识和经验的是靠自己的吸纳和汲取。
🎯 愿景和目标
如果你也是一个人的安全部,那么可以借鉴和参考。
⛳️ 知识空间简介
希望尽量还原当时的场景和我的一些真实想法和思路,一方面给需要的朋友作为参考,另一方面也算对过往工作的总结。
不喜勿喷。
感悟最深几个点:
1.安全的推动有时需要借助安全事件的发生,包括内部和外部
在没有受到攻击事件的时候,很多同事都认为,安全有点多余,之前有个案例:运维同事把redis开放到外网,而且没有密码。结果被攻击者直接利用未授权访问,写入ssh密钥,进而getshell,用来挖矿,通过这个事件,就可以开展清理所有web服务和中间件未授权访问的工作,除了80,443以外,需要开放到外网的端口,必须走流程审批和说明开通外网的原因,及有效时间,经过相应的审批后,才能去开通。
2.在预算有限的情况下,尽量追求收益最大化
3.安全体系建设,不是一蹴而就的 ,也不是简单地购买和搭建各种安全工具和系统就建设好了,而是在业务不同的阶段,对安全进行不断地细分,将每个方向都做到较理想的防护。
安全体系建设是分阶段进行的,在不同的阶段,对安全的全局观是不尽相同的,比如刚开始做企业安全,第一任务肯定是救火,在救火完成之后,就需要进行建设了,这时推荐有几种方法:
a.围绕DevSecOps来进行,后面我会详细说明
b.对已经有一定安全能力的公司来说,可以找一个比自己做得好的同行来对比,也就是我们常说的对标,看别人已经做了哪些,哪些方面做得不错,自己可以依葫芦画瓢,快速模仿和复制
c.对于已经是安全建设比较成熟的公司来说,最好的方法是根据国内外的一些安全标准,比如等保2.0,ISO27001,或者Garnter的安全成熟度模型,这个模型几乎把安全的各个方向都用语言描述得很清晰,可以根据这个模型,对照公司的安全各个方向,逐一跟模型的标准进行比对,进而评测出目前企业安全的水平,哪些方向做得较好,那些方向还是短板,都能一一展现出来,做得好的继续保持,做得差的,就需要投入人力去耕耘,去努力。
4.安全建设是需要追求最优ROI.
比如:公司投入一年投入100w,能把安全建设做到80分
如果投入500w,整体安全能做到90分,投入1000W,整体能做到95分,
可以明显看出,当安全建设到一定程度后,即使整体安全提升1%,也需要更多的投入,边际效益递减
对于很多中小公司来说,不用去苛责老板不重视安全,大部分不懂安全的领导只希望能把安全做到60分就可以了,自然安全的预算就很有限,领导也要平衡其他部门的发展。
当然对于阿里,腾讯这种超大型互联网公司,预测是没有预算上限的,只要是能对安全能力有提升,哪怕只有0.0001%,也肯定会去追求极致安全。
5.安全制度的推动需要从上至下。
之前我也单纯的认为,在自己安全能力或者团队安全能力得到其他团队的认可之后,再去推动一些安全制度,规范什么的会容易很多,其实不然,由于业务安全可能会给其他团队,增加不少的工作量,大多数同事虽然知道对安全制度是为业务的安全着想,但是毕竟是额外的工作,内心都不愿意给自己找事,所以大多数人是抵制的。这个时候跟别人认不认可你的能力,没有太大的关系。
这个时候,如果在公司高层能够达成安全共识,在组织架构上,能够从上往下推,会事半功倍。
核心的点:
1.安全是为业务保驾护航,而不是阻碍业务的发展。
2.攻防不对等
3.没有绝对的安全
4.安全培训是一个持续性的工作,不要奢望一两次培训,就把全员的安全意识培养好了。