安全无小事--技术团队防守一二三
事情的经过是这样的:
那天在使用某创业团队的APP时,输入完了微博账号还需要他自己的账号,于是就发了条微博,
然后就有人@我是不是在说小米被脱库的事。。。呵呵!
这里要讨论的是,如何让数千计的开发人员在安全防守安全编程上,得到有效的效果。有人说,我干了xx年,手上从来没有一个项目出过安全漏洞; 还有人说,我一个人做的x项目,也从来没有出现过安全漏洞; 呵呵,集体的智慧不由个人意志来控制,木桶漏水取决于最短的一块。
一、内防
内防是需要苦练内功的一块,因为招聘标准不一导致技术团队的水平不一,一个上千人的技术团队,一定要有一定的固定流程进行上线质量的把控。
1.1 基础
基础包括了:基础代码框架、基础网络环境、基础硬件环境、基础系统环境。
- 基础代码框架:统一的去除xss\sql注入等第一层的框架服务,确保出现在每个技术人员的入职学习流程中。
- 基础网络环境:业务隔离和灵活兼顾的网络,对基础运维网络工程师有更高的要求,确保每一台新上线的机器都在正确安全的网络中。
- 基础硬件环境:确保新的硬件出现在正确安全的地方,安全性要求高的硬件有固定的选择。
- 基础系统环境:新系统的投入,有安全标准的套路安装和设置。
1.2 走查
走查使变动中的系统周期性也进行了安全检查。
- 收集:主要是收集服务,因为公司大了,各种小业务未必会拿得全,特别要关注边缘业务。一个非常好的点,就是在上线系统中进行收集。
- 查证:各种侦测手段,扫描脚本,应该流程化,代码化,尽可能缩短全公司运行时间,同时尽最大可能扩大面积。
1.3 紧跟
紧跟是各种开源软件如果正在被使用,需要对其安全变动公告进行紧跟。尽可能在重大漏洞发布后最短时间里解决,缩小影响时间。
这里要求对全公司所使用的开源项目进行有效的登记记录工作,而且上千人的公司,很有可能会漏掉。一个非常好的点,就是在上线系统中进行开源项目检测。
1.4 重点
重点是指对经常报漏洞的项目进行重点关注,确保这些项目:1.不引用或保存重要数据 2.不与其他业务在受信网段 3.更加频繁的重复前面三点
1.5 重要
重要项目一定要坚持原则,绝对禁止数据的流动、绝对禁止明文重要数据的存放,即便是ceo说可以也不行。
二、外攻
外攻是指通过上面的一系列手段,依旧无法控制短板的项目或人出现,于是要做的事情就是尽一切手段尽快地把这短板找到。
2.1 外援
外援有很多,包括各种白帽平台、安全厂商平台。下血本也要和他们搞好关系,心甘情愿被敲诈,当有发现重大短板时第一时间取得联系是非常有效的。
2.2 自建
自建安全响应平台是对外援的补充,许多短板像xss sql注入都是很显而易见的问题,许多还不足以“下血本”,但积小成大,经常出现短板的团队,需要考虑技术培训等活动。
三、另类
非技术漏洞导致的泄密、个人管理密码被盗、密码被盗等类似的另类事件,要求各不应该出现扁平化的权限控制系统,每人控制一块,可以减少个人失误扩大变成灾难。
四、总结
一个互联网技术企业,绝对不是老板出多少钱就一定不会再出现安全漏洞的,也不是老板出的钱越多就越重视的,真正的重视体现在研发人员的日常工作中。
你的企业没有出现过安全问题,不你的团队没有短板,更不你的线上没有漏洞,更不你的用户数据没有在黑市上买卖。
不在乎有没有漏洞,就是认真。
原创文章如转载,请注明:转载自五四陈科学院[http://www.54chen.com]
Posted by 54chen arch