快速评估甲方安全能力
通过几年甲方安全工作经验,初步总结了几个从局外人视角快速评估甲方安全体系能力,个人会从以下几个方面快速评估甲方安全能力。
1 应用系统
(1)登录接口爆破、验证码刷新问题、无验证码、短信炸弹、邮件炸弹
反映问题:缺少上线流程管控/SDLC流程存在缺陷/安全话语权较低/漏洞发现能力不足。
(2)敏感系统登录无双因素
反映问题:安全话语权较低/安全意识不足。
(3)管理后台对外
反映问题:缺少上线流程管控/SDLC流程存在缺陷/安全话语权较低。
(4)陈旧RCE漏洞未修复
反映问题:缺少漏洞检测和扫描设备/缺少日常渗透测试工作/资产台账不清晰/安全人员意识薄弱。
2 安全建设
(1)waf覆盖率较低
反映问题:安全话语权较低/能力、人员缺失。
(2)waf规则无法识拦截近期POC
反映问题:安全话语权较低/能力、人员缺失。
(3)测试环境互联网暴露
反映问题:安全话语权较低。
(4)漏洞相应速度较慢
反映问题:安全话语权较低/能力、人员缺失。
(5)证书过期
反映问题:安全话语权较低/资产台账不清晰/能力、人员缺失。
3 访问控制
(1)高危端口对外暴露
反映问题:缺少对应流程管控。
(2)内网系统暴露公网
反映问题:缺少对应流程管控。
4 安全意识
(1)弱口令
反映问题:缺少对应流程管控/安全话语权较低。
(2)敏感信息泄露,Github、百度网盘等
反映问题:缺少对应流程管控/缺少安全意识培训。