通过几年甲方安全工作经验,初步总结了几个从局外人视角快速评估甲方安全体系能力,个人会从以下几个方面快速评估甲方安全能力。

1 应用系统

(1)登录接口爆破、验证码刷新问题、无验证码、短信炸弹、邮件炸弹

反映问题:缺少上线流程管控/SDLC流程存在缺陷/安全话语权较低/漏洞发现能力不足。

(2)敏感系统登录无双因素

反映问题:安全话语权较低/安全意识不足。

(3)管理后台对外

反映问题:缺少上线流程管控/SDLC流程存在缺陷/安全话语权较低。

(4)陈旧RCE漏洞未修复

反映问题:缺少漏洞检测和扫描设备/缺少日常渗透测试工作/资产台账不清晰/安全人员意识薄弱。

2 安全建设

(1)waf覆盖率较低

反映问题:安全话语权较低/能力、人员缺失。

(2)waf规则无法识拦截近期POC

反映问题:安全话语权较低/能力、人员缺失。

(3)测试环境互联网暴露

反映问题:安全话语权较低。

(4)漏洞相应速度较慢

反映问题:安全话语权较低/能力、人员缺失。

(5)证书过期

反映问题:安全话语权较低/资产台账不清晰/能力、人员缺失。

3 访问控制

(1)高危端口对外暴露

反映问题:缺少对应流程管控。

(2)内网系统暴露公网

反映问题:缺少对应流程管控。

4 安全意识

(1)弱口令

反映问题:缺少对应流程管控/安全话语权较低。

(2)敏感信息泄露,Github、百度网盘等

反映问题:缺少对应流程管控/缺少安全意识培训。

最后

金融行业以保障业务连续性和稳定性,这里特指券商行业。任何升级和漏洞修复工作可能会破坏连续性和稳定性,变更会导致操作风险,不变更则会出现安全风险。在弱监管时代,安全从业者可能无作为或重汇报,导致整体安全基础能力较弱,实现不通报则不整改,安全风险和操作风险和谐相处。

然而某项重大活动会打破上述平衡,当安全话语权较低时,上述问题很难整改,自下而上推动安全工作是痛苦的也是艰辛的。

无法容忍的习惯改变,登录方式调整,双因素认证,关闭互联网访问的业务系统、密码复杂度的改变,上述变更都会受到业务部门极大的阻力。

无法接受的操作风险,漏洞修复和待升级的补丁较多,如何保证业务连续性和稳定性,对漏洞的理解,补丁的升级、操作系统迁移、高危组件的关停。

无法推动的架构调整,网络架构调整、设备覆盖、waf覆盖、ip封禁,上述变更也会出现极大的业务中断风险。

最后,甲方需要的是解决上述问题的人,而不是提出上述的问题人,如何将变更风险降到最低都是需要技术的沉淀及对IT系统整体的认知,以及最重要的上层领导的支持。技术在日常甲方工作中没有那么重要,只有出了问题的时候才知道技术的必要。时刻保持敬畏之心,负责且审慎尚可苟且。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注