原创 花十一一 2025-01-24 18:39 北京
今天地铁上人明显少了很多。大家相视而笑。因为他们知道,只有共和国最优秀的人才,各部门最重要的岗位才会在这个时间出现在这个车厢。拖着行李箱的人羞愧的低下了头。但没有人责备他们,毕竟每个人能力有限,与其让他们继续工作,不如放他们回家过年。
一年的打工生活结束了,钱没挣着但起码累着了。写下近半年在甲方做安全产品采购、常态化安全运营以及基础数据平台搭建的一些想法,也许再过3年会改变现有的想法,在此记录下。
关于安全产品采购需要先明确要解决什么问题,对产品的功能有什么需求,然后开始找厂商测试,一般看看产品白皮书就知道要不要进行测试。在这边有机会试用了下各头部安全厂商的产品,各家有各家的优势,但也只能解决我们的部分问题,产品功能很多,有些功能压根用不上,为此我们需要筛选出重要的需求,考虑到后续可能需要加基于这个产品做一下扩展工作,产品的扩展性也是一个考察重点,最后确定哪款相对比较合适。厂商接入测试时候,某些产品要先自测下,服务器和端上的商业产品的测试要思考下极限异常情况,比如软件竞争、服务端挂了客户端的情况,客户端频繁重启,磁盘io、数据更新时间等等其他情况,保证没啥大问题再开始小批量测试,销售说往往只说产品的好,作为产品的最终用户,前期不努力,后期得填坑。
资产定位是安全运营中的一大痛点,常常遇到有告警找不到人的情况, 为此找it、业务线理了一份资产库,倒是提高了效率,但优化的点还很多。第二个痛点是告警降噪,一是业务行为触发,还有一些明显的规则误报。告警降噪单纯的只是加白,能解决问题,但也可能会漏掉潜在的风险。例如一个数据包包含两种风险,NDR设备上业务侧复杂的sql查询会告警sql注入,这种查询如果用的是basic认证,或者jwt认证,就需要看看是不是存在弱口令,而这种弱口令是不会告警的,因此需要额外做一些自动化工作。另外在运营NDR设备时还可以基于平台存储的日志做一些情报提取,潜在漏洞发现等等。
资产数据的动态更新,日志存储平台这些基础数据平台搭建并不容易,以前停留在理论阶段,现在实战发现坑点还是很多了,从部署,自动化,扩容,异常处理,网上的文章7分真3分假,关键点往往一笔带过,踩了一些坑不过好在都解决了。
在甲方工作要有工程化思维,处理需求时候不要觉得写个脚本处理就行了,还得想想这种需求以后会不会再出现,做好需求归类和流程化,避免后续还得返工。闭环意识,这点很重要,之前在乙方处理事件后报告一交付就完事了,甲方安全部门要跟踪事件的全流程,协助其他团队修复验证,因此要定期返回梳理下之前的处理事件的进度,保证不会有遗漏。最后聊聊这半年遇到的灵异事件,
nmap可以把设备扫挂,
打印机半夜吐纸,
远程工具主动扫描内网,
…
祝大家新年快乐,巳巳如意,最主要的是身体健康。
写于2025年1月24日
