继续上一篇。。。。
服务器安全:其实说到基础架构中的服务器安全这块,可能最多的就是在服务器上装一下杀毒软件或者主机安全防护的一些软件,如:360、火绒、青藤云主机、安全狗、ESET、金山毒霸、QQ安全管家等等,那么问题来了,装了这些安全防护软件就一定安全了吗?其实这里又得讲到那句古话“没有绝对的安全”。安全的建设也只是在相对的基础之上,而像这些杀软绝大多数都难不倒开发人员,因为他们会在代码的最深处植入一个后门,俗称“免杀”、“过杀软”。
终端安全:其实终端安全从某种意义上来讲和服务器是一样的,安全防护的手段也是装一些杀毒软件,可能终端安全在不同的场景会装有不同杀软。如果你是个人电脑,那可能就装一些免费的杀毒软件(因为贫穷所以免费);但如果你是公司(看你的公司有没有安全意识,实际就是肯不肯花钱)的电脑,可能会装一些付费的杀软;如果你在安全公司,那可能场景又会有所不同,总而言之,终端安全的套路基本和服务器的安全防护套路是一致的。
机房环境安全:这块可能更多是物理环境安全的建设了,主要涉及的点可能在例如门禁、空调、温控、湿控等等,主要是对环境和人员权限的一些安全防护,这里可能比较特殊的一点就是,得注意社工人员。历年的护网或多或少都会存在一些社工方式的渗透,所以还是那句古话“安全的最终对象是人”。
由于个人知识储备还在不断强化中而在基础架构这个模块下面可做的安全建设实在太多了,所以目前从这几点也就说个大概的范围吧!(欢迎各位大佬来评论区补充个讨论)。
四、 应用场景
其实写到这里真的是挺难再往下写了,因为在应用这块发生的安全事件是太多了,也是安全建设过程中的一个难点,应用和安全有时候是很难平衡的,应用的对象是用户(无论是企业内部用户还是最终用户),而用户对应用的敏感性是非常强的。只要应用出了问题,面临的问题或多或少的都跟金钱、绩效、业务挂钩,而最终涉及的就是个人的利益。
常见的应用安全有太多的漏洞,如:SQL注入、XSS、CSRF、SSRF、API未授权访问、越权(垂直和水平越权)、JS接口泄漏、源码泄漏等等,而从应用系统建设自身而言,可能在企业安全建设过程中更多的偏向于应用系统的建设流程是否包含安全。
举个简单的例子来说,企业有个OA系统,这个OA系统对于有能力的企业来说可能会自己开发,对于开发能力相对较弱的企业来说可能采取外采的方式进行搭建,而这就面临着两个问题,其一是如果自建OA系统,从开发到系统上线中间是否有相关的标准流程,流程中是否有对系统进行安全把关,需要在哪些关键点需要把安全融入进去呢?这些都是很复杂的过程,而面临着系统建设周期,如果考虑了安全可能有延长了整个系统建设的周期,所以这些往往是企业比较纠结的地方,在业务建设过程中到底是安全更重要还是项目周期、业务体验更加重要?
其二是如果企业自身开发能力较弱,则考虑外采,而外采系统在企业内部使用涉及到的安全性更为严峻,OA系统到底有没有漏洞?有没有后门?数据是存放在本地还是存放在云上?数据存储到云上安全性又如何保障?这里可能有人会说,有《保密协议》,回头想想,保密协议从某种角度来讲只是事前的一个约束,并不能完全控制人的自主行为,可能说的比较直接点其实《保密协议》就是一张纸而已,所以,面临着一系列的问题我们到底从哪个角度去为我们的企业建设比较健全或通用型的应用安全流程或者说规范呢?这里我把自己的写的一个流程图贴出来供大家参考,可能不是完全正确的,就算抛砖引玉了。
自研业务系统建设安全流程:
外采业务系统建设安全流程:
以上这两个业务系统建设流程只是我结合自身和目前我所在的企业工作过程中的一个总结性的,由于时间关系流程图画的不是很标准,请各位大佬不要吐槽哈。
现在渐渐的从攻击层面渐渐的转向了防守层面,可能更多的是在企业安全的建设,而如果能够有效的将相关的漏洞、威胁、风险管控在萌芽阶段,那么从某种程度来说跟挖到个高危漏洞有一样的成就感。不过,个人还是比较喜欢攻击,不太喜欢防守,因为攻击思路活跃、随心所欲,而相对而言防守,可能更加系统化、流程化,但无论从哪个层面来讲,对于个人也都是有一定成长。
好了,写到这里也表达了个人的观点和一些看法,主要的核心思想就是企业在建设应用的时候,想要有效的去规避攻击和缩小攻击面,可能需要着重的去考虑一下在系统建设过程中的安全要求,只有在源头就把控安全、严格执行相关的安全流程才能发挥出效率,否则即使应用做的再好,体验做的再牛逼,其实你的系统所面临的风险或许是不可估量的。所以,作为火线的一名“混子”,其实我没挖过多少漏洞,但是一直在关注怎么社区的一些新的动向,只有不断的学习才能跟得上时代的发展。
