0x01 需求背景

公司發展比較迅速，安全團隊增長的速度永遠跟不上業務增長的速度，同時給予安全人員的壓力越來越大，每個系統的優先順序別都一樣的前提下，無法想象我們的工作量。同時對於我們來說，工作無法量化思考，領導也無法瞭解我們到底做了什麼。

我初步列了下這種情況給我們帶來什麼：

1. 工作時間無法量化，上峰隨時有可能告訴你滲透一個網站只需要1個小時。（WTF）
2. 對業務的不瞭解，往往解決安全問題時很費腦子，面對複雜的業務邏輯需要一步步分析。（開什麼玩笑，大家都這麼忙）
3. 老被研發噴，你懂不懂業務！這個就是這麼幹的！（丟…我要懂還問你麼..）
4. 優先順序不突出，不明確分級的需求。（媽蛋，大半夜一個被放棄的業務居然要我凌晨起來看看...）

0x02 流程、分級

根據目前的情況，我們需要深耕業務，並且把業務進行顆粒化。這個過程枯燥、乏味，但是對於瞭解業務、提高作業效率有直線的提升。

具體流程如下：

以上是我們需要做的事情，簡單闡述，但是並不能把所有的東西都敘述出來，例如，如何分級？如何把優先順序別凸顯出來？具體級別劃分說明如下：

一級：非常重要、不可以發生意外，跟錢相關，而且用的人非常多。

二級：僅次於一級，跟錢關係不是特別大，但是用的人很多，包括BOSS也會去看的應用。

三級：發生意外也可以忽略，但是最好能夠保證沒有問題，降低負面影響。

在這個過程裡面是不是隻要劃分了等級就可以按照這個管了？或者說，假設在一個小企業，可能安全投入不高的前提下（可以理解為不太重視），我們還能根據業務功能進行分級。將業務裡面的每個功能細節都劃出來，進行分析。（通常這個都是研發給的interface文件，這個需要自己推動，BTW，看你人緣了。）

0x03 實踐、結果

根據自己所思考並且實踐後，透過xmind 畫出的圖應該如下圖一樣複雜。

在這個過程裡面，你應該非常深入的瞭解業務的每個環節，同時知道每個業務有可能存在的風險，並且一一列舉出來。當然，你檢測每個功能點所耗的時長，應該是一張非常細緻的列表。諸如以下這樣的方式，給你的上峰。

當然，那麼小夥伴就會問，這個業務功能顆粒列表具體長什麼樣子？具體如下：

這個是我做了不久的業務，一個內部的業務系統，總共100多個功能模組，並且全部拆解分析，在這個過程當中，我發現了很多以往被我忽略的漏洞（見鬼）。在這個過程裡面，分析業務的同時，把漏洞全部深耕出來。諸如以下這樣…（諸位抱歉，我不能把公司的安全檢測報告全部展現出來..）

0x04 最後

看完了整個列表和xmind的圖後，領導也有些驚訝，原來我們的業務這麼複雜，同時工作量居然這麼大，從那以後領導再也沒有質疑我到底在幹嘛，同時表示諒解。在這個過程裡面枯燥、乏味，基本上有好多次都準備放棄了。但是得到的好處是，在白帽子爆出一個漏洞時，我可以快速定位到這個漏洞所在的模組，並且迅速的瞭解到這個模組所存在的問題，然後讓研發快速修復這個問題。同時再也不擔心研發說我們不懂業務了…