作者:
smarttang
·
2015/02/17 11:18
0x01 需求背景
公司發展比較迅速,安全團隊增長的速度永遠跟不上業務增長的速度,同時給予安全人員的壓力越來越大,每個系統的優先順序別都一樣的前提下,無法想象我們的工作量。同時對於我們來說,工作無法量化思考,領導也無法瞭解我們到底做了什麼。
我初步列了下這種情況給我們帶來什麼:
1. 工作時間無法量化,上峰隨時有可能告訴你滲透一個網站只需要1個小時。(WTF)
2. 對業務的不瞭解,往往解決安全問題時很費腦子,面對複雜的業務邏輯需要一步步分析。(開什麼玩笑,大家都這麼忙)
3. 老被研發噴,你懂不懂業務!這個就是這麼幹的!(丟…我要懂還問你麼..)
4. 優先順序不突出,不明確分級的需求。(媽蛋,大半夜一個被放棄的業務居然要我凌晨起來看看...)
0x02 流程、分級
根據目前的情況,我們需要深耕業務,並且把業務進行顆粒化。這個過程枯燥、乏味,但是對於瞭解業務、提高作業效率有直線的提升。
具體流程如下:
以上是我們需要做的事情,簡單闡述,但是並不能把所有的東西都敘述出來,例如,如何分級?如何把優先順序別凸顯出來?具體級別劃分說明如下:
一級:非常重要、不可以發生意外,跟錢相關,而且用的人非常多。
二級:僅次於一級,跟錢關係不是特別大,但是用的人很多,包括BOSS也會去看的應用。
三級:發生意外也可以忽略,但是最好能夠保證沒有問題,降低負面影響。
在這個過程裡面是不是隻要劃分了等級就可以按照這個管了?或者說,假設在一個小企業,可能安全投入不高的前提下(可以理解為不太重視),我們還能根據業務功能進行分級。將業務裡面的每個功能細節都劃出來,進行分析。(通常這個都是研發給的interface文件,這個需要自己推動,BTW,看你人緣了。)
0x03 實踐、結果
根據自己所思考並且實踐後,透過xmind 畫出的圖應該如下圖一樣複雜。
在這個過程裡面,你應該非常深入的瞭解業務的每個環節,同時知道每個業務有可能存在的風險,並且一一列舉出來。當然,你檢測每個功能點所耗的時長,應該是一張非常細緻的列表。諸如以下這樣的方式,給你的上峰。
當然,那麼小夥伴就會問,這個業務功能顆粒列表具體長什麼樣子?具體如下:
這個是我做了不久的業務,一個內部的業務系統,總共100多個功能模組,並且全部拆解分析,在這個過程當中,我發現了很多以往被我忽略的漏洞(見鬼)。在這個過程裡面,分析業務的同時,把漏洞全部深耕出來。諸如以下這樣…(諸位抱歉,我不能把公司的安全檢測報告全部展現出來..)
0x04 最後
看完了整個列表和xmind的圖後,領導也有些驚訝,原來我們的業務這麼複雜,同時工作量居然這麼大,從那以後領導再也沒有質疑我到底在幹嘛,同時表示諒解。在這個過程裡面枯燥、乏味,基本上有好多次都準備放棄了。但是得到的好處是,在白帽子爆出一個漏洞時,我可以快速定位到這個漏洞所在的模組,並且迅速的瞭解到這個模組所存在的問題,然後讓研發快速修復這個問題。同時再也不擔心研發說我們不懂業務了…
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!