公司發展比較迅速,安全團隊增長的速度永遠跟不上業務增長的速度,同時給予安全人員的壓力越來越大,每個系統的優先級別都一樣的前提下,無法想象我們的工作量。同時對于我們來說,工作無法量化思考,領導也無法了解我們到底做了什么。
我初步列了下這種情況給我們帶來什么:
1. 工作時間無法量化,上峰隨時有可能告訴你滲透一個網站只需要1個小時。(WTF)
2. 對業務的不了解,往往解決安全問題時很費腦子,面對復雜的業務邏輯需要一步步分析。(開什么玩笑,大家都這么忙)
3. 老被研發噴,你懂不懂業務!這個就是這么干的!(丟…我要懂還問你么..)
4. 優先級不突出,不明確分級的需求。(媽蛋,大半夜一個被放棄的業務居然要我凌晨起來看看...)
根據目前的情況,我們需要深耕業務,并且把業務進行顆粒化。這個過程枯燥、乏味,但是對于了解業務、提高作業效率有直線的提升。
具體流程如下:
以上是我們需要做的事情,簡單闡述,但是并不能把所有的東西都敘述出來,例如,如何分級?如何把優先級別凸顯出來?具體級別劃分說明如下:
一級:非常重要、不可以發生意外,跟錢相關,而且用的人非常多。
二級:僅次于一級,跟錢關系不是特別大,但是用的人很多,包括BOSS也會去看的應用。
三級:發生意外也可以忽略,但是最好能夠保證沒有問題,降低負面影響。
在這個過程里面是不是只要劃分了等級就可以按照這個管了?或者說,假設在一個小企業,可能安全投入不高的前提下(可以理解為不太重視),我們還能根據業務功能進行分級。將業務里面的每個功能細節都劃出來,進行分析。(通常這個都是研發給的interface文檔,這個需要自己推動,BTW,看你人緣了。)
根據自己所思考并且實踐后,通過xmind 畫出的圖應該如下圖一樣復雜。
在這個過程里面,你應該非常深入的了解業務的每個環節,同時知道每個業務有可能存在的風險,并且一一列舉出來。當然,你檢測每個功能點所耗的時長,應該是一張非常細致的列表。諸如以下這樣的方式,給你的上峰。
當然,那么小伙伴就會問,這個業務功能顆粒列表具體長什么樣子?具體如下:
這個是我做了不久的業務,一個內部的業務系統,總共100多個功能模塊,并且全部拆解分析,在這個過程當中,我發現了很多以往被我忽略的漏洞(見鬼)。在這個過程里面,分析業務的同時,把漏洞全部深耕出來。諸如以下這樣…(諸位抱歉,我不能把公司的安全檢測報告全部展現出來..)
看完了整個列表和xmind的圖后,領導也有些驚訝,原來我們的業務這么復雜,同時工作量居然這么大,從那以后領導再也沒有質疑我到底在干嘛,同時表示諒解。在這個過程里面枯燥、乏味,基本上有好多次都準備放棄了。但是得到的好處是,在白帽子爆出一個漏洞時,我可以快速定位到這個漏洞所在的模塊,并且迅速的了解到這個模塊所存在的問題,然后讓研發快速修復這個問題。同時再也不擔心研發說我們不懂業務了…