前阵子,男朋友公司也在做src了,他吐槽说src有啥用,因为这个事和他掰扯半天,先来说说自己做SRC的变化吧。
0 收收漏洞,发发礼物,参加参加会议,维护下友商关系
↓↓↓↓↓↓
1 打造品牌影响力,做各种线下线上活动
↓↓↓↓↓↓
2 需要解决漏洞争议、需要懂安全,需要处理漏洞闭环
↓↓↓↓↓↓
3 多招一个安全工程师的成本大于SRC成本
↓↓↓↓↓↓
4 除了打造品牌影响力的目的还有招聘安全人才需求
↓↓↓↓↓↓
5 推动安全方案的落地和改进,漏洞发散查漏补缺
当然啦,可能各个SRC根据职能不同,还会做内部安全意识宣传及培训、等保合规等等工作。
前边的作用,讲出来大家都懂,所以只想聊一聊5推动安全方案的落地和改进,漏洞发散查漏补缺。
推动安全方案的落地和改进
安全方案的落地一般都是十分艰难的,因为业务已经习惯了一种模式,如果采用新方案,他们的内心是十分抵触的。光安全部门使用制度和部门全力强制推行是不够的,必须要有个导火索,而这个导火索最好的产生方就是SRC。因为内部发现漏洞业务可能不是很害怕,但是如果外部人员发现了,那意义就不一样了。
第一次感受是在上家公司,最开始并没有重视4位验证码的问题,想着有错误次数限制就会安全。直到后来有个白帽子通过代理池,只随机几个验证码遍历所有手机号广撒网发现成功率,通过排查所有验证码接口,才慢慢推动了所有业务改为6位验证码。
同样,现在公司推动全站sso、去静态密码,同样是也SRC推动的。
漏洞发散查漏补缺
SRC收到的漏洞都是付钱的,那如何让花一份钱得到N个漏洞发挥它的最大价值呢?答案自然就是对收到的漏洞进行漏洞发散,在A业务线存在这个问题,那B业务可能也存在相同的问题。可能只是白帽子没有权限测试,或者他并没探测到资产,再或者是没有考虑到。
在做漏洞复盘的时候,这块也应该是重点考虑的内容,有没有同问题漏洞出现,出现了,说明发散做的不到位哈~
这是一篇烂尾的文章,当时想写,写了一半,直到2021.5才翻出来整理发现。