1.企业安全建设涵盖的内容
安全是一门含义很广的学科,信息安全、网络安全、网络空间安全等都是安全中的一个分支,有交集却也有不同。
对于甲方企业安全来说,通常又分为:安全体系(等保、合规、审计)、基础设施安全(主机、网络、终端)、应用安全(Web、移动)、业务安全(账户、交易、内容、活动)、安全运营(应急响应、安全培训)、数据安全(加密、脱敏、存储)等等,不同企业在不同的发展阶段所侧重的安全点也不一致。
在上述的每一个类型中有很多子类,每个子类都有一个循序渐进的路线,比如:安全测试工作
安全测试一般分为定期的安全巡检、新业务/新功能上线前的安全测试,安全测试在应用安全中算是一个比较小的点。但是我们通过一定时间的安全测试,整理我们通过安全测试所发现的漏洞得出出现漏洞的原因,形成设计规范,编码规范进行推广到研发团队、产品团队,并逐步参与到产品的整个流程中,这样就无形中推动了"S-SDL"。
安全是一条漫长的路,一步一个脚印很重要!
2.从白帽子转型的思路
目前很多企业中的安全工程师大部分都是由白帽子转型过来的,但是由于漏洞挖掘与甲方安全建设还是存在很大的差异,所以我们在转型的时候需要做好几件事:
- 做自己擅长的事情:安全测试(漏洞挖掘),这里的安全测试需要更全面的进行,因为甲方安全中需要防御所有的面,而不是一个点。
- 通过问题看本质:如果业务