观点:保证基础设施安全的情况下,甲方安全是需要围绕着业务开展的,一切需要为业务服务,脱离业务去做安全是脱离企业竞争原则的,安全越贴近业务越好。
熟悉组织架构
1、熟悉组织架构,因为在甲方大多数工作是需要业务方配合的。了解一个业务线适合的安全接口人,最好对安全感兴趣并且对该业务线产品非常熟悉的人。快速了解公司的一些安全产品,每个产品提供怎么样场景的安全服务,向业务推广。
2、熟悉安全管理体系,大公司内部安全需要给各个业务做一些安全认证,也要建设集团公司层面安全体系。和一些行业法律合规方面的安全建设。也和要关注核心业务,在核心业务投入更多的经历。
PCI DSS
一般涉及信用卡支付的公司都要过PCI DSS安全标准,才能开展金融支付业务
ISO27001
我了解比如Ctrip的商旅,Kingdee的云之家、友商网、金蝶金融、58同城、腾讯云等都做了ISO27001认证。
ITIL
ITIL为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范。
3、大致熟悉公司战略方向
为什么要研究公司的大致方向,因为有一些技术是需要预研,而不是临时拍脑袋。
比如小米公司出一些智能硬件方面的产品,那么需要提前投入到智能硬件的安全研究 。
比如百度公司出一些无人驾驶汽车,那么他们提前严一些相关的法律法规以技术上问题。
再比如阿里云,他们就要研究云服务安全的问题,云平台上面很多SAAS产品,当然也要研究SAAS安全问题。
比如某些公司把自己的服务搬到云上去,是不是要考虑云安全问题?
安全测试
Web安全:xss csrf xxe jsonp sqli clickhijack owasp top ten etc..
关于XSS当时学习的时候看的evilcos那边web前端黑客,很荣幸当时还得到了evilcos本人的指点。后面就改造了evilcos的xssproble增加了包括内网端口扫描等功能,还有evilcos的xssor工具新增xxe、jsonp劫持。对这些黑客工具改改用用对漏洞理解就加深了一些,在这里不得不感谢evilcos。