|
|
信安工作难做几乎是大部分甲方信安团队的一项共识。在信安人员过往工作的过程中,但凡问及工作中最难的经历,十有八九都会提到“漏洞修复不配合”,“设备防护铺不开,阻力大”等等。培养的人员会流失,制度文档效果差强人意,机制没有传承等于零,只有平台服务器能7*24忠实地运行,建设一个自动化的统筹调度平台无疑是更优解。信也科技的内部DevSecOps实践——泰坦安全平台来满足体系的高速运转、量化驱动、意识增强。
与往常的安全检测系统设计思路不同的是,泰坦非常重视以人为维度进行漏洞跟踪管理,所以它需要通过对接相关的站点管理系统获取应用站点的相关负责人。信也科技泰坦中的每一条漏洞、事件、通知,会自动通知到各个系统的研发负责人、测试负责人、运维负责人。并且在漏洞统计中,会先计算个人负责的资产评分,再到团队,再到部门,再到研发中心。消息触达的效率,后续处理的交互逻辑,是降低人耗的重中之重,也是泰坦最核心的功能点之一。如果你厌倦了每天发现漏洞、查系统、找人、写邮件、开会、每天跟进度,就必须通过自动化把这些繁琐工作优化释放。
信也科技泰坦提供详细的漏洞修复指南,并且针对部分类型的扫描提供统一便捷的修复解决方案。例如镜像漏洞的修复:由安全维护一个定期更新的安全镜像,当研发收到漏洞通知后,会以修改pom配置的方式,替换为安全镜像进行构建,从而修复问题。同时,也能推动研发中心的镜像统一相关工作。
泰坦会根据不同角色的实际使用进行相应的侧重优化设计。针对研发测试人员,泰坦通过邮件、企微,直接将用户引导到漏洞详情及修复建议页,并提供误报、延迟修复、修复完成的反馈按钮。针对leader级以上的管理角色,泰坦每周会自动发送团队相关系统的整体修复统计,如修复率、待修复站点等。针对研发中心层面,泰坦提供了各团队、部门的实时站点健康率、修复率、排名、趋势等统计视图,供每周回顾。当然,针对信安团队,泰坦提供了不同扫描设备(包括SRC对接)结果的统一化预处理及手动编辑功能,也提供内部人工渗透测试结果的录入模块、自动化辅助,享受同等级的触达响应链路。
信安工作需要体系/机制处于基础运转的状态,并且利用支持资源尽快完善建设,阶段性地量化产出,才能保证推动与支持的良性循环。信也科技泰坦平台也在不断成长,借助体系自动化平台,解放了安全人员跟进版本、执行扫描、跟踪统计、沟通修复的人力成本,使其能专注在增量内容的人工测试中,变相提升了测试效率。
|
|
/2 
窥视卡
雷达卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
