互联网企业
1、安全测试团队,渗透测试团队,SDL流程审核
2、安全应急响应(xSRC),对外宣传和白帽子漏洞处理
3、数据及隐私合规评审,安全认证,大数据治理
4、安全研发团队,自研WAF、HIDS、内容识别、流量分析、密钥管理系统
5、安全风控,拦截薅羊毛/抢红包,触发验证码功能,用户画像/设备画像/威胁情报
传统企业
1、办公安全,堆设备,买买买!!如Macfee防病毒、深信服VPN、齐志、深信服上网行为管理、Imperva、IPS、Repid7、splunk
2、安全制度制定,安全证书认证,等保2.0,27001,CSTAR
3、安全顾问、评审、安全测试、开墙审批
4、安全研发,SIEM日志收集,态势感知攻击WEB,Wazuh适配,云上产品研发,SOAR安全事件响应
从0到1建设
基于HanFang在19年开展安全团队初期的思路
发布《互联网安全管理规定》,规定中定义业务安全,数据安全,隐私安全,运维和运营安全相关红线要求,审计机制,违规处罚机制。比如:
① 涉及用户数据存储必须加密
② 通信必须Https
③ 不允许私自开放端口
④ 不允许管理后台对外
⑤ 管理后台显示涉及用户数据必须掩码等等
每条都明确下来,前期可落地角度,数据分级前期可以先不包括IMEI,ip和画像标签,用户数据先覆盖最高等级的手机号,身份证,密码,相册,通信录,银行卡号等,以XXX安全分委员会的名义发布、执行、审计!