甲方的老表们,求问一下,你们现在甲方安全部门会开发一些内部的安全扫描器吗
甲方的老表们,求问一下,你们现在甲方安全部门会开发一些内部的安全扫描器吗
在甲方一年了觉得确实和乙方不太一样,没有那么多的安全服务工作了,大多围绕基础建设,但是这样感觉久而久之会技术落后
在甲方一年了觉得确实和乙方不太一样,没有那么多的安全服务工作了,大多围绕基础建设,但是这样感觉久而久之会技术落后
T00ls.Com版权所有。T00ls所有原创文章未经管理团队许可,禁止一切形式的转载。当前正在使用CDN加速。
Copyright © 2008 - 2024 T00ls All Rights Reserved.
评论83次
感觉渗透转安全开发更有意义
甲方里的工作大多围绕安全建设和合规化,对内部xi统做渗透测试和风险评估以及内外部的威胁感知比较多。自研扫描器或者安全设备工作量太大了,对于十几个的人安全团队不切实际,大多是选择用开源的,或者偶尔用破解版的白嫖。----说到自主学xi的时间上,个人感觉在甲方会比较多自由的时间,在乙方除非是安全研究的岗位,如果是安服之类每天在外面跑的时间也比较多吧,自主学xi的时间不也见得多,不过相对甲方仔来说练手的机会和环境比较多
主要是把需求明确最好 我之前在甲方渗透自动化 做了一个awvs的集合 剩余的就是参考pocscan做了poc补充集合资产进行扫描 最好现在资产理清楚 开了哪些端口 指纹是啥 用了啥服务 这种很容易处效果
在甲方一般是做安全建设和部分安全开发,其实所在甲方有很强的行业属性的话,比如金融、运营商、电商等等,会积攒到很强的行业经验,多思考安全解决方案和如何落地,会有很多受益
看你部门领导想不想多从上面搞点项目弄点钱了,漏扫,探针,啥都可以搞自研。
我刚来报道的第一个月,公司领导说:一个月时间 开发一个扫描器出来咋样,能不能实现。。。。。。瞬间觉得不知道谁是外行人了
拍脑袋的领导别吊他,个把月有想法能落地的最多拿个开源的二开改改而已,从0自研那是论月的工程么?
主要是把需求明确最好 我之前在甲方渗透自动化 做了一个awvs的集合 剩余的就是参考pocscan做了poc补充集合资产进行扫描 最好现在资产理清楚 开了哪些端口 指纹是啥 用了啥服务 这种很容易处效果
会在危害比较高的漏洞出来的时候,去找脚本或者POC来进行自家机子的排查
看你部门领导想不想多从上面搞点项目弄点钱了,漏扫,探针,啥都可以搞自研。
我刚来报道的第一个月,公司领导说:一个月时间 开发一个扫描器出来咋样,能不能实现。。。。。。瞬间觉得不知道谁是外行人了
最好买吧,投入很大人力去开发,万一效果不好,还会被领导diss
有此感受,有时候基于第三方扫描器去内部适应开发,并不一定能扫出问题来,然后就会被Diss,久而久之,都会踢皮球了
主要是现在大环境不行,以前都是自己有专门写脚本的小伙子跟班的
也是啊,以前写好小工具,还都可以一起交流,现在都是小圈子说了
貌似、都是采购三方扫描器、自研多费力啊。周期长、准确度低。不如花钱买成熟的产品。
深有同感,也许甲方xi望有自己开发产品吧
针对这个问题,甲方若是不是体量非常大的,没必要去自己开发了,成本与收益不匹配。甲方更偏向于内部的安全建设和规划,平时的运维等等。项目是有,但别指望跟乙方一样。
甲方更偏向于内部的安全建设和规划:我现在真不知道这些是什么东西,可能我只是一个螺丝钉,然而每个月的OKR还是自己去想,自己去写,写好了发给上一级领导。。。。挺醉的
甲方里的工作大多围绕安全建设和合规化,对内部xi统做渗透测试和风险评估以及内外部的威胁感知比较多。自研扫描器或者安全设备工作量太大了,对于十几个的人安全团队不切实际,大多是选择用开源的,或者偶尔用破解版的白嫖。----说到自主学xi的时间上,个人感觉在甲方会比较多自由的时间,在乙方除非是安全研究的岗位,如果是安服之类每天在外面跑的时间也比较多吧,自主学xi的时间不也见得多,不过相对甲方仔来说练手的机会和环境比较多
敢情说我们公司安全部,网络安全这块,一共俩人,还是自己负责各自的项目,从来没有协同过任何一个项目
针对这个问题,甲方若是不是体量非常大的,没必要去自己开发了,成本与收益不匹配。甲方更偏向于内部的安全建设和规划,平时的运维等等。项目是有,但别指望跟乙方一样。
最好买吧,投入很大人力去开发,万一效果不好,还会被领导diss
看你部门领导想不想多从上面搞点项目弄点钱了,漏扫,探针,啥都可以搞自研。
预算充足就买现成的解决方案 自己开发的话后续需要一直有人维护
买的也用,有时也用poc-t之类的加漏洞插件扫
甲方一般都是买产品买服务比较多吧,自研几乎没有,遇到比较个性的需求就是开源项目改吧改吧。一方面是风险与背锅问题,另外一方面团队技术能力不一定够搞出来稳定的自研产品
买买买,就够了
感觉 还是买成品吧 开发才费钱了
专业开发各种安全工具
貌似、都是采购三方扫描器、自研多费力啊。周期长、准确度低。不如花钱买成熟的产品。