建立安全团队以及安全活动开展的准备工作 – 作者:rgehgehthyj5543

在本年度的护网活动快结束前，把这几年做的事情进行整理一下，为以后建立安全团队以及安全活动开展做主备的工作。

之前犯下的错误：

1.过于专注渗透测试，而没分析除了渗透测试以外的安全需求。

2.曾经也犯了不少安全工程师的错误，过于想证明自己的技术能力。

3.按照非安全圈的人的思路去研发安全产品。

4.花太多时间在非安全的事务上。

以上这些问题其实在不同场景和时机来说不是问题，但是现在我需要建立起一个安全体系，同时满足市场的安全需求还有满足自己在安全这个领域的目标，我必须解决以上这些问题。

在我的安全脑图中，暂时需要做的是渗透测试，系统资产管理监控，安全工具集成平台这三块。

渗透测试这块现在由于人手原因，我对自己的策略是：
1.巩固传统的web渗透测试的知识，不会漏一些常规渗透活动就能发现的漏洞。
2.和安全圈的人复盘CTF的题目，由于现在我的时间限制参加不了CTF，所以更多这块选择和别人合作共享知识。
3.爆洞至少需要知道每一个漏洞的原理和利用的思路。

系统资产管理监控的策略是：
1.把现有的已经开发的产品模块化，微服务化，按照市场和自身的需求，尽量以GO，JAVA，PYTHON三种语言的可利用模块集成到平台中。
2.把信息采集功能建立起来，然后就是管理第三方应用包，中间件，框架，系统的版本，因为这块在做护网整改中，耗费了我不少时间。

安全工具集成平台，该策略是：
1.前期和供应商合作，使用其他安全团队的工具集和平台，降低研发和测试的成本。
2.中期以kaliLinux为执行工具平台，尽量所有渗透工具使用同一个语言python。
3.后期平台化。

按照上面的策略，对比之前的问题，自我解决方案是：

1.按照以上的侧重点，我必须把自己的工作内容限制在渗透测试，研究开发渗透工具上，放弃管理的工作。
2.知识点控制在：python（积累8年经验），go（积累半年经验），java（积累3年经验），代码审计（积累7年经验），渗透思路（积累5年经验），sql，前端（积累6年经验），linux命令，Windows命令这些范围。
3.按照知识点，把十几年的工作积累的相关干货系统化，以系统分析师的思路走安全这条路。
4.现在尽量稳定自己的项目来源，减少需要证明自己能力的场景，专心解决自己的技术知识盲点以及完善自己的生态。
5.一个原则，我用到的工具和开发的需求必须是我作为一个安全相关人员必须会用的，不用不做。

以上是我安全1.0的目标，今年剩下的时间准备完成80%~100%，通过学习，整合资源，开发，项目实践四个方式来完成该目标，走起。

来源：freebuf.com 2020-08-26 16:09:22 by: rgehgehthyj5543