企业网络安全

本书从技术角度探讨了网络安全工具和企业管理漏洞的赏金计划，并讨论了工程师每天可能遇到的常见问题，包括有效管理的沟通和后续行动方法的相关信息。本书说明了企业层面如何识别和解决其安全计划中的漏洞缺陷，为企业制定网络安全方案提供了所需指导。

陈亚莎，军事科学院系统工程研究院副研究员。长期跟踪和研究系统安全、可信计算、网络安全试验鉴定等技术，完成科研课题30余项。获得军队科技进步一等奖1项，三等奖2项，1次荣立三等功，多次获嘉奖。

第一部分漏洞赏金概述
第1章漏洞赏金计划的演变
11起源
12保守和抵制心理
13威胁行为者活动增加
14安全研究人员欺诈
15应用程序的安全性被轻视
16巨额预算需求
17优先考虑其他安全工具
18漏洞披露计划与漏洞赏金计划
181漏洞披露计划
182漏洞赏金计划
19计划管理者/项目经理
110法律
111重新定义安全研究
112采取行动
1121了解安全研究人员
1122公平公正的解决方案
1123漏洞披露管理
1124纠正误解
1125特定社群参与
第二部分项目评估
第2章评估当前漏洞管理流程
21由谁运营漏洞赏金计划
22确定安全态势
23团队管理
231软件工程部门
232信息安全部门
233基础设施部门
234法务部门
235外联团队
24重要问题
25软件工程部门
251是否制定了安全编码流程？软件工程师是否了解降低
（由含漏洞代码导致的）风险的重要性？
252当前沟通流程是否有效？如果发现漏洞，能否得到
快速解决？
253企业Web和移动应用程序有多少？在软件开发生命
周期中，工程师使用哪些开发流程？
26信息安全部门
261安全运维团队如何应对突发事件？如果威胁行为者成功利用
应用程序漏洞，安全运维团队是否会向员工提供协助？他们
准备了哪些工具？
262反欺诈团队如何防止恶意活动？他们发现了多少次诸如账户
盗用之类的问题，以及这些问题是否可能造成应用程序
漏洞？
263是否有任何合规性要求，如果有，它们如何影响漏洞管理流程？
应用程序安全团队必须做些什么才能帮助企业实现相关
法规符合性？
264使用什么工具来防止边界攻击？企业应用程序是否
会因物联网设备而面临被利用的风险？
265漏洞管理团队多久推送一次更新？漏洞管理团队如何
确保企业应用程序所驻留的服务器是安全的？
27基础设施部门
271基础设施团队如何确保最佳安全实践？当服务器端Web应用
程序被利用时，或者发生子域名接管漏洞发生时，基础设施
团队需要多长时间才能解决严重问题？
272基础设施、漏洞管理、安全运维以及终端检测和
响应之间是否存在有效的沟通？
28法务部门
281应用程序安全团队与法务部门之间的关系磨合
程度如何？
282将设定哪些问题升级的标准？
283法务部门是否了解漏洞赏金计划管理的必要性？
29外联团队
291外联团队是否曾与安全研究人员交流？是否了解其
重要性？
292外联团队是否了解漏洞赏金计划的预期？
210工程师
211计划准备
第3章评估计划运营
31不能“一刀切”
32真实计划场景模拟
33临时计划
34免责声明
35应用情景
351情景1
352情景2
353情景3
36众包平台
37平台定价与服务
38托管服务
39退出托管服务
310按需渗透测试
第三部分计划制定
第4章界定计划范围和赏金
41什么是赏金
42什么是范围
43如何界定范围
44通配符是什么
441子域名
442域名
443特定域名路径或特定子域名路径
45确定资产范围
46资产风险
47超出范围是什么
48漏洞类型
481拒绝服务（DoS）或分布式拒绝服务（DDoS）攻击
482社会工程学攻击
483暴力破解或速率限制攻击
484账户和电子邮件枚举
485Self-XSS
486点击劫持
487其他
49如何确定资产是否超出计划范围
410“庄家”赢了吗
411公正评判赏金
412事后分析
413认知缺失和声誉风险
414把这一切放在一起
415漏洞赏金支付
4151确定赏金
4152额外赏金
4153非金钱奖励
第5章了解安全港和服务等级协议
51什么是“安全港”？
511安全港的现实情况
512畏惧和抗拒情绪
513编写安全港协议
514安全港协议示例
52对恶意研究员（网络犯罪或威胁/恶意行为者）的反制措施
53服务等级协议
531解决时间
532分级时间
第6章计划设置
61理解选项
62Bugcrowd平台
621创建计划
622计划概述
623高级计划配置和修改
624配置文件设置
625企业“配置文件”设置
63HackerOne平台
631计划设置
632账单
633计划
634收件箱
64总结
第四部分漏洞报告和披露
第7章漏洞验证与管理
71理解分类筛选
711验证
712经验教训
713漏洞事故
714托管服务
715自助服务
72漏洞管理
721漏洞优先级
722漏洞示例
73答案
731漏洞评级测试摘要
732复杂性与评级
733预计评级
734工单和内部SLA
第8章漏洞披露信息
81了解公开披露
811作出决策
82CVE责任
821什么是CVE？
822计划管理者职责
823硬件CVE
824软件和产品CVE
825第三方CVE
83提交选项
831内部提交
832计划管理提交和不干涉提交
第五部分内部和外部沟通
第9章开发和应用程序安全协作
91关键角色之间的差异
911应用程序安全工程师
912开发
92响应时间
93有意义的漏洞报告
94沟通期望
95倒退、升级和例外情况
951内部步骤
952外部步骤
953升级
954摘要
96持续问责制
961跟踪
962错过了最后期限
第10章研究人员和计划互动要点
101理解黑客
1011金钱，道德，还是两者都有？
1012案例研究分析
102确认无效的漏洞误报
1021过程和突发消息
1022处理恶意的研究人员
103托管计划注意事项
104内部计划
105敲诈勒索或潜在威胁行为者
106公开威胁或信息披露
107计划警告消息
108是威胁行为者还是安全研究员？
109信息研究人员
1091安全研究员的采访
1092漏洞赏金计划管理者采访
1010总结
第六部分评估和扩展
第11章内部评估
111内部评估简介
112主动测试与被动测试
113被动测试
1131Shodan
1132Amass/crtsh
114主动测试
1141NmapAutomatorsh
1142Sn1per
1143OWASP ZAP
1144Dalfox
1145Dirsearch
115被动/主动总结
116其他注意事项：专业测试和第三方风险
第12章扩大范围
121与团队沟通
122扩张费用
123何时扩大范围
124范围扩展的替代方案
125管理扩展
第13章公开发布
131了解公共计划
132“正确的”时机
133建议发布时机
134回滚
135总结