Dest1ny安全漫谈-如何做好一个安全项目
大家好,我是Dest1ny。
这次我也开一个新专题,是一个记录我在做安全项目中的一些心得体会。
如果可以帮助大家,那是最好的,如果有什么问题,希望大家也可以指出。当然,这也是Dest1ny发的一些牢骚。
1. 项目开始前的准备
首先,要确定这个项目的基调,如果是公司内部的不打名次就点到为止(蓝方红方都是自家人谁被打烂都不太好吧,当然这个还是见机行事),如果是联合的攻防就要不择手段一点(毕竟现在最后一名基本上是没有钱的吧hh)。
然后就是成员之间的分工,如果都是各打各的,这样打其实也可以就是效率肯定不如分工效率高。。。最好是开始外网分好谁做信息收集制作字典,谁去寻找漏洞点,谁去钓鱼这种,内网也分成一个一个模块,我觉得最好还有一个要主要去写报告,整理成果的,不然要是企业内部的到最后交付会比较麻烦哈哈哈哈。我第一次做企业内部的时候就把数据搞得一团糟,导致最后特别混乱。
2. 项目进行中
别偷懒,你如果菜一点是去学习的,那就多写写报告,因为可以进甲方的我们先不论技术问题,他们对于一个项目的目的成果还有过程都是非常重视的,他们也要跟自己的大老板进行交付,所以网上说的甲方能力不行啥的,我觉得还是太那啥了,大家还是做好自己的事情,不要就想着随随便便去捞钱,大家都不是傻子。
蓝队我就不多说了,有设备的厂商人员,还有可视化的数据,点点点就行了。如果说这都不行的话,确实可以考虑转行,因为认真来说进蓝队其实考验你到底有没有学安全(到底有没有自己的路子懂的都懂)。
红队如果出的成果比较多,我觉得策略可以这样子,就是一点一点交洞,上来把所有洞交了,如果分拉的特别高,别的队也会有神秘力量(懂的都懂)。所以我策略是偷鸡,分数保持一个差不多的状态,让大家都稍微放松一点,直到时间快到的时候冲分,打一个措不及防这样子。
对于甲方那边就态度好就完事了,人家是付钱的,受点委屈就受点吗,无所谓的。项目只要可以不拖太久钱,能拿到手里就好了。
加班的情况,只要不是太过分,其实也无所谓哈哈哈哈哈,毕竟是做项目不是上班~
3.交付!!!!
求你们了,项目交付的时候一定要把数据整理好,在项目过程中时就要一点点搞这个数据,最好可以搞个实时的几个表格,大家统一数据,项目数据不对齐,就搞不了交付搞不了ppt,甲方会怀疑团队的交付水平,所以一定要把数据整理好,无论有多麻烦。不然后面就是在返工返工返工。。。非常绝望,当然这个也应该是项目经理需要去统筹的,所以其实一个项目最重要的是拥有一个规范高效的工作流,这样子才可以说这个项目甲方就算说可能有点苛刻,但是只要有详细数据支撑就可以完全应付!!
先写到这了,还有一堆事情没做,最后大家,我有很多全新的安全书籍,大家知道哪里比较好出售掉吗,或者有同学需要吗,需要的可以私信我,价格肯定是白菜价了,全新的价格跟二手价格差不多。