跳到主要内容

风险发现治理

风险发现是安全体系的入口环节——发现不了风险,后面所有防御、运营、应急都无从谈起。这一章回答的是"在有限资源下,怎么把企业里的安全风险找全、找准、找快"。

核心判断:风险发现的瓶颈不是工具,而是视角与覆盖度。 工具再先进也只能发现"已知模式"的风险。真正决定风险发现能力的是视角——是从外部攻击者出发,还是从内部研发流程出发;是从攻击载荷出发,还是从业务逻辑出发。视角对了,普通工具也能挖到高价值漏洞;视角错了,堆再贵的扫描器也只是"告警疲劳"。

风险发现治理有三个递进层次:自动化扫描覆盖已知模式、人工渗透补充逻辑漏洞、业务流程反推系统性盲区。三层不是替代关系,是互补关系——自动化能解决 80% 的重复劳动,人工渗透能发现剩下 20% 中的大部分,而系统性盲区(比如流程缺陷、组织失能)只能通过业务流程反推才能浮出水面。

把风险发现从"个人能力"沉淀为"组织能力"。 单个白帽子或渗透测试工程师的能力再强,离开就归零。这一章的方法论关注的是如何让风险发现成为可复制、可规模化、可持续运转的组织能力——这也是甲方安全建设的核心难题之一。

子文章导览

  • GitHub敏感信息泄漏监控:GitHub 上泄漏的凭据、内部代码、配置文件是攻击者的金矿。覆盖发现渠道、告警分级、响应流程、自动化工具。

  • 企业级代码安全最佳实践:从研发流程角度系统化讲解企业级代码安全的落地路径(演讲材料,PDF 版本)。

  • 基于甲方视角的漏洞发现:提出"甲白乙黑"理论——甲方视角的漏洞发现与乙方渗透测试有本质差异,需要从业务理解、资产全貌、流程卡点出发。

  • 收集扫描规则的方法:用蜜罐和真实流量收集扫描规则,把攻击者的探测行为沉淀为扫描器规则。

  • 研发安全检查项:八大类研发安全检查项清单,覆盖服务开放、认证、输入、数据、逻辑、后端、App、生活场景。

本章内容大纲