利用开源工具提升信息安全团队工作协作效率

甲方安全团队工作其实多而杂，尤其是大部分企事业单位自身IT基础设施建设程度有限，大量工作依赖于Excel、Word、PPT等基础材料，手工处理工作较为繁重。故而需要针对团队内部核心工作内容进行梳理并尽量引入工具实现工作协同效率的提升，鉴于系统采购流程繁琐、信息安全预算有限、工具通用性不足等问题，利用开源软件或廉价工具解决此类问题是一个很好的思路。

0x1、团队工作痛点

目前在甲方安全团队工作，时常碰到的痛点如下：

1、安全团队内部工单工具扩展性和兼容性较差；

2、安全团队系统建设不少，项目、任务管理管理较为混乱；

3、安全团队日常周期性工作较多，经常出现遗漏或是无人跟进的问题；

4、安全团队一般规模不大，出现新人入职和熟手离职等情况容易出现知识传承问题；

5、安全团队在碰到重保等情况时时常引入外援，整体团队协作缺乏效率。

通过禅道、JIRA、Confluence三个开源系统，可以很好的解决以上痛点。当然，工具选择空间很大，但是合适的才是王道。

禅道：用于项目管理、任务管理以及周期性工作日程管理；

JIRA：用于项目或系统工单，用于告警流程管理、漏洞通报及整改流程管理、Agent未安装及异常整改流程管理、安全基线不达标项整改流程管理、应急响应流程管理等；

Confluence：用于知识库管理，用于威胁情报统一管理、漏洞通报统一、漏洞修复知识库管理、安全系统运营手册管理、专业技术问题交流、会议记录管理、专业知识备忘等。

0x2、团队工作协作思路（1）团队工作分工管理

在流程、项目、任务都需要明确工作内容和合适人员。分工管理重在分类，注重事务之间的关联性。尤其是员工的专业发展方向，先专精专攻后广泛涉猎。例如分类如下：

（2）日常周期性工作管理

周期性工作容易遗漏，故可以利用可周期性提醒的工具。禅道的日程功能可满足此需求：

体验渠道：demo15.zentao.net/user-login.html

周期性工作简单罗列如下：

（3）项目和任务管理

项目和任务可参考系统建设及运维系统安全软件，但是除此之外，还会有服务的采购等。均可先规划项目阶段和具体任务项，然后在禅道项目管理和任务管理功能模块中进行集中管理。

项目可能有哪些：

网络防护的NTA、WAF、上网行为管理等；

主机防护的HIDS、HIPS、Anti-Virus等；

终端防护的桌管、Anti-Virus、XDR等；

WEB应用防护的RASP、WEBIDS、防篡改系统等；

Mail应用防护的防垃圾邮件系统、邮件沙箱等；

DB应用防护的DBAudit、DBFW、DBGateway等；

AD系统防护的域控安全系统等；

数据或文档安全防护的加密系统、保密机等；

集中管控的态感、SOC/SIEM等；

SRC、众测、SaaS监测、重保、ISO27001、渗透测试等服务管理。

一个项目可能涉及几个阶段有预算申请、市场和产品调研、选型测试、汇报、采购、实施、验收、维保、付款等多个关键点。在禅道系统中，虽然用于产品管理和Bug管理，但实际上项目管理和任务管理也是不错的。可创建一个“信息安全管理”项目集，在项目集下创建一个“信息安全管理”产品线，在此产品线下面新建“SOC项目”、“NTA项目”等多个项目，在每个项目中的通过左边的“模块设置”和“模块维护”中可以新增一个“项目管理”的项目需求，在这个项目需求下面就可以按 预算申请、市场和产品调研、选型测试、汇报、采购、实施、验收、维保、付款等各个分类工作，每个工作下面可以新建任务。例如：

体验链接：demo15.zentao.net/execution-task-1244-all.html

（4）安全事件处理流程管理

告警、漏洞、Agent异常、基线不符合项等的处理流程，可以利用JIRA的“问题”管理功能进行跟进。为啥不选禅道的Bug管理呢，主要是一是状态变更不够好管理另一个是Bug是关联项目的，反而JIRA的“问题”管理功能比较适合。当然这个工作也可以用禅道的任务管理功能来实现，具体是通过SOC/SIEM出发告警脚本将告警写入JIRA问题或禅道任务形成一个工单。在JIRA上创建一个问题大体如下（已用过，截图网上随意找的一个）：

还可以进行问题进度跟进：

对于重保期间，团队分工协作（监控组、分析组、处置组、溯源组、总控组/决策组）处理安全事件反而依托禅道的任务管理比较适合，一是任务状态与事件处理状态契合，二是内容中可以随意贴入图片、表格且可以附带附件，三是可以到处任务清单进行统计数据，总体非常适合团队协作。安全事件管理可以参考上述的禅道任务管理功能。

但是一般来说，最好的方法还是用能够传递给任意IT部门员工或是全体员工的工单系统，一般就是公司的运管平台或是OA系统，当然有的也有统一集中告警平台，这样便于通报。如果不好用，就可以自己建立一套安全事件管理平台，最核心的功能是做好与短信、邮件这类系统的集成，形成高效的通报机制，要不然自己利用Excel和邮件跟进修复进度会累死。

有的单位拆分此部分，形成告警管理平台、漏洞管理平台、合规审计平台，以此来进行告警、漏洞、不符合性的跟进，这是极好的。

（5）安全知识库管理

知识管理可以依托Confluence来进行管理，当然先行比较多的是使用文件共享服务器或是网盘。但是这类工具没法很好快速的搜索文件的内容（当然可以配置其他搜索工具，但效率和体验不一定好）。如何组织知识库目录结构呢？可以参考“团队工作分工管理”罗列的内容。形成导航，在每一菜单中再细分并填充知识内容。样例如下（已用过，截图网上随意找的一个）:

0x3、总结

总体来说，团队工作需要更加体系化、自动化、定量化，以此来实现内部自我监督和完善，不断优化工作和提升效率，腾出更多的时间去学习你应该去学的业务知识、社会知识、管理知识。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!