引用:
|
作者tbsky
的確稽核不懂這些,他們要的無非就是報表。譬如 ps aux 之類的。報表符合他的遊戲規則即可。
但相信其背後的目的就是這個八九不離十,畢竟這是常見的資安手段,是否不食人間煙火就是另一回事了。總之不能和稽核較真,合理的就機上做,不合理的就紙上做。
|
台灣很多資安稽核的確是照貓畫虎,但別因為這樣就以管窺天,
以為搞資安稽核的都是笨蛋,實際上高手還是有的,
但是很可惜我不曾在台灣公司看到。
國外某些大軟體公司,有專門檢測自家軟體漏洞的團隊,
這些團隊有些人真的很強,至少我見過連我都佩服不已的,
他們抓出漏洞後是真的會開 issue ticket 給你,
有的還會詳列 CVE 編號跟手法,然後你就會被老闆追殺。
