企業網絡安全

第一部分 漏洞賞金概述
第1章 漏洞賞金計劃的演變
1.1 起源
1.2 保守和抵制心理
1.3 威脅行為者活動增加
1.4 安全研究人員欺詐
1.5 應用程序的安全性被輕視
1.6 巨額預算需求
1.7 優先考慮其他安全工具
1.8 漏洞披露計劃與漏洞賞金計劃
1.8.1 漏洞披露計劃
1.8.2 漏洞賞金計劃
1.9 計劃管理者/項目經理
1.10 法律
1.11 重新定義安全研究
1.12 采取行動
1.12.1 了解安全研究人員
1.12.2 公平公正的解決方案
1.12.3 漏洞披露管理
1.12.4 糾正誤解
1.12.5 特定社群參與
第二部分 項目評估
第2章 評估當前漏洞管理流程
2.1 由誰運營漏洞賞金計劃
2.2 確定安全態勢
2.3 團隊管理
2.3.1 軟件工程部門
2.3.2 信息安全部門
2.3.3 基礎設施部門
2.3.4 法務部門
2.3.5 外聯團隊
2.4 重要問題
2.5 軟件工程部門
2.5.1 是否制定了安全編碼流程？軟件工程師是否了解降低（由含漏洞代碼導致的）風險的重要性？
2.5.2 當前溝通流程是否有效？如果發現漏洞，能否得到快速解決？
2.5.3 企業Web和移動應用程序有多少？在軟件開發生命周期中，工程師使用哪些開發流程？
2.6 信息安全部門
2.6.1 安全運維團隊如何應對突發事件？如果威脅行為者成功利用應用程序漏洞，安全運維團隊是否會向員工提供協助？他們準備了哪些工具？
2.6.2 反欺詐團隊如何防止惡意活動？他們發現了多少次諸如賬戶盜用之類的問題，以及這些問題是否可能造成應用程序漏洞？
2.6.3 是否有任何合規性要求，如果有，它們如何影響漏洞管理流程？應用程序安全團隊必須做些什麼才能幫助企業實現相關法規符合性？
2.6.4 使用什麼工具來防止邊界攻擊？企業應用程序是否會因物聯網設備而面臨被利用的風險？
2.6.5 漏洞管理團隊多久推送一次更新？漏洞管理團隊如何確保企業應用程序所駐留的服務器是安全的？
2.7 基礎設施部門
2.7.1 基礎設施團隊如何確保最佳安全實踐？當服務器端Web應用程序被利用時，或者發生子域名接管漏洞發生時，基礎設施團隊需要多長時間才能解決嚴重問題？
……
第三部分 計劃制定
第四部分 漏洞報告和披露
第五部分 內部和外部溝通
第六部分 評估和擴展