互联网公司的特点是业务技术以Web和App为主。
按照风险区域，可以分为在线业务和企业内部。

1. 在线业务

来自在线业务的风险包括Web安全风险、业务自身的安全风险及移动应用的安全风险。

1.1 Web安全风险

网络安全做得好的公司。安全风险：
SQL注入漏洞、XSS跨站、越权、逻辑漏洞以及新兴的JSONP注入、SSRF、XML实体注入、Java反序列化，以及各种web框架漏洞、第三方组件漏洞、第三方接口漏洞等。

解决方案：

1. 购买或采用开源WAF快速解决OWASP十大安全问题；
2. 使用DAST（动态应用安全测试）、SAST（静态应用安全测试）、IAST（交互式应用安全测试）产品，如使用OpenVAS、Acunetix、Safe3 WVS、Burpsuit、Veracode、Fortify、SpotBugs、SonarQube、Google CodeSearchDiggity、Synopsys Seeker等对Web业务进行黑盒、白盒扫描和人工测试，解决线上主要漏洞；
3. 部署RASP（运行时应用自保护）时应当使用自保护产品对Web进行自免疫保护，比如使用Prevoty、OpenRASP等；
4. 提供安全代码过滤库和安全编码培训，如使用OWASP的ESAPI（Enterprise SecurityAPI，企业安全API）等可以提升代码的安全质量。

1.2 业务自身的安全风险

安全风险：

对于企业管理风险、一般业务安全可以分为账户体系安全、交易体系安全、支付体系安全。

账户体系安全包括：撞库、盗号/洗号/养号、垃圾注册、暴力破解、短信轰炸、钓鱼攻击等；

交易体系安全包括：促销时恶意下单后退款、营销活动中“薅羊毛”、虚假交易刷排名等；

网络安全，支付体系安全包括：欺诈、盗刷、洗钱、恶意提现、信用卡套现、优惠券套现等。

当然，业务不同，面临的业务风险也不一样。

如视频网站还涉及盗播盗看、广告屏蔽等方面的风险。

国内安全公司、博客贴吧和即时通信平台涉及垃圾广告、低俗色情、违禁品、谣言等内容方面的安全。

解决方案：

1. 针对业务特点，选择合适的第三方风控安全产品；
2. 构建自有的安全风控平台。

1.3 移动应用的安全风险

安全风险：

Android应用上存在的Log敏感信息泄露、Web HTTPS校验错误忽略漏洞、Provider组件暴露漏洞、Activity安全漏洞、使用不安全的加密模式等40多种漏洞风险。

iOS应用上存在的未打开安全编译选项（-fobjc-arc、-fstack-protector-all、-pie）、不安全的随机数加密、后台模式敏感信息泄露（如打开了allowScreenShot配置）、不安全的剪贴板使用、不安全的反序列化（NSCoding、NSCoder）、SQLite注入、不安全的URL调用（registerForRemoteNotificationTypes、handleOpenURL）、不安全的数据存储、有漏洞的第三方组件（AFNetworking、ZipperDown）、含有后门的编译器（XcodeGhost）、溢出&UAF等几十种安全风险。

另外，Android和iOS移动应用还存在二次打包、反编译、破解、外挂、数据加密等安全加固问题。

解决方案：

1. 采用商业方案对App进行漏洞扫描和安全加固来解决常见安全问题，这样的平台有很多，而且有些是免费的，如百度的MTC、360的App漏洞扫描、腾讯的金刚审计系统；
2. 成立移动应用安全小组对手机应用进行深入的人工安全测试，比较好的免费开源测试产品有MobSF；
3. 提供基础移动安全组件和安全编码培训、安全编码规范。

2. 企业内部

来自企业内部的安全风险包括来自员工的安全风险、口令安全风险及来自钓鱼攻击和社会工程学的安全风险。

2.1 来自员工的安全风险

安全风险：

数据泄露、代码泄漏等等

解决方案：

1. 部署可以统一管理的EDR安全产品，在生产环境中统一使用堡垒机进行远程审计管理，采用DMS（Database Management System，数据库管理系统）审计进行数据库访问；
2. 员工入职时进行安全培训，在入职前对重点员工进行背景调查，制定员工信息安全行为规范并进行考试，发布安全周刊并组织安全月活动，在员工离职时需要告知其安全须知，并进行安全审计；
3. 对重点人群（如编程开发人员、BI大数据团队、清算结算人员以及业务运营人员等）建立隔离受控网络（如Ctrix瘦终端、云桌面），统一访问互联网的代理服务器，确保包括HTTPS在内的网络流量可审计；
4. 建立基于机器学习的用户异常行为发现系统，如Splunk产品中的UEBA模块。

2.2 口令安全风险

安全风险：

弱口令等

解决方案：

1. 通过弱口令扫描器（如Hydra或Medusa）检测公司员工账号和内网（如SSH、MySQL、RDP、Web后台等）所有涉及密码的系统服务，并责令修改密码以快速解决弱口令隐患；
2. 建设基于OpenLDAP的统一单点登录系统，并使用基于TOTP方案的动态口令双因素认证（如针对客户端的FreeOTP或Google Authenticator）或RSA Key，若使用Wi-Fi等技术，则可以通过RADIUS协议实现双因素认证；
3. 建立更加严格的基于FIDO U2F认证协议的实体安全密钥登录系统和BeyondCorp账户安全体系，如Google的Titan Security Key通过规定需要使用USB设备或蓝牙进行接入并按压才能登录解决了以往OTP易被钓鱼的风险。

2.3 来自钓鱼攻击和社会工程学的安全风险

安全风险：
邮件钓鱼、论坛和评论钓鱼、通信软件（QQ、微信等）钓鱼等
BYOD设备、OA、HR、ERP、邮箱、客服等第三方系统等

解决方案：

1. 对员工进行相关安全意识培训，并不定期组织相关演练测试以验证培训效果，加强办公场地物理安全管控（如门禁和摄像监控），避免使用第三方通信软件建立的工作群；
2. 强化对钓鱼攻击和利用社会工程学进行攻击的技术监控（如通过基于机器学习的内容识别系统和终端安全监控系统进行监控，终端安全监控方面的工具有Facebook开源的OSquery和微软的Sysmon），若要查看高风险文件（如Office文件、PDF文件、视频、邮件附件）则可利用沙箱技术进行隔离访问，对于浏览网页的高风险操作可以使用远程安全浏览产品（如Cigloo、WEBGAP、FireGlass）；
3. 加强BYOD设备的安全管理（MDM），如手机移动办公隔离的安全管理方案有三星的KNOX、Ctrix的XenMobile、IBM的MaaS360、SAP的MobileSecure、黑莓的UEM等。

3. 参考

《大兴互联网企业安全架构》–石祖文