企業安全實踐經驗分享

wyzsk發表於2020-08-19
作者: 小胖胖要減肥 · 2015/08/11 15:50

摘要:資訊保安飛速發展,企業安全建設更是讓很多企業感到迷茫,作為甲方的一員,分享唯品會安全建設的一些心得體會。回顧發展歷程,安全從無到有,從救火到業務不可或缺一環的轉變過程,是什麼促使形成這些改變。

0x00 回顧


2014年是資訊保安爆炸的一年,回首那些事件歷歷在目。Dns大劫難,某旅遊網站信用卡事件,心臟出血漏洞,破殼漏洞及各大快遞,電商和某大型火車票網站的資料都牽動的圈內圈外人的心。2014年也企業在資訊保安這塊大型擴張的一年,大量*src應運而生,當然也有vsrc(漏洞應急響應平臺)。當然還包括一些眾測平臺(新的安全評估模式),比如wooyun眾測。

各大企業面對如此大的變化,和自身面臨的很多風險,安全人員的崗位變成了必備品,安全人員也迎來了久違的春天。不過基於行業的發展速度之快,人員的相對匱乏,很多企業在安全實踐上還是比較迷茫,對於如何去將一個企業的安全做好,大家還沒有一個清晰的認識。

0x01 救火階段


對於企業,安全起初最核心的工作就是怎樣直接安全價值,那麼最先要做的就是救火。網際網路的各類漏洞(sql注入,程式碼執行,xss,許可權,弱口令,資訊洩露等),還有建立合理的安全管理制度。

救火階段是最累的但也是最有成效的階段,是安全最好的一個切入點,這個階段暴露出最多的問題,一旦安全介入,並聯合開發運維等部門將問題一一修復,在成效上將有明顯展現。而本身對於安全在各部門的價值也會有很好的體現。同時在救火階段,可以對開發,運營的能力,包括企業的架構,產品業務的複雜度等都會有一個清醒的認識,也能在後面建設階段有一個很好的計劃。面對不同型別的企業,建設階段的人員規劃更多是根據業務而定的。

2013年初,我也經歷了最痛苦也是最有成效的救火階段,從當時wooyun上的不斷被爆漏洞,到公司疑似資訊洩露,到整體內部網路安全隱患連連。從web漏洞,運維埠回收,後臺回收內網,弱口令的排查,到內部安全規範建立,員工安全意識培訓,技術人員專項安全培訓。不斷地從發生事件前減少相關安全風險。並在專案上線 引入安全基線(包括伺服器安全基線和應用安全紅線)把控新專案產生的安全隱患,並有了很大成效。同時,安全管理也在內部不斷進行宣導,和進行相應的改革,將安全引入到公司層面,不斷最佳化個人和企業的整體安全意識。

0x02 建設階段


那麼我們需要什麼樣的團隊才能開展救火以後的真正安全建設 ,個人從攻擊類,管理類,業務類將安全人員分為三大塊 。第一塊監控響應與內外部產品安全,第二塊資訊保安與管理培訓,第三塊業務安全與風控。本身三塊的需求度也是與企業的發展密切相關。不斷的深化安全在企業中的層級。

我們當前這三塊職能大致包含:安全審計,安全管理,安全培訓,運維安全,Web安全,App安全,產品需求安全,安全產品,日誌監控平臺,應急響應,Src建設,業務安全,風控策略,風控運營等。

enter image description here

眾所周知,在it行業有各類生命週期模型,當前資訊保安也有他的生命週期模型。上面的不同崗位正是融合在了生命週期中,不斷的進行迭代最佳化,使得安全是一個不斷完善的過程,沒有絕對的安全,但安全性是可見的。

enter image description here

建設階段正是一個公司完整地將完全納入到其發展必備的一個階段,這個階段需要建設的東西很多,如救火階段未涉及的資訊保安生命週期,或者說sdl,業務安全(帳號資金營銷等)等都是建設階段需要去覆蓋的內容。如救火階斷需要半年,那麼建設階段需要2到3年時間將企業內所有的問題都一一摸底並建立行之有效的整體解決方案。並對各類流程,規章制度做好相應的頒佈,對整體企業安全意識和人員安全技能都需要一個有針對性的培訓等。

在公司的這幾年,企業安全建設一直貫穿了整個業務,從專案上線評審到伺服器線上檢查,從伺服器弱口令檢查到基線檢查,安全域劃分,從日誌分析到實時化日誌處理,從印表機許可權到網路相關許可權控制,資料授權,從新員工安全培訓到企業內部安全技能專項培訓,從帳號安全到整體業務風控。無不是從假設之初在往下一個安全深化而轉變,建設已經成型,但在推進中還是會遇到層層阻礙,作為安全需要更高層次的展現。

0x03 安全深化階段


從救火到建設的轉變,也可以看出是企業的安全已經上了好幾個臺階,安全也已經深入了很多方面。更多的是安全層級的提升,對於此,每個公司會碰到幾個痛點,包括業務的快速發展,高層對安全的重視程度,安全在企業推進的難度等。

我司也在這個階段慢慢尋找的所謂的“銀彈”,如通自動化,工具化,規則流程化方式提升專案覆蓋率,透過業務資料視覺化展現,日常運營報表方式提升各部門對安全的認知,透過溝通,交流和技術改進方式來尋找安全和體驗,成本的一個平衡點。將資訊保安生命週期,從不同階段的防護,到真正形成一個安全閉環,即透過運營反向改進需求,開發,測試,上線的安全流程,透過運營資料體現安全閉環後的變化,讓整個參與其中的各部門成員都能體會到安全已經成為專案生命週期的一部分。

這條路還很長,安全作為一個輔助但相對更多時候是主導型角色,更多的要從業務出發,不斷深化業務上的耦合度,從業務上將安全成為不可或缺的一環。將安全從資訊保安部演化到一個公司層面,產品開發測試運維甚至市場等部門都會將安全作為自身問題考慮的一個重要方面。安全之路任重而道遠,我們也在不斷前行。

0x04 展望


2015年是安全飛速發展的一年,參加各種安全會議人數成倍增加,大大小小的企業都已設立了資訊保安崗位,行業也向著很好的方向發展。回顧15年上半年的幾個網路安全事件:海康威被駭客植入程式碼,網易骨幹網路遭受攻擊,支付寶電纜被挖斷,攜程員工誤刪程式碼等(取自於網路),資訊保安已經大家認識的方面向外擴充套件,如何讓業務正常執行也是資訊保安需要關注的重點。

縱觀發展歷程,資訊保安的廣義含義也在不斷擴充,更需要多元化的人才進入這個領域,最近參加大大小小的會議,大家深感行業人才的缺乏,或許是實踐型人才在行業爆發階段的一個空白。上述是一名底層人員從各個階段實踐的一點總結,也希望更多非該領域的看客可以踏入這個狂奔的行業。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章