摘要:信息安全飞速发展,企业安全建设更是让很多企业感到迷茫,作为甲方的一员,分享唯品会安全建设的一些心得体会。回顾发展历程,安全从无到有,从救火到业务不可或缺一环的转变过程,是什么促使形成这些改变。

0x00 回顾


2014年是信息安全爆炸的一年,回首那些事件历历在目。Dns大劫难,某旅游网站信用卡事件,心脏出血漏洞,破壳漏洞及各大快递,电商和某大型火车票网站的数据都牵动的圈内圈外人的心。2014年也企业在信息安全这块大型扩张的一年,大量*src应运而生,当然也有vsrc(漏洞应急响应平台)。当然还包括一些众测平台(新的安全评估模式),比如wooyun众测。

各大企业面对如此大的变化,和自身面临的很多风险,安全人员的岗位变成了必备品,安全人员也迎来了久违的春天。不过基于行业的发展速度之快,人员的相对匮乏,很多企业在安全实践上还是比较迷茫,对于如何去将一个企业的安全做好,大家还没有一个清晰的认识。

0x01 救火阶段


对于企业,安全起初最核心的工作就是怎样直接安全价值,那么最先要做的就是救火。互联网的各类漏洞(sql注入,代码执行,xss,权限,弱口令,信息泄露等),还有建立合理的安全管理制度。

救火阶段是最累的但也是最有成效的阶段,是安全最好的一个切入点,这个阶段暴露出最多的问题,一旦安全介入,并联合开发运维等部门将问题一一修复,在成效上将有明显展现。而本身对于安全在各部门的价值也会有很好的体现。同时在救火阶段,可以对开发,运营的能力,包括企业的架构,产品业务的复杂度等都会有一个清醒的认识,也能在后面建设阶段有一个很好的计划。面对不同类型的企业,建设阶段的人员规划更多是根据业务而定的。

2013年初,我也经历了最痛苦也是最有成效的救火阶段,从当时wooyun上的不断被爆漏洞,到公司疑似信息泄露,到整体内部网络安全隐患连连。从web漏洞,运维端口回收,后台回收内网,弱口令的排查,到内部安全规范建立,员工安全意识培训,技术人员专项安全培训。不断地从发生事件前减少相关安全风险。并在项目上线 引入安全基线(包括服务器安全基线和应用安全红线)把控新项目产生的安全隐患,并有了很大成效。同时,安全管理也在内部不断进行宣导,和进行相应的改革,将安全引入到公司层面,不断优化个人和企业的整体安全意识。

0x02 建设阶段


那么我们需要什么样的团队才能开展救火以后的真正安全建设 ,个人从攻击类,管理类,业务类将安全人员分为三大块 。第一块监控响应与内外部产品安全,第二块信息安全与管理培训,第三块业务安全与风控。本身三块的需求度也是与企业的发展密切相关。不断的深化安全在企业中的层级。

我们当前这三块职能大致包含:安全审计,安全管理,安全培训,运维安全,Web安全,App安全,产品需求安全,安全产品,日志监控平台,应急响应,Src建设,业务安全,风控策略,风控运营等。

enter image description here

众所周知,在it行业有各类生命周期模型,当前信息安全也有他的生命周期模型。上面的不同岗位正是融合在了生命周期中,不断的进行迭代优化,使得安全是一个不断完善的过程,没有绝对的安全,但安全性是可见的。

enter image description here

建设阶段正是一个公司完整地将完全纳入到其发展必备的一个阶段,这个阶段需要建设的东西很多,如救火阶段未涉及的信息安全生命周期,或者说sdl,业务安全(帐号资金营销等)等都是建设阶段需要去覆盖的内容。如救火阶断需要半年,那么建设阶段需要2到3年时间将企业内所有的问题都一一摸底并建立行之有效的整体解决方案。并对各类流程,规章制度做好相应的颁布,对整体企业安全意识和人员安全技能都需要一个有针对性的培训等。

在公司的这几年,企业安全建设一直贯穿了整个业务,从项目上线评审到服务器线上检查,从服务器弱口令检查到基线检查,安全域划分,从日志分析到实时化日志处理,从打印机权限到网络相关权限控制,数据授权,从新员工安全培训到企业内部安全技能专项培训,从帐号安全到整体业务风控。无不是从假设之初在往下一个安全深化而转变,建设已经成型,但在推进中还是会遇到层层阻碍,作为安全需要更高层次的展现。

0x03 安全深化阶段


从救火到建设的转变,也可以看出是企业的安全已经上了好几个台阶,安全也已经深入了很多方面。更多的是安全层级的提升,对于此,每个公司会碰到几个痛点,包括业务的快速发展,高层对安全的重视程度,安全在企业推进的难度等。

我司也在这个阶段慢慢寻找的所谓的“银弹”,如通自动化,工具化,规则流程化方式提升项目覆盖率,通过业务数据可视化展现,日常运营报表方式提升各部门对安全的认知,通过沟通,交流和技术改进方式来寻找安全和体验,成本的一个平衡点。将信息安全生命周期,从不同阶段的防护,到真正形成一个安全闭环,即通过运营反向改进需求,开发,测试,上线的安全流程,通过运营数据体现安全闭环后的变化,让整个参与其中的各部门成员都能体会到安全已经成为项目生命周期的一部分。

这条路还很长,安全作为一个辅助但相对更多时候是主导型角色,更多的要从业务出发,不断深化业务上的耦合度,从业务上将安全成为不可或缺的一环。将安全从信息安全部演化到一个公司层面,产品开发测试运维甚至市场等部门都会将安全作为自身问题考虑的一个重要方面。安全之路任重而道远,我们也在不断前行。

0x04 展望


2015年是安全飞速发展的一年,参加各种安全会议人数成倍增加,大大小小的企业都已设立了信息安全岗位,行业也向着很好的方向发展。回顾15年上半年的几个网络安全事件:海康威被黑客植入代码,网易骨干网络遭受攻击,支付宝电缆被挖断,携程员工误删代码等(取自于网络),信息安全已经大家认识的方面向外扩展,如何让业务正常运行也是信息安全需要关注的重点。

纵观发展历程,信息安全的广义含义也在不断扩充,更需要多元化的人才进入这个领域,最近参加大大小小的会议,大家深感行业人才的缺乏,或许是实践型人才在行业爆发阶段的一个空白。上述是一名底层人员从各个阶段实践的一点总结,也希望更多非该领域的看客可以踏入这个狂奔的行业。