高质量解读《互联网企业安全高级指南》三部曲——理论篇

前言:

高效读书,一张逻辑图带你读懂、读薄书中重点。

注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。

目录

 理论篇思维导图​

安全大环境与背景

切入“企业安全”的视角

企业安全是什么

CSO

企业安全包括哪些事情

企业安全涵盖7大领域

建议

互联网行业安全工作总结

互联网企业和传统企业在安全建设中的区别

总体上

传统企业和互联网企业在安全建设需求上的差异

安全建设

不同规模企业的安全管理

创业型公司

大中型企业

大型互联网企业

生态级企业vs平台级企业安全建设的需求

差别的表象

差别的成因

平台级公司的"止步”点

生态级公司的竞技场

云环境下的安全变迁

资源形式的变迁

云环境下安全问题

安全的组织

创业型企业一定需要CSO吗

招聘方的诉求

不同阶段的需求

创业型企业的挑战

如何建立一支安全团队

极客团队

创业型企业

不同的能力类型

大型企业

超大型企业

甲方安全建设方法论

从零开始

CSO上任之初要做些什么

不同阶段的安全建设重点

战后重建

进阶

优化期

对外开放

如何推动安全策略

公司层面

战术层面

安全需要向业务妥协吗

业界百态

安全的本质

妥协的原则

选择在不同的维度做防御

技术实现维度场景

"—题多解”的场景

跨时间轴的场景

风险和影响的平衡

修复成本的折中

需要自己发明安全机制吗

安全机制的含义

企业安全建设中的需求

取舍点

如何看代SDL

攻防驱动修改

SDL落地率低的原因

因地制宜的SDL实践

SDL在互联网企业的发展

STRIDE威胁建模

STRIDE是微软开发的用于威胁建模的工具,或者是说一套方法论

关于ISO27001

重建对安全标准的认知

最实用的参考

广泛的兼容性

局限性

流程与“反流程”

人的问题

机器的问题

业务持续性管理

关于应急响应

安全建设的“马斯洛需求”层次

TCO和ROI

业界的模糊地带

关于大数据安全

解决方案的争议


理论篇思维导图

安全大环境与背景

切入“企业安全”的视角

企业安全是什么

从广义的信息安全或 狭义的网络安全出发,根据企业自身所处的产业地位、IT总投入能力、商业模式和业务需求 为目标,而建立的安全解决方案以及为保证方案实践的有效性而进行的一系列系统化、工程 化的日常安全活动的集合

CSO

CSO不会只停留在微观对抗上,而是会关注系统性建设更多一点。至于跟董事会 建立沟通桥梁,虽然也重要,不过关注的人就更少了

企业安全包括哪些事情

企业安全涵盖7大领域

  1. 网络安全:基础、狭义但核心的部分,以计算机和网络为主体的网络安全,主要聚焦在纯技术层面
  2. 平台和业务安全:属于特定领域的安全,不算广义安全
  3. 广义的信息安全:以IT为核心,包括广义上的"Information"载体:除了计算 机数据库以外,还有包括纸质文档、机要,市场战略规划等经营管理信息、客户隐私、内 部邮件、会议内容、运营数据、第三方的权益信息等,但凡你想得到的都在其中,加上泛 u Technology n的大安全体系。
  4. IT风险管理、IT审计&内控
  5. 业务持续性管理:BCM ( Business Continuity Management)不属于以上任何范畴, 但又跟每一块都有交集
  6. 安全品牌营销、渠道维护:CSO有时候要做一些务虚的事情,例如为品牌的安全形象出席一些市场宣介,现在SRC的活动基本也属于这一类
  7. CXO们的其他需求

建议

对于互联网公司,建议做1 、2、5

对于传统行业,建议做1、3、4、5

互联网行业安全工作总结

  • 信息安全管理(设计流程、整体策略等),这部分工作约占总量的10%,比较整体, 跨度大,但工作量不多
  • 基础架构与网络安全:IDC、生产网络的各种链路和设备、服务器、大量的服务端程 序和中间件,数据库等,偏运维侧,跟漏洞扫描、打补丁、ACL、安全配置、网络 和主机入侵检测等这些事情相关性比较大,约占不到30%的工作量。
  • 应用与交付安全:对各BG、事业部、业务线自研的产品进行应用层面的安全评估, 代码审计,渗透测试,代码框架的安全功能,应用层的防火墙,应用层的入侵检测 等,属于有点“繁琐”的工程,“撇不掉、理还乱”,大部分甲方团队都没有足够的 人力去应付产品线交付的数量庞大的代码,没有能力去实践完整的SDL,这部分是 当下比较有挑战的安全业务,整体比重大于30%,还在持续增长中。
  • 业务安全:上面提到7大领域的2,包括账号安全、交易风控、征信、反价格爬虫、反作弊、 反bot程序、反欺诈、反钓鱼、反垃圾信息、舆情监控(内容信息安全)、防游戏外 挂、打击黑色产业链、安全情报等,是在“吃饱饭”之后“思淫欲”的进阶需求, 在基础安全问题解决之后,越来越受到重视的领域。整体约占30%左右的工作量, 有的甚至大过50%,这里也已经纷纷岀现乙方的创业型公司试图解决这些痛点。

互联网企业和传统企业在安全建设中的区别

总体上

传统企业偏重管理

互联网企业偏重技术

传统企业和互联网企业在安全建设需求上的差异

传统企业安全问题的特征

 IT资产相对固定

业务变更不频繁

网络边界比较固定

IDC规模不会很大,甚至没有

使用基于传统的资产威胁脆弱性的风险管理方法论加上购买和部署商业安全产品 (解决方案)通常可以搞定

大型互联网企业需要应对问题

海量IDC和海量数据

完全的分布式架构

应对业务的频繁发布和变更

架构层面需要关注:高性能、高可用性、(水平)扩展性、TCO

安全建设

传统企业的安全建设

在边界部署硬件防火墙、IPS/IDS、 WAF、商业扫描器、堡垒机,在服务器上安装防病毒软件,集成各种设备、终端的安全日志建设SOC”当然购买的安全硬件设备可能远不止这些。在管理手段上比较重视ISMS (信息安全管理体系)的建设,重视制度流程、重视审计,有些行业也必须做等级保护以及满足 大量的合规性需求。

互联网企业的安全建设

办公网络

互联网行业的大部分安全建设都围绕生产网络,而办公网络的安全通常只占整体的较小比重

生产网络

安全解决方案基本上都是以攻防为驱动的,怕被黑、怕拖 库、怕被劫持就是安全建设的最直接的驱动力,互联网公司基本不太会考虑等保、合规这种形而上的需求,只从最实际的角度出发,这一点是比传统企业更务实的地方

大型互联网安全建设

从量变到质变

对于超过一定规模的大型互联网公司,其IT建设开始进入自己发明轮子的时代,安全解决方案开始局部或进入全部自研的时代

安全建设的方法论

自研或对开源软件进行二次开发+无限水平扩展的软件架构+构建于普通中低端硬件之上(PC服务器甚至是白牌)+大数据机器学习的方式,是目前大型互联网公司用来应对业务持续性增长的主流安全解决方案

安全进入大数据时代则是肯定的

不同规模企业的安全管理

创业型公司

保障最基本的部分,追求最高性价比,不求大而全

基本的补丁管理要做

漏洞管理要做

 L3 ~ L7的基本的访问控制

没有弱密码,管好密码

账号认证鉴权不求各种基于条件的高大上的实时风控,但求基本功能到位

办公网络做到统一集中管理(100人以上规模)和企业防病毒,几个人的话,就完全不用考虑了,APT什么的就听一听拉倒了

流程什么的就没必要去搞了,有什么需求,口头约束一下

找两篇用到的开发语言的安全编程规范给程序员看看,安全专家们说的SDL就不要去追求了,那个东西没有一堆安全“准”专家玩不起来

系统加固什么的,网上找两篇文章对一下,确保没有root直接跑进程,chmod 777,管理后台弱密码对外这种低级错误

使用云平台提供的安全能力,包括各种抗DDoS、WAF、HIDS等

使用市场中第三方安全厂商提供的安全能力

大中型企业

 L2 ~ L7中的每一层拥有完整的安全设计

对所有的服务器、PC终端、移动设备,具有统一集中的状态感知、安全检测及防护能力

应用层面细粒度控制

全流量入侵检测能力

无死角1天漏洞发现能力

在安全等级较高的区域建立纵深防御和一定的0天发现能力

初具规模的安全专职团队

对应用交付有自主的评估和修补能力

从IT服务层面建立必要的流程、业务持续性以及风控应急措施

对业务安全形成自己的风控及安全管理方法论

将难以自己实现的部分外包

大型互联网企业

生态级企业vs平台级企业安全建设的需求

差别的表象

主要差别表现在是否大量地进入自己造轮子的时代,即安全建设需要依托于自研,而非采用商业解决方案或依赖于开源匸具的实现

差别的成因

技术驱动在底层还是在应用层驱动业务表象上

第二个因素是钱,钱也分为两个方面:I )成本;2) ROI

第三个因素是人。安全团队的人员数量也只是一个很表面的数字,安全团队的构成才 是实力,能囤到大牛的安全团队和由初级工程师组成的安全团队显然是不一样的

平台级公司的"止步”点

可能也会自己定制一个WAF,或者搞搞日志的大数据分析。但比如涉及DPI、全流量入侵检测、SDN、内核级别的安全机制,基本上都不 会介入,对于一个规模不是特别大的平台级公司的甲方安全团队而言,这些门槛还是有点高

生态级公司的竞技场

主要工作还是在入侵检测、 WAF、扫描器、抗DDoS、日志分析等领域,而在SDL环节上可能也会自己研发些工具

云环境下的安全变迁

资源形式的变迁

云环境下安全问题

安全的组织

创业型企业一定需要CSO吗

招聘方的诉求

CSO,在这个语境下用来指代招聘方想找拥有全局安全管理经验的人,甚至最好是资深的从业者,他能带一支哪怕是几个人的安全团队,并能把安全相关的事全部揽过去

不同阶段的需求

创业型企业的挑战

如何建立一支安全团队

极客团队

如果你在一个小型极客型团队,例如Youtube被Google收购前只有17个人,在这样 的公司里你自己就是安全团队,俗称“ one man army”。此时一切头衔皆浮云,需要的只是 一个全栈工程师

创业型企业

对于绝大多数创业型企业而言,就像之前所说的,CSO不一定需要,你拉两个小伙伴 
一起去干活就行了

不同的能力类型

长期发展潜力

第一类是酷爱攻防的人,对绕过与阻断有着天生的兴趣

第二类就是可能不是很热爱安全,但是CS基础极好的程序员,这一类人放哪里都是牛人

大型企业

对于比较大型的平台级公司而言,安全团队会有些规模,不只是需要工程师,还需要有经验的Leader,必须要有在运维安全、PC端、Web应用安全以及移动端App安全能独当 一面的人,如果业务安全尚有空白地带的话,还需要筹建业务安全团队

超大型企业

业务特点

业务线比较长,研发团队规模通常也比较庞大,整个基础架构也构建于类似云计算的底层架构之上

人员要求

有应用安全的人是不够的,安全的领头人必须自己对企业安全理解够深

Leader这一级必须对系统性的方法论有足够的了解

实际上当你进入一个平台级公司开始,安全建设早已不是一项纯技术的工作,而技术管理上的系统性思路会影响整个安全团队的投入产出比

甲方安全建设方法论

从零开始

CSO上任之初要做些什么

三张表

第一张表:组织结构图,这些是开展业务的基础,扫视一下 组织结构中每一块安全工作的干系人

第二张表:每一个线上产品(服务)和交付团队(包括其主要负责人)的映射。这张图 实际就是缩水版的问题响应流程,是日常安全问题的窗口,漏洞管理流程主要通过这些渠道去推动,一个安全团队的Leader通常需要对应于一个或若干产品的安全改进

第三张表:准确地说应该是第三类,包括全网拓扑、各系统的逻辑架构图、物理部署 图、各系统间的调用关系、服务治理结构、数据流关系等

历史遗留问题

只能灰度处理,逐步建立入侵检测手段,尝试发现异常行为,然后以类似灰度滚动升级的方式去做一轮线上系统的后门排查

初期三件事

第一件是事前的安全基线,不可能永远做事后的救火队长,所以一定要从源头尽可能保证你到位后新上线的系统是安全的

第二件是建立事中的监控的能力,各种多维度的入侵检测,做到有针对性的、及时的救火

第三件是做好事后的应急响应能力,让应急的时间成本更短,溯源和根因分析的能力更强

一边熟悉业务,一边当救火队长,一边筹建团队基本就是上任后的主要工作了。如果团队筹建得快,这个阶段2 ~ 3个月就可以结束了

不同阶段的安全建设重点

战后重建

主要做生产网络和办公网络的网络安全的基础部分

进阶

要向更广的方向拓展

优化期

会感到开源工具不足以支撑业务规模,进入自研工具时代

对外开放

安全能力对外开放,成为乙方,不是所有的甲方安全团队都会经历这个阶段

如何推动安全策略

公司层面

推动安全策略必须是在组织中自上而下的,先跟高层达成一致,形成共同语言, 对安全建设要付岀的成本和收益形成基本认知,这个成本不只是安全团队的人力成本和所用的IDC资源,还包括安全建设的管理成本

战术层面

从现在开始不要再用“你们”这个词,而改用“我们”,自此之后便会驱动你换位思考,感同身受,真正成为助力业务的伙伴

安全策略的推动还依赖于安全建设的有效性

安全需要向业务妥协吗

业界百态

甲方安全团队

认为安全压倒一切,且心口一致

对安全行业涉猎不深,还停留在原始的执念阶段

业务怎么样与我无关,只要不出安全问题,业务死了都无所谓

口头唱安全重要,但心里还是会妥协

安全的本质

安全的本质其实是风险管理,没有绝对的安全

妥协的原则

既然安全建设的本质是以一定的成本追求最大的安全防护效果,那一定是会有所妥协的

妥协并非退让,而是大局观

妥协不应该发生在工程师层面,而是应该在Leader和安全负责人这个层面

选择在不同的维度做防御

技术实现维度场景

在纵深防御的概念中,企业安全架构是层层设防,层层过滤的

"—题多解”的场景

跨时间轴的场景

风险和影响的平衡

修复成本的折中

需要自己发明安全机制吗

安全机制的含义

安全机制包括:常见的对称和非对称加密算法,操作系统自带的RBAC基于角色的访问控制,自带的防火墙Netfilter, Android的基 于appid隔离的机制,kernel支持的DEP (数据段执行保护),以及各种ASLR (地址空间随 机映射),各种安全函数、服务器软件的安全选项,这些都属于已经存在的安全机制

企业安全建设中的需求

绝大多数场景都不需要去发明安全机制

取舍点

要判断这是单个问题还是属于一类问题

如何看代SDL

攻防驱动修改

多数甲方安全团队所做的工作实际上处于这个维度。通过对已知的攻击手段,例如 SQL注入,XSS等建立事前的安全编码标准,并在发布前做代码审计、渗透测试和提出漏洞修补方案

针对性比较强,直入主题,见效快

SDL落地率低的原因

Devθps的交付模式

互联网频繁的迭代和发布,不同于传统的软件开发过程

历史问题

99%的甲方安全团队的工作都是以救火方式开始,SDL从来都不是安全建设第一个会想到的事情

业务模式

对于以Web产品为主的安全建设,第一是事后修补的成本比较低,屡试不爽;第二是部分产品的生命周期不长

SDL的门槛

第一点是安全专家少,很多安全工作者懂攻防但未必懂开发,懂漏洞但未必懂设计,所以现实往往是很多安全团队能指导研发部门修复漏洞,但可能没意识到其实缺少指导安全设计的积累

第二点是工具支持少,静态代码扫描、动态Fuzz等

因地制宜的SDL实践

重度的场景

公司内研发的偏底层的大型软件,迭代周期较长,对架构设计要求比较全面

对于较大软件的“大版本”,包括每个产品初始版本,还比如标杆产品的1.0到2.0类似这种里程碑式的版本发布

轻度的场景

对于架构简单、开发周期短、交付时间要求比较紧的情况

SDL在互联网企业的发展

目前SDL在大部分不太差钱的互联网企业属于形式上都有,但落地的部分会比较粗糙

STRIDE威胁建模

STRIDE是微软开发的用于威胁建模的工具,或者是说一套方法论

关于ISO27001

重建对安全标准的认知

这里可以指代所有的安全标准和安全理论

最实用的参考

ITIL(BS15000∕IS020000)——绝大多数互联网公司的运维流程都是以ITIL为骨架建 立的,甚至连内部的运维管理平台,监控系统上都能一眼看出ITIL的特征

SDL——研发侧的安全管理

IS027001——企业安全管理领域的基础性安全标准

广泛的兼容性

学习攻防技术和学习少数几个国际标准一点都不冲突

局限性

方法论的作用是解决企业整体安全从30分走向50分的问题

流程与“反流程”

人的问题

在传统安全领域一直是强调流程的,但是互联网行业有一点反流程

作为安全负责人,必须周期性地审视安全和IT治理的流程是不是太冗余了,是否可以精简一下,或者在公司业务扩张、新建业务线的时候考虑一下原有的流程是否适用于新的领域

机器的问题

流程是用来解决人容易犯错的问题,而不是用来解决机器犯错的问题

业务持续性管理

业务持续性管理(BCM)是一个较高层次的管理机制,通常对应到公司层面,它使企业 认识到潜在的危机和相关影响,制订响应、业务和连续性的恢复计划,其总体目标在于提 高企业的风险防范能力,有效地响应非计划的业务破坏并降低不良影响

关于应急响应

应急响应有一个PDCERF模型

步骤

紧急事件检测、调查

初始响应

事件分级

安全建设的“马斯洛需求”层次

TCO和ROI

业界的模糊地带

关于大数据安全

大数据安全的分类

关于现今流行的以Hadoop为生态的离线数据处理大数据架构和以Storm为生态的流式计算大数据架构

以海量样本+机器学习的方法去处理安全检测问题

由于要处理的数据量比较大,传统的单机设备处理不了,所以需要用Hadoop 之类的技术解决数据处理中的数据规模和实时性要求这两个性能问题,但本质还是传统BI 的建模方法,解决的也是一个传统问题

传统场景和大型互联网场景

解决方案的争议

在当下的安全产业,新概念层出不穷,但有很多属于旧酒装新瓶,换汤不换药,概念
变了,实操层面扩展或者优化了一点,但本质没变

以上内容均为博主原创手码梳理。码字不易,但只要能提高,都是值得的。如果您觉得,这篇文章对您的基础知识学习、巩固、提高有帮助,欢迎点赞、分享、收藏,谢谢。 --天天water 

  • 0
    点赞
  • 0
    评论
  • 3
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

相关推荐
©️2020 CSDN 皮肤主题: 酷酷鲨 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值