當前位置:首頁 >  IDC >  安全 >  正文

汽車之家如何從0到1構(gòu)建安全體系?

 2017-07-25 11:35  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

“別人家的安全”是安全威脅情報(微信ID:Threatbook)近期推出的一檔專欄。

合規(guī)、管理、構(gòu)建、應急……安全問題千千萬,層出不窮。我們沒辦法給出這些問題的標準答案,但我們可以用Case Study的形式,讓你看看“別人家的安全”。

本期主角:汽車之家 安全團隊負責人 紀舒瀚

Q:在你加入汽車之家后,你面臨的安全環(huán)境是什么樣的?

A:我來到汽車之家的時候,正值汽車之家10周年。

一方面,當時的汽車之家對于安全的需求其實是全方面的。那一年正好是各種APP都在運營推廣,對于移動上的安全加固就有很強的需求,此外就是對網(wǎng)站的要求,比如網(wǎng)站是否安全,有沒有人黑我們,等等。

另一方面,作為一個上市公司,汽車之家合規(guī)性的安全需求都已經(jīng)滿足了,但當時汽車之家的安全工作是比較分散的,代碼安全相關(guān)的,讓開發(fā)測試去做,運營安全就讓運營團隊去做……安全的工作是分開的,解決事情大部分是case by case,并沒有非常完全地按照體系去建設(shè)自己的安全框架。

還有一方面就是其他團隊對于安全的了解也不多,比方說新業(yè)務上線,技術(shù)團隊理解的安全就是讓我們?nèi)椭鴾y試一下,別被人黑了就完事兒了?;臼沁@樣的。

Q:那么,面對這樣的環(huán)境,你是怎么開展工作的呢?

A:其實我剛做工作交接的時候,所有的安全問題都是以Excel和Word文檔的形式交給我的。所以當時的情況是,安全團隊現(xiàn)在有多少工作要做,不知道;有多少風險,也不知道。很多東西都是未知的,挑戰(zhàn)可以說非常大 。

所以當時我也沒急著開干,我先做了這么幾個事:

第一是讓整個團隊內(nèi)部了解、認可安全的重要性;第二是了解下公司的工作方式風格;第三是對整個公司現(xiàn)在的業(yè)務形態(tài)、技術(shù)框架、可能存在的安全風險問題的現(xiàn)狀摸了一下底。

摸底是在甲方做安全的時候比較獨有的一個特征,因為你要了解到整個公司的工作模式是什么樣的,這樣才能做出更有效的安全規(guī)劃。

Q:經(jīng)過一番摸底后,你是怎樣設(shè)想汽車之家的安全框架的?

A:我當時的想法是我要先做一個三年的規(guī)劃,三年之后,汽車之家的安全框架能達到什么程度,我心里會有一個預期,根據(jù)這個預期再想好每一年要做什么,再去組建團隊。

尤其是問題比較多的時候,要先制定一個計劃,有節(jié)奏地“及時止損”,長期來看就要有一個可持續(xù)的計劃,比如三年以后的安全狀況比現(xiàn)在好在哪里,或者保持安全團隊的前沿技術(shù)能力等等。甲方安全負責人就像一個老中醫(yī),雖然發(fā)現(xiàn)很多問題,但是不能case by case就結(jié)束了,需要用一整個體系去“調(diào)養(yǎng)”,過一段時間你就會發(fā)現(xiàn),之前發(fā)生的一些類型的問題,已經(jīng)被調(diào)理好了。

具體來算的話,我們第一年是一個從0到1的過程,首要任務是提高對安全風險的感知能力,所以如果要畫出安全的基本框架,就需要明確我們幾個網(wǎng)絡(luò)的邊界。我們當時是把辦公網(wǎng)、生產(chǎn)網(wǎng)、公網(wǎng)的一些框架明細劃分出來了,然后對邊界的一些地方去做加固。

在劃分和加固邊界的同時,我們也著手對公司的資產(chǎn)進行清點,我們用一年多的時間研發(fā)了一套Agent,用來部署在終端上。此外,還對安全風險進行了可視化,我們研發(fā)了一套可視化的軟件,可以通過各個維度去檢測業(yè)務,了解整個安全風險的現(xiàn)狀,這樣就不需要再用Excel或者Word文檔來記錄了。

第二年我們主要是把Agent部署在生產(chǎn)端的服務器上,并穩(wěn)定運行,通過運行Agent,我們對公司的資產(chǎn)情況了解得更加清晰,對于一些資產(chǎn)死角也進行了清理,解決了一些相應的安全隱患。

今年我們主要就開始在做辦公網(wǎng)的安全。因為現(xiàn)在很多入侵生產(chǎn)網(wǎng)的行為都是從入侵辦公網(wǎng)開始的,所以需要做風險前置,在辦公網(wǎng)里首先把問題發(fā)現(xiàn),也會開始嘗試去做一些類似統(tǒng)籌的工作,目前我們在研發(fā)TIP(Threat Intelligence Platform),同時會結(jié)合SOC和TIP的數(shù)據(jù)讓數(shù)據(jù)沉淀更有針對性,就變成了汽車之家自建大安全中心的重要組成部分。未來我希望能用威脅情報去匹配我們公司所有的節(jié)點,然后定位出哪些點曾經(jīng)被這個東西去感染過或者是影響過,這樣能夠精準定位到每一個問題點,把這些信息關(guān)聯(lián)起來的話,就能夠量化整個公司的資產(chǎn)情況,甚至能對可能的問題點做出預測,讓安全更清晰、智能。

(TIP長什么樣呢?看上面)

Q:從剛剛的講述中,能夠發(fā)現(xiàn)汽車之家的安全正在從被動防御變?yōu)橹鲃颖O(jiān)測,這是新的安防趨勢嗎?

A:之前我們可能去買一些IDS、WAF、防火墻,通過一些硬件、或者是通過完全防御的思維來做安全,只是為了“防防防”,但是防御到一定階段的話,天花板就非常低了,投入非常多,但是真正帶來的產(chǎn)出未必會很高,所以做企業(yè)安全,檢測和響應會更加重要,比方說我們的服務器是一個黑盒子,我在黑盒子里可以去布很多點來發(fā)現(xiàn)問題,根據(jù)這些問題我們能夠及時報警、自動化處理,這樣就形成了一個閉環(huán),跟APT攻擊打一個時間戰(zhàn),及時止損。

Q:檢測和響應正是Gartner連續(xù)三年提出的“適應性安全(Adaptive Security)”中較為重要的兩個象限,那么實現(xiàn)適應性安全的難度在哪里?汽車之家又做了哪些適應性方面的實踐呢?

A:說到適應性安全就要說威脅情報,很多甲方在做威脅情報,但其實大家可能對情報的做法和理解都不太一樣。完全自動化的、人工智能識別風險,要做到非常難。做適應性安全需要土壤,公司體量非常大的時候,業(yè)務非常復雜,做起來前期的付出會更多一些。網(wǎng)絡(luò)環(huán)境復雜的話,資產(chǎn)信息都很難搞清楚,而搞不清楚的資產(chǎn)信息將會成為安全框架中最短的那塊木桶板。

具體來說,汽車之家做適應性安全,首先需要非常多的監(jiān)控點,在生產(chǎn)網(wǎng)的異常樣本、登錄日志、郵件網(wǎng)關(guān)、辦公網(wǎng)出口流量等各種信息,都需要去做采集。但是實際上,國內(nèi)的互聯(lián)網(wǎng)公司很難做到從員工的設(shè)備上采集信息,我們?nèi)ツ暝?jīng)嘗試從員工自己的PC和手機采集,但是預裝agent必然會影響員工體驗,一定程度上會增加公司的投入。在資產(chǎn)清點完成以后,我們會把威脅情報的體系建立起來,用威脅情報去作為具體操作的準繩?,F(xiàn)在的情況是,我們對生產(chǎn)網(wǎng)的一些監(jiān)控已經(jīng)有一定的能力了,包括關(guān)鍵配置文件、一些軟件我們都會監(jiān)控,針對信息泄露這一點,我們也已經(jīng)做了一些防備。

適應性安全我們在嘗試去做,聚合內(nèi)部資產(chǎn)信息和威脅數(shù)據(jù),結(jié)合模型算法去實施一些自動化的響應工作,以便及時發(fā)現(xiàn)風險,為企業(yè)止損。此外我們還會訂閱一些漏洞信息。所以遇到突發(fā)情況的時候我們相對比較從容,比如WannaCry爆發(fā)的時候,我們通過運用威脅情報驅(qū)動的應急響應機制,對開關(guān)域名(Kill Switch)持續(xù)監(jiān)測與更新,有效控制了威脅指數(shù)級擴散,為應急響應團隊與黑客對抗中贏得了寶貴的時間。從而實現(xiàn)對威脅快速控制與修復,保障企業(yè)全網(wǎng)零加密事件。

Q:從您在汽車之家的從業(yè)經(jīng)歷來看,您認為現(xiàn)在的安全從業(yè)者應該提升自己哪些方面的能力?

A:首先是要提升安全分析能力。多層次的持續(xù)監(jiān)控,包括網(wǎng)絡(luò)、終端、應用程序和用戶活動,這些將不可避免地產(chǎn)生大量數(shù)據(jù),沒有適當?shù)姆治觯髷?shù)據(jù)帶來的將僅僅是大噪聲。通過以上的內(nèi)部環(huán)境數(shù)據(jù)、結(jié)合外部威脅情報,可以采用多重的分析技術(shù)(包括:啟發(fā)式、統(tǒng)計分析、機器學習、可視化等等),最終提供可操作的“可發(fā)現(xiàn)”的能力,讓失陷事件更及時地被我們發(fā)現(xiàn)。

第二就是威脅情報能力。威脅情報是很多甲方在做的安全項目之一,我認為未來會是一個剛需。它是預測階段的主要工作,也是防御、檢測過程的基礎(chǔ),貫穿整個過程。威脅情報不僅是提供IP、域名、網(wǎng)址、文件等的可信度,更可以使企業(yè)深入了解攻擊者、攻擊目標和攻擊方法,進而在如何保護自身系統(tǒng)和信息上獲得具體指導。所以,如何利用威脅情報去輔助自己的SIEM、SOC等系統(tǒng)、以及如何提高對威脅情報的響應、處理能力,也是我們需要做的。

第三,如果你是安全團隊的管理者,可能還要注意把團隊管理和新的安全趨勢結(jié)合起來。比如汽車之家的安全團隊在評定工作中,引入了MTTD(平均檢測時間)和MTTR(平均恢復時間)兩個指標。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)文章

熱門排行

信息推薦