域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

“別人家的安全”是安全威脅情報(bào)(微信ID：Threatbook)近期推出的一檔專(zhuān)欄。

合規(guī)、管理、構(gòu)建、應(yīng)急……安全問(wèn)題千千萬(wàn)，層出不窮。我們沒(méi)辦法給出這些問(wèn)題的標(biāo)準(zhǔn)答案，但我們可以用Case Study的形式，讓你看看“別人家的安全”。

本期主角：汽車(chē)之家 安全團(tuán)隊(duì)負(fù)責(zé)人 紀(jì)舒瀚

Q：在你加入汽車(chē)之家后，你面臨的安全環(huán)境是什么樣的?

A：我來(lái)到汽車(chē)之家的時(shí)候，正值汽車(chē)之家10周年。

一方面，當(dāng)時(shí)的汽車(chē)之家對(duì)于安全的需求其實(shí)是全方面的。那一年正好是各種APP都在運(yùn)營(yíng)推廣，對(duì)于移動(dòng)上的安全加固就有很強(qiáng)的需求，此外就是對(duì)網(wǎng)站的要求，比如網(wǎng)站是否安全，有沒(méi)有人黑我們，等等。

另一方面，作為一個(gè)上市公司，汽車(chē)之家合規(guī)性的安全需求都已經(jīng)滿足了，但當(dāng)時(shí)汽車(chē)之家的安全工作是比較分散的，代碼安全相關(guān)的，讓開(kāi)發(fā)測(cè)試去做，運(yùn)營(yíng)安全就讓運(yùn)營(yíng)團(tuán)隊(duì)去做……安全的工作是分開(kāi)的，解決事情大部分是case by case，并沒(méi)有非常完全地按照體系去建設(shè)自己的安全框架。

還有一方面就是其他團(tuán)隊(duì)對(duì)于安全的了解也不多，比方說(shuō)新業(yè)務(wù)上線，技術(shù)團(tuán)隊(duì)理解的安全就是讓我們?nèi)椭鴾y(cè)試一下，別被人黑了就完事兒了?；臼沁@樣的。

Q：那么，面對(duì)這樣的環(huán)境，你是怎么開(kāi)展工作的呢?

A：其實(shí)我剛做工作交接的時(shí)候，所有的安全問(wèn)題都是以Excel和Word文檔的形式交給我的。所以當(dāng)時(shí)的情況是，安全團(tuán)隊(duì)現(xiàn)在有多少工作要做，不知道;有多少風(fēng)險(xiǎn)，也不知道。很多東西都是未知的，挑戰(zhàn)可以說(shuō)非常大 。

所以當(dāng)時(shí)我也沒(méi)急著開(kāi)干，我先做了這么幾個(gè)事：

第一是讓整個(gè)團(tuán)隊(duì)內(nèi)部了解、認(rèn)可安全的重要性;第二是了解下公司的工作方式風(fēng)格;第三是對(duì)整個(gè)公司現(xiàn)在的業(yè)務(wù)形態(tài)、技術(shù)框架、可能存在的安全風(fēng)險(xiǎn)問(wèn)題的現(xiàn)狀摸了一下底。

摸底是在甲方做安全的時(shí)候比較獨(dú)有的一個(gè)特征，因?yàn)槟阋私獾秸麄€(gè)公司的工作模式是什么樣的，這樣才能做出更有效的安全規(guī)劃。

Q：經(jīng)過(guò)一番摸底后，你是怎樣設(shè)想汽車(chē)之家的安全框架的?

A：我當(dāng)時(shí)的想法是我要先做一個(gè)三年的規(guī)劃，三年之后，汽車(chē)之家的安全框架能達(dá)到什么程度，我心里會(huì)有一個(gè)預(yù)期，根據(jù)這個(gè)預(yù)期再想好每一年要做什么，再去組建團(tuán)隊(duì)。

尤其是問(wèn)題比較多的時(shí)候，要先制定一個(gè)計(jì)劃，有節(jié)奏地“及時(shí)止損”，長(zhǎng)期來(lái)看就要有一個(gè)可持續(xù)的計(jì)劃，比如三年以后的安全狀況比現(xiàn)在好在哪里，或者保持安全團(tuán)隊(duì)的前沿技術(shù)能力等等。甲方安全負(fù)責(zé)人就像一個(gè)老中醫(yī)，雖然發(fā)現(xiàn)很多問(wèn)題，但是不能case by case就結(jié)束了，需要用一整個(gè)體系去“調(diào)養(yǎng)”，過(guò)一段時(shí)間你就會(huì)發(fā)現(xiàn)，之前發(fā)生的一些類(lèi)型的問(wèn)題，已經(jīng)被調(diào)理好了。

具體來(lái)算的話，我們第一年是一個(gè)從0到1的過(guò)程，首要任務(wù)是提高對(duì)安全風(fēng)險(xiǎn)的感知能力，所以如果要畫(huà)出安全的基本框架，就需要明確我們幾個(gè)網(wǎng)絡(luò)的邊界。我們當(dāng)時(shí)是把辦公網(wǎng)、生產(chǎn)網(wǎng)、公網(wǎng)的一些框架明細(xì)劃分出來(lái)了，然后對(duì)邊界的一些地方去做加固。

在劃分和加固邊界的同時(shí)，我們也著手對(duì)公司的資產(chǎn)進(jìn)行清點(diǎn)，我們用一年多的時(shí)間研發(fā)了一套Agent，用來(lái)部署在終端上。此外，還對(duì)安全風(fēng)險(xiǎn)進(jìn)行了可視化，我們研發(fā)了一套可視化的軟件，可以通過(guò)各個(gè)維度去檢測(cè)業(yè)務(wù)，了解整個(gè)安全風(fēng)險(xiǎn)的現(xiàn)狀，這樣就不需要再用Excel或者Word文檔來(lái)記錄了。

第二年我們主要是把Agent部署在生產(chǎn)端的服務(wù)器上，并穩(wěn)定運(yùn)行，通過(guò)運(yùn)行Agent，我們對(duì)公司的資產(chǎn)情況了解得更加清晰，對(duì)于一些資產(chǎn)死角也進(jìn)行了清理，解決了一些相應(yīng)的安全隱患。

今年我們主要就開(kāi)始在做辦公網(wǎng)的安全。因?yàn)楝F(xiàn)在很多入侵生產(chǎn)網(wǎng)的行為都是從入侵辦公網(wǎng)開(kāi)始的，所以需要做風(fēng)險(xiǎn)前置，在辦公網(wǎng)里首先把問(wèn)題發(fā)現(xiàn)，也會(huì)開(kāi)始嘗試去做一些類(lèi)似統(tǒng)籌的工作，目前我們?cè)谘邪l(fā)TIP(Threat Intelligence Platform)，同時(shí)會(huì)結(jié)合SOC和TIP的數(shù)據(jù)讓數(shù)據(jù)沉淀更有針對(duì)性，就變成了汽車(chē)之家自建大安全中心的重要組成部分。未來(lái)我希望能用威脅情報(bào)去匹配我們公司所有的節(jié)點(diǎn)，然后定位出哪些點(diǎn)曾經(jīng)被這個(gè)東西去感染過(guò)或者是影響過(guò)，這樣能夠精準(zhǔn)定位到每一個(gè)問(wèn)題點(diǎn)，把這些信息關(guān)聯(lián)起來(lái)的話，就能夠量化整個(gè)公司的資產(chǎn)情況，甚至能對(duì)可能的問(wèn)題點(diǎn)做出預(yù)測(cè)，讓安全更清晰、智能。

(TIP長(zhǎng)什么樣呢?看上面)

Q：從剛剛的講述中，能夠發(fā)現(xiàn)汽車(chē)之家的安全正在從被動(dòng)防御變?yōu)橹鲃?dòng)監(jiān)測(cè)，這是新的安防趨勢(shì)嗎?

A：之前我們可能去買(mǎi)一些IDS、WAF、防火墻，通過(guò)一些硬件、或者是通過(guò)完全防御的思維來(lái)做安全，只是為了“防防防”，但是防御到一定階段的話，天花板就非常低了，投入非常多，但是真正帶來(lái)的產(chǎn)出未必會(huì)很高，所以做企業(yè)安全，檢測(cè)和響應(yīng)會(huì)更加重要，比方說(shuō)我們的服務(wù)器是一個(gè)黑盒子，我在黑盒子里可以去布很多點(diǎn)來(lái)發(fā)現(xiàn)問(wèn)題，根據(jù)這些問(wèn)題我們能夠及時(shí)報(bào)警、自動(dòng)化處理，這樣就形成了一個(gè)閉環(huán)，跟APT攻擊打一個(gè)時(shí)間戰(zhàn)，及時(shí)止損。

Q：檢測(cè)和響應(yīng)正是Gartner連續(xù)三年提出的“適應(yīng)性安全(Adaptive Security)”中較為重要的兩個(gè)象限，那么實(shí)現(xiàn)適應(yīng)性安全的難度在哪里?汽車(chē)之家又做了哪些適應(yīng)性方面的實(shí)踐呢?

A：說(shuō)到適應(yīng)性安全就要說(shuō)威脅情報(bào)，很多甲方在做威脅情報(bào)，但其實(shí)大家可能對(duì)情報(bào)的做法和理解都不太一樣。完全自動(dòng)化的、人工智能識(shí)別風(fēng)險(xiǎn)，要做到非常難。做適應(yīng)性安全需要土壤，公司體量非常大的時(shí)候，業(yè)務(wù)非常復(fù)雜，做起來(lái)前期的付出會(huì)更多一些。網(wǎng)絡(luò)環(huán)境復(fù)雜的話，資產(chǎn)信息都很難搞清楚，而搞不清楚的資產(chǎn)信息將會(huì)成為安全框架中最短的那塊木桶板。

具體來(lái)說(shuō)，汽車(chē)之家做適應(yīng)性安全，首先需要非常多的監(jiān)控點(diǎn)，在生產(chǎn)網(wǎng)的異常樣本、登錄日志、郵件網(wǎng)關(guān)、辦公網(wǎng)出口流量等各種信息，都需要去做采集。但是實(shí)際上，國(guó)內(nèi)的互聯(lián)網(wǎng)公司很難做到從員工的設(shè)備上采集信息，我們?nèi)ツ暝?jīng)嘗試從員工自己的PC和手機(jī)采集，但是預(yù)裝agent必然會(huì)影響員工體驗(yàn)，一定程度上會(huì)增加公司的投入。在資產(chǎn)清點(diǎn)完成以后，我們會(huì)把威脅情報(bào)的體系建立起來(lái)，用威脅情報(bào)去作為具體操作的準(zhǔn)繩?，F(xiàn)在的情況是，我們對(duì)生產(chǎn)網(wǎng)的一些監(jiān)控已經(jīng)有一定的能力了，包括關(guān)鍵配置文件、一些軟件我們都會(huì)監(jiān)控，針對(duì)信息泄露這一點(diǎn)，我們也已經(jīng)做了一些防備。

適應(yīng)性安全我們?cè)趪L試去做，聚合內(nèi)部資產(chǎn)信息和威脅數(shù)據(jù)，結(jié)合模型算法去實(shí)施一些自動(dòng)化的響應(yīng)工作，以便及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)，為企業(yè)止損。此外我們還會(huì)訂閱一些漏洞信息。所以遇到突發(fā)情況的時(shí)候我們相對(duì)比較從容，比如WannaCry爆發(fā)的時(shí)候，我們通過(guò)運(yùn)用威脅情報(bào)驅(qū)動(dòng)的應(yīng)急響應(yīng)機(jī)制，對(duì)開(kāi)關(guān)域名(Kill Switch)持續(xù)監(jiān)測(cè)與更新，有效控制了威脅指數(shù)級(jí)擴(kuò)散，為應(yīng)急響應(yīng)團(tuán)隊(duì)與黑客對(duì)抗中贏得了寶貴的時(shí)間。從而實(shí)現(xiàn)對(duì)威脅快速控制與修復(fù)，保障企業(yè)全網(wǎng)零加密事件。

Q：從您在汽車(chē)之家的從業(yè)經(jīng)歷來(lái)看，您認(rèn)為現(xiàn)在的安全從業(yè)者應(yīng)該提升自己哪些方面的能力?

A：首先是要提升安全分析能力。多層次的持續(xù)監(jiān)控，包括網(wǎng)絡(luò)、終端、應(yīng)用程序和用戶(hù)活動(dòng)，這些將不可避免地產(chǎn)生大量數(shù)據(jù)，沒(méi)有適當(dāng)?shù)姆治觯髷?shù)據(jù)帶來(lái)的將僅僅是大噪聲。通過(guò)以上的內(nèi)部環(huán)境數(shù)據(jù)、結(jié)合外部威脅情報(bào)，可以采用多重的分析技術(shù)(包括：?jiǎn)l(fā)式、統(tǒng)計(jì)分析、機(jī)器學(xué)習(xí)、可視化等等)，最終提供可操作的“可發(fā)現(xiàn)”的能力，讓失陷事件更及時(shí)地被我們發(fā)現(xiàn)。

第二就是威脅情報(bào)能力。威脅情報(bào)是很多甲方在做的安全項(xiàng)目之一，我認(rèn)為未來(lái)會(huì)是一個(gè)剛需。它是預(yù)測(cè)階段的主要工作，也是防御、檢測(cè)過(guò)程的基礎(chǔ)，貫穿整個(gè)過(guò)程。威脅情報(bào)不僅是提供IP、域名、網(wǎng)址、文件等的可信度，更可以使企業(yè)深入了解攻擊者、攻擊目標(biāo)和攻擊方法，進(jìn)而在如何保護(hù)自身系統(tǒng)和信息上獲得具體指導(dǎo)。所以，如何利用威脅情報(bào)去輔助自己的SIEM、SOC等系統(tǒng)、以及如何提高對(duì)威脅情報(bào)的響應(yīng)、處理能力，也是我們需要做的。

第三，如果你是安全團(tuán)隊(duì)的管理者，可能還要注意把團(tuán)隊(duì)管理和新的安全趨勢(shì)結(jié)合起來(lái)。比如汽車(chē)之家的安全團(tuán)隊(duì)在評(píng)定工作中，引入了MTTD(平均檢測(cè)時(shí)間)和MTTR(平均恢復(fù)時(shí)間)兩個(gè)指標(biāo)。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！