“别人家的安全”是安全威胁情报(微信ID:Threatbook)近期推出的一档专栏。
合规、管理、构建、应急……安全问题千千万,层出不穷。我们没办法给出这些问题的标准答案,但我们可以用Case Study的形式,让你看看“别人家的安全”。
本期主角:汽车之家 安全团队负责人 纪舒瀚
Q:在你加入汽车之家后,你面临的安全环境是什么样的?
A:我来到汽车之家的时候,正值汽车之家10周年。
一方面,当时的汽车之家对于安全的需求其实是全方面的。那一年正好是各种APP都在运营推广,对于移动上的安全加固就有很强的需求,此外就是对网站的要求,比如网站是否安全,有没有人黑我们,等等。
另一方面,作为一个上市公司,汽车之家合规性的安全需求都已经满足了,但当时汽车之家的安全工作是比较分散的,代码安全相关的,让开发测试去做,运营安全就让运营团队去做……安全的工作是分开的,解决事情大部分是case by case,并没有非常完全地按照体系去建设自己的安全框架。
还有一方面就是其他团队对于安全的了解也不多,比方说新业务上线,技术团队理解的安全就是让我们去帮着测试一下,别被人黑了就完事儿了。基本是这样的。
Q:那么,面对这样的环境,你是怎么开展工作的呢?
A:其实我刚做工作交接的时候,所有的安全问题都是以Excel和Word文档的形式交给我的。所以当时的情况是,安全团队现在有多少工作要做,不知道;有多少风险,也不知道。很多东西都是未知的,挑战可以说非常大 。
所以当时我也没急着开干,我先做了这么几个事:
第一是让整个团队内部了解、认可安全的重要性;第二是了解下公司的工作方式风格;第三是对整个公司现在的业务形态、技术框架、可能存在的安全风险问题的现状摸了一下底。
摸底是在甲方做安全的时候比较独有的一个特征,因为你要了解到整个公司的工作模式是什么样的,这样才能做出更有效的安全规划。
Q:经过一番摸底后,你是怎样设想汽车之家的安全框架的?
A:我当时的想法是我要先做一个三年的规划,三年之后,汽车之家的安全框架能达到什么程度,我心里会有一个预期,根据这个预期再想好每一年要做什么,再去组建团队。
尤其是问题比较多的时候,要先制定一个计划,有节奏地“及时止损”,长期来看就要有一个可持续的计划,比如三年以后的安全状况比现在好在哪里,或者保持安全团队的前沿技术能力等等。甲方安全负责人就像一个老中医,虽然发现很多问题,但是不能case by case就结束了,需要用一整个体系去“调养”,过一段时间你就会发现,之前发生的一些类型的问题,已经被调理好了。
具体来算的话,我们第一年是一个从0到1的过程,首要任务是提高对安全风险的感知能力,所以如果要画出安全的基本框架,就需要明确我们几个网络的边界。我们当时是把办公网、生产网、公网的一些框架明细划分出来了,然后对边界的一些地方去做加固。
在划分和加固边界的同时,我们也着手对公司的资产进行清点,我们用一年多的时间研发了一套Agent,用来部署在终端上。此外,还对安全风险进行了可视化,我们研发了一套可视化的软件,可以通过各个维度去检测业务,了解整个安全风险的现状,这样就不需要再用Excel或者Word文档来记录了。
第二年我们主要是把Agent部署在生产端的服务器上,并稳定运行,通过运行Agent,我们对公司的资产情况了解得更加清晰,对于一些资产死角也进行了清理,解决了一些相应的安全隐患。
今年我们主要就开始在做办公网的安全。因为现在很多入侵生产网的行为都是从入侵办公网开始的,所以需要做风险前置,在办公网里首先把问题发现,也会开始尝试去做一些类似统筹的工作,目前我们在研发TIP(Threat Intelligence Platform),同时会结合SOC和TIP的数据让数据沉淀更有针对性,就变成了汽车之家自建大安全中心的重要组成部分。未来我希望能用威胁情报去匹配我们公司所有的节点,然后定位出哪些点曾经被这个东西去感染过或者是影响过,这样能够精准定位到每一个问题点,把这些信息关联起来的话,就能够量化整个公司的资产情况,甚至能对可能的问题点做出预测,让安全更清晰、智能。
(TIP长什么样呢?看上面)
Q:从刚刚的讲述中,能够发现汽车之家的安全正在从被动防御变为主动监测,这是新的安防趋势吗?
A:之前我们可能去买一些IDS、WAF、防火墙,通过一些硬件、或者是通过完全防御的思维来做安全,只是为了“防防防”,但是防御到一定阶段的话,天花板就非常低了,投入非常多,但是真正带来的产出未必会很高,所以做企业安全,检测和响应会更加重要,比方说我们的服务器是一个黑盒子,我在黑盒子里可以去布很多点来发现问题,根据这些问题我们能够及时报警、自动化处理,这样就形成了一个闭环,跟APT攻击打一个时间战,及时止损。
Q:检测和响应正是Gartner连续三年提出的“自适应安全”中较为重要的两个象限,那么实现自适应安全的难度在哪里?汽车之家又做了哪些自适应方面的实践呢?
A:说到自适应安全就要说威胁情报,很多甲方在做威胁情报,但其实大家可能对情报的做法和理解都不太一样。完全自动化的、人工智能识别风险,要做到非常难。做自适应安全需要土壤,公司体量非常大的时候,业务非常复杂,做起来前期的付出会更多一些。网络环境复杂的话,资产信息都很难搞清楚,而搞不清楚的资产信息将会成为安全框架中最短的那块木桶板。
具体来说,汽车之家做自适应安全,首先需要非常多的监控点,在生产网的异常样本、登录日志、邮件网关、办公网出口流量等各种信息,都需要去做采集。但是实际上,国内的互联网公司很难做到从员工的设备上采集信息,我们去年曾经尝试从员工自己的PC和手机采集,但是预装agent必然会影响员工体验,一定程度上会增加公司的投入。在资产清点完成以后,我们会把威胁情报的体系建立起来,用威胁情报去作为具体操作的准绳。现在的情况是,我们对生产网的一些监控已经有一定的能力了,包括关键配置文件、一些软件我们都会监控,针对信息泄露这一点,我们也已经做了一些防备。
自适应安全我们在尝试去做,聚合内部资产信息和威胁数据,结合模型算法去实施一些自动化的响应工作,以便及时发现风险,为企业止损。此外我们还会订阅一些漏洞信息。所以遇到突发情况的时候我们相对比较从容,比如WannaCry爆发的时候,我们通过运用威胁情报驱动的应急响应机制,对开关域名(Kill Switch)持续监测与更新,有效控制了威胁指数级扩散,为应急响应团队与黑客对抗中赢得了宝贵的时间。从而实现对威胁快速控制与修复,保障企业全网零加密事件。
Q:从您在汽车之家的从业经历来看,您认为现在的安全从业者应该提升自己哪些方面的能力?
A:首先是要提升安全分析能力。多层次的持续监控,包括网络、终端、应用程序和用户活动,这些将不可避免地产生大量数据,没有适当的分析,大数据带来的将仅仅是大噪声。通过以上的内部环境数据、结合外部威胁情报,可以采用多重的分析技术(包括:启发式、统计分析、机器学习、可视化等等),最终提供可操作的“可发现”的能力,让失陷事件更及时地被我们发现。
第二就是威胁情报能力。威胁情报是很多甲方在做的安全项目之一,我认为未来会是一个刚需。它是预测阶段的主要工作,也是防御、检测过程的基础,贯穿整个过程。威胁情报不仅是提供IP、域名、网址、文件等的可信度,更可以使企业深入了解攻击者、攻击目标和攻击方法,进而在如何保护自身系统和信息上获得具体指导。所以,如何利用威胁情报去辅助自己的SIEM、SOC等系统、以及如何提高对威胁情报的响应、处理能力,也是我们需要做的。
第三,如果你是安全团队的管理者,可能还要注意把团队管理和新的安全趋势结合起来。比如汽车之家的安全团队在评定工作中,引入了MTTD(平均检测时间)和MTTR(平均恢复时间)两个指标。
原文发布时间为:2017年7月21日