互联网企业安全高级指南1.5 生态级企业vs平台级企业安全建设的需求

1.5 生态级企业vs平台级企业安全建设的需求

生态级企业和平台级企业之间的安全建设需求不仅仅是量的差别而是质的差别。


1. 差别的表象

主要差别表现在是否大量地进入自己造轮子的时代,即安全建设需要依托于自研,而非采用商业解决方案或依赖于开源工具的实现。

那么平台级公司和生态级公司的区别又在哪里?从表象上看,生态级公司的大型基础架构如果用传统的安全方案几乎都无法满足,所以会大量的进入自研。而平台级公司则会依赖开源工具更多一些,不会对所有解决方案场景下的安全工具进行自研。如果有预算也会优先投在“业务安全”侧,比如反欺诈平台等等,而不会自己去搞入侵检测。当然,这有可能是个伪命题,有可能随着时间的推移,乙方公司也开始提供具有可扩展性、能应对分布式架构的方案,或者当时间尺度拉得长一点,平台级公司每年在自研上投入一点点,多年之后也具备了BAT级别的安全能力也并非完全不可能。不过这些都是理想状况,现实总是受到多方面因素制约的。


2. 差别的成因

第一个因素是技术驱动在底层还是在应用层驱动业务。表象上,平台级公司和生态级公司都是以PC端Web服务为入口的平台应用和以移动端APP入口的移动应用。有的依赖于一些PC客户端或移动端偏底层的APP,但在技术实现方式上,平台级公司更多地直接使用或少量修改开源软件,而生态级公司的IT基础设施则会类似于Google的三篇论文一样,不仅仅停留在使用和少量修改,而是会进入自己造轮子的阶段。其中所造的轮子是否对业界有意义这种问题暂时不去评价,但对应的安全建设则反映出平台级公司的安全主要围绕应用层面,而生态级公司的安全会覆盖基础架构和应用层面两块。直接使用开源工具的部分交给社区去处理,自己跟进打补丁就行了,但如果是自己开发的,那么就需要自己去解决一揽子的安全问题,比如Google造了Android这个轮子,那Android一系列的安全问题Google需要自己解决,比如阿里自己去搞了一个ODPS,那阿里的牛人也需要解决这个,再比如华为在物联网领域造了LiteOS这个轮子,自然也要去处理对应的问题,而这些偏底层的问题显然早已超出应用安全的范畴,也不是一般的甲方安全团队有能力应对的。其实有些平台级公司也是发明了一些轮子的,比如自动化运维工具,比如一些NOSQL,不过IDC规模两者之间仍然差得比较远,上层的业务复杂度也有差距,支持的研发团队的规模也有差距,对安全工具的自动化能力和数据处理规模仍然存在阶梯级的差别,这一点也决定了为什么要自研。安全其实只是IT整体技术建设的一个子集,当整体技术架构和实现方式进入自产自销阶段时,安全建设也必然进入这个范畴。对于很多实际上依靠业务和线下资源驱动而非技术驱动的互联网公司而言,安全建设去做太多高大上的事情显然是没有必要的。

第二个因素是钱,钱也分为两个方面:1)成本;2)ROI。假设安全投入按IT总投入的固定10%算,又假设生态级公司的安全建设成本是平台级公司的5~10倍,这个成本除了带宽、IDC服务器软硬件之外,还有技术团队,加起来才是总拥有成本TCO。10个人的安全团队和100个人的安全团队能做的事情相差太大,具体可以参考我在知乎上的帖子“为什么从事信息安全行业一定要去大公司?”。还有一方面则类似于“去IOE”,上面提到目前对于大型互联网没有合适的安全解决方案,即使有,这个成本可能也会无法接受,所以假如乙方公司能推出既能支撑业务规模,又具有性价比的方案,我认为甲方安全团队真的没有必要再去造轮子了。

第三个因素是人。安全团队的人员数量也只是一个很表面的数字,安全团队的构成才是实力,能囤到大牛的安全团队和由初级工程师组成的安全团队显然是不一样的,首先前者的成本不是所有的公司都能接受,其次,平台不够大即使大牛来了也未必有用武之地。大多数平台级公司中安全团队的知识和经验集中在Web/App、应用层协议、Web容器、中间件和数据库,生态级公司则扩展至系统底层、二进制、运行时环境和内核级别,能力积累也存在差别。这里并无褒贬之意,仅在说明业务对技术的需求不一样。


3. 平台级公司的“止步”点

那么,平台级公司在安全建设上是不是就没有乐趣呢?其实这类公司也玩一些小花样,比如修改SSHD、LVS,加入一些安全特性。可能也会自己定制一个WAF,或者搞搞日志的大数据分析。但比如涉及DPI、全流量入侵检测、SDN、内核级别的安全机制,基本上都不会介入,对于一个规模不是特别大的平台级公司的甲方安全团队而言,这些门槛还是有点高。


4. 生态级公司的竞技场

生态级公司是不是全领域进军自己造轮子呢?也不是,主要工作还是在入侵检测、WAF、扫描器、抗DDoS、日志分析等领域。在SDL环节上可能也会自己研发些工具,但很与比直接使用商业工具更短平快。阿里钱盾、腾讯管家、百度杀毒这些都跟360客户端一样与生产网络没什么关系,就不去讲了。另外自研工具有一个原则:都限定在“民用”领域,不会自己去发明一个RSA算法这样的东西。

国内的平台级公司里也有一个例外:数字公司,因为其主营业务是信息安全,所以就没有安全投资固定占比理论的影响。

时间: 2024-08-04 23:24:18

互联网企业安全高级指南1.5 生态级企业vs平台级企业安全建设的需求的相关文章

互联网企业安全高级指南导读

信息安全技术丛书 互联网企业安全高级指南 赵彦 江虎 胡乾威 编著 图书在版编目(CIP)数据 互联网企业安全高级指南/赵彦,江虎,胡乾威编著. -北京:机械工业出版社,2016.8 (信息安全技术丛书) ISBN 978-7-111-54301-5 I. 互- II.① 赵- ② 江- ③ 胡- III. 网络公司–企业安全–指南 IV. F276.6-62 中国版本图书馆CIP数据核字(2016)第166015号 本书由业内多位顶级安全专家亲力打造,分享了他们十多年的安全行业经验,特别是对大

互联网企业安全高级指南

信息安全技术丛书 互联网企业安全高级指南 赵彦 江虎 胡乾威 编著 图书在版编目(CIP)数据 互联网企业安全高级指南/赵彦,江虎,胡乾威编著. -北京:机械工业出版社,2016.8 (信息安全技术丛书) ISBN 978-7-111-54301-5 I. 互- II.① 赵- ② 江- ③ 胡- III. 网络公司–企业安全–指南 IV. F276.6-62 中国版本图书馆CIP数据核字(2016)第166015号 本书由业内多位顶级安全专家亲力打造,分享了他们十多年的安全行业经验,特别是对大

互联网企业安全高级指南2.2 如何建立一支安全团队

2.2 如何建立一支安全团队 如果要去一家公司领衔安全建设,第一个问题就是如何建立安全团队.上面提到不同的公司状况对应的安全建设需求是不一样的,需要的安全团队也是不一样的,所以我按不同的场景来深入分析这个问题. 在目前国内的市场中,BAT这种公司基本是不需要组团队的,对安全负责人有需求的公司大约是从准生态级互联网公司.平台级互联网公司.大型集团的互联网+,到千千万万的互联网创业型公司. 1. 极客团队 如果你在一个小型极客型团队,例如Youtube被Google收购前只有17个人,在这样的公司里

互联网企业安全高级指南1.4 不同规模企业的安全管理

1.4 不同规模企业的安全管理 1. 创业型公司 对于创业型公司而言,安全不是第一位的,我在唱反调吗?应该只是大实话而已.安全建设的需求应该是:保障最基本的部分,追求最高性价比,不求大而全,映射到技术实现应该是做如下事情: 基本的补丁管理要做. 漏洞管理要做. L3-L7的基本的访问控制. 没有弱密码,管好密码. 账号认证鉴权不求各种基于条件的高大上的实时风控,但求基本功能到位. 办公网络做到统一集中管理(100人以上规模)和企业防病毒,几个人的话,就完全不用考虑了,APT什么的就听一听拉倒了.

互联网企业安全高级指南3.7.2 SDL落地率低的原因

3.7.2 SDL落地率低的原因 1. DevOps的交付模式 互联网频繁的迭代和发布,不同于传统的软件开发过程.如果一个软件要一年交付,那么在前期抽出2-4周做安全设计也可以接受,但在互联网交付节奏下,可能一周到一个月就要发布版本,你可能没有足够的时间去思考安全这件事.对于SDL会拖慢整个发布节奏这个问题上,安全团队去推动也会直面公司管理层和研发线的挑战.不过当你有经验丰富的安全人员和自动化工具支持时,SDL在时间上是可以大大缩短的. 2. 历史问题 99%的甲方安全团队的工作都是以救火方式开

互联网企业安全高级指南3.13 安全建设的“马斯洛需求”层次

3.13 安全建设的"马斯洛需求"层次 可按照"马斯洛需求"层次来描述安全建设的需求,如图3-7所示. 其实这张图里少了一个级别,就是LV0,即没有安全措施. LV1通过一些较为基础的安全措施做到了基础的访问控制,并且交付的系统不含有明显的高危漏洞.但对于复杂的安全事件自身没有独立处理的能力,必须依赖于外部厂商. LV2有专职的安全团队,有攻防技术能力,能做到有火必救,不依赖于外部厂商.但在安全建设上缺乏思路,大多依赖商业产品或照搬已有的安全模式. LV3安全建设呈

互联网企业安全高级指南1.1切入“企业安全”的视角

第1章 安全大环境与背景 如果从一个很微观的角度切入企业安全这个话题,那么大多数人会像一叶孤舟跌进大海茫茫然找不到方向,所以本章从安全领域整体环境入手,以便于读者找到系统性的那种感觉.尽管笔者没有致力于提供关于企业安全的一个非常完整的"上帝视角",但也尽可能地兼顾了这方面的需求. 1.1 切入"企业安全"的视角 目前安全行业中"二进制"和"脚本"流派广为人知,虽然他们是安全行业的主力军,但除了微观对抗之外,安全是一个很大的工程

互联网企业安全高级指南3.5 选择在不同的维度做防御

3.5 选择在不同的维度做防御 攻击的方法千千万万,封堵同一个安全风险的防御方法往往不止一种,如何选择性价比最高的手段是甲方安全从业者需要权衡的. 1. 技术实现维度场景 在纵深防御的概念中(参考后面的"技术篇")企业安全架构是层层设防,层层过滤的,常见漏洞如果要利用成功需要突破几层限制,所以退一步对防御者而言有选择在某一层或某几层去设防和封堵的便利,比如SQL注入,治本的方法当然是代码写对,治标的方法WAF过滤,中间的方法SQL层过滤,从效果上说治本的方法固然最好,但在现实中总归会遇

互联网企业安全高级指南1.2 企业安全包括哪些事情

1.2 企业安全包括哪些事情 企业安全涵盖7大领域,如下所示: 1)网络安全:基础.狭义但核心的部分,以计算机(PC.服务器.小型机.BYOD--)和网络为主体的网络安全,主要聚焦在纯技术层面 2)平台和业务安全:跟所在行业和主营业务相关的安全管理,例如反欺诈,不是纯技术层面的内容,是对基础安全的拓展,目的性比较强,属于特定领域的安全,不算广义安全. 3)广义的信息安全:以IT为核心,包括广义上的"Information"载体:除了计算机数据库以外,还有包括纸质文档.机要,市场战略规划