摘要:前言之前的一個(gè)人安全部的大師傅把我們拉在了一起�,然后逐漸發(fā)現(xiàn)群里大師傅們也發(fā)了建設(shè)經(jīng)驗(yàn)文章。月入職���,一家具有支付牌照的互聯(lián)網(wǎng)金融公司��,網(wǎng)絡(luò)運(yùn)維部下�。
前言
之前的一個(gè)人安全部的77大師傅把我們拉在了一起��,然后逐漸發(fā)現(xiàn)群里大師傅們也發(fā)了建設(shè)經(jīng)驗(yàn)文章�����。好吧����,這么懶得我也分享下自己的經(jīng)驗(yàn),也就當(dāng)對(duì)這2年多來的甲方經(jīng)驗(yàn)的總結(jié)。感謝群里的小伙伴們�,感謝安全圈的各路大牛們和小伙伴們的幫助,更感謝朝夕相處的同事們的幫助�����。
概述
首先�����,把要說的重點(diǎn)總結(jié)下�����,時(shí)間就是金錢�����,剩下的都是廢話圍繞這些去說的�。(PS��。本文所說的甲方安全��,全部指一個(gè)或者兩三個(gè)普通人的小團(tuán)隊(duì)�����,非大佬團(tuán)隊(duì),非互聯(lián)網(wǎng)航母企業(yè))
安全一定要由上往下去推動(dòng)
不制定獎(jiǎng)懲措施的制度是很難推行落地的
外部機(jī)構(gòu)的檢查遠(yuǎn)遠(yuǎn)比自己找出來的問題更有影響力
作為甲方安全����,你要以主人翁的角度去思考和推動(dòng),不要把開發(fā)看成敵人
不要任何事都自己造輪子���,在現(xiàn)有的基礎(chǔ)上加以改造
不要一直做救火隊(duì)員����,要推行有利于安全的流程
把安全做得有聲音�����,最好有產(chǎn)出物(P神總結(jié)的)
好了����,開始廢話了
之所以把一個(gè)人加引號(hào),是因?yàn)樵诩追阶霭踩?�,真的不能靠一個(gè)人來做���,而是需要周圍一切可以借助的資源去做��,才能夠做起來���,否則很多事情舉步難行�����,到頭來樹敵萬千�����,工作也無法順利進(jìn)行。
接下來是我做過的事情時(shí)間點(diǎn)
2015年一套合規(guī)各類檢查的管理體系�����,熟悉基礎(chǔ)架構(gòu)����、初步了解業(yè)務(wù)。
2016年救火的一年�,發(fā)現(xiàn)問題修復(fù)問題,同時(shí)規(guī)范流程(基礎(chǔ)建設(shè))
2017年把一些開源項(xiàng)目加入到環(huán)境中���,彌補(bǔ)某些方面空缺(逐漸完善)
今年618買了本書����,《互聯(lián)網(wǎng)企業(yè)安全高級(jí)指南》,神級(jí)的甲方建設(shè)指導(dǎo)的書��,覆蓋很全面�����,思路很清晰����。
?三張表
組織架構(gòu)圖
產(chǎn)品和負(fù)責(zé)人對(duì)應(yīng)表
全網(wǎng)拓?fù)洹⑦壿嫾軜?gòu)���、物理圖�����、各系統(tǒng)間調(diào)用關(guān)系����、數(shù)據(jù)關(guān)系流等
后面還有各類技術(shù)介紹�����,講的很全面。
很慶幸自己沒有走彎路���,大體方向還對(duì)��,不幸的是都是摸索的去做���,會(huì)耽誤時(shí)間,有些客觀因素不能實(shí)現(xiàn)���,比如團(tuán)隊(duì)��。。�����。
2015
8月入職����,一家具有支付牌照的互聯(lián)網(wǎng)金融公司,網(wǎng)絡(luò)運(yùn)維部下��。正好趕上支付牌照的認(rèn)證���,互金企業(yè)的監(jiān)管機(jī)構(gòu)太多了�,等級(jí)保護(hù),PCI DSS�����,ADSS����,中金認(rèn)證,人民銀行……
于是��,為了應(yīng)對(duì)檢測�����,先把現(xiàn)有制度熟悉了一遍���,長遠(yuǎn)考慮����,打算重新搞一套符合各位大爺?shù)闹贫?,在原有不熟悉的制度上改造不如重新做?/p>
管理制度制定的思路是依據(jù) ISO27001 建立框架,分級(jí)制定“制度流程–操作手冊(cè)–記錄”��。結(jié)合等級(jí)保護(hù)(許多人說等保只是應(yīng)付,其實(shí)等保結(jié)合了各種標(biāo)準(zhǔn)�����,形成了一個(gè)安全基本要求����,挺全面的)、ITIL(流程上可參考)��、BS25999(業(yè)務(wù)連續(xù)性可參考)�、NIST SP800-53 和ISO27005(風(fēng)險(xiǎn)評(píng)估可參考),管理專業(yè)人士請(qǐng)教育���,畢竟我也不太懂…
因?yàn)榻鹑跇I(yè)的合規(guī)要求很多��,僅僅27001的覆蓋面是不夠的,因此結(jié)合多一些完全覆蓋各類合規(guī)檢測���。
其實(shí)我國的GB系列標(biāo)準(zhǔn)�����,已經(jīng)引進(jìn)了多個(gè)ISO標(biāo)準(zhǔn)�,而且全中文看著很方便。下面是推薦參考的內(nèi)容���,完全足夠����。
? ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系要求
? ISO/IEC 27002:2013信息技術(shù) 安全技術(shù) 信息安全控制實(shí)用規(guī)則
? GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求
? JR/T 0122-2014 非金融機(jī)構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)要求
? GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求
? GB/T 18336-2008 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則
? GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范
? GB/T 20269-2006 信息安全技術(shù) 信息系統(tǒng)安全管理要求
? GB/T 27910-2011 金融服務(wù) 信息安全指南
? GA/T 708-2007 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)體系框架
? ISO 22301:2012 公共安全-業(yè)務(wù)連續(xù)性管理體系-要求
? GB/T 20988—2007 信息安全技術(shù)-信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范
? GB/Z 20985-2007 信息技術(shù) 安全技術(shù) 信息安全事件管理指南
? GB/Z 20986-2007 信息安全技術(shù) 信息安全事件分類分級(jí)指南
? GB/T 24363-2009 信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范
制度的制定并不僅僅是應(yīng)對(duì)檢查�,最終還是要落實(shí),所以制度的細(xì)節(jié)一定要切合公司自身情況���,盡量簡單易于執(zhí)行�����。雖然落實(shí)比較難�����,但流程的東西一定要落實(shí)�����,比如系統(tǒng)上線��、變更要規(guī)范其安全標(biāo)準(zhǔn)化��。一般安全是掛在運(yùn)維下……就算不是也要和運(yùn)維打好關(guān)系���,把基礎(chǔ)安全這層打牢����,可以在運(yùn)維推行部分流程����,前面提到的4級(jí)文件形式,做過的事情要記錄�����,記錄盡量電子化����,便于查閱,一是檢查的時(shí)候真的有���,沒必要再造假了 – -!二是記錄也可便于事后的總結(jié)�、追溯,有一天會(huì)幫助到你的���。等大家適應(yīng)了流程����,再一點(diǎn)點(diǎn)細(xì)化、增加�,如果一口氣推下去所有制度,很難落實(shí)�。不想要一口吃成胖子,有了部分框架標(biāo)準(zhǔn)和流程�,對(duì)于安全很重要了,你不會(huì)再浪費(fèi)時(shí)間去查看對(duì)外開放端口�、之前的struts漏洞新上的系統(tǒng)是否存在等等。
安全一定要由上往下去推動(dòng)
不制定獎(jiǎng)懲措施的制度是很難推行落地的
這是兩條制度落地的關(guān)鍵�����,說多了都是淚��,自己體會(huì)吧���。最理想的狀態(tài)是形成PDCA閉環(huán)��,不斷完善改進(jìn)�����。
ps�����,互金企業(yè)更重視結(jié)果的記錄�����,因此在做類似系統(tǒng)變更��、補(bǔ)丁修復(fù)這樣的操作時(shí)候要有記錄�,無論紙質(zhì)或者電子的。
2016
這一年公司業(yè)務(wù)發(fā)展迅速�,上線的系統(tǒng)也多了,起初還有時(shí)間挖挖漏洞��,后來就是疲于上線掃描�、定期掃描、漏洞修復(fù)�����,然而可怕的是同樣的漏洞會(huì)再次出現(xiàn)����,開發(fā)小伙伴們忙于進(jìn)度是不會(huì)太注意安全的,立場不同���。還好當(dāng)時(shí)的CTO重視安全���,運(yùn)維領(lǐng)導(dǎo)極其重視安全,對(duì)于新公開的高危漏洞�,群發(fā)郵件后,都會(huì)把各個(gè)技術(shù)負(fù)責(zé)人召集起來開會(huì)��,自己評(píng)估是否影響并確定整改期限�,領(lǐng)導(dǎo)的強(qiáng)勢會(huì)有助于工作的進(jìn)行。
這一年與某大互聯(lián)網(wǎng)公司合作�����,簽了安全服務(wù)�����,包括培訓(xùn)��、滲透����、抗D等等����。他們挖出來的漏洞會(huì)被更重視(同類型問題自己找出來不會(huì)很受重視 > <)�。所以啊安全開發(fā)、上線安全檢測流程是必要存在的���。
外部機(jī)構(gòu)的檢查遠(yuǎn)遠(yuǎn)比自己找出來的問題更有影響力
除了救火�,其實(shí)另一半的工作是把基礎(chǔ)安全做好��,不要想一口氣做好所有����,一步一步來,讓大家有個(gè)“溫水煮青蛙”的過程�����,漸漸的都會(huì)適應(yīng)���。
個(gè)人感覺初期建設(shè)流程2個(gè)步驟足夠了:
發(fā)現(xiàn)目前不足
針對(duì)不足加以完善
不要任何事都自己造輪子��,在現(xiàn)有的基礎(chǔ)上加以改造
具體工作如下:
1網(wǎng)絡(luò)方面
確認(rèn)開放端口���,nmap或masscan掃下����,然后和防火墻策略對(duì)照下�����。只提供必要服務(wù)的端口�,SSH這樣的堅(jiān)決不對(duì)外提供�。
交換機(jī)路由器基線配置,比如snmp配置不能用public
網(wǎng)段的重新劃分�,訪問控制策略的重新制定(起初提過但改動(dòng)太大,后來外部滲透服務(wù)���,拿到內(nèi)網(wǎng)權(quán)限后堅(jiān)決整改���,事件驅(qū)動(dòng))。根據(jù)重要性劃分網(wǎng)段�,網(wǎng)段間嚴(yán)格訪問策略(通過路由或ACL都行,目的達(dá)到即可)����,可做部分mac綁定�����,比如網(wǎng)關(guān)���、重要網(wǎng)段,辦公區(qū)wifi只允許連接互聯(lián)網(wǎng)���。
堡壘機(jī)�,所有設(shè)備�����、服務(wù)器均通過堡壘機(jī)訪問
IPS和WAF設(shè)備的規(guī)則優(yōu)化��,每周的攻擊日志分析
2系統(tǒng)方面
其實(shí)運(yùn)維團(tuán)隊(duì)基本都會(huì)有自己的一套標(biāo)準(zhǔn)����,包括自動(dòng)化部署、監(jiān)控��、日志收集等�����。因此要做的就是熟悉現(xiàn)有方法,加以完善���。
如果在沒有任何監(jiān)控���、安全措施的環(huán)境下,可以自己搭建一套SIEM�,但是拿我們的環(huán)境來說,目前已經(jīng)有了nagios����、cacti監(jiān)控網(wǎng)絡(luò)���、性能�����、進(jìn)程���,服務(wù)器文件完整性檢測、puppet配置同步��,定制的加固過的系統(tǒng)鏡像����,時(shí)間同步����、日志收集措施���,我覺得覆蓋面已經(jīng)足夠了�����,不如在現(xiàn)有基礎(chǔ)上進(jìn)行優(yōu)化�����。
歡迎大佬指教還欠缺哪些方面��。
實(shí)現(xiàn)安全目標(biāo)的方式有很多種���,只要達(dá)到目的,最切合企業(yè)自身利益便好���。
數(shù)據(jù)庫真心不太懂���,而且我們有oracle�、mysql���、SQLserver���、mongoDB,核查下安全基線關(guān)注下漏洞動(dòng)態(tài)…比如啟動(dòng)數(shù)據(jù)庫的賬號(hào)權(quán)限�����,數(shù)據(jù)庫內(nèi)的默認(rèn)賬號(hào)�,生產(chǎn)庫賬號(hào)限制,訪問權(quán)限限制�����。數(shù)據(jù)庫審計(jì)我見到的基本沒人開的��,影響效率�。但是對(duì)于數(shù)據(jù)安全���,互金企業(yè)對(duì)其要求極高��,數(shù)據(jù)的存儲(chǔ)�����、加密��、傳輸��、備份恢復(fù)都有嚴(yán)格要求�,按照監(jiān)管機(jī)構(gòu)的要求去做就好了╮(╯▽╰)╭
ps,作為互金企業(yè)�,對(duì)災(zāi)備切換極其重視,因此每年的災(zāi)備演練要確實(shí)去做����。
應(yīng)用安全,其實(shí)本質(zhì)還是要提高代碼安全�,請(qǐng)了外部培訓(xùn)、外部滲透測試�����,也沒有搞好這方面�����,這也是甲方安全的一個(gè)痛點(diǎn)。其實(shí)人與人之間的交流都一樣的��,與開發(fā)交流�,要用“咱們”,不要挑開發(fā)的問題�,要說成那些討厭的人會(huì)不正常的去輸入內(nèi)容,繞過web界面直接修改數(shù)據(jù)包等等���,原則上是找共同利益點(diǎn)�,多贊美��,人性所在啊���。換個(gè)角度去想�,作為開發(fā)任務(wù)挺緊的�����,實(shí)現(xiàn)功能�����、趕進(jìn)度���、改bug�����,突然來了個(gè)人和我說你的代碼不安全���,這樣不行,WTF�����,你丫哪根蔥你來寫啊���。所以互相理解吧����。
1.作為甲方安全���,你要以主人翁的角度去思考和推動(dòng)����,不要把開發(fā)看成敵人
題目是帶引號(hào)的一個(gè)人���,因此我們要借助可以利用的各種資源去做安全�。比如DDOS防御,我們是把服務(wù)器托管到IDC機(jī)房�,對(duì)于DDOS防御肯定要借助外部力量,機(jī)房的流量清洗以及安全公司提供的抗D服務(wù)�。再比如我們自己的DNS服務(wù)器,每天很多的攻擊流量���,于是采用外部的DNS服務(wù)�,自己不再做DNS解析�����。
把自己無法做到的事情和非關(guān)鍵業(yè)務(wù)又浪費(fèi)精力資源的事情���,轉(zhuǎn)交給專業(yè)的外部服務(wù)團(tuán)隊(duì)�,性價(jià)比更高�����。
2. 作為甲方安全�,其實(shí)起初在技術(shù)深度上下功夫�����,并不能給整體企業(yè)安全帶來太多顯著提升,反而流程上安全優(yōu)化會(huì)有顯著提升��。先做緯度��,再做深度���。
比如你的開發(fā)同學(xué)將源碼傳到git上公開…
不要一直做救火隊(duì)員����,要推行有利于安全的流程
于是在頻頻救火的過程中�����,即使領(lǐng)導(dǎo)再重視���,你依舊處于救火中�����。流程制定好�,處理事情有條理����,整體的企業(yè)安全會(huì)有顯著提高���。
最關(guān)心的流程我覺得就是安全事件,那么安全事件發(fā)生后第一時(shí)間得知�,就需要一個(gè)監(jiān)控匯上報(bào)過程,包括技術(shù)上的監(jiān)控系統(tǒng)�,非技術(shù)層面的運(yùn)營人員發(fā)現(xiàn)系統(tǒng)故障。向誰上報(bào)���,上報(bào)哪些內(nèi)容����,如何處理�����,由誰處理���,處理優(yōu)先級(jí)�,處理方法��,總結(jié)積累��。
從這個(gè)流程可以看到,我們需要業(yè)務(wù)連續(xù)性分析(處理優(yōu)先級(jí))���,應(yīng)急手冊(cè)(處理方法),可能這些東西太虛�����,但起碼你要了解自己公司的哪些業(yè)務(wù)重要�����,遇到不同安全事件如何處理�����,需要外部資源聯(lián)系誰���。
每一年可以集中對(duì)這些事件進(jìn)行分析總結(jié)����,然后根據(jù)結(jié)果進(jìn)一步優(yōu)化代碼也好���,架構(gòu)也好�,進(jìn)一步提升安全能力。
總之��,我覺得重要的2個(gè)流程:
安全事件處理流程
系統(tǒng)上下線流程(資產(chǎn)信息變更���、基線確認(rèn)�、安全測試等�����,最有效的把系統(tǒng)安全提升到及格分?jǐn)?shù))
這一年還確定了安全預(yù)警流程�����、漏洞修復(fù)流程以及下圖中運(yùn)維相關(guān)的流程���。
制定流程要切合實(shí)際����,便于落地執(zhí)行���,精簡�。至于是否完全合理,在今后的工作中逐漸微調(diào)����,總之先有一個(gè)流程先讓大家適應(yīng)。其次����,要把權(quán)限責(zé)任分散出去����,流程可以是自己制定或者和同事一起,但至于流程的執(zhí)行負(fù)責(zé)人分開管理�����,讓大家知道誰負(fù)責(zé)哪些���,該有什么流程�,既起到了規(guī)范作用��,又減少了出現(xiàn)坑的機(jī)率了�����。
2017
這一年,日常的安全日志分析�����、漏洞預(yù)警��、季度掃描�����、上線測試�、漏洞修復(fù)、安全事件處理����、合規(guī)檢查已經(jīng)輕車熟路了,再在原有基礎(chǔ)上優(yōu)化流程�,就可以騰出來時(shí)間搞些開源的東西。當(dāng)年做計(jì)劃的時(shí)候?qū)懥送{感知�,那時(shí)候概念很火,后來給了自己一個(gè)大嘴巴�����,沒有大數(shù)據(jù)根本搞不了這玩意��。
目前環(huán)境中,沒有源代碼掃描�����、日志分析系統(tǒng)��,ips和waf都是商業(yè)化產(chǎn)品���,有時(shí)發(fā)現(xiàn)一些細(xì)節(jié)問題無法定制化���,資產(chǎn)的管理系統(tǒng)是人工錄入�,存在延遲更新、失誤導(dǎo)致的錯(cuò)誤數(shù)據(jù)風(fēng)險(xiǎn)����。于是應(yīng)用了下面這些開源項(xiàng)目
巡風(fēng)掃描,感覺最好用的是資產(chǎn)管理��,可以查看哪些IP開放了什么端口����,開放了某端口有哪些IP…可以比我們的監(jiān)控系統(tǒng)更簡單更全面搜索(畢竟服務(wù)器多了人為操作難免會(huì)有遺漏加監(jiān)控等等),還可以自己嘗試寫寫漏洞檢測腳本���。
Nginx-lua-waf�,很實(shí)用,基于openresty�,可以自己寫規(guī)則防御某些有針對(duì)性的攻擊,然而總是與時(shí)代慢了一步����,AI聯(lián)動(dòng)waf的時(shí)代已經(jīng)來臨了,尤其兜哥出了AI安全三部曲以后…
Yasca�����,源代碼掃描��,幾年前的東西了����,支持Java, C/C++, HTML, JavaScript, ASP, ColdFusion, PHP, COBOL, .NET…支持挺多的還免費(fèi)…而且集成了PMD,JLint等很多常用源代碼檢測工具����,建議在git下載,版本較新��。如果是PHP大神還可以定制更改�����。
ELK,日志分析�,后來公司買了套類似產(chǎn)品…然后我就不再花費(fèi)精力研究這個(gè)了。
推薦些常用的吧�,小伙伴們都說好的,很多我都沒用過�。
網(wǎng)絡(luò)入侵檢測snort的時(shí)代過去了,現(xiàn)在基本用suricata���。主機(jī)入侵檢測ossec���。Siem產(chǎn)品ossim,跳板機(jī)jumpserver��,蜜罐t-pot���、Awesome Honeypots。
還有個(gè)安全思維導(dǎo)圖大全:
https://github.com/SecWiki/se...
當(dāng)基礎(chǔ)安全做好����,緯度夠了,接下來就是要做深度的事情了���。
安全開發(fā)知識(shí)庫:對(duì)應(yīng)各類威脅���,不斷積累的一個(gè)代碼庫��。蜜罐系統(tǒng):知己知彼�����,百戰(zhàn)不殆���。
AI:先看書學(xué)習(xí)吧 > <
業(yè)務(wù)安全:互金行業(yè)對(duì)業(yè)務(wù)的功能要求蠻多的,而作為互金企業(yè)���,風(fēng)控是一個(gè)重點(diǎn)工作����,我不清楚大的互聯(lián)網(wǎng)公司風(fēng)控和業(yè)務(wù)安全是如何歸屬�����,但是業(yè)務(wù)安全做得好���,防止企業(yè)利益受損�,是看的見的收益。
總結(jié)
產(chǎn)出物這個(gè)問題�,很多人總要搭建一個(gè)烏云知識(shí)庫,一個(gè)XSS平臺(tái)等等�,我心想有哪個(gè)公司的開發(fā)會(huì)有時(shí)間去玩他,烏云知識(shí)庫網(wǎng)上有���,公司資源緊張我沒必要再搞了?��,F(xiàn)在我終于清楚為什么要搭建了。
把安全做得有聲音�,最好有產(chǎn)出物(P神總結(jié)的)
甲方安全的痛點(diǎn),在于話語權(quán)��,公司是以業(yè)務(wù)為重�,安全只是個(gè)輔助。因此前面提到的從根本上提高代碼安全�,推行制度落地流程,都是一個(gè)長期的緩慢工作���。大的互聯(lián)網(wǎng)公司安全都很強(qiáng)勢,安全不達(dá)標(biāo)系統(tǒng)不能上線����,漏洞未按時(shí)修復(fù)直接影響績效考核�����,但有能力做到流程化的基礎(chǔ)安全后�,才有精力去做業(yè)務(wù)安全�,總之感覺路還很長……
煩請(qǐng)各位大佬指點(diǎn),灰常感謝�。新年快樂~
*本文作者:pur0,
來源:http://www.freebuf.com/articl...
