企业安全建设点滴分享 2016.07 罗启汉 内容要点 安全建设中的典型现象与“坑” 如何应对其中的问题 甲方安全人才主要构成 安全建设大致历程 孵化新安全产品、安全 服务 重点业务生命周期安全保障 扫描、阻断、审计、监控、风控等 应急响应、漏洞收集、基线/策略、意识 教育等 增强对抗能力 为重点业务保驾护航 安全对抗的基础 基本安全保障 当 然 实 际 情 况 并 非 严 格 如 此 然而这个历程并不平坦 设计 安 全 技 关于坑和典型 术 现象的故事从 这里说起 实现 应用 运维 运营 安 全 管 理 执行 管理架构 审计/运营 业务线 评审 制定制度/规 范/流程/基线 反馈 安全漏洞处理与管理 漏洞扫描 检验 BSRC运营 渗透测试 外界报告 输 入 基于资产平台的自动 基于漏洞处理流程的 基于风险控制流程的 工单派发 自动化管理 追责与升级机制 安全漏洞运维平台 安全漏洞修复中业务线的反应  信息泄露：删除泄露的资源  SQL注入漏洞：修复发现的注入点  看似毫无影响的CSRF漏洞：忽略吧 这样解决了问题，但 似乎有一丝丝的不安？ 安全漏洞修复中业务线的反应 安全工程师：最终窃取了用户的认证信息，劫持了用户账户 RD：！！！这就修复漏洞去 安全工程师的汗与“汗”  汗：  产品线的安全漏洞为什么还是这么多：不停的发单处理  产品线同学总会有各种漏洞修复的疑问：不停的分析解释  产品线同学修复漏洞至少Check 2次才能确保修复完成  。。。 安全工程师的汗与“汗”：隔行  “汗”：  RD：这个服务端的算法和校验方式别人不知道的。。。  然而还是被黑了。。。  OP：我通过Server配置限制了上传目录不可执行PHP。。。  然而依旧被黑了。。。 安全工程师的汗与“汗”：制度与流程的问题  “汗”：  RD：有漏洞的这个系统，相关项目组已经解散了。。。  安全工程师：。。。  OP：漏洞系统的IP是我帮别人申请的，但“别人”是谁让我想想。。。  安全工程师：。。。 事件/0Day应急与管理 监控报警 0Day漏洞： 检验 BSRC情报 内部情报 外界情报 入侵事件 输 入 开源程序漏洞 其他事件：内容安全、 产品自身漏洞 应急流程 + 资产识别 + 制度 资源滥用等 应急响应中业务线的反应  典型现象：  我们这个被入侵的系统没有记日志/日志只保存一天/。。。   发生了安全违规，一线同学：我并不知道这已经违规了   没有资源、开发测试用、没有需求 翻译下：给我一个重视的理由 这个点之前安全这边评估过的，责任应该主要在安全（然而通过邮件却找到 了相反的结论，当然这不是这里的重点）  形成了安全只是一种阻碍的潜意识 应急响应中安全工程师的思路问题  典型Case：  后台盲打：修复完漏洞，溯源与损失分析完成，这算完成多少分了？  ImageMagick：业务线排查修复完成，然后漏洞真的堵上了？  。。。 从现象和“坑”中走出  业务线  安全建设  对安全问题及相应风险无知  安全培训、安全教育、安全制度  安全问题的数量不减  赋能：扫描、安全库、指南、规范  资产归属不明确  制度化、流程化  规范执行力效果没保障  技术支撑、安全教育、安全追责  主责意识差  形成安全管理架构并明确职责 技术上一般性防御思路 监控集群 业务系统 思路对≠安全建设好 WAF集群 .. 数据集群 扫描集群 风控策略 分析集群 重点业务线还应更多考虑 产品 隐私 业务逻辑 认证 账号 交易 数据 运营 安全存取 流程+审计 环 境 配置 运维 安全中间件 业务隔离 。。。 总有问题等待解决？  多维度安全风险识别  聚焦变化（包括新增）、可控性、核心资产 变化 业务、边界、攻击利用、产品技术等 可控性 网络环境、研发质量、人员意识等 核心资产 业务、数据、内部关键服务等  风险降低/规避  定位缺失能力、方案 需要脑补么？ 漏洞扫描：数据源问题 数据平台 控制平台 • 趋势：HTTPS流量增多 • 现实：业务线基本不记POST流量 • 那么我们的解决方案呢。。。 扫描集群 入侵监控：方案是否与时俱进了？ Access log、bash log、DNS log、可疑文件等 Syslog 其他渠道 分布式数据存储集群 实时分析报警 离线分析报警 • 趋势：新型绕过、容器/虚拟化提供计算、SSRF成为关注点等 • 那么我们的解决方案呢。。。 安全评估：每个阶段的评估重点  几个典型的Case：  从弱账户业务到强账号业务：账号安全评估与保障能力必须跟上  业务重心走向移动端：移动应用安全评估与保障能力必须跟上  业务合并、业务拆分：过渡期安全评估与保障能力必须跟上  。。。