南京市环保局官方南京做网站,房地产网站方案,免费线上商城小程序,景观园林设计公司“别人家的安全”是安全威胁情报#xff08;微信ID#xff1a;Threatbook#xff09;近期推出的一档专栏。 合规、管理、构建、应急……安全问题千千万#xff0c;层出不穷。我们没办法给出这些问题的标准答案#xff0c;但我们可以用Case Study的形式#xff0c;让你看看… “别人家的安全”是安全威胁情报微信IDThreatbook近期推出的一档专栏。 合规、管理、构建、应急……安全问题千千万层出不穷。我们没办法给出这些问题的标准答案但我们可以用Case Study的形式让你看看“别人家的安全”。 本期主角汽车之家 安全团队负责人 纪舒瀚 Q在你加入汽车之家后你面临的安全环境是什么样的 A我来到汽车之家的时候正值汽车之家10周年。 一方面当时的汽车之家对于安全的需求其实是全方面的。那一年正好是各种APP都在运营推广对于移动上的安全加固就有很强的需求此外就是对网站的要求比如网站是否安全有没有人黑我们等等。 另一方面作为一个上市公司汽车之家合规性的安全需求都已经满足了但当时汽车之家的安全工作是比较分散的代码安全相关的让开发测试去做运营安全就让运营团队去做……安全的工作是分开的解决事情大部分是case by case并没有非常完全地按照体系去建设自己的安全框架。 还有一方面就是其他团队对于安全的了解也不多比方说新业务上线技术团队理解的安全就是让我们去帮着测试一下别被人黑了就完事儿了。基本是这样的。 Q那么面对这样的环境你是怎么开展工作的呢 A其实我刚做工作交接的时候所有的安全问题都是以Excel和Word文档的形式交给我的。所以当时的情况是安全团队现在有多少工作要做不知道有多少风险也不知道。很多东西都是未知的挑战可以说非常大 。 所以当时我也没急着开干我先做了这么几个事 第一是让整个团队内部了解、认可安全的重要性第二是了解下公司的工作方式风格第三是对整个公司现在的业务形态、技术框架、可能存在的安全风险问题的现状摸了一下底。 摸底是在甲方做安全的时候比较独有的一个特征因为你要了解到整个公司的工作模式是什么样的这样才能做出更有效的安全规划。 Q经过一番摸底后你是怎样设想汽车之家的安全框架的 A我当时的想法是我要先做一个三年的规划三年之后汽车之家的安全框架能达到什么程度我心里会有一个预期根据这个预期再想好每一年要做什么再去组建团队。 尤其是问题比较多的时候要先制定一个计划有节奏地“及时止损”长期来看就要有一个可持续的计划比如三年以后的安全状况比现在好在哪里或者保持安全团队的前沿技术能力等等。甲方安全负责人就像一个老中医虽然发现很多问题但是不能case by case就结束了需要用一整个体系去“调养”过一段时间你就会发现之前发生的一些类型的问题已经被调理好了。 具体来算的话我们第一年是一个从0到1的过程首要任务是提高对安全风险的感知能力所以如果要画出安全的基本框架就需要明确我们几个网络的边界。我们当时是把办公网、生产网、公网的一些框架明细划分出来了然后对边界的一些地方去做加固。 在划分和加固边界的同时我们也着手对公司的资产进行清点我们用一年多的时间研发了一套Agent用来部署在终端上。此外还对安全风险进行了可视化我们研发了一套可视化的软件可以通过各个维度去检测业务了解整个安全风险的现状这样就不需要再用Excel或者Word文档来记录了。 第二年我们主要是把Agent部署在生产端的服务器上并稳定运行通过运行Agent我们对公司的资产情况了解得更加清晰对于一些资产死角也进行了清理解决了一些相应的安全隐患。 今年我们主要就开始在做办公网的安全。因为现在很多入侵生产网的行为都是从入侵办公网开始的所以需要做风险前置在办公网里首先把问题发现也会开始尝试去做一些类似统筹的工作目前我们在研发TIPThreat Intelligence Platform同时会结合SOC和TIP的数据让数据沉淀更有针对性就变成了汽车之家自建大安全中心的重要组成部分。未来我希望能用威胁情报去匹配我们公司所有的节点然后定位出哪些点曾经被这个东西去感染过或者是影响过这样能够精准定位到每一个问题点把这些信息关联起来的话就能够量化整个公司的资产情况甚至能对可能的问题点做出预测让安全更清晰、智能。 TIP长什么样呢看上面 Q从刚刚的讲述中能够发现汽车之家的安全正在从被动防御变为主动监测这是新的安防趋势吗 A之前我们可能去买一些IDS、WAF、防火墙通过一些硬件、或者是通过完全防御的思维来做安全只是为了“防防防”但是防御到一定阶段的话天花板就非常低了投入非常多但是真正带来的产出未必会很高所以做企业安全检测和响应会更加重要比方说我们的服务器是一个黑盒子我在黑盒子里可以去布很多点来发现问题根据这些问题我们能够及时报警、自动化处理这样就形成了一个闭环跟APT攻击打一个时间战及时止损。 Q检测和响应正是Gartner连续三年提出的“自适应安全”中较为重要的两个象限那么实现自适应安全的难度在哪里汽车之家又做了哪些自适应方面的实践呢 A说到自适应安全就要说威胁情报很多甲方在做威胁情报但其实大家可能对情报的做法和理解都不太一样。完全自动化的、人工智能识别风险要做到非常难。做自适应安全需要土壤公司体量非常大的时候业务非常复杂做起来前期的付出会更多一些。网络环境复杂的话资产信息都很难搞清楚而搞不清楚的资产信息将会成为安全框架中最短的那块木桶板。 具体来说汽车之家做自适应安全首先需要非常多的监控点在生产网的异常样本、登录日志、邮件网关、办公网出口流量等各种信息都需要去做采集。但是实际上国内的互联网公司很难做到从员工的设备上采集信息我们去年曾经尝试从员工自己的PC和手机采集但是预装agent必然会影响员工体验一定程度上会增加公司的投入。在资产清点完成以后我们会把威胁情报的体系建立起来用威胁情报去作为具体操作的准绳。现在的情况是我们对生产网的一些监控已经有一定的能力了包括关键配置文件、一些软件我们都会监控针对信息泄露这一点我们也已经做了一些防备。 自适应安全我们在尝试去做聚合内部资产信息和威胁数据结合模型算法去实施一些自动化的响应工作以便及时发现风险为企业止损。此外我们还会订阅一些漏洞信息。所以遇到突发情况的时候我们相对比较从容比如WannaCry爆发的时候我们通过运用威胁情报驱动的应急响应机制对开关域名Kill Switch持续监测与更新有效控制了威胁指数级扩散为应急响应团队与黑客对抗中赢得了宝贵的时间。从而实现对威胁快速控制与修复保障企业全网零加密事件。 Q从您在汽车之家的从业经历来看您认为现在的安全从业者应该提升自己哪些方面的能力 A首先是要提升安全分析能力。多层次的持续监控包括网络、终端、应用程序和用户活动这些将不可避免地产生大量数据没有适当的分析大数据带来的将仅仅是大噪声。通过以上的内部环境数据、结合外部威胁情报可以采用多重的分析技术包括启发式、统计分析、机器学习、可视化等等最终提供可操作的“可发现”的能力让失陷事件更及时地被我们发现。 第二就是威胁情报能力。威胁情报是很多甲方在做的安全项目之一我认为未来会是一个刚需。它是预测阶段的主要工作也是防御、检测过程的基础贯穿整个过程。威胁情报不仅是提供IP、域名、网址、文件等的可信度更可以使企业深入了解攻击者、攻击目标和攻击方法进而在如何保护自身系统和信息上获得具体指导。所以如何利用威胁情报去辅助自己的SIEM、SOC等系统、以及如何提高对威胁情报的响应、处理能力也是我们需要做的。 第三如果你是安全团队的管理者可能还要注意把团队管理和新的安全趋势结合起来。比如汽车之家的安全团队在评定工作中引入了MTTD平均检测时间和MTTR平均恢复时间两个指标。 原文发布时间为2017年7月21日 本文来自云栖社区合作伙伴至顶网了解相关信息可以关注至顶网。
