汽車之家紀舒瀚:企業安全與威脅情報
責編:rhliu |2016-06-29 14:49:08紀舒瀚:聽了一下午發現各位嘉賓都講的很精彩,也感謝會務組對我的信任由我來收場保證大家準時結束。
今天這個論壇是云安全與電商論壇,大家可能對汽車之家的理解是汽車之家論壇,買車,可能會看一些資訊,其實現在汽車之家已經開展了新的業務,包括汽車電商,還有汽車金融。所以,我們也榮幸來到這個論壇。
今天我講的是企業安全與威脅情報,其實這是兩個很大的詞,我的PPT里會涉及這兩個方面的一些聚焦點,包括我從甲方如何看待威脅情報,威脅情報能給甲方帶來哪些影響和利益。
首先,做一下自我介紹,我叫紀舒瀚,Id是H5,目前是汽車之家安全負責人,負責組建安全團隊,同時負責企業的安全體系建設,曾經就職于阿里巴巴,負責淘寶的安全,負責過多年的雙11和雙12的應急響應,包括大家雙11用的紅包,還有秒殺系統的第一代系統的評估員就是我。
我今天講的內容分四塊。第一塊是企業安全的理解。第二個是我們面對的威脅都有什么。第三是我們如何獲取情報,以及情報對企業的價值。最后是我們如何利用威脅情報落地,以及落地的一些方式。
談到企業安全,可能大家第一應該提到的就是企業安全的痛點。我在這兒羅列了四個痛點。首先第一個是大家心里最痛的脫褲,隨著信息安全越來越普及,數據庫也越來越普及的呈現在大家面前,不管是國外的還是國內的某一些廠商的數據庫。我們把脫褲這件事情放大來說,廣義上是信息泄露。幾年前我做調查的時候,市場價格是一個完整的電商定單應該是5塊錢人民幣,我幾年前去溯源一個案件的時候,發現有一個人曾經利用很牛B的技術手段偷取電商用戶cookie的事件。他是利用一個偽造成GDG格式的…文件繞過業務的…限制,最終偷取用戶的cookie,并且在他自己的云主機上做了cookie的熱部署,也就是隨時可以用這批賬號,當時可以達到盜號的效果。
企業安全面對的第二個痛苦電話可能是后門。我之前幫一個朋友溯源他們主機上后門的時候發現現在越來越多的后門是靠下發、自毀、重建,再自毀,再重建,一個個跳木板而且現在跳的越來越隱蔽,后門做的免殺的效果也越來越好。
第三個痛點是內網漫游。大家看一些安全的論壇,包括一些安全資訊的網站可能會發現企業面臨的內網漫游的事件越來越多,最主要的是網絡邊界的問題,包括wifi的網絡邊界和辦公網的網絡邊界和有線網的網絡邊界。我們在辦公網網絡邊界做的很好的情況下,對一些包括企業的wifi也做的很好,包括有線網做的很好的情況下,我一個員工的筆記本插上網線,我自己再自建一個AP可以很輕松的繞過企業的網絡邊界的限制。
最后一個痛點是剛才講的業務安全相關的痛點,薅羊毛。隨著電商業務發展的越來越快,可能有很多一些電商,包括一些促銷的業務產生,薅羊毛的事情也越來越多,但是薅羊毛是分業務的,比如我客單價比較低的情況下可能薅羊毛比較好薅,如果我賣車或者賣房的網站可能薅起來就比較沉重了,比如我花200塊錢買一個2000塊錢的優惠券,但是我只能在買車或者買房的時候才能使用。就像大家玩的一個游戲,你可能中了一個一千塊錢的優惠券,這個優惠券可能需要買一架波音747的飛機。
談到企業安全,我們一定要談的是我們面對的企業是什么類型,企業的類型包括幾點,一個是我們企業是什么業務類型,第二個是企業的組織架構是什么樣的,第三是我們企業的大小是什么樣的。BAT這樣大的甲方來說,他們的企業安全打法可能是一類,我后面的PPT講的內容可能偏重于中型互聯網甲方企業安全的打法。
企業安全中型互聯網企業安全分成三大類,第一類是我們常見的基礎安全的建設,第二是風控,第三是內審,這三個方面也分布在三個階段,前期我們沒有精力投入到風控和內審的時候更關注的是基礎安全的一個建設,基礎安全里包含著辦公網、生產網,還有我們一些開發測試環境,還有人員的意識,流程等等很多很多方面。
企業安全的基礎設施大家都比較了解,傳統的包括防火墻、WAF、IDS/IPS,SOC,包括堡壘機審計的設施。
這是我自己對企業安全防線的理解。我把它分為四類,第一類放在最外面的邊界,邊界是內網,辦公網、生產網和公網這三點之間的網絡邊界,也包含辦公網里的無線。第二點是業務應用,汽車之家我對業務應用有一個分級,衡量標準是根據業務的盈利模式,還有業務涉及的數據的重要性,根據這兩個維度把業務分級,針對不同的等級我會派安全段對的工程師對他們關注的重點和關注的精力有所不一樣。
第三點是主機,現在在汽車之家內部我對主機做了一些監控,其實主要是監控到一些木馬和后門,目前我們的一些策略可以監控到服務器上有客戶端類型的木馬或者Web的木馬,還有關鍵目錄的核心配置文件的變更,還有關鍵目錄的一些大量發布的變更,這些我都會監控到。
最后一個是數據方面,數據跟應用一樣,也需要分級,分為用戶的高中低機密信息,還有涉及到公司的高中低機密信息,包含一些HR,還有行政,還有財務等等數據。談到對抗,我們最終的對抗是管理機制的對抗,人與人,還有人與機器之間的對抗,還有標準化的流程。在一家企業剛開始建設的時候不會涉及到安全的內容,隨著業務的逐漸發展,安全逐步會進入這家企業,這個過程中企業會有自己的標準化流程,但是你介入安全的時候可能會打破這個流程。所以,這個時候會面臨很嚴酷的對抗。
后面是技術與人,力量的對抗,一個是技術團隊的對抗,還有一個是人安全團隊的團隊綜合能力的對抗。最后一個也是大家老生常談的一個問題,就是安全與業務的對抗,業務在蓬勃的發展,安全可能不能阻礙業務的發展。所以,我們要尋找一個平衡點,最終根據前面的這些邊界、策略、對抗,我們最終需要交付的一個安全的狀態。
威脅其實分為兩塊,一塊是內部,一塊是外部,內部離不開人和業務,外部是包含著外部的一些黑客,還有一些產業鏈。
在人意識方面,我在推廣內部的一些安全策略的時候會發現人的意識其實是很難改變的,包括大家的一些弱密碼的意識,我不知道在座的各位有沒有設置過密碼的習慣,或者對自己的密碼有沒有一個分級的處理,包括你支付的網站,還有個人信息類的網站,還有其他的偶爾來一次就不會再上的網站的密碼策略的管理。
第二是業務的裸奔,很多企業里的業務沒有任何的防范措施,包含我現在公司內部有一個常規的定期的掃描,每天晚上會定期的監控一些核心的業務,經常轉天早晨業務開發找我聊,說你們昨天是不是把我們業務掃了一遍或者外面是不是有一些攻擊?我說你怎么發現的?他說因為我們業務報表數據不準了。我說即使我現在停了可能外面也會有一些相關的掃描。所以,業務的裸奔可能會對業務帶來一些影響。
第三塊是外包,在這些中型企業或者小型企業很多業務產品是沒有開發團隊做的,可能涉及到一些外包的產品,我們在開發流程,包括開發最終交付的狀態很難控制安全最終給我們的結果。這也是一個很大的威脅。
最后是頻繁的變更。業務現在發展得越來越快,他們的變更也越來越快。舉個開玩笑的例子就像郭德綱相聲說的一樣,游泳運動員游的太快了可能泳褲跟不上,我們做安全有時候也會面對這樣的問題。相對內部威脅來說外部威脅會愈演愈烈來說,包括黑產鏈,周期性的攻擊和一些意外。一些意外舉個例子,我們的機器放在IDC的機房,可能部署了其他的一些網站,有一些攻擊者可能對其他網站做一些攻擊,攻擊過程中對我們產生一些意外,不小心把我們也攻擊了。這也是我們偶爾會面對的Web的威脅。
最后說情報。威脅情報來說,我認為是大數據的匯總,加上人工的分析,這樣最終才能產生有價值的情報。目前甲方一些傳統打法可能會建立SRC,做一些眾測、掃描、監控,我對SRC和眾測的看法是對安全團隊的考核,因為我們目前每個公司可能有自己的安全團隊都會有自己的一些安全審計,包括安全掃描、安全檢測,都會有一個自己的安全狀態的交付,定期做一些眾測相當于對安全團隊的考核,我這個階段安全做的怎么樣。監控是安全團隊對情報把控的最重要的點。
談到落地方式,我現在對汽車之家建設落地方式的方法是防御、監控加響應,傳統的做法只是一味的防御,但是你防御的過程中會發現我很快會到達一個天花板,當到達這個天花板之后,我再去做一些加固的性價比可能不高。所以,我會轉移一部分的精力做監控和響應。監控說得通俗一點是花樣式布點。去年整個甲方在一些邊界,一些地方都做了一些花樣式的布點的日志收集和監控,這樣入侵者在觸發我這些絆馬索的時候都會被我及時的捕獲到。最后是一個響應的機制,結合監控達到的效果是一定要快,一定要準。
各圖是我們內部監控的一個效果,我們目前對主機上的一些異常文件的變更,還有一些外來文件,包括外來的一些掃描的監控都會做到實時報警,并且通知我們相對應的安全工程師,每個工程師會被SLA響應的時間。
做甲方安全我們最重要交付一個安全的狀況,傳統的滲透測試或者安全的一個評估只是給業務提供一個威脅的預警,真正我們做的狀態應該是威脅的先抑后揚,讓大家有一個放心的安全的點,最終尋找一個對抗的平衡點。
謝謝大家。