压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

摘要：任何一個安全部門技術(shù)工作負(fù)責(zé)人，工作中都會和自己的甲方—領(lǐng)導(dǎo)和乙方—安全廠商的同仁打交道。本文將從內(nèi)容安全、漏洞治理、應(yīng)急響應(yīng)、態(tài)勢感知、安全運營等5項實際安全工作出發(fā)探討甲方和乙方視角對相同工作看到的不同景象。

黃樂????央視網(wǎng)網(wǎng)絡(luò)安全專家

一、跟公司匯報工作的總體邏輯

這個金字塔是我們跟公司匯報時的重要思路，也是2018年的最新版。

能力輸出是相當(dāng)于安全部門對公司的整體接口。我們告訴公司我們可以提供什么服務(wù)，公司以此來決定如何給我們投入。

安全工作是第二層，這是網(wǎng)絡(luò)安全部最核心的模塊。

技術(shù)及管理手段是這個工作的支撐手段，包括公司的政策、制度層面等等。

央視網(wǎng)的技術(shù)能力、開發(fā)能力還是相對比較弱的，我們需要很多項目落地的支持。

這個金字塔是從下往上的支撐邏輯。

這個思維導(dǎo)圖是我們內(nèi)部整理的網(wǎng)絡(luò)安全工作。我們把網(wǎng)絡(luò)安全工作分為安全治理、安全檢測、安全防御、安全響應(yīng)四大模塊。我們發(fā)現(xiàn)安全工作是非常復(fù)雜和繁雜的，涉及到管理、技術(shù)、策略、運營，各個層面的東西都有。如此多的工作不是任何一個甲方憑自己的努力就可以做到的，我們需要跟公司領(lǐng)導(dǎo)和乙方各公司通力合作。

下面給大家簡單介紹一下我們的具體工作。

二、甲乙方的不同視角

作為媒體，我們最重要的是內(nèi)容安全。2017年，我們對國內(nèi)主要的內(nèi)容安全廠商開放接口進行了橫向評測。我們發(fā)現(xiàn)了一個特點，這些廠商能夠提供的都是標(biāo)準(zhǔn)化、碎片化的能力。站在廠商的角度，這沒有問題。如果不標(biāo)準(zhǔn)、大量定制是很不理智的選擇。但是，對于我們來說，這樣就帶來了標(biāo)準(zhǔn)化問題和最便化問題。

標(biāo)準(zhǔn)化的問題，當(dāng)我們測一個接口的時候，大量的報政治敏感圖片的報警。政治敏感圖片都是關(guān)于國家領(lǐng)導(dǎo)人的。央視網(wǎng)要報道國家領(lǐng)導(dǎo)人，也要報道落馬官員、恐怖分子。單一的判斷邏輯在我們這兒是失效的。這就引出了碎片化的問題。廠商能給我們提供的都是一個個的原子能力。如果不整合這些原子能力，對我們的意義是不大的。碎片化的能力如果遇到開發(fā)能力不強的公司，這個能力就用不起來。我們現(xiàn)在在整合這些能力。舉一個非常簡單的例子，如果是國家領(lǐng)導(dǎo)人的照片出來了，它下面的評論應(yīng)該是正向的，至少是這樣，我們才認(rèn)為這條新聞是對的。如果是恐怖分子或者是落馬官員，我總不能在下面夸他吧？至少我要給人工看一看。這是最簡單的整合，但不整合肯定是有問題的。

由此引出另外一個問題，我一直在說政治敏感識別產(chǎn)生的問題。我們在2017年的評測結(jié)果大概是這樣的，在圖片方面，色情的識別率好于惡心圖片的識別率、暴恐和政治敏感。為什么政治敏感排在最后？我們發(fā)現(xiàn)排名越靠前的是策略不太容易變的。不管色情圖片學(xué)起來有多難，但它的標(biāo)準(zhǔn)是不變的。但是，政治敏感圖片怎么定義成政治敏感？這本身就是問題。

如果要做好政治敏感圖片的識別，至少要做到兩點。一是快速得到最新的信息，能夠做到快速更新。二是怎么把我們得到的信息快速落地到系統(tǒng)，快速實現(xiàn)檢測能力。做到這兩點，對政治敏感圖片的識別才能是基本可用。

二是漏洞管理是我們都能遇得到的。甲方的需求很簡單，快速發(fā)現(xiàn)漏洞、快速治理。廠商給我們做服務(wù)，他們都是用標(biāo)準(zhǔn)模式、標(biāo)準(zhǔn)服務(wù)流程，進行漏洞掃描，然后出報告、整改意見。還有一些新漏洞，我可以通報給你或者協(xié)助你。站在廠商的角度，做到這些已經(jīng)可以了。從另一個角度，如果可以在兩個方面幫甲方做的更好，漏洞管理的效率會好很多。首先還是快速發(fā)現(xiàn)。不知道乙方的漏洞掃描周期是多長，我們曾經(jīng)是3個月，漏洞在我們的網(wǎng)里待3個月，黑客可以把想干的不想干的都干了。如果可以把漏洞發(fā)現(xiàn)的時間壓縮到1周，甚至1天異類，這就是不同的場景。另外一點就是綜合治理。乙方、廠商、服務(wù)商把漏洞交給甲方，大家做甲方的都知道內(nèi)部調(diào)動起來是很難的，他有100個理由告訴你修不了，怎么辦？這個問題的解決方案也沒有那么復(fù)雜，現(xiàn)在也有開源的漏洞管理平臺。我在去年匯報的時候也提到了我們也在做漏洞管理平臺，我們把一個漏洞在系統(tǒng)上流轉(zhuǎn)起來，搞排名，把大家的積極性調(diào)動起來。這樣更好的幫助甲方把漏洞治理起來。

我們自己也在研究如何快速發(fā)展。目前得出的結(jié)論就是1萬臺以下的主機每天掃一輪是完全沒有問題的。我們希望把漏洞變成動態(tài)的信息、動態(tài)的數(shù)據(jù)，綜合治理起來。

二是應(yīng)急響應(yīng)。我理解它分為快速響應(yīng)、快速恢復(fù)、精準(zhǔn)溯源三個層面。仔細(xì)分析，廠商可以幫助甲方真正掌握的就是快速響應(yīng)。如果甲方支持力度不夠，你讓乙方投入多大的精力，后面兩個也沒辦法做。因為恢復(fù)的權(quán)限在甲方手里。溯源的很多情況是乙方不掌握的，應(yīng)急響應(yīng)團隊不是長期駐場的，他對情況不了解。應(yīng)急響應(yīng)這件事一定是由甲方主導(dǎo)，有些工作乙方做不到。我認(rèn)為甲方做好應(yīng)急響應(yīng)至少要實現(xiàn)四個層面，有思路、有辦法、能溯源、搞建設(shè)。

有思路。一個應(yīng)急事件來了，我們總要知道干點什么、怎么干。是請援軍？調(diào)誰？內(nèi)部跟誰聯(lián)系？外部跟誰聯(lián)系？我們就遇到過突然就亂了的，所有人都慌了，導(dǎo)致這個事跟沒干一樣，效果非常差。所以，有思路是非常重要的。

有辦法。你有思路以后，你想調(diào)內(nèi)部的資源，應(yīng)急恢復(fù)的時候我們靠運維，運維部門愿不愿意支持我們？這要靠品市的積累。還有工具，我們有沒有很好的工具？有些工具做起來可能就是一個批處理，這件事經(jīng)常發(fā)生。廠商資源能不能調(diào)集得過來，在合同中有沒有這種約束，人家是不是愿意管我們。

能溯源。溯源這件事，大家都能理解，我分享一個我們內(nèi)部工作的小技巧。我們的溯源會分別從兩個方向展開。第一個肯定是應(yīng)急的方向，A主機被滲透了，我到B主機看。B主機被滲透了，我再去C主機看。這個過程是反著的，可以發(fā)現(xiàn)安全手段存在什么問題，它為什么可以進來？這條線理完以后，我調(diào)過來看，作為黑客的角度，我為什么這么做？為什么是走這線？這條線是不是因為某臺主機很弱，比較好搞？還是說有什么東西吸引了他？還是他外面有情報，我們沒遇到過？一條很詭異的線，他為什么這么走？因為他的情報有問題。這個時候我們才知道設(shè)的坎兒有沒有絆住他。

搞建設(shè)。我們知道哪兒有問題、哪兒不到位，我們就開始建設(shè)。這是我們申請預(yù)算的非常好的辦法。平時申請預(yù)算難，領(lǐng)導(dǎo)覺得安全沒什么事，天天要錢，還挺貴。出事了就批點錢，給我們一些經(jīng)費。比如，因為弱密碼進來了。可不可以把CA搞起來，多一層認(rèn)證。

這幾件事做完以后才是整體的應(yīng)急響應(yīng)過程。

四是態(tài)勢感知。這對我們來說是很沉重的話題，因為我們選擇了自研，遇到了很多問題。訴求很簡單，好看、實用。我們看到的安全廠商的訴求是好看、通用。

好看這一點很好理解。甲方的安全部門就指著這張好看的皮給領(lǐng)導(dǎo)做匯報，這個東西很重要。

通用也好理解，廠商沒有通用的東西，去搞定制確實是不理智的行為。

其實，從我們的角度，我要的是實用。

首先是數(shù)據(jù)處理。安全日志特別多，一旦有應(yīng)急事件了，或者有一條內(nèi)部的分析線，分析出一個新的攻擊類型，我們會把專家叫過來給我們講為什么我沒看出來，你是怎么看出來這條線是有問題的。把他的邏輯記下來以后，丟給開發(fā)，幫我實現(xiàn)。我們搞一些基本的分析能力，我們就左右前后的拼裝這些東西，希望盡量把人的經(jīng)驗放到系統(tǒng)里面。因為人不可能7×24，系統(tǒng)可以。

第二塊是安全評分。我們不關(guān)心現(xiàn)在的分是80分，還是100分，我們關(guān)心的是它跟上一個時段的分有什么變化。它跟昨天的分、上周的分有什么變化。假設(shè)分越高越危險，昨天60分，今天70分，高了10分，為什么？漏洞多發(fā)了？還是攻擊增加了？還是新業(yè)務(wù)上線？拿到后面的結(jié)果就可以馬上知道后續(xù)的動作，該干什么，不該干什么。如果是越來越好了，我們也知道。這樣跟領(lǐng)導(dǎo)匯報的時候就可以說哪塊做的越來越好、哪塊做的越來越差。現(xiàn)在的總體思路是這樣的，真正想粗略的實現(xiàn)并不是很難。它是一個態(tài)勢，前后有一個對比。

第三塊是業(yè)務(wù)邏輯。我現(xiàn)在想到的態(tài)勢感知就是地圖，都是地圖。我是看膩了。大家做IT的都知道，很多東西都在云上，地域信息對我們真的那么重要嗎？至少我不是這么認(rèn)為。我更關(guān)心的是業(yè)務(wù)邏輯，老板關(guān)心的也是業(yè)務(wù)邏輯。好看的同時能不能把業(yè)務(wù)邏輯展現(xiàn)出來，某一個中間環(huán)節(jié)出現(xiàn)了安全風(fēng)險，或者它的風(fēng)險值很高，可以一目了然的了解它會影響后面哪些業(yè)務(wù)。

五是安全運營。我們一直想做這件事，機緣巧合之下，終于找到了夢想中的那個人，招了一個運營，幫我們把運營工作做起來。整體思路分對內(nèi)、對外兩個層面。

對內(nèi)分制度設(shè)計、安全教育、企業(yè)文化三個方面。我們發(fā)現(xiàn)一個安全漏洞，跟業(yè)務(wù)說要修復(fù)。業(yè)務(wù)會找100個理由告訴你修不了。安全部門以前就會說，反正我給你了，風(fēng)險在這兒，你看著辦。業(yè)務(wù)說，反正我們修不了，你看著辦。內(nèi)部的人也是一樣的，就是不鎖屏，就是弱密碼。這根本不是技術(shù)問題。我們的想法是讓大家更理解我們，一個是領(lǐng)導(dǎo)更理解我們。我沒聽說哪個領(lǐng)導(dǎo)不支持安全，他至少會支持你，只是不知道該怎么支持你，所以我讓他知道該怎么支持我。一個是員工，讓他知道怎么做安全，也讓他知道我們是在幫他。我們遇到過一種情況，網(wǎng)安來了解情況，員工真的不敢露面。與其現(xiàn)在這么害怕，告訴你的時候干嘛不這么做呢？所以我們把風(fēng)險和思路告訴他們。安全教育有很多方式。企業(yè)文化如果做到了安全是央視網(wǎng)企業(yè)文化的一部分，安全團隊的重要性也就提升了。我今天穿的這件衣服，運營的同事告訴我必須穿，這也是企業(yè)文化的一部分。

對外要樹立一些我們自己的形象，至少讓大家覺得這家公司還不是很爛。樹立形象干什么呢？招人。我們遇到過這種情況，遇到熟人，問他愿不愿意來央視網(wǎng)工作。人家可能會覺得，央視網(wǎng)體制內(nèi)，數(shù)據(jù)氛圍不會好。技術(shù)輸出是我們求財若渴，我們在互聯(lián)網(wǎng)圈不行，但我們可以在廣電圈混，你覺得我們行的話，我可以搞一些服務(wù)，甚至給公司創(chuàng)造點收益，我們就不是成本中心了。

安全運營這個部分沒有提乙方，是我沒有發(fā)現(xiàn)哪個乙方可以幫我們做這些事。

?三、一些思考

一是服務(wù)和產(chǎn)品意識。這里說的是甲方團隊的。如果我們發(fā)現(xiàn)一個漏洞，最后出了問題，誰都好不了。如果甲方安全團隊有自己的服務(wù)和產(chǎn)品意識，如果你修不了，我們試試虛擬補丁的方案行不行？好歹幫你把一些東西過濾掉。如果你有這種配合的態(tài)度，我相信運維團隊和業(yè)務(wù)團隊一定會幫你想辦法。我們基本上把這個事情想通了，未來的工作思路就是要這樣干。我們跟廠商和服務(wù)商學(xué)習(xí)，把服務(wù)和產(chǎn)品的意識灌輸下去，在公司內(nèi)部成為服務(wù)性質(zhì)的團隊。

二是先鎖門、再造鎖。之前跟一個乙方公司聊過，覺得自己很牛，萬惡的甲方就是不理解。后來我跟他聊，我說很有可能有一個問題是你走的太快了。大家還沒有意識到要鎖門的時候，鎖匠造再好的鎖也是沒有用的。我曾經(jīng)頂著很大的壓力把我們公司內(nèi)部的滲透和注冊的項目否了。因為我自己拿著開源掃描器掃，發(fā)現(xiàn)的全是漏洞。我們先把基本的工作先做好，最后再做那些高大上的東西。一個方面還有一些疑慮，貫徹程度是50%。

三是什么樣的情報好。我曾經(jīng)跟一個非常好的情報師交流，他跟我說好像某業(yè)務(wù)被黑產(chǎn)拿了權(quán)限，要不要我?guī)湍惆堰@個情報換回來。如果是白換，我不好意思。如果是花錢，我們沒有預(yù)算。我說算了，我回去查查。兩天之后，就是那個業(yè)務(wù)出事了。我們溯源看到那個業(yè)務(wù)出事了。我再反過頭來想，這個情報的價值密度好高。現(xiàn)在我們最能看到的情報是什么？IP、域名、漏洞。這種情報價值密度比較低的有那么大一個庫，黑客隨便搞一個肉雞很容易。這是我的幻想，我也沒想通該怎么做，黑產(chǎn)圈的事搞不定，涉及到很多問題，但這個事值得我們思考。

四是如何交付確定性。我們做安全的都知道安全沒有百分之百的，一定是不斷的提高門檻，攻擊者不斷的想別的辦法。但是，我們猛然發(fā)現(xiàn)我們在不斷的提高門檻，黑客用更大的代價進來的同事，給領(lǐng)導(dǎo)的感覺就是你們這幫笨蛋每年都被人攻進來。我們?nèi)绾谓o領(lǐng)導(dǎo)交付一個確定性的東西？我們能達(dá)到什么程度？怎么量化它、定義它？這是甲方安全團隊最需要做到的一件事，怎么是一個確定的東西，怎么是最終給領(lǐng)導(dǎo)交付的東西。這也是一個想法，但還沒有好的辦法。