压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

紀(jì)舒瀚：聽了一下午發(fā)現(xiàn)各位嘉賓都講的很精彩，也感謝會務(wù)組對我的信任由我來收場保證大家準(zhǔn)時結(jié)束。

今天這個論壇是云安全與電商論壇，大家可能對汽車之家的理解是汽車之家論壇，買車，可能會看一些資訊，其實現(xiàn)在汽車之家已經(jīng)開展了新的業(yè)務(wù)，包括汽車電商，還有汽車金融。所以，我們也榮幸來到這個論壇。

今天我講的是企業(yè)安全與威脅情報，其實這是兩個很大的詞，我的PPT里會涉及這兩個方面的一些聚焦點，包括我從甲方如何看待威脅情報，威脅情報能給甲方帶來哪些影響和利益。

首先，做一下自我介紹，我叫紀(jì)舒瀚，Id是H5，目前是汽車之家安全負(fù)責(zé)人，負(fù)責(zé)組建安全團(tuán)隊，同時負(fù)責(zé)企業(yè)的安全體系建設(shè)，曾經(jīng)就職于阿里巴巴，負(fù)責(zé)淘寶的安全，負(fù)責(zé)過多年的雙11和雙12的應(yīng)急響應(yīng)，包括大家雙11用的紅包，還有秒殺系統(tǒng)的第一代系統(tǒng)的評估員就是我。

我今天講的內(nèi)容分四塊。第一塊是企業(yè)安全的理解。第二個是我們面對的威脅都有什么。第三是我們?nèi)绾潍@取情報，以及情報對企業(yè)的價值。最后是我們?nèi)绾卫猛{情報落地，以及落地的一些方式。

談到企業(yè)安全，可能大家第一應(yīng)該提到的就是企業(yè)安全的痛點。我在這兒羅列了四個痛點。首先第一個是大家心里最痛的脫褲，隨著信息安全越來越普及，數(shù)據(jù)庫也越來越普及的呈現(xiàn)在大家面前，不管是國外的還是國內(nèi)的某一些廠商的數(shù)據(jù)庫。我們把脫褲這件事情放大來說，廣義上是信息泄露。幾年前我做調(diào)查的時候，市場價格是一個完整的電商定單應(yīng)該是5塊錢人民幣，我?guī)啄昵叭ニ菰匆粋€案件的時候，發(fā)現(xiàn)有一個人曾經(jīng)利用很牛B的技術(shù)手段偷取電商用戶cookie的事件。他是利用一個偽造成GDG格式的…文件繞過業(yè)務(wù)的…限制，最終偷取用戶的cookie，并且在他自己的云主機(jī)上做了cookie的熱部署，也就是隨時可以用這批賬號，當(dāng)時可以達(dá)到盜號的效果。

企業(yè)安全面對的第二個痛苦電話可能是后門。我之前幫一個朋友溯源他們主機(jī)上后門的時候發(fā)現(xiàn)現(xiàn)在越來越多的后門是靠下發(fā)、自毀、重建，再自毀，再重建，一個個跳木板而且現(xiàn)在跳的越來越隱蔽，后門做的免殺的效果也越來越好。

第三個痛點是內(nèi)網(wǎng)漫游。大家看一些安全的論壇，包括一些安全資訊的網(wǎng)站可能會發(fā)現(xiàn)企業(yè)面臨的內(nèi)網(wǎng)漫游的事件越來越多，最主要的是網(wǎng)絡(luò)邊界的問題，包括wifi的網(wǎng)絡(luò)邊界和辦公網(wǎng)的網(wǎng)絡(luò)邊界和有線網(wǎng)的網(wǎng)絡(luò)邊界。我們在辦公網(wǎng)網(wǎng)絡(luò)邊界做的很好的情況下，對一些包括企業(yè)的wifi也做的很好，包括有線網(wǎng)做的很好的情況下，我一個員工的筆記本插上網(wǎng)線，我自己再自建一個AP可以很輕松的繞過企業(yè)的網(wǎng)絡(luò)邊界的限制。

最后一個痛點是剛才講的業(yè)務(wù)安全相關(guān)的痛點，薅羊毛。隨著電商業(yè)務(wù)發(fā)展的越來越快，可能有很多一些電商，包括一些促銷的業(yè)務(wù)產(chǎn)生，薅羊毛的事情也越來越多，但是薅羊毛是分業(yè)務(wù)的，比如我客單價比較低的情況下可能薅羊毛比較好薅，如果我賣車或者賣房的網(wǎng)站可能薅起來就比較沉重了，比如我花200塊錢買一個2000塊錢的優(yōu)惠券，但是我只能在買車或者買房的時候才能使用。就像大家玩的一個游戲，你可能中了一個一千塊錢的優(yōu)惠券，這個優(yōu)惠券可能需要買一架波音747的飛機(jī)。

談到企業(yè)安全，我們一定要談的是我們面對的企業(yè)是什么類型，企業(yè)的類型包括幾點，一個是我們企業(yè)是什么業(yè)務(wù)類型，第二個是企業(yè)的組織架構(gòu)是什么樣的，第三是我們企業(yè)的大小是什么樣的。BAT這樣大的甲方來說，他們的企業(yè)安全打法可能是一類，我后面的PPT講的內(nèi)容可能偏重于中型互聯(lián)網(wǎng)甲方企業(yè)安全的打法。

企業(yè)安全中型互聯(lián)網(wǎng)企業(yè)安全分成三大類，第一類是我們常見的基礎(chǔ)安全的建設(shè)，第二是風(fēng)控，第三是內(nèi)審，這三個方面也分布在三個階段，前期我們沒有精力投入到風(fēng)控和內(nèi)審的時候更關(guān)注的是基礎(chǔ)安全的一個建設(shè)，基礎(chǔ)安全里包含著辦公網(wǎng)、生產(chǎn)網(wǎng)，還有我們一些開發(fā)測試環(huán)境，還有人員的意識，流程等等很多很多方面。

企業(yè)安全的基礎(chǔ)設(shè)施大家都比較了解，傳統(tǒng)的包括防火墻、WAF、IDS/IPS，SOC，包括堡壘機(jī)審計的設(shè)施。

這是我自己對企業(yè)安全防線的理解。我把它分為四類，第一類放在最外面的邊界，邊界是內(nèi)網(wǎng)，辦公網(wǎng)、生產(chǎn)網(wǎng)和公網(wǎng)這三點之間的網(wǎng)絡(luò)邊界，也包含辦公網(wǎng)里的無線。第二點是業(yè)務(wù)應(yīng)用，汽車之家我對業(yè)務(wù)應(yīng)用有一個分級，衡量標(biāo)準(zhǔn)是根據(jù)業(yè)務(wù)的盈利模式，還有業(yè)務(wù)涉及的數(shù)據(jù)的重要性，根據(jù)這兩個維度把業(yè)務(wù)分級，針對不同的等級我會派安全段對的工程師對他們關(guān)注的重點和關(guān)注的精力有所不一樣。

第三點是主機(jī)，現(xiàn)在在汽車之家內(nèi)部我對主機(jī)做了一些監(jiān)控，其實主要是監(jiān)控到一些木馬和后門，目前我們的一些策略可以監(jiān)控到服務(wù)器上有客戶端類型的木馬或者Web的木馬，還有關(guān)鍵目錄的核心配置文件的變更，還有關(guān)鍵目錄的一些大量發(fā)布的變更，這些我都會監(jiān)控到。

最后一個是數(shù)據(jù)方面，數(shù)據(jù)跟應(yīng)用一樣，也需要分級，分為用戶的高中低機(jī)密信息，還有涉及到公司的高中低機(jī)密信息，包含一些HR，還有行政，還有財務(wù)等等數(shù)據(jù)。談到對抗，我們最終的對抗是管理機(jī)制的對抗，人與人，還有人與機(jī)器之間的對抗，還有標(biāo)準(zhǔn)化的流程。在一家企業(yè)剛開始建設(shè)的時候不會涉及到安全的內(nèi)容，隨著業(yè)務(wù)的逐漸發(fā)展，安全逐步會進(jìn)入這家企業(yè)，這個過程中企業(yè)會有自己的標(biāo)準(zhǔn)化流程，但是你介入安全的時候可能會打破這個流程。所以，這個時候會面臨很嚴(yán)酷的對抗。

后面是技術(shù)與人，力量的對抗，一個是技術(shù)團(tuán)隊的對抗，還有一個是人安全團(tuán)隊的團(tuán)隊綜合能力的對抗。最后一個也是大家老生常談的一個問題，就是安全與業(yè)務(wù)的對抗，業(yè)務(wù)在蓬勃的發(fā)展，安全可能不能阻礙業(yè)務(wù)的發(fā)展。所以，我們要尋找一個平衡點，最終根據(jù)前面的這些邊界、策略、對抗，我們最終需要交付的一個安全的狀態(tài)。

威脅其實分為兩塊，一塊是內(nèi)部，一塊是外部，內(nèi)部離不開人和業(yè)務(wù)，外部是包含著外部的一些黑客，還有一些產(chǎn)業(yè)鏈。

在人意識方面，我在推廣內(nèi)部的一些安全策略的時候會發(fā)現(xiàn)人的意識其實是很難改變的，包括大家的一些弱密碼的意識，我不知道在座的各位有沒有設(shè)置過密碼的習(xí)慣，或者對自己的密碼有沒有一個分級的處理，包括你支付的網(wǎng)站，還有個人信息類的網(wǎng)站，還有其他的偶爾來一次就不會再上的網(wǎng)站的密碼策略的管理。

第二是業(yè)務(wù)的裸奔，很多企業(yè)里的業(yè)務(wù)沒有任何的防范措施，包含我現(xiàn)在公司內(nèi)部有一個常規(guī)的定期的掃描，每天晚上會定期的監(jiān)控一些核心的業(yè)務(wù)，經(jīng)常轉(zhuǎn)天早晨業(yè)務(wù)開發(fā)找我聊，說你們昨天是不是把我們業(yè)務(wù)掃了一遍或者外面是不是有一些攻擊？我說你怎么發(fā)現(xiàn)的？他說因為我們業(yè)務(wù)報表數(shù)據(jù)不準(zhǔn)了。我說即使我現(xiàn)在停了可能外面也會有一些相關(guān)的掃描。所以，業(yè)務(wù)的裸奔可能會對業(yè)務(wù)帶來一些影響。

第三塊是外包，在這些中型企業(yè)或者小型企業(yè)很多業(yè)務(wù)產(chǎn)品是沒有開發(fā)團(tuán)隊做的，可能涉及到一些外包的產(chǎn)品，我們在開發(fā)流程，包括開發(fā)最終交付的狀態(tài)很難控制安全最終給我們的結(jié)果。這也是一個很大的威脅。

最后是頻繁的變更。業(yè)務(wù)現(xiàn)在發(fā)展得越來越快，他們的變更也越來越快。舉個開玩笑的例子就像郭德綱相聲說的一樣，游泳運動員游的太快了可能泳褲跟不上，我們做安全有時候也會面對這樣的問題。相對內(nèi)部威脅來說外部威脅會愈演愈烈來說，包括黑產(chǎn)鏈，周期性的攻擊和一些意外。一些意外舉個例子，我們的機(jī)器放在IDC的機(jī)房，可能部署了其他的一些網(wǎng)站，有一些攻擊者可能對其他網(wǎng)站做一些攻擊，攻擊過程中對我們產(chǎn)生一些意外，不小心把我們也攻擊了。這也是我們偶爾會面對的Web的威脅。

最后說情報。威脅情報來說，我認(rèn)為是大數(shù)據(jù)的匯總，加上人工的分析，這樣最終才能產(chǎn)生有價值的情報。目前甲方一些傳統(tǒng)打法可能會建立SRC，做一些眾測、掃描、監(jiān)控，我對SRC和眾測的看法是對安全團(tuán)隊的考核，因為我們目前每個公司可能有自己的安全團(tuán)隊都會有自己的一些安全審計，包括安全掃描、安全檢測，都會有一個自己的安全狀態(tài)的交付，定期做一些眾測相當(dāng)于對安全團(tuán)隊的考核，我這個階段安全做的怎么樣。監(jiān)控是安全團(tuán)隊對情報把控的最重要的點。

談到落地方式，我現(xiàn)在對汽車之家建設(shè)落地方式的方法是防御、監(jiān)控加響應(yīng)，傳統(tǒng)的做法只是一味的防御，但是你防御的過程中會發(fā)現(xiàn)我很快會到達(dá)一個天花板，當(dāng)?shù)竭_(dá)這個天花板之后，我再去做一些加固的性價比可能不高。所以，我會轉(zhuǎn)移一部分的精力做監(jiān)控和響應(yīng)。監(jiān)控說得通俗一點是花樣式布點。去年整個甲方在一些邊界，一些地方都做了一些花樣式的布點的日志收集和監(jiān)控，這樣入侵者在觸發(fā)我這些絆馬索的時候都會被我及時的捕獲到。最后是一個響應(yīng)的機(jī)制，結(jié)合監(jiān)控達(dá)到的效果是一定要快，一定要準(zhǔn)。

各圖是我們內(nèi)部監(jiān)控的一個效果，我們目前對主機(jī)上的一些異常文件的變更，還有一些外來文件，包括外來的一些掃描的監(jiān)控都會做到實時報警，并且通知我們相對應(yīng)的安全工程師，每個工程師會被SLA響應(yīng)的時間。

做甲方安全我們最重要交付一個安全的狀況，傳統(tǒng)的滲透測試或者安全的一個評估只是給業(yè)務(wù)提供一個威脅的預(yù)警，真正我們做的狀態(tài)應(yīng)該是威脅的先抑后揚(yáng)，讓大家有一個放心的安全的點，最終尋找一個對抗的平衡點。

謝謝大家。