汽车之家纪舒瀚:企业安全与威胁情报
纪舒瀚:听了一下午发现各位嘉宾都讲的很精彩,也感谢会务组对我的信任由我来收场保证大家准时结束。
今天这个论坛是云安全与电商论坛,大家可能对汽车之家的理解是汽车之家论坛,买车,可能会看一些资讯,其实现在汽车之家已经开展了新的业务,包括汽车电商,还有汽车金融。所以,我们也荣幸来到这个论坛。
今天我讲的是企业安全与威胁情报,其实这是两个很大的词,我的PPT里会涉及这两个方面的一些聚焦点,包括我从甲方如何看待威胁情报,威胁情报能给甲方带来哪些影响和利益。
首先,做一下自我介绍,我叫纪舒瀚,Id是H5,目前是汽车之家安全负责人,负责组建安全团队,同时负责企业的安全体系建设,曾经就职于阿里巴巴,负责淘宝的安全,负责过多年的双11和双12的应急响应,包括大家双11用的红包,还有秒杀系统的第一代系统的评估员就是我。
我今天讲的内容分四块。第一块是企业安全的理解。第二个是我们面对的威胁都有什么。第三是我们如何获取情报,以及情报对企业的价值。最后是我们如何利用威胁情报落地,以及落地的一些方式。
谈到企业安全,可能大家第一应该提到的就是企业安全的痛点。我在这儿罗列了四个痛点。首先第一个是大家心里最痛的脱裤,随着信息安全越来越普及,数据库也越来越普及的呈现在大家面前,不管是国外的还是国内的某一些厂商的数据库。我们把脱裤这件事情放大来说,广义上是信息泄露。几年前我做调查的时候,市场价格是一个完整的电商定单应该是5块钱人民币,我几年前去溯源一个案件的时候,发现有一个人曾经利用很牛B的技术手段偷取电商用户cookie的事件。他是利用一个伪造成GDG格式的…文件绕过业务的…限制,最终偷取用户的cookie,并且在他自己的云主机上做了cookie的热部署,也就是随时可以用这批账号,当时可以达到盗号的效果。
企业安全面对的第二个痛苦电话可能是后门。我之前帮一个朋友溯源他们主机上后门的时候发现现在越来越多的后门是靠下发、自毁、重建,再自毁,再重建,一个个跳木板而且现在跳的越来越隐蔽,后门做的免杀的效果也越来越好。
第三个痛点是内网漫游。大家看一些安全的论坛,包括一些安全资讯的网站可能会发现企业面临的内网漫游的事件越来越多,最主要的是网络边界的问题,包括wifi的网络边界和办公网的网络边界和有线网的网络边界。我们在办公网网络边界做的很好的情况下,对一些包括企业的wifi也做的很好,包括有线网做的很好的情况下,我一个员工的笔记本插上网线,我自己再自建一个AP可以很轻松的绕过企业的网络边界的限制。
最后一个痛点是刚才讲的业务安全相关的痛点,薅羊毛。随着电商业务发展的越来越快,可能有很多一些电商,包括一些促销的业务产生,薅羊毛的事情也越来越多,但是薅羊毛是分业务的,比如我客单价比较低的情况下可能薅羊毛比较好薅,如果我卖车或者卖房的网站可能薅起来就比较沉重了,比如我花200块钱买一个2000块钱的优惠券,但是我只能在买车或者买房的时候才能使用。就像大家玩的一个游戏,你可能中了一个一千块钱的优惠券,这个优惠券可能需要买一架波音747的飞机。
谈到企业安全,我们一定要谈的是我们面对的企业是什么类型,企业的类型包括几点,一个是我们企业是什么业务类型,第二个是企业的组织架构是什么样的,第三是我们企业的大小是什么样的。BAT这样大的甲方来说,他们的企业安全打法可能是一类,我后面的PPT讲的内容可能偏重于中型互联网甲方企业安全的打法。
企业安全中型互联网企业安全分成三大类,第一类是我们常见的基础安全的建设,第二是风控,第三是内审,这三个方面也分布在三个阶段,前期我们没有精力投入到风控和内审的时候更关注的是基础安全的一个建设,基础安全里包含着办公网、生产网,还有我们一些开发测试环境,还有人员的意识,流程等等很多很多方面。
企业安全的基础设施大家都比较了解,传统的包括防火墙、WAF、IDS/IPS,SOC,包括堡垒机审计的设施。
这是我自己对企业安全防线的理解。我把它分为四类,第一类放在最外面的边界,边界是内网,办公网、生产网和公网这三点之间的网络边界,也包含办公网里的无线。第二点是业务应用,汽车之家我对业务应用有一个分级,衡量标准是根据业务的盈利模式,还有业务涉及的数据的重要性,根据这两个维度把业务分级,针对不同的等级我会派安全段对的工程师对他们关注的重点和关注的精力有所不一样。
第三点是主机,现在在汽车之家内部我对主机做了一些监控,其实主要是监控到一些木马和后门,目前我们的一些策略可以监控到服务器上有客户端类型的木马或者Web的木马,还有关键目录的核心配置文件的变更,还有关键目录的一些大量发布的变更,这些我都会监控到。
最后一个是数据方面,数据跟应用一样,也需要分级,分为用户的高中低机密信息,还有涉及到公司的高中低机密信息,包含一些HR,还有行政,还有财务等等数据。谈到对抗,我们最终的对抗是管理机制的对抗,人与人,还有人与机器之间的对抗,还有标准化的流程。在一家企业刚开始建设的时候不会涉及到安全的内容,随着业务的逐渐发展,安全逐步会进入这家企业,这个过程中企业会有自己的标准化流程,但是你介入安全的时候可能会打破这个流程。所以,这个时候会面临很严酷的对抗。
后面是技术与人,力量的对抗,一个是技术团队的对抗,还有一个是人安全团队的团队综合能力的对抗。最后一个也是大家老生常谈的一个问题,就是安全与业务的对抗,业务在蓬勃的发展,安全可能不能阻碍业务的发展。所以,我们要寻找一个平衡点,最终根据前面的这些边界、策略、对抗,我们最终需要交付的一个安全的状态。
威胁其实分为两块,一块是内部,一块是外部,内部离不开人和业务,外部是包含着外部的一些黑客,还有一些产业链。
在人意识方面,我在推广内部的一些安全策略的时候会发现人的意识其实是很难改变的,包括大家的一些弱密码的意识,我不知道在座的各位有没有设置过密码的习惯,或者对自己的密码有没有一个分级的处理,包括你支付的网站,还有个人信息类的网站,还有其他的偶尔来一次就不会再上的网站的密码策略的管理。
第二是业务的裸奔,很多企业里的业务没有任何的防范措施,包含我现在公司内部有一个常规的定期的扫描,每天晚上会定期的监控一些核心的业务,经常转天早晨业务开发找我聊,说你们昨天是不是把我们业务扫了一遍或者外面是不是有一些攻击?我说你怎么发现的?他说因为我们业务报表数据不准了。我说即使我现在停了可能外面也会有一些相关的扫描。所以,业务的裸奔可能会对业务带来一些影响。
第三块是外包,在这些中型企业或者小型企业很多业务产品是没有开发团队做的,可能涉及到一些外包的产品,我们在开发流程,包括开发最终交付的状态很难控制安全最终给我们的结果。这也是一个很大的威胁。
最后是频繁的变更。业务现在发展得越来越快,他们的变更也越来越快。举个开玩笑的例子就像郭德纲相声说的一样,游泳运动员游的太快了可能泳裤跟不上,我们做安全有时候也会面对这样的问题。相对内部威胁来说外部威胁会愈演愈烈来说,包括黑产链,周期性的攻击和一些意外。一些意外举个例子,我们的机器放在IDC的机房,可能部署了其他的一些网站,有一些攻击者可能对其他网站做一些攻击,攻击过程中对我们产生一些意外,不小心把我们也攻击了。这也是我们偶尔会面对的Web的威胁。
最后说情报。威胁情报来说,我认为是大数据的汇总,加上人工的分析,这样最终才能产生有价值的情报。目前甲方一些传统打法可能会建立SRC,做一些众测、扫描、监控,我对SRC和众测的看法是对安全团队的考核,因为我们目前每个公司可能有自己的安全团队都会有自己的一些安全审计,包括安全扫描、安全检测,都会有一个自己的安全状态的交付,定期做一些众测相当于对安全团队的考核,我这个阶段安全做的怎么样。监控是安全团队对情报把控的最重要的点。
谈到落地方式,我现在对汽车之家建设落地方式的方法是防御、监控加响应,传统的做法只是一味的防御,但是你防御的过程中会发现我很快会到达一个天花板,当到达这个天花板之后,我再去做一些加固的性价比可能不高。所以,我会转移一部分的精力做监控和响应。监控说得通俗一点是花样式布点。去年整个甲方在一些边界,一些地方都做了一些花样式的布点的日志收集和监控,这样入侵者在触发我这些绊马索的时候都会被我及时的捕获到。最后是一个响应的机制,结合监控达到的效果是一定要快,一定要准。
各图是我们内部监控的一个效果,我们目前对主机上的一些异常文件的变更,还有一些外来文件,包括外来的一些扫描的监控都会做到实时报警,并且通知我们相对应的安全工程师,每个工程师会被SLA响应的时间。
做甲方安全我们最重要交付一个安全的状况,传统的渗透测试或者安全的一个评估只是给业务提供一个威胁的预警,真正我们做的状态应该是威胁的先抑后扬,让大家有一个放心的安全的点,最终寻找一个对抗的平衡点。
谢谢大家。
相关文章
- 1条评论
- 冢渊宠臣2022-05-29 16:48:17
- 是把我们业务扫了一遍或者外面是不是有一些攻击?我说你怎么发现的?他说因为我们业务报表数据不准了。我说即使我现在停了可能外面也会有一些相关的扫描。所以,业务的裸奔可能会对业务带来一些影响。第三块是外包,在这些中型企业或者小型企业很多业务产品是没有开发团队做的,可能涉及到一些外包的产品,我们在开发流程,