摘要: 目前在大多数行业后加入者的眼中“二进制”和“脚本”流派广为人知,虽然他们是安全行业的主力军,但除了微观对抗之外安全是一个很大的工程,比如企业安全管理,我把他们归入安全行里的第三流派-CSOs,加了s跟scriptkids一样表示他们是一个群体,这个群体从生态链...
目前在大多数行业后加入者的眼中“二进制”和“脚本”流派广为人知,虽然他们是安全行业的主力军,但除了微观对抗之外安全是一个很大的工程,比如企业安全管理,我把他们归入安全行里的第三流派-CSOs,加了s跟scriptkids一样表示他们是一个群体,这个群体从生态链的顶端链接着绝大多数从业者和安全厂商。
企业安全是不是发现漏洞然后修漏洞,再设置一下防火墙之类的?假如你的公司只有一个产品,只有2台服务器,只有3个程序员写代码,我认为这个说法不能算错。不过在绝大多数情况下,企业安全远不止于此。渗透性测试和对抗能不能算企业安全?在一个过于纸上谈兵的企业我觉得这是不错的切入点,不过局部对抗发生于企业安全的各个场景中,他只能算是缩影,不是全貌。企业安全是什么对传统乙方安全公司,对新兴的业务安全公司移动安全公司,对甲方的互联网公司,对甲方的传统公司,对咨询顾问,对漏洞研究者,对活跃于各大SRC上的白帽子们的诠释肯定都不一样。
先说一下我自己的经历,以便了解我是从什么角度来看待这一问题的,学生时代跟现在的很多白帽子一样玩玩渗透,玩玩二进制,在过去那个叫幻影(Ph4nt0m)的组织里,大学毕业后即进了绿盟做安全服务和咨询,这是乙方中离甲方安全最近的职能,接受了绿盟对传统安全体系和方法论教育,有些10年前的东西放到今天都还会觉得很高大上,现在的安全行业里除了显得有些空洞的安全标准的传承,要么就是很浅的木桶理论之类的外延的理解,尤其在遇到互联网崛起时,攻防受追捧,有些东西因为没有收到金钱的认可很多人就直接把这一部分东西给扔了或自我否定了,其实有些思想跟技术表现形式一点关系都没有,放到今天仍然是很实用的技能。在绿盟最大的便利并不是下班路上随便都能找到能聊exploit技术的大牛,而是视野:从金字塔视角看到安全的整体解决方案,囊括组织、管理和技术3方面的东西,覆盖全行业全价值链过程的技术方案,算上第三方的话几乎涵盖市面上所有的安全产品和解决方案。有人看到这些会问这不是传统安全那一套吗?我说且不急,听我慢慢讲,而且我可以剧透的说之后几十篇都是围绕互联网企业安全的,并不打算在传统安全上花很多篇幅,只是需要区分一下企业安全实际的状况和某些厂商为了兜售自己的产品而宣扬的概念是有所不同的,大多数厂商都会避开自己的弱项而在市场活动及软文上专注的强调自己擅长的概念。离开绿盟后我去了甲方,一家大型网游公司,08年那时将近万台的物理服务器分布于30多个IDC的规模似乎比当时搜狐全站的IDC规模还要大一些,跟现在一样那时候也是社会上的公司普遍缺少安全负责人的时代,我也有幸组建了一支属于自己的安全团队,成为当时少数的安全总监之一,团队的这些人现在遍布互联网行业的半壁江山,且都是安全部门独当一面的骨干。在这段时间我身体力行了从乙方到甲方视角的过渡,从零开始建立安全体系,真正把乙方玩的东西在一家甲方公司落地了,我的方法思路过程跟某些互联网公司不太一样,因为那时候BAT的安全人员大多是毕业后直接去的甲方,一开始就做甲方安全,而我是从乙方到甲方,所以实践上更多了参考了乙方的方法论,除了攻防之外多线并行,直接建立较完整的安全体系,在遇到上海的网游业被腾讯包抄整体沉沦的时候,我也失去了继续深挖甲方安全建设的兴趣。之后我去做了一家webgame公司的技术负责人,社会俗名CTO,由安全转向全线技术管理,说实话在这段时间里我并不是特别重视安全,一方面跟自己是安全出身有关,另一方面这确实是屁股决定脑袋的事情,不是安全不重要,而是有很多事情比安全更重要。安全这个事情说白了就是当你有100w的时候拿出2w买个保险箱装它们你觉得值,但你只有2w的时候要拿出8k买保险箱大多数人都会囊中羞涩。这也是我在知乎上回答的那个问题,为什么做安全一定要去大公司的原因之一。我窃以为很多公司的CEO、CTO的对安全重视,翻译过来应该是:被黑是一件很负面的事情,所以想找个人筹建团队打包了,只要不出事他们就不会太想起这事,但不是心理真的认为安全非常重要,也不会当成是一种竞争力,这句话并不是在映射过去,而是当下国内那么多对企业安全负责人的招聘在我看来也就是那么回事。之后我去数字公司经历了短暂的时光,再次以乙方的身份拜访了企业级客户,很偶然的发现大多数乙方的顾问或工程师其实都没有真正做过企业安全管理的经验,虽不能把这些直接等价于纸上谈兵,不过确实是乙方的软肋,在竞争性的销售活动中,三下五除二就“把别人说没了”。在甲方企业高层的眼中,攻防这档子事可以等价于我花点钱让安全公司派几个工程师给我做渗透测试然后修漏洞,不像大型互联网公司那样上升为系统化和工程化的日常性活动。离开数字公司后我到了全球化的公司-菊花长从事产品线安全,第一个项目是云计算,产品线安全属于甲方安全又跟很多甲方安全不太一样,他比传统意义上的甲方安全介入的更深,覆盖率更高的SDLC,直接导向产品设计的源头,对绝大多数甲方而言你也许在用OS的Dep&ASLR,也许在用各种容器,但你很少会自己去发明轮子,你也许会自己造一个WAF这样的工具,但你可能很少会像微软那样要自己去搞一个EMET这种涉及安全机制层面的东西,但在产品线安全里,这一切都会更进一步,不只是像互联网公司那样关注入侵检测、漏洞扫描等而是从设计和威胁建模的角度去看整体和细节的安全。这又拓展了我从R&D的视角看待以及分析安全问题的眼界。至此,我既不属于脚本二进制,我也不属于乙方咨询顾问派,也不单纯属于甲方CSO,而是站在一个较全面客观中立的立场,我不会说某些方式属于纸上谈兵,也不会把攻防捧的至高无上,我认为这些都属于偏激的话。
好了,切入第一篇的正题,企业安全是什么?我认为它可以概括为:从广义的信息安全或狭义的网络安全出发,根据企业自身所处的产业地位、IT总投入能力、商业模式和业务需求为目标,而建立的安全解决方案以及为保证方案实践的有效性而进行的一系列系统化,工程化的日常安全活动的集合。怎么感觉有点咬文嚼字?好吧,这里面的每一个项都会决定你的安全整体方案式什么,哪怕同是中国互联网TOP10中的公司其安全需求也完全不一样。
有人也许会觉得CSO干的活有点虚,但凡偏管理都是纸上谈兵。我不直接回答这个问题,我只举一个例子。大多数身在这个行业的人都知道社工库遍地都是,入侵者甚至站在了大数据的维度,国内的数据库绝大多数除了password字段加盐值存储,其余信息都是明文保存。而在欧美等地隐私保护是有明确的法律规定的,映射到数据持久化这个细节,就是需要满足一定强度以上的加密算法加密存储,CSO就是需要制定这些策略的人,你难道说这些都是形而上学无用的安全措施么?在互联网公司,安全负责人是会较多的介入到日常的技术性活动中的,但随着组织规模的扩大和官僚程度的加深,CSO不再可能表现的像白帽子一样专注于攻防对抗的细节也是一个无法回避的现实问题。是不是一定要说出诸如CSRF时IE和其他浏览器的区别这样的问题才算是合格的CSO,我觉得这个看具体场景,对于国内排名TOP5以后的互联网公司我觉得这个需求算合理范畴,但对于规模非常庞大的公司而言,这个需求显然太苛刻了,比如我所在公司,CSO属于法务类职位而不是技术类职位。
不想当将军的士兵不是好士兵,虽然有技术路线,不过我估计这个行业里至少有一半以上人想过要当CSO,但是CSO这个职业又跟某些大牛们表达的不完全一致,所以下面的篇幅会继续写,至少在技术层面,CSO不会只停留在微观对抗,而是会关注系统性建设更多一点。
作者:
ayazero,华为高端专家,互联网安全、云计算安全首席架构师,前奇虎360技术总监、久游网安全总监、绿盟科技资深安全专家,曾任某webgame公司CTO,白帽子时代是Ph4nt0m的核心成员。国内屈指可数的拥有大型互联网整体安全架构和企业安全管理经验的总监级以上资深从业者。