網際網路企業安全建設之路:網際網路企業為什麼要做安全?
我決定寫一篇關於網際網路企業安全建設的文章。
一來是把自己之前做過的和目前正在做的一些事情以及想法總結一下,二來是希望可以幫助對網際網路企業安全建設感興趣或是有這方面需求的朋友。
整篇文章分為三大部分:
一、網際網路企業為什麼要做安全
二、網際網路企業需要什麼樣的安全
三、網際網路企業如何做好安全
這也是我在企業安全建設過程中給自己提出和不斷思考的問題。
首先,我嘗試通過第一個問題來剖析網際網路企業都面臨哪些安全威脅和安全挑戰;然後挖掘出網際網路企業的安全需求和安全目標;最終依據這些安全需求和安全目標來制定契合企業自身業務特性的安全建設規劃。
OK,下面開始進入正題,我們先來談談今天第一個話題。
一、網際網路企業為什麼要做安全
從外部環境來看,目前網際網路整體安全態勢不容樂觀。企業每天都面臨著來自各方面的安全威脅,網路攻擊、勒索、安全漏洞等事件時有發生,企業敏感資訊洩露逐漸成為一種常態。
一旦發生此類安全事件,都會對企業正常運營、業務發展造成不良影響。
加上近年來一些重大安全事件不斷被媒體曝光以及整個網際網路行業的發展,使得越來越多的網際網路企業意識到安全的重要性,開始著手或者計劃招聘專業安全人員來提升企業自身的安全水平。
綜合歸納一下,網際網路企業做安全的驅動力主要源於以下幾個方面:
1、面臨來自各方面的安全威脅
譬如:外部黑客、網路黑產、競爭對手、內鬼等
2、面臨各種安全挑戰
譬如:安全漏洞、網路攻擊、勒索、敏感資訊洩露等
3、安全問題會對公司運營、業務發展造成不良影響
譬如:經濟損失、使用者流失、聲譽受損、公信力下降等
二、網際網路企業需要什麼樣的安全
在理解網際網路企業為什麼要做安全後,我們開始考慮下一個問題:網際網路企業究竟需要什麼樣的安全?安全需求有哪些?核心安全目標是什麼?為了實現安全目標,需要企業具備什麼樣的安全能力?
通過上面的分析,我們能夠比較容易的樹立企業核心安全目標。雖然各企業由於自身業務特性有所不同,但還是有很多共性的。
我們一起來看下:
1、資料安全
資料安全是所有網際網路公司最核心的安全需求,也是絕大多數網際網路企業高管最為關注的安全問題。目標是要保障企業敏感資料的安全、可控。
2、在攻防對抗中佔據主動地位
能夠掌控企業整體的安全態勢,可主動發現潛在安全風險,及時知道誰、什麼時間、做過什麼樣的攻擊、攻擊是否成功、目標系統受影響程度,並且在第一時間內解決遇到的安全問題。
3、保障業務安全、連續、可用
儘可能降低因網路攻擊造成業務系統受影響的安全風險,比如最常見的DDOS、CC攻擊等。
上面這些,應該是大多數網際網路公司的安全期望或者說是核心安全目標。雖然表面上看著字數不多,但真正要達到這些個目標並不是一件簡單的事情,這應該是一個長期的目標。
三、網際網路企業如何做好安全?
既然安全目標有了,那麼就來聊聊今天的重頭戲:網際網路企業如何做好安全?這是一個值得思考的問題。
1、樹立正確的安全觀
安全是相對的。網際網路企業安全絕不是做一次滲透測試、找安全公司提供個安全解決方案或者購買一些安全產品及安全服務就可以搞定的事情。
安全是一個整體,並且是動態的,是一件需要長期做並且需要持續投入的事情。
2、企業安全完整視角
上面說到安全是一個整體,那麼網際網路企業安全都包含哪些方面和內容呢?為了更加直觀、清晰的表達,我們直接來看圖說話:
通過上圖我們可以看到,一個完整的企業安全視角需要涵蓋生產網路、辦公網路、第三方供應商以及安全合規這四個方面。
畫出這個圖並不難,真正的難點在於如何將安全規劃和藍圖變成一件得以落地實施和可跟蹤的事情。
我想這是很多安全人員尤其是企業安全負責人一直在嘗試和思考的問題。
我的思路和建議是把整個安全規劃中的內容先列出來,把一個大安全目標分解成多個小安全目標,然後列出打算如何實現這些安全目標,哪些安全產品打算自研,哪些需要和第三方安全廠商合作。
最終依據企業目前的安全現狀、現有資源以及專案優先順序進行排期和實施,並定期跟進這些專案的進度,及時解決、改進整個過程中存在的問題,最終目標是建立一個相對完善的企業安全體系。
2.1、 生產網路
2.1.1、基礎架構安全
基礎架構安全如果從網路層次上來劃分的話,可以分為物理安全、網路安全和系統安全三個層面。
這部分屬於傳統意義上的網路安全,是整個企業安全體系中最基礎的部分。
2.1.2、應用安全
應用安全絕對是網際網路企業安全工作中的重點,也是企業投入資源最多的部分。分為WEB安全和移動安全兩個方向,主要圍繞SDL和應用層的攻防對抗展開。
2.1.3、業務安全(風控)
業務安全(風控)專注於業務層面的安全對抗,是網際網路企業安全中非常重要的組成部分,由於受業務特性影響,電商、網際網路金融領域更加重視風控,這些企業中風控通常是一個獨立的部門,而且彙報級別和許可權都比較高。
業務安全這塊的市場前景廣闊,現在不少安全創業公司嘗試利用大資料、機器學習、人工智慧等新技術來解決業務安全問題。
2.1.4、安全運營
2.2、 辦公網路
2.2.1、基礎架構安全
辦公網基礎架構安全方面,重點要關注邊界安全防護,尤其是WIFI和VPN這兩個辦公網入口的安全性。
2.2.2、內部應用安全
辦公網內部應用主要包括OA、企業郵箱、財務、運維及其他內部業務系統。這類系統的主要特點是上線後更新頻率低,很多是採購第三方廠商的,還有一些是開源系統。
謹記一定不要將內部系統暴露到公網,很多嚴重的安全事件都是由於將內部業務系統暴露到公網導致的。
此外,還要對重要的內部系統做好安全監測,及時發現異常行為。
2.2.3、終端安全
這部分工作相對比較簡單,主要是終端防病毒、補丁管理、終端安全管控和審計,很多安全廠商都有成熟的產品。
對絕大多數網際網路公司來講,都不需要也沒有必要自研終端安全產品,直接選型、對比、採購第三方安全廠商的產品就可以搞定。
2.2.4、安全管理
人是整體企業安全體系最薄弱的部分,這一點正被越來越多的企業和安全人員所認識和接受。
安全管理側重於企業人員安全意識的培養和提升,核心價值在於把安全建設成為一種企業文化。
2.3、 第三方供應商
這部分是之前被很多企業忽視的地方,在和企業合作的第三方合作伙伴中,安全水平也不盡相同,而且這部分通常是不可控的。
所以安全團隊在有精力和資源的情況下也應該關注下第三方合作伙伴的安全性,避免因第三方合作機構出現安全問題而影響公司業務。
2.4、 安全合規
對於企業來講,如果想要開展某些業務,是需要通過一些安全認證的,比如要申請支付牌照的話,就需要通過PCI DSS認證,還有海外上市也會有一些安全合規上的要求。
另外還有一些像ISO 27001、等保之類的需求,每個企業需求不太一樣。總體來講這部分工作側重於安全合規、審計,這裡就不討論了。
3、安全建設發展階段
根據上面的安全建設規劃可以看到,從零開始建設一個完整的企業安全體系需要做的事情很多,這並不是一件一蹴而就的事情,是一個系統化的工程。
通常一個企業的安全建設需要經歷以下幾個階段: 11.png
3.1、救火階段
這是一個企業安全從無到有必須到經歷的階段,從字面上就可以看出這個階段安全工作比較被動,安全人員很多時候是充當救火隊員的角色。
這個階段工作的核心是解決目前企業遇到最嚴重、優先順序最高的安全問題,在這個過程中要儘快熟悉公司的環境、業務、系統架構等。
此外,這個階段還有個不小的挑戰就是如何找到合適的人才組建安全團隊。
3.2、基礎安全建設階段
在經歷救火階段後,就要開始基礎安全建設了。這個階段的核心安全目標是解決安全規劃中優先順序最高的安全問題。
這個過程會制定、實施一些基礎的安全流程和規範,開發一些自動化的安全工具、系統,功能也許不是十分完善,但是可以滿足目前的安全需求。
還會在一些方面和第三方安全廠商合作,通過購買一些安全產品或服務來提升企業自身安全水平。
比如像定期滲透測試、安全眾測、抗D、堡壘機、防火牆這類基礎安全服務和裝置。
3.3、安全可覆蓋核心業務系統
一個大、中型網際網路公司都會有多條業務線,每條業務線又會有多個業務系統,而且這些業務線可能會分佈在多個不同的部門,由不同的人負責。
如果一上來就想在所有業務線推廣SDL,很大機率會失敗。因為這個階段安全團隊的人不會很多,並沒有足夠的精力和資源去做覆蓋所有業務線的事情。
比較明智的做法是先從核心業務系統切入,待整個流程跑通、理順後再向其他業務線推廣。
這個階段的核心安全目標是要能夠保障核心業務系統的安全,可通過對核心業務系統實施SDL、定期漏洞掃描、安全監控等措施來達到這一目標。
3.4、安全可覆蓋全部業務線系統
這個階段由於有上一個階段的積累,並且到這時安全建設也已經進入正軌,相對要容易實現一些。在這個階段遇到最大的挑戰可能是如何招到合適的安全人才和留住現有安全人才。
3.5、實現全面自動化、平臺化
發展到這個階段,安全團隊已經具有一定規模,各種安全形色也基本到位。也有了很多的安全系統、平臺,但存在的問題是這些系統和平臺並沒有實現很好的聯動和關聯分析。
所以這個階段的主要目標是把已有的安全系統、平臺進行進一步整合,打磨,進而可以進行高度的聯動和關聯分析,以更好的掌控公司整體安全態勢,還可以將現有安全系統、平臺產品化,為下一步對外輸出安全能力做好準備。
3.6、對外輸出安全能力
這個階段只有當公司業務和安全團隊發展的足夠大時,才有機會做這樣的事情。
目前國內的網際網路公司中除了BAT以外,還沒有其他公司有能力和機會對外輸出安全,所以這裡不作過多討論。
四、總結
上面說了這麼多,其實一個企業的安全能否做好、做強,並不只是一個技術問題,它是由多種因素綜合決定的。
除了企業高層對安全有正確的認識和大力支援外,和企業安全負責人的能力、視野以及企業所在行業也有很大的關係。
網際網路企業安全建設之路任重而道遠,包含的內容實在是非常的多和廣,絕非一篇文章能夠說的清楚。
今天先寫這些多吧,有時間再寫後面的。由於本人能力有限,文中肯定有一些不足之處,歡迎大家一起探討,共同進步。
*本文作者:SecSky,文章屬FreeBuf原創獎勵計劃。
Linux伺服器防黑加固,CC攻擊,SQL防注入,DDOS攻擊,都可以免費使用懸鏡伺服器衛士,登入懸鏡官網,即可下載使用。
在使用懸鏡伺服器衛士過程中,如果任何問題,都可以加群【539903443】進行諮詢。