理論篇 #####
第一章 安全大環境與背景
談企業安全得有大視野,不然沒法講,雖然從整體環境入手並系統講解,但是後面章節細化後,視野會越收越窄。
#1.切入“企業安全”的視角
企業安全是什麼?
安全行業中“二進制”和“腳本”流派是主力軍,但是這兩流派都屬於微觀對抗,還有一個流派羣體叫CSOs,前兩個流派是企業安全的縮影,而CSOs流派纔是全貌,才能更好詮釋:企業安全是什麼。
CSOs流派裏面有兩種極端的領導,一邊倒攻防,一邊倒浮誇的新概念,這些都是缺乏積極意義的。
技術很重要,但攻防只解決了一半問題,安全的工程化以及體系化的安全架構設計能力是業內普遍的軟肋,多數人不擅此道。
很多概念是舊酒裝新瓶,發明標籤對行業沒有積極的意義。縱深防禦就是一個標籤,因爲IBM收購前就有的概念,只是因爲過去沒重視,或者說缺少實踐。別張口來標籤,想想已經實踐到了那個層面。
從金字塔頂往下看,安全的整體解決方案有組織/管理/技術,共3方面的東西。
乙方大部分都喜歡標籤,因爲可以鼓吹自己擅長的概念,乙方弱項在沒有企業安全管理的真正經驗。
乙方區別甲方,在安全建設上缺少系統化和工程化的日常性活動。
甲方安全有一類特殊的,叫產品線安全,一般的甲方互聯網企業關注入侵檢測、漏洞掃描等,但是產品線安全要更深入,從設計和威脅建模的角度去看整體全面和很細節的安全。
CSOs無法純幹技術活,CSO需要制定策略,四兩撥千斤解決安全問題,CSO 不會只停留在微觀對抗上,在系統性建設更多一點。
#2.企業安全包括哪些事情
1網絡安全(純技術)
2平臺與業務安全(目的性強,基礎安全的拓展)
3廣義信息安全(包括紙質文檔安全等一切內容)
4IT 風險管理、IT 審計&內控(合規性)
5業務持續性管理BCM(讓安全業務更有親和力)
6安全品牌營銷、渠道維護(含SRC的活動)
7CXO 們的其他需求(運維/開發均費力乾的事情)
側重點:
互聯網公司:1、2、5
傳統公司:1、3、4、5
任何以安全團隊自我爲中心的安全建設都難以落地,多進行BCM的實操。
對乙方而言,即使你成爲骨灰級的專家啊,公司也會對你在某方面創新有所期待而給你持續發展的可能性。
對甲方而言,CEO會想是不是安全部門爲了打造影響力在浪費錢。
以狹義的安全垂直拓展去發展甲方安全團隊的思路本質上是個不可控的想法,
籌碼不在 CSO 或者 CTO 手中,而是看主營業務的晴雨表。
有想法的安全團隊在網絡安全方面做得比較成熟時會轉向平臺和業務安全,
平臺和業務安全是一個很大的領域,發展的好,團隊規模可以擴大2、3倍,
並且在企業價值鏈中的地位會逐漸前移,成爲運營性質的職能,
結合 BCM 真正成爲一個和運維、開發並駕齊驅的大職能。
BCM不僅僅是災難恢復DR,還包括很多帶灰度的內容需要結合業務深挖。
互聯網行業的安全工作有:
信息安全管理(佔 10% 工作量)
基礎架構與網絡安全(佔 29% 工作量)
應用與交付安全(佔 31% 工作量,救火階段通常入手不夠且沒有完整SDL)
業務安全(佔 30-50% 工作量,屬吃飽了,進階內容)
#3.兩種類型的企業安全建設中的區別
傳統企業:業務變更不頻繁,IDC規模不太大,安全產品架構不限。
互聯網企業:業務變頻繁,IDC規模很大,必須用分佈式架構。
同時在架構上要關注:高性能、高可用、擴展性、TCO(ROI)
互聯網公司難以理清所有接口間的調用,等理清了可能框架又變了,故得靠自動化手段。
對核心業務纔會深入調研並隨之更新。
傳統企業安全建設是:在邊界部署硬件防火牆、IPS/IDS、WAF、商業掃描器、堡壘機,
在服務器上安裝防病毒軟件,集成各種設備、終端的安全日誌建設 SOC。
當然購買的安全硬件設備可能遠不止這些,
重視制度流程、重視審計,有些行業也必須做等級保護以及滿足大量的合規性需求。
互聯網公司一般可分爲生產網絡和辦公網絡,大部分安全建設都圍繞生產網絡,
而辦公網絡的安全通常只佔整體的較小比重,但是某些傳統企業比例上正好相反。
互聯網企業的生產網絡中,安全解決方案基本上都是以攻防爲驅動的,
怕被黑、怕拖庫、怕被劫持就是安全建設的最直接的驅動力,比傳統企業更務實。
很多標準說到底是賣產品的白皮書,並不是完全站在建設性的角度。
爲什麼甲方要造輪子?
因爲分佈式架構和成本所限,傳統設備不具備無限擴展的能力。
所以互聯網甲方不會買硬件防火牆,而是用服務器+Netfilter自建防火牆,IDS/IPS同理也不買。
甲方主流安全解決方案:二次開發+無限水平擴展的軟件架構+大數據甚至機器學習。
#4.不同規模的企業安全建設
初創(打補丁,不許弱密碼,不許root跑程序,不許用chmod 777,白帽兼職測試,上雲平臺)
大中型(花錢買設備送解決方案,具備全流量入侵檢測能力,應急措施準備,BCM準備)
#5.生態級/平臺級企業安全建設的需求
1.表象(前者大量自研造輪子,後者用開源活商業方案)
2.成因
前者是技術驅動業務迭代,後者是產品應用驅動業務迭代。
前者在安全建設上的花錢是後者花錢的5-10倍。
前者能留住大牛,後者大牛沒有用武之地。
前者能積累系統底層/二進制/運行時環境和內核級別經驗,
後者能積累Web/App,應用層協議,Web容器,中間件和數據庫經驗。
根本原因是業務對技術的需求層次不一樣。
3.平臺級的甲方止步點
修改SSHD、LVS,定製WAF,日誌大數據分析,
若公司夠大還可以做全流量入侵檢測,SDN,內核級別的安全機制。
4.生態級的甲方競技場
入侵檢測、WAF、掃描器、抗DDoS、日誌分析。大量研發些工具,
更快更高效自動化完成公司內部的工作。
#6.雲環境下的安全變遷
上雲的動力:獲取IT資源變得非常簡單,可以集中精力做自己的業務,雲推動了SaaS發展。
上雲的門檻:需支持虛擬化、軟件化、分佈式、可擴展,
並且需要利用大數據和人工智能,而硬件設備將需要改進成軟件化,服務化。
上雲的優勢:海量計算和存儲能力,緩解數據的離散、單點的計算能容不足,信息孤島。
雲租戶將獲得快速構建安全的能力,
雲安全提供商將推出專家解讀數據來提供可管理的一站式安全服務。
##小結
本章內容豐富,但是有些內容只在本章提及,因書本篇幅所限不能展開,不代表不重要。
本章以企業安全這個名詞展開,分析了大型甲方、小型甲方、乙方的企業安全工作內容的不同處,
及背後的原因,本章末尾提到了雲的趨勢,
講解了雲趨勢給安全產品、消費者、雲平臺在安全方面可能帶來的變化。