安全路透社
当前位置:安全路透社 > 网络转载 > 正文

互联网企业安全建设之路:规划篇

*本文作者:SecSky,文章属FreeBuf原创奖励计划,未经许可不得转载

新年伊始,我决定写一篇关于互联网企业安全建设的文章。一来是把自己之前做过的和目前正在做的一些事情以及想法总结一下,二来是希望可以帮助对互联网企业安全建设感兴趣或是有这方面需求的朋友。

整篇文章分为三大部分:

一、互联网企业为什么要做安全

二、互联网企业需要什么样的安全

三、互联网企业如何做好安全

这也是我在企业安全建设过程中给自己提出和不断思考的问题。首先,我尝试通过第一个问题来剖析互联网企业都面临哪些安全威胁和安全挑战;然后挖掘出互联网企业的安全需求和安全目标;最终依据这些安全需求和安全目标来制定契合企业自身业务特性的安全建设规划。

OK,下面开始进入正题,我们先来谈谈今天第一个话题。

一、互联网企业为什么要做安全

从外部环境来看,目前互联网整体安全态势不容乐观。企业每天都面临着来自各方面的安全威胁,网络攻击、勒索、安全漏洞等事件时有发生,企业敏感信息泄露逐渐成为一种常态。一旦发生此类安全事件,都会对企业正常运营、业务发展造成不良影响。加上近年来一些重大安全事件不断被媒体曝光以及整个互联网行业的发展,使得越来越多的互联网企业意识到安全的重要性,开始着手或者计划招聘专业安全人员来提升企业自身的安全水平。

综合归纳一下,互联网企业做安全的驱动力主要源于以下几个方面:

1、 面临来自各方面的安全威胁

譬如:外部黑客、网络黑产、竞争对手、内鬼等

2、 面临各种安全挑战

譬如:安全漏洞、网络攻击、勒索、敏感信息泄露等

3、 安全问题会对公司运营、业务发展造成不良影响

譬如:经济损失、用户流失、声誉受损、公信力下降等

二、互联网企业需要什么样的安全

在理解互联网企业为什么要做安全后,我们开始考虑下一个问题:互联网企业究竟需要什么样的安全?安全需求有哪些?核心安全目标是什么?为了实现安全目标,需要企业具备什么样的安全能力?

通过上面的分析,我们能够比较容易的树立企业核心安全目标。虽然各企业由于自身业务特性有所不同,但还是有很多共性的。我们一起来看下:

1、 数据安全

数据安全是所有互联网公司最核心的安全需求,也是绝大多数互联网企业高管最为关注的安全问题。目标是要保障企业敏感数据的安全、可控。

2、 在攻防对抗中占据主动地位

能够掌控企业整体的安全态势,可主动发现潜在安全风险,及时知道谁、什么时间、做过什么样的攻击、攻击是否成功、目标系统受影响程度,并且在第一时间内解决遇到的安全问题。

3、 保障业务安全、连续、可用

尽可能降低因网络攻击造成业务系统受影响的安全风险,比如最常见的DDOS、CC攻击等。

上面这些,应该是大多数互联网公司的安全期望或者说是核心安全目标。虽然表面上看着字数不多,但真正要达到这些个目标并不是一件简单的事情,这应该是一个长期的目标。

三、互联网企业如何做好安全?

既然安全目标有了,那么就来聊聊今天的重头戏:互联网企业如何做好安全?这是一个值得思考的问题。

1、树立正确的安全观

安全是相对的。互联网企业安全绝不是做一次渗透测试、找安全公司提供个安全解决方案或者购买一些安全产品及安全服务就可以搞定的事情。安全是一个整体,并且是动态的,是一件需要长期做并且需要持续投入的事情。

2、企业安全完整视角

上面说到安全是一个整体,那么互联网企业安全都包含哪些方面和内容呢?为了更加直观、清晰的表达,我们直接来看图说话:

1.jpg

通过上图我们可以看到,一个完整的企业安全视角需要涵盖生产网络、办公网络、第三方供应商以及安全合规这四个方面。画出这个图并不难,真正的难点在于如何将安全规划和蓝图变成一件得以落地实施和可跟踪的事情。我想这是很多安全人员尤其是企业安全负责人一直在尝试和思考的问题。我的思路和建议是把整个安全规划中的内容先列出来,把一个大安全目标分解成多个小安全目标,然后列出打算如何实现这些安全目标,哪些安全产品打算自研,哪些需要和第三方安全厂商合作,最终依据企业目前的安全现状、现有资源以及项目优先级进行排期和实施,并定期跟进这些项目的进度,及时解决、改进整个过程中存在的问题,最终目标是建立一个相对完善的企业安全体系。

2.1、 生产网络

2.1.1、基础架构安全

基础架构安全如果从网络层次上来划分的话,可以分为物理安全、网络安全和系统安全三个层面。这部分属于传统意义上的网络安全,是整个企业安全体系中最基础的部分。

2.png

2.1.2、应用安全

应用安全绝对是互联网企业安全工作中的重点,也是企业投入资源最多的部分。分为WEB安全和移动安全两个方向,主要围绕SDL和应用层的攻防对抗展开。

3.png

2.1.3、业务安全(风控)

业务安全(风控)专注于业务层面的安全对抗,是互联网企业安全中非常重要的组成部分,由于受业务特性影响,电商、互联网金融领域更加重视风控,这些企业中风控通常是一个独立的部门,而且汇报级别和权限都比较高。业务安全这块的市场前景广阔,现在不少安全创业公司尝试利用大数据、机器学习、人工智能等新技术来解决业务安全问题。

4.png

2.1.4、安全运营

5.png

2.2、 办公网络

2.2.1、基础架构安全

办公网基础架构安全方面,重点要关注边界安全防护,尤其是WIFI和VPN这两个办公网入口的安全性。

6.png

2.2.2、内部应用安全

办公网内部应用主要包括OA、企业邮箱、财务、运维及其他内部业务系统。这类系统的主要特点是上线后更新频率低,很多是采购第三方厂商的,还有一些是开源系统。谨记一定不要将内部系统暴露到公网,很多严重的安全事件都是由于将内部业务系统暴露到公网导致的。此外,还要对重要的内部系统做好安全监测,及时发现异常行为。

7.png

2.2.3、终端安全

这部分工作相对比较简单,主要是终端防病毒、补丁管理、终端安全管控和审计,很多安全厂商都有成熟的产品。对绝大多数互联网公司来讲,都不需要也没有必要自研终端安全产品,直接选型、对比、采购第三方安全厂商的产品就可以搞定。

8.png

2.2.4、安全管理

人是整体企业安全体系最薄弱的部分,这一点正被越来越多的企业和安全人员所认识和接受。安全管理侧重于企业人员安全意识的培养和提升,核心价值在于把安全建设成为一种企业文化。

9.png

2.3、 第三方供应商

这部分是之前被很多企业忽视的地方,在和企业合作的第三方合作伙伴中,安全水平也不尽相同,而且这部分通常是不可控的。所以安全团队在有精力和资源的情况下也应该关注下第三方合作伙伴的安全性,避免因第三方合作机构出现安全问题而影响公司业务。

10.png

2.4、 安全合规

对于企业来讲,如果想要开展某些业务,是需要通过一些安全认证的,比如要申请支付牌照的话,就需要通过PCI DSS认证,还有海外上市也会有一些安全合规上的要求。另外还有一些像ISO 27001、等保之类的需求,每个企业需求不太一样。总体来讲这部分工作侧重于安全合规、审计,这里就不讨论了

3、安全建设发展阶段

根据上面的安全建设规划可以看到,从零开始建设一个完整的企业安全体系需要做的事情很多,这并不是一件一蹴而就的事情,是一个系统化的工程。通常一个企业的安全建设需要经历以下几个阶段:

11.png

图11

3.1、救火阶段

这是一个企业安全从无到有必须到经历的阶段,从字面上就可以看出这个阶段安全工作比较被动,安全人员很多时候是充当救火队员的角色。这个阶段工作的核心是解决目前企业遇到最严重、优先级最高的安全问题,在这个过程中要尽快熟悉公司的环境、业务、系统架构等。此外,这个阶段还有个不小的挑战就是如何找到合适的人才组建安全团队。

3.2、基础安全建设阶段

在经历救火阶段后,就要开始基础安全建设了。这个阶段的核心安全目标是解决安全规划中优先级最高的安全问题。这个过程会制定、实施一些基础的安全流程和规范,开发一些自动化的安全工具、系统,功能也许不是十分完善,但是可以满足目前的安全需求。还会在一些方面和第三方安全厂商合作,通过购买一些安全产品或服务来提升企业自身安全水平。比如像定期渗透测试、安全众测、抗D、堡垒机、防火墙这类基础安全服务和设备。

3.3、安全可覆盖核心业务系统

一个大、中型互联网公司都会有多条业务线,每条业务线又会有多个业务系统,而且这些业务线可能会分布在多个不同的部门,由不同的人负责。如果一上来就想在所有业务线推广SDL,很大机率会失败。因为这个阶段安全团队的人不会很多,并没有足够的精力和资源去做覆盖所有业务线的事情。比较明智的做法是先从核心业务系统切入,待整个流程跑通、理顺后再向其他业务线推广。这个阶段的核心安全目标是要能够保障核心业务系统的安全,可通过对核心业务系统实施SDL、定期漏洞扫描、安全监控等措施来达到这一目标。

3.4、安全可覆盖全部业务线系统

这个阶段由于有上一个阶段的积累,并且到这时安全建设也已经进入正轨,相对要容易实现一些。在这个阶段遇到最大的挑战可能是如何招到合适的安全人才和留住现有安全人才。

3.5、实现全面自动化、平台化

发展到这个阶段,安全团队已经具有一定规模,各种安全角色也基本到位。也有了很多的安全系统、平台,但存在的问题是这些系统和平台并没有实现很好的联动和关联分析。所以这个阶段的主要目标是把已有的安全系统、平台进行进一步整合,打磨,进而可以进行高度的联动和关联分析,以更好的掌控公司整体安全态势,还可以将现有安全系统、平台产品化,为下一步对外输出安全能力做好准备。

3.6、对外输出安全能力

这个阶段只有当公司业务和安全团队发展的足够大时,才有机会做这样的事情。目前国内的互联网公司中除了BAT以外,还没有其他公司有能力和机会对外输出安全,所以这里不作过多讨论。

四、总结

上面说了这么多,其实一个企业的安全能否做好、做强,并不只是一个技术问题,它是由多种因素综合决定的。除了企业高层对安全有正确的认识和大力支持外,和企业安全负责人的能力、视野以及企业所在行业也有很大的关系。

互联网企业安全建设之路任重而道远,包含的内容实在是非常的多和广,绝非一篇文章能够说的清楚。今天先写这些多吧,有时间再写后面的。由于本人能力有限,文中肯定有一些不足之处,欢迎大家一起探讨,共同进步。

*本文作者:SecSky,文章属FreeBuf原创奖励计划,未经许可不得转载

未经允许不得转载:安全路透社 » 互联网企业安全建设之路:规划篇

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册