網際網路企業安全高階指南1 1切入「企業安全」的視角

第1章

安全大環境與背景

如果從乙個很微觀的角度切入企業安全這個話題，那麼大多數人會像一葉孤舟跌進大海茫茫然找不到方向，所以本章從安全領域整體環境入手，以便於讀者找到系統性的那種感覺。儘管筆者沒有致力於提供關於企業安全的乙個非常完整的「上帝視角」，但也盡可能地兼顧了這方面的需求。

1.1　切入「企業安全」的視角

目前安全行業中「二進位制」和「指令碼」流派廣為人知，雖然他們是安全行業的主力軍，但除了微觀對抗之外，安全是乙個很大的工程，比如企業安全管理，實際上並不屬於上述兩類。確切來說，應歸入另外乙個群體：csos，加了s表示他們是乙個群體，這個群體從生態鏈的頂端聯接著絕大多數從業者和安全廠商。在這個描述中我並沒有發明新的名詞，沒有新建乙個諸如氣宗劍、宗這樣的詞，只是在知識結構和職業背景上做一定的區分，用於後續對這本書的擴充套件。

企業安全是不是發現漏洞然後修復漏洞，再設定一下防火牆之類的工作？假如你的公司只有乙個產品、兩台伺服器、3個程式設計師，我認為這個說法不能算錯。不過在絕大多數情況下，企業安全遠不止於此。滲透性測試和對抗能不能算企業安全？在乙個過於紙上談兵的企業我覺得這是不錯的切入點，不過區域性對抗發生於企業安全的各個場景中，它只能算是縮影，不是全貌。企業安全是什麼？對傳統乙方安全公司，對新興的業務安全公司、移動安全公司，對甲方的網際網路公司，對甲方的傳統公司，對諮詢顧問，對漏洞研究者，對活躍於各大src上的白帽子們來說，詮釋肯定都不一樣。

先說一下筆者的經歷，以便了解是從什麼角度來闡述這一問題的。學生時代跟現在的很多白帽子一樣玩玩滲透，玩玩二進位制，在過去叫幻影（ph4nt0m）的組織裡認識了很多大v，大學畢業後即進了綠盟做滲透測試、安全服務和諮詢，這是乙方中離甲方安全最近的職位，接受了綠盟對傳統安全體系和方**的教育，有些10年前的東西放到今天看都還會覺得完全不過時。

現在的安全行業裡除了顯得有些務虛的安全理論之外，要麼就是一邊倒的攻防，要麼就是過於超前、浮在表面沒有落地方案的新概念，這些聲音對企業安全實操都缺乏積極的意義。有些方**是有實操意義的，並不像攻防研究者聲稱的是純務虛的東西，純粹是位置決定想法的問題。還有些流行的概念在解決實際問題上的效果有待驗證，並不像市場鼓吹的那麼好。技術很重要，但攻防只解決了一半問題，安全的工程化以及體系化的安全架構設計能力是業內普遍的軟肋，多數人不擅此道。對市場上的各種觀點，我認為可能需要乙個相對客觀的評價：即某項技術或管理在全生命週期的各個環節中，在不同的行業、不同的場景下有什麼樣的價值，而不是很隨意地貼標籤。很多概念10多年前就有了，發明乙個新概念講與過去一樣的事情，再給自己貼乙個發明者的標籤對行業沒有積極的意義。縱深防禦之類的概念在iss沒被ibm收購之前就有了，為什麼現在有的人覺得這個詞很新？因為過去沒重視，或者說缺少實踐。

在綠盟最大的便利並不是下班路上隨便都能找到能聊exploit技術的大牛，而是視野：從金字塔視角看到安全的整體解決方案，囊括組織、管理和技術3方面的東西，覆蓋全行業全價值鏈過程的技術方案，算上第三方的話幾乎涵蓋市面上所有的安全產品和解決方案。有人看到這些會問：這不是傳統安全那一套嗎？且不急，本書後面講的都是圍繞網際網路企業安全的，並不打算在傳統安全上花很多篇幅，只是需要區分一下企業安全實際的狀況和某些廠商為了兜售自己的產品而宣揚的概念是有所不同的，大多數廠商都會避開自己的弱項而在市場活動及軟文上專注地強調自己擅長的概念。

後來在安全行業不太景氣的那個年代我好像碰到了安全行業的天花板。之後跟在「資訊保安的職業生涯」一文中所述的那樣，我實踐了裡面所說的最後一跳，做了一家網遊公司的技術負責人，社會俗名cto，由安全轉向全線技術管理。說實話，在這段時間裡我並不是特別重視安全，一方面跟自己是安全出身有關，另一方面這確實是位置決定想法的事情，不是安全不重要，而是有很多事情比安全更重要。老實說，安全這個事情跟金錢關係密切，當你有100萬元的時候拿出2萬元買個保險箱裝它們你覺得值，但你只有2萬元的時候要拿出8千元買保險箱，大多數人都會不願意。可參見我在知乎上回答的那個問題：「為什麼做安全一定要去大公司」。我竊以為很多公司的ceo、cto對安全的認識，翻譯過來應該是：被黑是一件很負面的事情，所以找個人籌建團隊打包了，只要不出事就行。他們不是真的認為安全非常重要，也不會把安全當成一種競爭力。現在說這句話並不是在影射過去，當下國內很多企業的觀念仍然停留在這個水平上。

之後我去360經歷了短暫的時光，再次以乙方的身份拜訪了企業級客戶，很偶然地發現大多數乙方安全公司的顧問或工程師其實都沒有企業安全管理的真正經驗。雖不能把這些直接等價於紙上談兵，不過確實是乙方的軟肋。在甲方企業高層的眼中，攻防這檔子事可以等價於我花點錢讓安全公司派幾個工程師給我做滲透測試然後修復漏洞，不像大型網際網路公司那樣上公升為系統化和工程化的日常性活動。離開數字公司後，我到了全球化的公司（華為）從事產品線安全，負責兩朵雲：公有雲和終端雲。產品線安全屬於甲方安全，又跟很多甲方安全不太一樣，比傳統意義上的甲方安全介入得更深，覆蓋率更高的sdlc，直接導向產品設計的源頭。對絕大多數甲方而言，你也許在用os的dep&aslr，也許在用各種容器，但你很少會自己去發明輪子，你也許會自己造乙個waf這樣的工具，但你可能很少會像微軟那樣要自己去搞乙個emet這種涉及安全機制層面的東西。但在產品線安全裡，這一切都會更進一步，不只是像網際網路企業那樣關注入侵檢測、漏洞掃瞄等，而是從設計和威脅建模的角度去看整體和細節的安全。這又拓展了我從r&d的視角看待以及分析安全問題的眼界。因此，我可以站在乙個較全面、客觀、中立的立場來說安全，我不會說某些方式屬於紙上談兵，也不會把攻防捧得至高無上。

接下來，切入本章正題，企業安全是什麼？我認為它可以概括為：從廣義的資訊保安或狹義的網路安全出發，根據企業自身所處的產業地位、it總投入能力、商業模式和業務需求為目標，而建立的安全解決方案以及為保證方案實踐的有效性而進行的一系列系統化、工程化的日常安全活動的集合。怎麼感覺有點咬文嚼字？實際上，這裡面的每乙個項都會決定你的安全整體方案是什麼，哪怕同是中國網際網路top10中的公司，安全需求也完全不一樣。

有人也許會覺得cso幹的活有點虛，但凡偏管理都是紙上談兵。我不直接回答這個問題，我只舉乙個例子。大多數身在這個行業的人都知道社工庫遍地都是，入侵者甚至站在了大資料的維度，國內的資料庫絕大多數除了password欄位加鹽值儲存之外，其餘資訊都以明文儲存。而在歐美等地隱私保護是有明確的法律規定的，對映到資料持久化這個細節，就是需要滿足一定強度以上的加密演算法加密儲存。cso就是需要制定這些策略的人，難道說這些都是形上學無用的安全措施嗎？在網際網路公司，安全負責人會較多地介入到日常技術性活動中，但隨著組織規模的擴大和行政體系的加深，cso不再可能像白帽子一樣專注於攻防對抗的細節，這也是乙個無法迴避的現實問題。是不是一定要說出諸如csrf時ie和其他瀏覽器的區別，才算是合格的cso？我覺得這要看具體場景，對於國內排名top10以後的網際網路企業，我覺得這個要求也許勉強算合理範疇，但對於規模非常龐大的企業而言，這個要求顯然太苛刻了，比如我所在公司，cso屬於法務類職位而不是技術類職位。

網際網路企業安全高階指南1 1切入「企業安全」的視角

網際網路企業安全高階指南讀書筆記（2）

網際網路企業安全高階指南讀書筆記（3）

讀書筆記《網際網路企業安全高階指南》1 5

網際網路企業安全高階指南1 1切入「企業安全」的視角

網際網路企業安全高階指南讀書筆記（2）

網際網路企業安全高階指南讀書筆記（3）

讀書筆記 《網際網路企業安全高階指南》1 5

相關推薦

讀書筆記《網際網路企業安全高階指南》1 5