作者介绍:西小姐,某国企安全运营专员。从0到1搭建了该企业安全运营体系,主导了多次内部运营活动。在内部培训、团队管理、SRC建设、危机公关等方面有大量的经验和思考。企业安全实录将连载其三篇安全运营文章,从观念、实践和愿景三个方面完整的分析企业安全运营工作的方方面面。
前言:上一篇已经对安全运营的基础概念做了总体的介绍,后面两篇将针对目前企业最关注的问题,如安全响应中心、安全企业文化、白帽子社区、安全教育等方面进行讨论。但作者认为,其实以上几个方面的话题单把某一个话题提出来进行讨论,都可以形成一篇文章,所以在此仅集合在后两篇文章里,还是具有一定的局限性,如果未来有可能,作者会将每一个主题都分别进行详细讨论。
由于本文文字较多,考虑到读者时间宝贵,大家可参考思维导图,按图索骥,找到自己感兴趣的部分。
随着互联网技术的突飞猛进发展,商业公司数据的海量沉积,政府及公共机构数据的备受关注,黑客们看到了这些数据背后的巨大利益,导致攻击行为不断发生。单靠企业自己的力量防御是有限的,而且安全工作的本身也没有百分百绝对没有缝隙,如何弥补公司内部防御手段不足的问题?各个公司的安全负责人都在思考。
1、安全响应中心搭建
1.1 为什么会有安全响应中心?
基于企业为保护重要或海量的数据不被黑客篡改或盗取,对于有一定规模的企业陆续成立了内部的安全部门;这称为正向防御,每个业务成熟的公司很容易做到这一点,无非就是投入巨额资金招募到适合的人来做合适的事。但,与此同时,还会有一些未知风险是正向防御不能覆盖的,如何弥补这些空白?如何从逆向建立防御系统?由于计算机的产生与早期发展,国外快于国内,所以,在借鉴了国外先进经验之后,中国企业成立了自己的安全响应中心security response center,简称SRC,作为企业回收外部风险的入口。同时SRC还扮演着安全部门与行业内安全从业人员交流平台的角色,通过这个平台,企业建立了与安全人才的联系,为企业的人才储备作出一定贡献。白帽子,本企业以外的安全从业人员(正面的黑客),可以通过SRC这样的渠道向企业提交自己发现的安全漏洞,并获得企业给予的一定的物质与精神的奖励。简而言之,安全响应中心的初衷是企业集结分散在社会中的技术资源来保障企业安全的一种防御手段。
1.2 如何建立安全响应中心?
上面我们已经认识到了安全响应中心的重要性,但是,如何来建立起这样一个中心却不是安全部门自己轻而易举能够做到的事情,这需要企业内部很多部门及负责人共同协调完成。安全部门在企业里独立出来的时间较晚,安全工作被关注的程度也一直存有不同声音,所具有的权限也是有限的。
1.2.1 梳理业务
第一,域名列表是在网络中是非常重要的一部分,首当其冲应该梳理出一份完整的且正在使用中的域名列表;第二,整理出所有的IP列表,包括已开放的端口,各个端口信息,常见的默认端口,端口上运行的服务等;第三,确定好各业务线的安全接口人,安全部门可直接与其对接工作;第四,确定业务部门安全接口人。往往在企业内部,业务线与业务部门有时候是分开的,因此需要分别确定好。
1.2.2 漏洞定级
基本上,目前所有的企业与安全从业者对漏洞级别的判定规则基本一致,根据危害程度可分为四类:严重、高危、中危、低危;根据所影响的业务类型不同,又可以从核心业务和一般业务的维度来定级;近些年,也出现了特殊的定级,包括零日漏洞,威胁情报和插件等;常见的漏洞类型,同时也被广泛认同的,系统权限、暴力破解、SQL注入、XSS、URL跳转、越权访问等等也都是在列。每家企业因为行业不同,对于信息资产的关注领域不同,所以,漏洞定级的事情,不仅仅参照通用的标准,还受很多企业自身的原因影响,当然普遍共识的系统漏洞、零日漏洞除外。
1.2.3 评分标准
每家企业略有不同,但是,基本遵循着先为漏洞定级,然后根据定级确定该对应的积分,最后确定物质奖金数字,这样的流程进行。评分标准的设定,对于SRC而言,更大的意义在于判断漏洞背后的技术能力,从而对等出物质奖金数字,回报于提交此漏洞的白帽子;一方面肯定其技术能力,另外,一方面感激于提交漏洞给企业,帮助企业防御风险的行为。
1.2.4 事件处理规范
此流程,其实更多是限制企业内部专门负责SRC运营的人员。需要在安全响应中心建设之初,制定出SRC漏洞处理的规范,包括流程与时间,重要的时间点主要包括不同级别需要规定出不同的时间,全程时间需记录,包括的提交时间一旦生成需要立刻同步给SRC运营人员的短信、邮件等接收工具;然后处理漏洞的时间点应严格规定并且执行,包括通知到安全接口人的时间,修复时间,复查时间,反馈给白帽子的时间等一系列时间点 需要被跟踪记录。另外流程需要包含以下几项:漏洞来源,漏洞名称,漏洞类型,影响范围,提交时间,安全接口人,基本描述,漏洞证明,处理意见,处理时间,是否办结,是否复查。漏洞名称,漏洞类型,基本描述,漏洞证明和影响范围由提交人填写,将会在提交页面上设置相应的位置,成为必填项;提交时间自动生成;漏洞来源,安全接口人,处理意见,处理时间,是否办结,是否复查由企业内部处理漏洞的技术人员如实更新信息。制定和遵守规范是安全事件达到预期目的的关键,不容小视。
1.3安全响应中心运营
在互联网的世界里面,“运营”工作的重要性,已经基本得到肯定。安全工作是一项超越时间与空间概念的工作,因为安全工作的对手是没有时间和空间概念的,包括安全运营。
1.3.1工作时效性
SRC运营人员“应该”也是“必须”7*24小时处在工作状态,移动电话保持随时接通和接收短信。在上面提到的响应中心规范里在每一个白帽子提交漏洞的同时,相关运营人员将会收到漏洞信息的短信和邮件,第一时间通过简短的信息粗略判断漏洞对业务的影响程度,给出对应的处理意见,做出处理动作,是需要远程处理即可,还是需要上升一定级别,开会讨论处理,这都需要在初期有一个基础的判断,所以,这对于SRC运营人员本身的技术能力、运营能力和工作经验是有一定的要求的。
1.3.2沟通方式适宜性
在收到漏洞的第一时间,同时也对白帽子的行为作出反馈,可以是短信,也可以是邮件,方式不限,但一定要有效,总之,以适宜并且可执行的方式进行沟通,以此表明对于白帽子的尊重,并且也是对应急工作本身的态度;尽可能地使用官方语言,避免造成误解;在漏洞定级之后,在规定时间内,将处理结果反馈给白帽子,如果双方存在异议,可以通过友好协商的方式进行讨论,最后求同存异。响应中心可以定期地举办线上或线下的沙龙或者是交流会,与白帽子面对面进行技术交流与友谊交流,QQ群或微信群充当了线上交流的一种载体存在,也是非常有必要和顺畅的。
1.3.3工作改进与沉淀
世界是变化的,发展的,安全工作也是动态的。响应中心的工作可以通过行业标准、自我评价、白帽子们的友情建议,或其他等等有利于响应中心工作发展和提高的因素,不断改进,以达到更好地为企业服务,与白帽子建立更深的友情,自身也得到很大的提高。SRC内部通过工单系统记录漏洞处理的全部流程,如果遇到争议的问题,需要及时上报领导,争取到领导的处理意见。白帽子为企业的防御做出了突出的贡献,不仅仅是一次提交漏洞这么简单,有时候,SRC运营人员需要通过一次或者是几次的提交行为,分析其挖洞思路,将其思路不断完善进企业的漏洞系统,弥补企业欠缺的技术能力。当然,这需要企业最好有自己的漏洞管理平台,可以与响应中心的漏洞处理平台是一个,也可以不同,视企业在设计系统最初而定,并不绝对。
2、企业安全文化
2.1 安全教育
2.1.1技术安全考核
未雨绸缪胜于亡羊补牢!很多时候,在企业里面,对安全的认识经常是“事后”补救,象消防员一样,到处灭火,哪里有火就去哪里;而往往忽略了,相对完善的计算机系统则要求在软件或系统开发之初,就需要考虑到安全因素,不同的阶段需要不同的安全。这里可以参考软件开发生命周期的概念;无论是最初的代码层面,测试,最后到发布,每一个阶段都必须考虑到安全层面的问题。这比事后救火的代价要小的多。技术开发工作的不同内容,拟出对应的题目,定期对技术人员进行考核,了解技术人员在工作中真正考虑的安全的实际情况是怎么样的?有哪些薄弱的地方有待提高的?可以将此技术考核列在定期的“安全月”或者“安全周”内,如果企业内部安全部门话语权重的话,也可以将此考核作为KPI(Key Performance Indication即关键业绩指标)中的一项,提高员工的重视程度。
2.1.2安全意识普及
因企业性质、行业领域、发展时期等等诸多因素的不同,企业不应该照搬任何公司的安全意识培训体系。好的不一定是适合自己的。只有适合自己的才能靠近或达到预期。安全意识培训是一个长期的、循序渐进的过程,从无到有,从有到广,从广到深。规模不大的企业有时候,安全意识的重要性并不能充分地深入到管理层的认知中,所以,安全意识培训得不到太多的重视,也很难形成体系,但其实,实际工作已经在做,例如安全意识的讲座、张贴的海报、宣传标语等。当企业规模慢慢变大,管理者对于安全意识的关注度变高,整体的安全工作也由被动防御慢慢向主动出击,这便是一个相对成熟的建立安全意识体系的契机。建立企业自己的安全意识培训体系,针对不同的人群,大体可分为新员工与老员工安全意识培训。首先,将安全意识培训纳入到新员工培训课程中去,作为入职培训考核中的一个必选项,让每一个入职企业的员工了解到“安全”对于企业的意义。内容可以包括但不限于,员工误操作、公共资源私用、蓄意破坏、邮件安全、社交安全等等;对于老员工则可以针对不同岗位,不同级别来区别,例如管理层、人事、财务、市场、运营,行政以及第三方,因为岗位不同,同一岗位层级不同,分别进行不同内容的安全意识培训;培训只是作为安全意识培训体系中的一个,其他的方式可以是内部沟通工具上面不定期安全意识内容的传播,宣传物品的张贴,设计开发互动小游戏等等,形式可以很多,生动形象可以根据企业不同的主题,电商企业可以以”618“双11为主题的,国家企业可以以国家重大政治、经济、文化及外事活动为主题的等等。
2.2 安全普法
2.2.1相关安全法律
目前,中国有关于信息安全的法律法规,包括2016.6.1分布实施的《网络安全法》在内,有50部之多。而当《网络安全法》颁布以来,国家对于信息安全的重视程度已经升级到了目前最高点。为了安全从业者本身可以在法律规定的范围内工作,同时也为了让白帽子们明确法律边界,哪些行为是合法的?哪些是禁区?在合法的范围内从事安全工作,因此,定期的开展安全法律的普及工作,是安全运营不同于其他领域运营的一项特殊内容。
2.2.2等级保护
网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的体现。网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。在等级保护全流程中,涉及到四个不同的角色,分别是:运营使用单位、公安机关、服务商、测评机构。关于等保及相关的概念在官方的文件中都有,在此就不再赘述。
“等级保护”发展历程:1994年国务院147号,提出概念,明确要求对信息系统分级进行保护1999年《计算机信息系统安全等级保护划分准则》,发布计算机信息系统保护等级划分准则的强制性标准
……..2008年《信息安全技术信息系统安全等级保护基础要求》,明确对于各等级信息系统安全保护的基本要求;
……..2017年《中华人民共和国网络安全法》明确国家等级保护制度,并将其上升至法律层面;
2019年等级保护2.0标准体系发布。
国家希望等级保护制度是为了使企业在合法合规下,明确企业责任、使企业安全从单点防御变为规范化体系化,但是,由于90年代,中国计算机技术和互联网技术的发展速度缓慢,虽然等保的概念提出很早,但是,十几年并未受到企业重视,从而进程发展的很慢,相对来说,国有企业在政策和制度的要求下,落实的较好;而非国有企业更在意商业利益的变化,所以无论是从意识上,还是从执行上,等级保护制度的步伐都较缓。从2007年等保1.0的实施到2019年等保2.0的发布,十二年之久,随着物联网、人工智能、移动互联、云计算这些新技术形态的出现,中国进入了等保2.0时代。等保体系发生了重大升级,制度有了突破性发展,并且等保的要求上升到了法律层面。等保1.0与等保2.0的区别大致有几个方向:第一,监管范围增加, 等保1.0只针对网络和信息系统;而等保2.0加入了云计算、移动互联、物联网、工控等新业态;实现了通用要求+安全扩展的全覆盖。第二,监管对象扩大,等保2.0将全社会列为监管对象,而等保1.0只监管体制内企业;第三,等保2.0由旧标准的10个分类调整为8个分类,分别为技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理;最后,在结构、要求项、测评、流程有相关的变化
3、白帽子运营之道
3.1白帽子画像
3.1.1挖掘白帽子亮点,每一个白帽子都是一颗钻石,无论从哪个角度观察,都有他独特的美丽与价值。白帽子是一群有情怀的群体,安全技术不同于其他领域的技术,有很多并非科班出身,而因喜好入行。每个白帽子在技术方面都有自己擅长的领域,尤其是拥有顶尖技术的白帽子,有自己的技术思路和技术能力,并且还有一颗为其奋斗的安全之心。所以,根据白帽子的背景,例如籍贯、姓别、性格、专业、爱好、技术特长等,针对性提供技术场景和机会,使其自己在擅长的领域内发挥最大的价值。
3.1.2倡议白帽子保卫,在以往的工作经验中,我们有这样的成功实践;恰逢618或双11大促的前夕,号召全体白帽子加入全球保障计划和全民保障计划;不但能够在固定的时间内通过自己的技术挖掘到高危以上的漏洞,验证自己的技术能力,同时也会得到企业给予的高额物质奖励,并且得到此计划的高尚殊荣。由于这样的计划拥有一定的影响力,所以在其中受到奖励的白帽子在安全行业内,也将收获更多认可度和荣誉感。
3.1.3白帽子特殊服务,每个白帽子不一样,正如世界上没有两片相同的叶子。在以往与白帽子沟通的过程当中发现,有的白帽子喜欢夜里挖洞;有的白帽子专注逻辑漏洞;有的白帽子擅长病毒分析;有的白帽子更在意得到的奖金分享给家人……很多很多不同的关注点,所以,企业可以针对不同的白帽子需求提供个性化服务,例如我们可以给夜里挖洞的白帽子订上一份夜宵;可以举行专门逻辑漏洞的主题;可以进行病毒分析的研讨会;可以替白帽子给他的家人多送一些关怀……想白帽子所想,做白帽子所做,和白帽子成为朋友,共同为企业的安全尽其所能。
3.2白帽子技术交流平台
3.2.1安全人才培养
现在越来越多的企业意识到,整个安全行业从业人员的水平直接影响着每一家企业安全的发展程度。安全人才池里面的人员分为两大部分,一是现有企业里的人员,二是正在学校就读或者其他行业转过来的潜在的安全从业人员。由于安全领域自身的特点,独立发展的时间比较晚,大约在2009年之后,安全专业领域的教育才出现,设有安全专业的大专院校也是少之又少,而更多也是集中在密码学等基础学科的理论研究方向,缺少实践。安全人才的成长速度远不及安全行业的发展速度;但是,教育是长期的,我们并不能因为成长的速度慢而忽略了这一部分正在成长的群体,因此,有许多校企合作的模式出现,很多知名的企业与学校合作,预有专项的基金提供给学生用于CTF(Capture The Flag,中文:夺旗赛)比赛或者是其他形式的安全比赛。一方面以比赛的形式,检验在学校学到的安全技术,挖掘出学生擅长的领域和缺失的短板,未来有的放矢培养;另一方面,通过比赛,佼佼者也早早地受到企业关注,成为企业预定了的安全人才;这是当今比较成熟的,对于在校学生的安全人才培养模式;对于已经在职的安全从业人员,企业有很多项目能够成为实践的对象,也会经常举办公司内部或行业的技术交流沙龙,不断用理论武装等;有一些资金雄厚的公司,通过游学的方式,带领部分有资格的安全从业人员与国外的安全从业人员进行跨国技术交流,同时此种安全人才培养的模式也作为激励安全从业人员更多地为企业所服务,而获得安全人才培养的机会。
3.2.2福利最大化
对于企业安全来说,白帽子的贡献是毋庸置疑的。所以,白帽子是企业安全的朋友,对朋友就要真诚以待。企业应该预留出当年一笔不小的预算,用以回报白帽子对于企业的贡献;目前,有一些企业做的比较直接,漏洞积分可以直接兑换现金,例如以腾讯公司为代表;也有一些企业满足了白帽子对于海外的向往,开展了游学的项目,例如以蚂蚁金服为代表;总之,一句话,无论是物质还是精神,都要最大可能地肯定白帽子的付出;有人说,给狼要给肉,如果给草养出来的就是羊,有远识的企业应该明白,理性地福利最大化给白帽子是对企业安全有利的投资。
3.2.3公益白帽家
上面说到,白帽子是有情怀的群体,能够成为白帽子的原因一定不全是为了物质奖励,还有一颗帮助企业、帮助行业的公益之心。那么,企业可以做这样的一件事情,联合一些公益组织成立安全公益计划,在安全领域的范围内,提供更多白帽子做公益的机会,让每一个白帽子都有可能成为“公益白帽家”。现在有一些企业已经先行一步,在做相关的事情,这是一个很好的方向,在公益心的影响之下,如果每一个白帽子的内心出发点都有“公益”二字,那么,白帽子的路将会越走越宽,越走越高,德行兼备。
3.3白帽子区域运营
中国之大,五湖四海。为了能够统一管理全国的白帽子,企业消息可以瞬间传达,一呼百应,可以采用“舵主”制来管理区域白帽子。例如全国可以划分为东北地区、华南地区、华东地区、长江地区、两广地区等等,由统一的“舵主”管理,舵主被企业全权授权管理白帽子相关事务,同时,也有责任将企业的信息传达给白帽子,将白帽子的建议和需求直接提交给企业;也包括线下沙龙举办、线上活动的召集等等,企业建立规范的舵主与白帽子的管理制度,舵主和白帽子都将分别会有各自的权利与义务,同时也会享有企业提供的福利。
3.3.1安全沙龙
为了给白帽子更多的交流机会,促进整个安全圈的生态发展,保持安全圈技术的钻研活性,让优秀的白帽子更优秀,让成长的白帽子有更多的机会成长,企业可以通过沙龙的方式将白帽子聚合在一起,以自由轻松的方式进行交流,主题可以贴近当前的前沿安全技术,也可以就某个领域进行深度探讨与交流,总之一切有利于白帽子技术与职业发展的主题、有利于整个安全圈生态正向发展的话题都可以成为大家讨论的焦点。根据主题可以聚合不同类型、不同领域、不同需求的白帽子,例如某些白帽子更喜欢渗透话题的技术讨论,某些从白帽子发展成为安全负责人的大咖们更愿意分享自己的成功之路,扶持更多的新安全人等。在安全沙龙领域的话题又是可以展开很多,如果后面有机会,会单独就安全沙龙更进一步的扩展讨论。
3.3.2舵主制
互联网世界的优点之一就是可以超越时间与距离,当然,互联网的优点,有时候也变成了管理上的难点。时间与地域都不固定,较为松散的场景,如何将白帽子聚在一起,有难度,不过,也并不难于解决。舵主制是其中之一的办法。我们可以按照地域的划分,华北区、华中区、东北区、华南区、西南区、西北区、台湾+香港+澳门区,七大区。每个区建立一个白帽子联盟,设有一个舵主,舵主主要负责承上启下、共通互联的作用,舵主有责任将企业的福利、政策、制度等第一时间传达给本区域的白帽子,白帽子也可以直接将自己的需求、建议通过舵主发送给企业。作为区域的舵主,需要有严格的选拔机制、管理制度以及福利制度;企业要让白帽子有充分的归属感,使命感和荣誉感,而白帽子同时也需要遵守企业的相关制度。总之,双方的契约精神决定了整个安全生态的存在,以及发展。未来,将舵主制扩展到全球,便可以划分为欧洲大陆,美洲大陆、亚洲大陆等等,目前,国际的白帽子虽然是我们发展的方向,不过由于数量有限,所以暂不作为重点讨论。
声明:本文来自企业安全工作实录,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。