除了互联网公司啥都能自己干,一般的甲方,如运营商、银行那么有人(技术人员多并且精),或者如电力、石油、烟草那么有钱,或者如政府部门那么有权,都还是得靠购买安全服务来保障企业安全的。毕竟,自己养安全团队有着诸多问题。首先是团队不好组,安全人才现在很紧缺,流动性大;其次是太贵,渗透专业,网络专业,咨询专业,开发专业,人配齐了每个月工资都不菲。
说这么多,安全服务还是要买。那么我们就来谈谈到底市场上哪些安全服务是必须买的,哪些是可选的,买服务要注意些什么,不要被无良商家骗了,其实被骗了钱还是小事,反正花的公家的钱,最怕是骗了钱不做事,出了事安全责任还是甲方安全部门背。
下面的分类,不是按照体系分类的,我把服务分了3个等级,初级服务一般企业都必须做,还要周期性的做,中级服务按需采购,高级服务那就是有钱人的奢侈品。
顾名思义,这是最基本的,你手下自己人可能就能做,自己人能搞定最好,搞不定就必须得买服务,这些事不做,100%出事。
1.1 风险评估
风险评估主要的方法是等保和27001。如果你是一个普通的企业或者政府事业单位,那么过等保就好了,没有必要过27001。如果你是从事系统集成、生产制造IT产品的企业,那么你需要过27001,投标的时候会用到。
等保的级别一般都是有国家、行业规定的,如果能打个擦边球,尽量往低了定,别傻乎乎往高了定,除非你就是想多花钱多拿回扣。现在还新出来个”关键信息基础设施”的规定,四级肯定是关键设施,三级就可以斟酌一下。对企业来说,不建议被定为“关键设施”,但是对全额拨款事业单位或者政府部门来说,定为“关键设施”比较好,可以拿到更多的拨款。
等保测评是分省的,每个省都有公安指定的公司,各省的价格差别较大,一般不能跨省做。启明、绿盟、安恒之类的公司并没有资质做等保测评,他们卖的是“等保辅导服务”,就是帮助你整改并通过等保。你需要掂量一下自己的水平,不是所有甲方都有实力自己过的,没信心就买个服务吧。
三级四级等保都是要年审的,二级是系统重大改变才需要重新审核。一般是发生了主要设备更换,重大扩容,机房搬迁,才需要重新做,否则按照惯例,3-5年做一次就可以,不要傻乎乎去年审。
1.2 渗透测试
渗透测试通常被称为漏洞扫描,要定期做,最好每周做,没钱没人就每个月或者每个季度做。注意分为操作系统的漏扫和WEB的漏扫,两个都要做的。
大部分安服公司就是拿个软件或者硬件扫一下,俗称“机扫”,甲方也可以自己买一套来扫,随便找个小弟摸索一下就行,操作很简单。但难点在于扫出来漏洞后,如何指导系统管理员修复漏洞,这就很体现水平了。
负责的安服人员还会根据业务特点,做一些人工的渗透测试,但这个全凭良心,不好考核,不能要求必须手工渗透找到多少个漏洞。通常只能用奖金激励,但如何鉴定漏洞的危险等级,又是一门学问。
如果甲方自己做“漏扫”,记得要经常更新漏洞库噢,并要在非重要业务时段扫,避免把业务系统扫瘫了。
1.3 安全巡检和加固
前面说的渗透测试主要是系统和应用层面的,安全巡检和加固则主要是网络和系统层面。巡检针对网络设备和防火墙、IPS等,有没有正确配置ACL,有没有permit all 之类的配置,IPS的库有没有升级到最新,网络有没有管控住,能不能绕过堡垒机直接登陆设备等。
加固服务一般指的是操作系统层面的安全基线,有没有按照基线进行配置,有没有打必要的补丁,通常来说我们不推荐在linux 系统上安装内核加固软件,但是过低的linux 版本对安全是不利的,如果上层应用软件导致确实没法升级底层操作系统,应考虑加装内核加固软件。
1.4 应急响应和重保值守服务
这个服务你一定要买,出事了呼叫大牛过来救场。一般都是按天付费的,就算过来2小时就搞定,也得给一天的钱,谁让你出事呢。这种服务就一条注意点,一定要买本地厂商的,外地厂商再牛B,如果本地没有牛人,专家从北京飞过来,黄花菜都凉了。我们公司离安恒20分钟车程,前几天刚呼叫过一次,真的是20分钟就到了,相当赞。好像全中国拿的出手的安全公司都在北京深圳杭州,其他城市的就自己好好考察一下吧。
这个服务其实还包含了重保期值守。比如开十九大期间,如果你的业务,特别是涉及互联网的业务,不能关的话,稳妥期间,买个人过来坐镇,晚上比较睡的着。
1.5 安全意识培训
这个服务其实优劣差别挺大的,有些大品牌,产品线很丰富,一年花个几万块钱,小动画,宣传片,短剧,学习课件和考试系统,手册,海报,展板,易拉宝,模拟钓鱼软件,屏保,真的是一大堆,内容也很好玩有趣,相当赞。有些小公司,只会做个新员工培训,弄几张很丑的画报,收费还不一定低。
中级服务,适合安全负责人自己比较懂,愿意更上一层楼的,可以尝试一下。
2.1安全监控
假设你已经建设了一套安全监控系统,能够第一时间发现安全威胁,可是7*24小时的监控,至少需要4个人倒班,不是所有公司都有网管中心可以帮你顺便监控一下的。那你就需要购买一个安全监控服务,他们会帮你监控,出了事打电话给你,并第一时间处理。每个月还会帮你做个分析月报。
2.2 网络安全规划
这个就比较高级了,我以前的文章就有讲过,安全的网络源于安全的设计,重新规划整个企业网络,划分好VLAN,管理好互联网出口,可以极大的提升整个企业的安全。
不过,能提供这种服务的安全公司可不多,或者找一个集成商的高级网络工程师来做这事更靠谱。
还有个难点在于,你需要先打败贵公司的网络工程师,他可不承认他原来设计和运维的网络是不安全的,他也不愿意帮你做调整。
2.3 安全管理咨询
毕竟,大部分搞安全的,都是工科生,写安全管理的规范和制度,真是一件要命的事情。所以,最好能说动老板,批一点钱给你,找个专业的公司帮你编写制度规范。
不过,这个服务如果公开招标,那你的钱基本要打水漂,一定会有个公司低价中标,然后交给你一堆27001的制度模板,仅仅把标题改为贵公司…
2.4 WEB托管
你先打听一下贵司的官网多少钱开发的,10万以内甚至两三万,你觉得会有多少漏洞,买个WAF能防住吗? 这么廉价买来的网站,我反正是没信心。
虽然说安全责任不能转移,但是如果把WEB服务器托管到一个大品牌,比如阿里云或者华数云啥的,出了事好歹多个人帮你背黑锅。
另外从省钱的角度来说,你至少要买WAF、IPS、Anti-ddos,至少大几十万,还要培训人来运维,托管到云上,省心还省钱。
2.5 威胁情报
这个主要指的是漏洞盒子、补天、阿里先知等等平台帮你关注贵公司的网站,一旦有人说贵司的网站有漏洞,第一时间获得细节并验证,给出解决方案,赶紧让相关部门打补丁修复。以及,当互联网爆发出重大威胁,比如struts 又爆洞了,勒索病毒又变重了,赶紧自查专杀。
这事其实不难,找个有责任心的小弟每天去刷一下互联网,完全可以自己干。注意,要找个有责任心的小弟,因为他刷没刷,你也管不过来。
2.6 APP安全检测
如果贵司有APP,记得要买个APP安全检测服务,这里面分为三个步骤。
第一步是安全检测,和网站的漏洞扫描类似,看看APP本身有什么问题,修补漏洞。
第二步俗称“加壳”,就是找专业机构帮你的APP加个壳,类似买了台WAF,避免被坏人嵌入病毒和广告,传播出去,毁你声誉。
第三步则是渠道监测,一般你只在3-5个应用市场投放你的APP。据说中国有200多个安卓市场,很多市场里充斥着被坏人嵌入了病毒和广告的APP,你要监测起来,禁止那些市场传播,毁你声誉。
高级服务,必然是兵强马壮,手有闲钱,前面的事情都做了,才开展的工作。前面那些事没搞定的,就不要搞这些新玩意儿了。毕竟咱们搞安全,多数时候是默默无闻的,别老想着创新,喜欢创新你得去搞业务啊。
3.1 代码审计
简单的说,就是对贵公司编写的软件和网站进行源代码审计,看看源代码有没有逻辑上的安全问题。这是从根本上解决安全问题,是安全的最高境界。
代码审计有自动化软件的,但绝不是买一套跑一下就好了,跑出来的结果,开发人员很可能看不懂,看得懂的人还很难招到,所以,你得买服务,很贵的… 其实贵还是其次,大部分二三线城市根本买不到这个服务。
不过没关系,除了银行喜欢自己开发,大部分行业自己不开发,也就谈不上代码审计。
3.2 攻防培训
这个一般的企业也没啥用,适合大企业,培养一些“黑客”,出去打个比赛拿个名次,显摆一下。其实我司也在组织,如何证明我司在行业内安全水平高?唯有打个比赛啊。
3.3 APT样本分析
Advanced Persistent Threat 高级持续性威胁,利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。卡巴斯基称为Targeted Attack ,针对性攻击, 我觉得从字面理解更加直白。
一般的企业,谁会下血本针对性攻击你们啊。就算要针对性攻击,完全可以用社会工程啊,花更少的钱,我就把你们公司的邮箱和OA管理员拿下,你们全公司的秘密我都能拿到,谁花那心思黑你们的系统啊。
不过,有钱就烧一下呗, 买个APT检测设备,学名叫BDS(Breach Detection System) 威胁检测系统, 这种设备的部署类似ids, 和ids 一样,无穷无尽的误报。 Bds 每天会给你检测出一堆疑似样本,其实70%都是变种病毒,如果你把这些样本存起来,过一周再用杀毒软件查杀,基本都能杀掉。
可是,你也不能确定这些就是病毒啊,既然你已经买了bds, 你就顺便再买个人工样本分析服务,可以第一时间分析出来,告诉你,不是针对性攻击,只是个还未被收录的普通病毒。
有人说,这有啥意义?有意义啊,万一有人要搞我呢。再说了,我比别人早找到病毒,也可以拿来吹牛嘛。还有人说,那剩下的30%呢? 误报呗,压根就是正常程序…
3.4 云等保测评辅导服务
这个高大上,不过我觉得这个服务其实卖不出去的。毕竟,有实力搞公有云的企业,难道还没有实力自己过等保吗?
3.5 众测
其实高级服务里,我觉得就这个最值。众测服务是切实有效的,之前帮我们找到过一个很不错的漏洞,就是一分钱购物,一分钱可以买我们价值几百的电视年包。毕竟钱可以激励广大黑客,“机扫”是扫不出这种漏洞的。
众测本质上还是互联网系统或网站的渗透测试,但这次不是找安全公司做,而是邀请黑客来搞,找到漏洞,给钱,2000,5000,10000,按照漏洞的威胁程度。
众测服务有一个难点在于如何判定漏洞值多少钱。黑客说可以通过这个漏洞重启我的设备,我说这个不严重啊,我只在乎篡改,你把我网站关了我无所谓的…当然,平台有一套科学的判定方法的,但依然还是不可避免有扯皮的。
众测也有风险,慎用,据说有的黑客会利用此机会,大肆入侵,趁机干点坏事。如果被抓,就说自己是受邀请来的啊…
作者:叶翔,华数数字电视传媒集团安全管理部总经理,国际信息系统审计师(CISA),高级工程师,曾就职于中国联通、中国电信及中国建设银行总部。目前负责华数集团和下属子公司浙江华数、华数传媒、中广有线、地铁电视、华数云的网络安全、播出安全和安全生产工作。
华数集团是广电行业的龙头企业,科技实力和网络安全水平均处于行业领导地位。集团下属1家上市公司,70多家广电网络公司,拥有近3000万数字电视用户,全国1亿以上的互联网电视用户和5600万手机电视用户。
声明:本文来自安在,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
