搜狐吳建強(qiáng):企業(yè)信息安全實踐
原創(chuàng)本文是WOT2016互聯(lián)網(wǎng)運(yùn)維與開發(fā)者大會的現(xiàn)場干貨, 新一屆主題為WOT2016企業(yè)安全技術(shù)峰會將在2016年6月24日-25日于北京珠三角JW萬豪酒店隆重召開!
【嘉賓簡介】
吳建強(qiáng),搜狐高級經(jīng)理,超過10年的信息安全從業(yè)經(jīng)驗,曾就職于國內(nèi)多家知名安全公司,目前主要負(fù)責(zé)搜狐安全團(tuán)隊的管理。
WOT2016互聯(lián)網(wǎng)運(yùn)維與開發(fā)者大會的運(yùn)維安全專場的演講中,吳建強(qiáng)做了主題為《企業(yè)信息安全實踐》的精彩演講,他從不斷演繹的安全威脅進(jìn)行分析,分享了在工作中對于企業(yè)安全體系建設(shè)思路及實踐,以及新技術(shù)驅(qū)動下的挑戰(zhàn)和機(jī)會。
隨著數(shù)字通信和移動互聯(lián)網(wǎng)技術(shù)的發(fā)展,越來越多的設(shè)備可以聯(lián)網(wǎng),在給人們提供便利優(yōu)質(zhì)智能生活的同時,安全威脅也隨之越來越多,復(fù)雜多樣,黑客攻擊手段也變得多樣化。在網(wǎng)絡(luò)安全攻防對抗中,安全產(chǎn)業(yè)也在不斷的晉級。從最初的被動防御演進(jìn)至主動防御,關(guān)注重點從通信安全和網(wǎng)絡(luò)安全,轉(zhuǎn)至應(yīng)用安全、操作系統(tǒng)安全,然后慢慢的隨著移動互聯(lián)網(wǎng)的發(fā)展,移動安全也備受關(guān)注。
企業(yè)安全體系的建設(shè)思路與整體架構(gòu)
吳老師表示,每個公司的業(yè)務(wù)特點不同,以上是僅是他根據(jù)自己的工作以及所在公司的業(yè)務(wù)所總結(jié)的建設(shè)思路,并一定適合于所有的公司。企業(yè)安全建設(shè)主要有以下兩個重點:一是,要很清楚的明白公司的業(yè)務(wù)是在做什么的,安全關(guān)注的業(yè)務(wù)是在哪幾個方面。二是,技術(shù)體系建設(shè)。技術(shù)體系主要是有幾個方面:PDR、DID、SAS以及流程保證,還有包括組織體系、管理體系,意思就是人、技術(shù)、流程。就是通過這幾個方面,如果你能做的比較好,能夠把這幾個方面貫徹的比較好,你的企業(yè)安全應(yīng)該會做的不錯。
上圖這個整體技術(shù)架構(gòu),相信大部分互聯(lián)網(wǎng)公司,稍微上一定規(guī)模的公司,可能都會有類似的架構(gòu)。吳老師介紹到:“首先看底層,就是公司的基礎(chǔ)服務(wù)平臺,現(xiàn)在對于基礎(chǔ)服務(wù)平臺大家也都在做源,包括像SDN之類。第二層,是包括Paas服務(wù)平臺。Paas服務(wù)平臺主要是給應(yīng)用提供一個運(yùn)行時的環(huán)境,大家可以業(yè)務(wù)線或者應(yīng)用產(chǎn)品更多的聚焦于產(chǎn)品的開發(fā)、業(yè)務(wù)的實現(xiàn),不再關(guān)心這種運(yùn)維的實現(xiàn)了。所以我們一直還在做這種Paas服務(wù)。雖然現(xiàn)在做公有云的Paas服務(wù)不多了,可能有幾家現(xiàn)在自己也不做了,就是因為覺得面向客戶或者面向乙方提供產(chǎn)品或者服務(wù)的時候,很難有收益或者很難達(dá)到很好的效果。但是在內(nèi)部系統(tǒng),我們一直還在做就是因為通過這幾年的實踐,覺得這個平臺是有價值的。對于我們來講,無論是從節(jié)約資源和降低運(yùn)維成本以及規(guī)范我們的應(yīng)用發(fā)布及管理方面,是有很大的好處的。當(dāng)然我們在做Paas的時候,已經(jīng)把各個其他的,像數(shù)據(jù)的服務(wù)、緩存的服務(wù),還有存儲的服務(wù),還有類似的一些其他的服務(wù),能夠兼容進(jìn)來,這樣實際上我們能夠做到很好的兼容性和降低我們的開發(fā)成本。因為我們不是所有的產(chǎn)品都能做,所以實際上我們會兼容一些其他的產(chǎn)品進(jìn)來。最上層就是支撐了一些我們公司現(xiàn)在主要的一些應(yīng)用,包括像新聞、媒體的業(yè)務(wù),包括像視頻的業(yè)務(wù),包括像支付,還有我們的APP的服務(wù)。最前端,在所有應(yīng)用的如后,也就是訪問的入口,就是我們?nèi)W(wǎng)加速的服務(wù)。現(xiàn)在搜狐的全網(wǎng)大概有幾十個節(jié)點,覆蓋了全國所有的省市。”
此外,他表示在這個整體架構(gòu)之中,實際上搜狐無一例外的,都貫穿了信息安全的概念。他們一直在強(qiáng)調(diào)的就是希望能夠把信息安全能力,或者說這種功能打入到現(xiàn)有的產(chǎn)品當(dāng)中,不會產(chǎn)生其他系統(tǒng)與安全脫節(jié)的情況,將安全實現(xiàn)的功能做在產(chǎn)品當(dāng)中。
安全對于小公司來說有些奢侈,不像大公司已盈利。所以小公司們該如何考慮做安全呢?其實,無論是大公司還是小公司,做安全都要考慮哪些業(yè)務(wù)對公司來說是至關(guān)重要的,那這些業(yè)務(wù)就是安全防護(hù)的重點,需要優(yōu)先給予安全保障。因此,這時公司就需要做一個業(yè)務(wù)分析。對此,吳老師建議對公司業(yè)務(wù)做如上圖所示的整體業(yè)務(wù)分析,或者稱為業(yè)務(wù)定級,定級的過程就是依據(jù)我們業(yè)務(wù)的安全的幾個屬性,加業(yè)務(wù)的依賴性。
介紹完整體架構(gòu)之后,吳老師又對技術(shù)體系里幾個重要環(huán)節(jié)進(jìn)行了分析。
◆PDR和DID
關(guān)于PDR和DID的概念,PDR做安全的,對這個模型都有一定的理解,其實它是基于時間軸的模型,就是強(qiáng)調(diào)你的防御的時間和監(jiān)測的時間,能夠通過防御和監(jiān)測的時間,去降低攻擊的結(jié)果。就是在那個時間段,及時發(fā)現(xiàn)攻擊,并且把它攔住。換個角度來講,可能我會把這個架構(gòu),把這個模型重新劃分一下,就是我把技術(shù)架構(gòu)劃成幾點:第一個就是防御類的技術(shù)產(chǎn)品,監(jiān)測類的技術(shù)產(chǎn)品,還有響應(yīng)的技術(shù)產(chǎn)品。除了PDR,還有一個DID,就是縱深防御的模型。縱深防御的模型強(qiáng)調(diào)的是我從網(wǎng)絡(luò)層到主機(jī)層、到應(yīng)用層,到數(shù)據(jù)層,各個階段都有一定的監(jiān)控、保護(hù),或者響應(yīng)的技術(shù)方案或者技術(shù)體系,所以我用了一個類似于餅圖的方式去實現(xiàn)這種架構(gòu)。我們會把做一些無論是安全技術(shù)的項目、安全產(chǎn)品類似的技術(shù)手段,能夠分分類,都可以劃到這個里面去。包括比如說像掃描的,或者是監(jiān)控的,實際上我們在各個層次上,比如說我們在外網(wǎng),網(wǎng)絡(luò)層有監(jiān)控,這種監(jiān)控也會涉及到應(yīng)用的監(jiān)控、流量的監(jiān)控。掃描會涉及到主機(jī)的掃描、數(shù)據(jù)庫的掃描、應(yīng)用的掃描,都可以把這些技術(shù)手段劃做我們的PDR里面的一類,但是在各個層面上都要覆蓋到。
◆DDOS解決方案
吳老師表示首先他們會對DDoS進(jìn)行分級,就是十級以下公司自己處理,十級以上協(xié)調(diào)運(yùn)營商,或者請求其他外部資源的支持,因為公司的資源始終是有限的。在DDOS解決方案中,主要包括主動牽引和被動牽引兩種方案。主動牽引就是在模擬現(xiàn)在市面上比較成熟的產(chǎn)品解決方案,通過bgp,netfilter模塊和nginx實現(xiàn),無論做流量的反向代理,或者做流量的清洗,都可以通過這些方式去做。而被動牽引首先在被攻擊服務(wù)器實施網(wǎng)絡(luò)層牽引,然后在防護(hù)設(shè)備實施清洗,最后再代理到被攻擊服務(wù)器。
◆監(jiān)控
這個監(jiān)控實際上是在我們所有大的節(jié)點的DIC入口的一個監(jiān)控。這個監(jiān)控主要是監(jiān)控幾個方面,第一個就是關(guān)于應(yīng)用層的攻擊,關(guān)于web的攻擊,第二個關(guān)于流量的攻擊,就是DDOS或者是流量異常的攻擊。監(jiān)控通過分光器的方式來實現(xiàn),把流量通過分光器,通過交換機(jī)下面接一些服務(wù)器,這樣實現(xiàn)了流量的負(fù)載。
◆掃描
掃描的進(jìn)化是一個很有意思的過程。首先是系統(tǒng)層面的,主要針對系統(tǒng)的安全漏洞。然后,進(jìn)入web2.0時代后,針對應(yīng)用層面的掃描較多。還有一個,就是關(guān)于這種被動式的掃描,被動的掃描主要是給產(chǎn)品測試人員,通過提供一個代理的方式,它把瀏覽器的代理,或者一些開發(fā)軟件的代理,設(shè)置到我們的掃描接口來,掃描AI上或者接口上,我們能夠抓到所有的鏈接之后,并且能夠獲得他的,如果你登陸了就有一些授權(quán)信息,那這些授權(quán)信息去做這種被動掃描。
◆SAS 安全即服務(wù)
什么叫安全即服務(wù)呢?將安全能力安全產(chǎn)品輸出出去,服務(wù)給公司。比如把掃描的API接口開放給業(yè)務(wù)線。那業(yè)務(wù)線實際上在開發(fā)產(chǎn)品過程中,就直接可以使用這個API了。如果你在做監(jiān)控,你監(jiān)控已經(jīng)累積了大量的原始數(shù)據(jù),包括攻擊的數(shù)據(jù),惡意用戶、惡意IP,這些都可以輸出出去。既然你在做安全,你有這個優(yōu)勢,你為什么不能把這個東西當(dāng)做一個服務(wù)提供出去呢?
◆SAS 服務(wù)即安全
為什么說服務(wù)即安全呢?吳老師表示,就是希望把產(chǎn)品做的更安全一些,就是把一些安全能力加入到我們現(xiàn)有的技術(shù)架構(gòu)當(dāng)中。比如說現(xiàn)在其實像安全CDN這個東西,也不是一個非常新鮮的概念了,前兩年已經(jīng)非常成熟了,我要把第一層的防御放在我的入口處,要放在CDN處。為什么要做在這兒呢?因為在web前端的,CDN或者應(yīng)用層的監(jiān)控或者保護(hù),可能沒有及時的發(fā)現(xiàn)這個攻擊。但是你會在越接近數(shù)據(jù)的地方,越容易發(fā)現(xiàn)攻擊,因為它沒有什么特別多的語法或者詞法的解析了,也不存在規(guī)則的問題。更多的就在于數(shù)據(jù)層,是不是注入,在這個地方,它會起碼很全面,當(dāng)然你的規(guī)則就取決于你的規(guī)則實現(xiàn)了。如果你的規(guī)則,誤報太多了,就需要做優(yōu)化了,但是不會有漏報,所以你只會有誤報,不會有漏報。
至此,前面介紹的基本上就是大整體的一個技術(shù)架構(gòu),主要是PDR和DID,實現(xiàn)的就是在多層次去做這種保護(hù)、監(jiān)控和響應(yīng)。
安全開發(fā)流程SSDL
這個安全開發(fā)流程,估計絕大多數(shù)公司會有。但是怎么去貫徹,怎么去實行,吳老師認(rèn)為這其實是一個很難的事。安全開發(fā)流程主要有以下幾個部分:
組織體系
組織體系中的主體就是人。公司中每個與安全有關(guān)的聯(lián)系人,包括部門領(lǐng)導(dǎo)都應(yīng)參與到企業(yè)安全防護(hù)的過程中。普通的公司職員也應(yīng)增強(qiáng)安全意識。安全領(lǐng)導(dǎo)組要做決策,控制安全防護(hù)的成本等。在策略的執(zhí)行過程中,需要有流程保障,需要技術(shù)保證。另外,可通過安全月報的形式,讓部門領(lǐng)導(dǎo)和安全聯(lián)系人清楚,過去一個月中,公司的整體安全現(xiàn)狀,哪個部門的安全事件較多,發(fā)生了哪些安全事件,攻擊趨勢發(fā)生了怎樣的變化。
新技術(shù)驅(qū)動下的挑戰(zhàn)和機(jī)會
云計算和大數(shù)據(jù)時代的到來,給安全防護(hù)工作帶來了新的挑戰(zhàn)和機(jī)會。吳老師總結(jié)如下:
演講視頻:http://edu.51cto.com/lesson/id-100718.html
