理論篇 #####
第一章 安全大環境與背景
談企業安全得有大視野,不然沒法講,雖然從整體環境入手并系統講解,但是後面章節細化後,視野會越收越窄。
#1.切入“企業安全”的視角
企業安全是什麼?
安全行業中“二進制”和“腳本”流派是主力軍,但是這兩流派都屬于微觀對抗,還有一個流派群體叫CSOs,前兩個流派是企業安全的縮影,而CSOs流派才是全貌,才能更好诠釋:企業安全是什麼。
CSOs流派裡面有兩種極端的上司,一邊倒攻防,一邊倒浮誇的新概念,這些都是缺乏積極意義的。
技術很重要,但攻防隻解決了一半問題,安全的工程化以及體系化的安全架構設計能力是業内普遍的軟肋,多數人不擅此道。
很多概念是舊酒裝新瓶,發明标簽對行業沒有積極的意義。縱深防禦就是一個标簽,因為IBM收購前就有的概念,隻是因為過去沒重視,或者說缺少實踐。别張口來标簽,想想已經實踐到了那個層面。
從金字塔頂往下看,安全的整體解決方案有組織/管理/技術,共3方面的東西。
乙方大部分都喜歡标簽,因為可以鼓吹自己擅長的概念,乙方弱項在沒有企業安全管理的真正經驗。
乙方差別甲方,在安全建設上缺少系統化和工程化的日常性活動。
甲方安全有一類特殊的,叫産品線安全,一般的甲方網際網路企業關注入侵檢測、漏洞掃描等,但是産品線安全要更深入,從設計和威脅模組化的角度去看整體全面和很細節的安全。
CSOs無法純幹技術活,CSO需要制定政策,四兩撥千斤解決安全問題,CSO 不會隻停留在微觀對抗上,在系統性建設更多一點。
#2.企業安全包括哪些事情
1網絡安全(純技術)
2平台與業務安全(目的性強,基礎安全的拓展)
3廣義資訊安全(包括紙質文檔安全等一切内容)
4IT 風險管理、IT 審計&内控(合規性)
5業務持續性管理BCM(讓安全業務更有親和力)
6安全品牌營銷、管道維護(含SRC的活動)
7CXO 們的其他需求(運維/開發均費力幹的事情)
側重點:
網際網路公司:1、2、5
傳統公司:1、3、4、5
任何以安全團隊自我為中心的安全建設都難以落地,多進行BCM的實操。
對乙方而言,即使你成為骨灰級的專家啊,公司也會對你在某方面創新有所期待而給你持續發展的可能性。
對甲方而言,CEO會想是不是安全部門為了打造影響力在浪費錢。
以狹義的安全垂直拓展去發展甲方安全團隊的思路本質上是個不可控的想法,
籌碼不在 CSO 或者 CTO 手中,而是看主營業務的晴雨表。
有想法的安全團隊在網絡安全方面做得比較成熟時會轉向平台和業務安全,
平台和業務安全是一個很大的領域,發展的好,團隊規模可以擴大2、3倍,
并且在企業價值鍊中的地位會逐漸前移,成為營運性質的職能,
結合 BCM 真正成為一個和運維、開發并駕齊驅的大職能。
BCM不僅僅是災難恢複DR,還包括很多帶灰階的内容需要結合業務深挖。
網際網路行業的安全工作有:
資訊安全管理(占 10% 工作量)
基礎架構與網絡安全(占 29% 工作量)
應用與傳遞安全(占 31% 工作量,救火階段通常入手不夠且沒有完整SDL)
業務安全(占 30-50% 工作量,屬吃飽了,進階内容)
#3.兩種類型的企業安全建設中的差別
傳統企業:業務變更不頻繁,IDC規模不太大,安全産品架構不限。
網際網路企業:業務變頻繁,IDC規模很大,必須用分布式架構。
同時在架構上要關注:高性能、高可用、擴充性、TCO(ROI)
網際網路公司難以理清所有接口間的調用,等理清了可能架構又變了,故得靠自動化手段。
對核心業務才會深入調研并随之更新。
傳統企業安全建設是:在邊界部署硬體防火牆、IPS/IDS、WAF、商業掃描器、堡壘機,
在伺服器上安裝防病毒軟體,內建各種裝置、終端的安全日志建設 SOC。
當然購買的安全硬體裝置可能遠不止這些,
重視制度流程、重視審計,有些行業也必須做等級保護以及滿足大量的合規性需求。
網際網路公司一般可分為生産網絡和辦公網絡,大部分安全建設都圍繞生産網絡,
而辦公網絡的安全通常隻占整體的較小比重,但是某些傳統企業比例上正好相反。
網際網路企業的生産網絡中,安全解決方案基本上都是以攻防為驅動的,
怕被黑、怕拖庫、怕被劫持就是安全建設的最直接的驅動力,比傳統企業更務實。
很多标準說到底是賣産品的白皮書,并不是完全站在建設性的角度。
為什麼甲方要造輪子?
因為分布式架構和成本所限,傳統裝置不具備無限擴充的能力。
是以網際網路甲方不會買硬體防火牆,而是用伺服器+Netfilter自建防火牆,IDS/IPS同理也不買。
甲方主流安全解決方案:二次開發+無限水準擴充的軟體架構+大資料甚至機器學習。
#4.不同規模的企業安全建設
初創(打更新檔,不許弱密碼,不許root跑程式,不許用chmod 777,白帽兼職測試,上雲平台)
大中型(花錢買裝置送解決方案,具備全流量入侵檢測能力,應急措施準備,BCM準備)
#5.生态級/平台級企業安全建設的需求
1.表象(前者大量自研造輪子,後者用開源活商業方案)
2.成因
前者是技術驅動業務疊代,後者是産品應用驅動業務疊代。
前者在安全建設上的花錢是後者花錢的5-10倍。
前者能留住大牛,後者大牛沒有用武之地。
前者能積累系統底層/二進制/運作時環境和核心級别經驗,
後者能積累Web/App,應用層協定,Web容器,中間件和資料庫經驗。
根本原因是業務對技術的需求層次不一樣。
3.平台級的甲方止步點
修改SSHD、LVS,定制WAF,日志大資料分析,
若公司夠大還可以做全流量入侵檢測,SDN,核心級别的安全機制。
4.生态級的甲方競技場
入侵檢測、WAF、掃描器、抗DDoS、日志分析。大量研發些工具,
更快更高效自動化完成公司内部的工作。
#6.雲環境下的安全變遷
上雲的動力:擷取IT資源變得非常簡單,可以集中精力做自己的業務,雲推動了SaaS發展。
上雲的門檻:需支援虛拟化、軟體化、分布式、可擴充,
并且需要利用大資料和人工智能,而硬體裝置将需要改進成軟體化,服務化。
上雲的優勢:海量計算和存儲能力,緩解資料的離散、單點的計算能容不足,資訊孤島。
雲租戶将獲得快速建構安全的能力,
雲安全提供商将推出專家解讀資料來提供可管理的一站式安全服務。
##小結
本章内容豐富,但是有些内容隻在本章提及,因書本篇幅所限不能展開,不代表不重要。
本章以企業安全這個名詞展開,分析了大型甲方、小型甲方、乙方的企業安全工作内容的不同處,
及背後的原因,本章末尾提到了雲的趨勢,
講解了雲趨勢給安全産品、消費者、雲平台在安全方面可能帶來的變化。
![OAuth2.0協定認證過程[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)