理论篇 #####
第一章 安全大环境与背景
谈企业安全得有大视野,不然没法讲,虽然从整体环境入手并系统讲解,但是后面章节细化后,视野会越收越窄。
#1.切入“企业安全”的视角
企业安全是什么?
安全行业中“二进制”和“脚本”流派是主力军,但是这两流派都属于微观对抗,还有一个流派群体叫CSOs,前两个流派是企业安全的缩影,而CSOs流派才是全貌,才能更好诠释:企业安全是什么。
CSOs流派里面有两种极端的领导,一边倒攻防,一边倒浮夸的新概念,这些都是缺乏积极意义的。
技术很重要,但攻防只解决了一半问题,安全的工程化以及体系化的安全架构设计能力是业内普遍的软肋,多数人不擅此道。
很多概念是旧酒装新瓶,发明标签对行业没有积极的意义。纵深防御就是一个标签,因为IBM收购前就有的概念,只是因为过去没重视,或者说缺少实践。别张口来标签,想想已经实践到了那个层面。
从金字塔顶往下看,安全的整体解决方案有组织/管理/技术,共3方面的东西。
乙方大部分都喜欢标签,因为可以鼓吹自己擅长的概念,乙方弱项在没有企业安全管理的真正经验。
乙方区别甲方,在安全建设上缺少系统化和工程化的日常性活动。
甲方安全有一类特殊的,叫产品线安全,一般的甲方互联网企业关注入侵检测、漏洞扫描等,但是产品线安全要更深入,从设计和威胁建模的角度去看整体全面和很细节的安全。
CSOs无法纯干技术活,CSO需要制定策略,四两拨千斤解决安全问题,CSO 不会只停留在微观对抗上,在系统性建设更多一点。
#2.企业安全包括哪些事情
1网络安全(纯技术)
2平台与业务安全(目的性强,基础安全的拓展)
3广义信息安全(包括纸质文档安全等一切内容)
4IT 风险管理、IT 审计&内控(合规性)
5业务持续性管理BCM(让安全业务更有亲和力)
6安全品牌营销、渠道维护(含SRC的活动)
7CXO 们的其他需求(运维/开发均费力干的事情)
侧重点:
互联网公司:1、2、5
传统公司:1、3、4、5
任何以安全团队自我为中心的安全建设都难以落地,多进行BCM的实操。
对乙方而言,即使你成为骨灰级的专家啊,公司也会对你在某方面创新有所期待而给你持续发展的可能性。
对甲方而言,CEO会想是不是安全部门为了打造影响力在浪费钱。
以狭义的安全垂直拓展去发展甲方安全团队的思路本质上是个不可控的想法,
筹码不在 CSO 或者 CTO 手中,而是看主营业务的晴雨表。
有想法的安全团队在网络安全方面做得比较成熟时会转向平台和业务安全,
平台和业务安全是一个很大的领域,发展的好,团队规模可以扩大2、3倍,
并且在企业价值链中的地位会逐渐前移,成为运营性质的职能,
结合 BCM 真正成为一个和运维、开发并驾齐驱的大职能。
BCM不仅仅是灾难恢复DR,还包括很多带灰度的内容需要结合业务深挖。
互联网行业的安全工作有:
信息安全管理(占 10% 工作量)
基础架构与网络安全(占 29% 工作量)
应用与交付安全(占 31% 工作量,救火阶段通常入手不够且没有完整SDL)
业务安全(占 30-50% 工作量,属吃饱了,进阶内容)
#3.两种类型的企业安全建设中的区别
传统企业:业务变更不频繁,IDC规模不太大,安全产品架构不限。
互联网企业:业务变频繁,IDC规模很大,必须用分布式架构。
同时在架构上要关注:高性能、高可用、扩展性、TCO(ROI)
互联网公司难以理清所有接口间的调用,等理清了可能框架又变了,故得靠自动化手段。
对核心业务才会深入调研并随之更新。
传统企业安全建设是:在边界部署硬件防火墙、IPS/IDS、WAF、商业扫描器、堡垒机,
在服务器上安装防病毒软件,集成各种设备、终端的安全日志建设 SOC。
当然购买的安全硬件设备可能远不止这些,
重视制度流程、重视审计,有些行业也必须做等级保护以及满足大量的合规性需求。
互联网公司一般可分为生产网络和办公网络,大部分安全建设都围绕生产网络,
而办公网络的安全通常只占整体的较小比重,但是某些传统企业比例上正好相反。
互联网企业的生产网络中,安全解决方案基本上都是以攻防为驱动的,
怕被黑、怕拖库、怕被劫持就是安全建设的最直接的驱动力,比传统企业更务实。
很多标准说到底是卖产品的白皮书,并不是完全站在建设性的角度。
为什么甲方要造轮子?
因为分布式架构和成本所限,传统设备不具备无限扩展的能力。
所以互联网甲方不会买硬件防火墙,而是用服务器+Netfilter自建防火墙,IDS/IPS同理也不买。
甲方主流安全解决方案:二次开发+无限水平扩展的软件架构+大数据甚至机器学习。
#4.不同规模的企业安全建设
初创(打补丁,不许弱密码,不许root跑程序,不许用chmod 777,白帽兼职测试,上云平台)
大中型(花钱买设备送解决方案,具备全流量入侵检测能力,应急措施准备,BCM准备)
#5.生态级/平台级企业安全建设的需求
1.表象(前者大量自研造轮子,后者用开源活商业方案)
2.成因
前者是技术驱动业务迭代,后者是产品应用驱动业务迭代。
前者在安全建设上的花钱是后者花钱的5-10倍。
前者能留住大牛,后者大牛没有用武之地。
前者能积累系统底层/二进制/运行时环境和内核级别经验,
后者能积累Web/App,应用层协议,Web容器,中间件和数据库经验。
根本原因是业务对技术的需求层次不一样。
3.平台级的甲方止步点
修改SSHD、LVS,定制WAF,日志大数据分析,
若公司够大还可以做全流量入侵检测,SDN,内核级别的安全机制。
4.生态级的甲方竞技场
入侵检测、WAF、扫描器、抗DDoS、日志分析。大量研发些工具,
更快更高效自动化完成公司内部的工作。
#6.云环境下的安全变迁
上云的动力:获取IT资源变得非常简单,可以集中精力做自己的业务,云推动了SaaS发展。
上云的门槛:需支持虚拟化、软件化、分布式、可扩展,
并且需要利用大数据和人工智能,而硬件设备将需要改进成软件化,服务化。
上云的优势:海量计算和存储能力,缓解数据的离散、单点的计算能容不足,信息孤岛。
云租户将获得快速构建安全的能力,
云安全提供商将推出专家解读数据来提供可管理的一站式安全服务。
##小结
本章内容丰富,但是有些内容只在本章提及,因书本篇幅所限不能展开,不代表不重要。
本章以企业安全这个名词展开,分析了大型甲方、小型甲方、乙方的企业安全工作内容的不同处,
及背后的原因,本章末尾提到了云的趋势,
讲解了云趋势给安全产品、消费者、云平台在安全方面可能带来的变化。