第 18 章 安全运营
俗话说,安全是“三分技术,七分管理”。安全对于企业来说,结果才是最重要的。安全方案设计完成后,即使看起来再美好,也需要经受实践的检验。
18.1 把安全运营起来
互联网公司如何规划自己的安全蓝图呢?从战略层面上来说, Aberdeen Group 提到了三句话: Find and Fix,Defend and Defer,Secure at the Source。
一个安全评估的过程,就是一个“ Find and Fix ” 的过程。通过漏洞扫描、渗透测试、代码审计等方式,可以发现系统已知的安全问题;然后再通过涉及安全方案,实施安全方案,最终解决这些问题。
而像入侵检测系统、Web 应用防火墙,反 DDOS 设备等则是一些防御性的工作,这也是保证安全必不可少的一个部分。他们额能防范问题于未然,或者当安全事件发生后,快速的响应和处理问题。这些防御性的工作,是一个“ Defend and Defer ”的过程。
最后“ Secure at the Source ” 指的则是“安全开发流程( SDL )”,它能从源头降低安全风险,提高产品的安全质量。
这三者的关系是互补的,当 SDL 出现差错时,可以通过周期性的扫描、安全评估等工作将问题及时解决‘而入侵检测、WAF 等系统,则可以再安全事件发生后的第一时间进行响应,并有助于事后定损。如果三者只剩下其一,都可能使得公司的安全体系出现短板,出现可乘之机。
安全运营贯穿在整个体系之中。安全运营需要让端口扫描、漏洞扫描、代码白盒扫描等发现问题的方式变成一种周期性的任务。
在安全运营的过程中,必然会与各种安全产品、安全工具打交道。有的安全产品时商业产品,有的则是开源工具,甚至安全团队还需要自主研发一些安全工具,这些安全产品都会产生大量的日志,这些日志对于安全运营来说是非常由价值的。通过事件之间的关联,可以全面对的分析出企业的安全现状,并对未来的安全趋势做出一些预警,为决策提供参考意见。
将各种安全日志、安全事件关联起来的系统我们称之为 SOC( Security Operation Center )。建立 SOC 可以算是安全运营的一个重要目标。
18.2 漏洞修补流程
建立漏洞修补流程,是在“ Fix ”阶段要做的第一件事情。
在制定补丁的方案时,首先应该由安全工程师对漏洞进行分析,然后再和开发团队一起制定技术方案,并由安全工程师 review 补丁的代码,最后才能发布上线。
对于“安全运营”的工作来说,建立漏洞修补流程,意味着需要完成这几件事情:
- 建立类似 bugtracker 的漏洞跟踪机制,并为漏洞的紧急程度选择优先级。
- 建立漏洞分析机制,并与程序员一起制定修补方案,同时 review 补丁的代码实现。
- 对曾经出现的漏洞进行归档,并定期统计漏洞修补情况。
18.3 安全监控
安全监控与报警,是“ Defend and Defer ”的一种有效手段。
对于互联网公司来说,由于其业务的高度连续性,所以监控网络、系统、应用的健康程度是一件非常重要的事情。监控能使公司在发生任何异常时第一时间就做出反应。
18.4 入侵检测
常见的安全监控产品有 IDS (入侵检测系统)、IPS (入侵防御系统)、DDOS 监控设备等。
18.5 紧急响应流程
入侵检测系统或其他安全监控产品的规则被触发时,根据攻击的严重程度,最终会产生“事件”( Event )或“报警”( Alert ),报警是一种主动通知管理员的提醒方式。
常见的报警方式有三种。
- 邮件报警
- IM 报警
- 短信报警
监控与报警都建立后,就可以开始着手制定“紧急响应流程”了。紧急响应流程是在发生紧急安全事件时,需要启动的一个用于快速处理事件的流程。很多时候由于缺乏紧急响应流程,或者紧急响应流程执行不到位,使得一些本来可以快速平息的安全事件,最终造成巨大的损失。
建立紧急响应流程,首先要建立“紧急响应小组”,这个小组全权负责对紧急安全事件的处理、资源协调工作。小组成员需要包括:
- 技术负责人
- 产品负责人
- 最了解技术架构的资深开发工程师
- 资深网络工程师
- 资深系统运维工程师
- 资深 DBA
- 资深安全专家
- 监控工程师
- 公司公关
这个小组的主要工作是在第一时间弄清楚问题产品的原因,并协调相关的资源进行处理。因此小组的成员可能随时扩大。
小组成员中包含公司公关,是因为遇到一些影响较大的安全事件时,需要公关发对外的新闻稿。由于公关对外发的新闻稿需要参考安全专家的意见,以免出现言辞不当的情况。
当安全事件发生时,首先应该通知到安全专家,并由安全专家召集紧急响应小组,处理相关问题。在处理安全问题时,有两个需要注意的地方。
- 需要保护安全事件的现场。
- 以最快的速度处理完问题。
4718
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
