<optgroup id="qyq6o"><small id="qyq6o"></small></optgroup><optgroup id="qyq6o"><small id="qyq6o"></small></optgroup><optgroup id="qyq6o"><small id="qyq6o"></small></optgroup><center id="qyq6o"><small id="qyq6o"></small></center>
<optgroup id="qyq6o"><small id="qyq6o"></small></optgroup>
<code id="qyq6o"></code><code id="qyq6o"><small id="qyq6o"></small></code>
<sup id="qyq6o"><acronym id="qyq6o"></acronym></sup>
本站专注区块链信息及金融服务,但不代表任何投资建议

顶级白帽子西裤哥xikug:安全产品、运维和管理

CareerOn ·

02月21日

热度: 1790

《老司机的安全“套”路》系列线上分享会第一期

CareerOn合伙人、首席安全官彭伟(西裤哥 xikug)携CareerOn联合?#35789;?#20154;、CTO周燃做客《老司机的安全“套”路》系列线上分享会,并担任第一期的主讲人。

本次分享会的主要内容围绕着:安全产品、安全运维、安全管理三方面展开,下面是本次分享会内容的详细文字版。

1

彭伟:经常被人提到的漏洞挖掘利用、攻防演练等等,这些只是解决安全问题的一个手段,单个手段解决安全问题的效果非常有限。

 

周燃:我们CSO说的是如何做安全的问题,这个问题因为一些现实原因,很多企业甚至是安全从业者都存在很多误解。

目?#30333;?#26126;显的一个误解就是:

我们看到挖漏洞、攻防演练等能够产生比较震撼的效果,所?#38498;?#22810;安全圈外的人、甚至是安全圈内的人都会觉得安全就等于挖漏洞、等于攻防演练。

但是就像我们CSO西裤哥说的,漏洞挖掘、攻防演?#20998;?#26159;安全运维中的一点,不能搞定所有问题。

安全本身是一个系统的事情,这些只是其中的一个必备?#26041;冢?#21482;靠某一点是不能解决安全问题的。

 

彭伟:真正解决安全问题需要从多方面入手,结合我们业务的?#23548;?#24773;况综合发力,才能达到我们的安全目标。

 

周燃:我之前遇到过一个例子,企业名字就不说了,是物流行业的一个新兴独角兽企?#25285;?#30446;前已经融到D?#21482;?#26159;多少轮,不差钱的。

安全问题他们那边就认为:多找几个挖漏洞的、搞安全攻防的,安全问题就搞定了。

我问他们公司的安全架构是什么样的,他说没有安全架构,?#22270;?#20010;挖漏洞的。

这点就是说是为了说明:目前整个行?#25285;?#24456;多人对怎么做安全是?#24418;?#35299;的,?#23548;首?#27861;也是不对的,最终效果没能达到安全目标。

 

彭伟:安全这个事情,其实就是三个方面,一是安全产品,二是安全运维,三是安全架构。

我们所说的安全产品分为两种:

  • 第一种是安全工具,安全工具自身不产生任何安全效果,没有安全防御的功能,更多的是维护性质的,?#28909;?#21508;种监控工具就属于这一类。

  • 第二种是安全软件,自身有安全防御的功能,能够自动的处理一些安全的问题,?#28909;?#26432;毒软件、防火墙就属于这一类。

安全工具适合大型企业、有安全运维团队的企?#25285;?#21487;用?#35789;?#38598;安全相关的信息;安全软件适合?#34892;?#22411;企业、没有安全运维团队的企业。

 

周燃:之所以会是这样的情况,是本身的业务性质导致的,?#28909;?#22823;型企业的业务比?#32454;?#26434;,没办法通过一个比较标准化的东西来解决所有问题,安全问题与企业的各个方面都是不可分割的。

在这种情况下必须要有一些懂得他们业务的人,也就是公司的运维人员在了解业务的基础上,用安全工具收集的数据来判断出一些安全问题。

?#28909;?#33150;讯,它本身有一百多万台服务器,上面跑的业务非常多,几乎你们能够看到所有的业务都是在上面跑的,没有任何一个标准化的安全产品能够搞定所有的问题,有也是不敢用的。

很多时候一些情况在常规安全角度看来可能会是安全风险,但是?#36816;?#20204;来说这可能就是业务特性,所?#36816;?#36825;种企业是不能够使用这样一些标准化的安全产品的。

对于?#34892;?#22411;企业来?#25285;?#26412;身没有安全能力。你?#35789;?#25226;工具给它,它拿到了安全相关的信息,也不知道这些信息代表什么。这个时候就需要标准化的安全产品给他输出一些功能来自动处理安全问题,这就是?#34892;?#22411;企业适合有安全功能的安全软件的原因。

?#28909;縊的?#21069;在市面上常见的杀毒软件就属于这种,市场上目前比较成熟一点的产品,?#28909;?#35828;安全狗。它输出的就是一个标准化的产品以及服务,它能够根据预定的一些规则?#21019;?#29702;安全问题。

但是如果把安全狗用到一些大型企?#25285;热?#35828;腾讯、百度、阿里这样的公司是会出问题的。

原因在于产品的设计逻辑本身是针对一些通用化的安全问题,像这些大型企业他们内部的问题,设计上是不可能考?#22681;?#21435;的。如果要用,需要做一些非常大的改造,这种做法得不偿失,所?#36816;?#20204;这种公司多数时候都是自己做安全。

2

彭伟:说到安全运维,可能多数人不清楚安全运维包含哪些内容,下面我们来说一下安全运维包含哪些:

  • 第一部分是应急响应和日常巡检。这部分主要是使用各种手段,?#28909;?#29992;安全工具?#21019;?#29702;日常出现的安全问题、排查可能出现的安全问题、基础设施业务流程等等,给出安全建议并负责监督安全问题的整改。

  • 第二部分是安全研究。这部分就包含我们熟知的漏洞挖掘、攻防对抗这些方面。

  • 第三部分是安全管理。这部分包括审计、合规等多项内容,日常大家会提到的安全操作流程等都属于安全管理的措施之一,还包括资产发现与管理、研发管理?#30830;?#38754;的安全措施,?#28909;?#20195;码审计这些内容。

  • 第四部分是安全服务。?#28909;?#23041;胁情报、爬虫、安全画像这些都属于安全服务这个范畴。

 

周燃:我们这里提到的安全服务是把它归为安全运维下面的一个分支。但是安全服务本身不一定属于安全运维下面的分支或者说安全产品的分支。

?#23548;?#19978;你们看到的像阿里云、腾讯云他们推出的一些安全服务,?#28909;?#35828;各种各样的对外审计,?#23548;?#19978;是属于安全产品范畴的,只不过说它不是纯软件或者纯人工的,但它就是安全产品。

对于企?#30340;?#37096;来?#25285;?#24456;多时候需要各种补丁的扫描、威胁情报的收集、爬虫、大数据分析的措施,这些安全服务本身只是对内提供支撑并不对外提供服务,这种情况下,我们把它归到安全运维的范畴。

安全服务究竟是归到安全运维还是归到安全产品下面要根据?#23548;?#24773;况来判断。多数情况下是这个样子:对外提供标准化服务的,我们就认为它是一个安全产品;如果仅仅是内部支撑,我们就认为它属于安全运维下面的一个分支。

 

彭伟:我来说一下日常巡检方面的内容,?#28909;?#35828;在运维过程当中我们可能会随时监控服务器,哪些端口没有关闭,哪些补丁是不是已经打上了等等诸如此类的东西。

 

周燃:所?#36739;?#24212;日常巡检,除了出安全问题时应急,更多的是做那些很多人看?#35789;?#33039;活累活的工作。

很多人可能会觉得?#25285;?#24863;觉应急响应部门这些人他们?#21051;?#27809;做什?#35789;?#24773;,但他们?#21051;?#20250;很?#22330;?#36825;种事情,短时间感觉不到他有多大作用,但是没有他们,整个安全根本无法闭环。

 

彭伟:安全研究方面的内容就是我们熟悉的漏洞挖掘、攻防对抗这些方面。

通过这方面进行一些底层的研究:当前这个环境下互联网环境都有什么漏洞威胁,它可以及时的响应或者想办法对这个系统进行加固、保护。

?#28909;?#25805;作系统有可能存在漏洞,但是不一定能来得及马上修补,这个时候就需要靠自己的团队去保证业务的安全运行。

周燃:安全研究多数时候是不直接对企业安全目标产生直接安全效果的,更多的是为其他的一些服务以?#23433;?#21697;部门提供一些支撑。

包括制定一些安全规则、各种各样的防火墙规则和web规则,制定这些规则的时候,除了制定规则的人本身经验之外,更多的是来自于安全研究的一些成果,用他们的成果来完善现有产品本身的一些功能性或其他方面的一些问题。

3

周燃:接下来说一下安全管理方面的内容,大家不要听到管理这个词就感觉很虚,安全管理这个事情是一个实实在在的事情。

?#28909;?#35828;大家日常看到的各种各样的安全措施的制定,各种安全方面的?#22836;#?#37117;属于安全管理的范畴,还包括我们日常的代码审计、包括我们资产的发现、堡垒机,这样的措施制定都是安全管理部门要做的事情。

安全管理是从制度上保证我们整个安全目标的达成,这个制?#20219;?#24517;是我们人的一些行为规则,还包括IT本身一些流程方面的东西。

但是目前这点,除了BAT这样的巨型公司之外,在其他的公司很难落?#25285;?#22810;数都是期望用一个软件或者程序来搞定安全问题。多数公司都会忽略安全管理,但安全问题本身是个系统性问题,任何一块短板都会导致最终的安全目标无法达成。

 

彭伟:刚才我们说的安全产品还有安全运维这些都属于具体的手段,是点,从某种程度上说他们都不是对最终安全目标负责的。

这不是说他们不重要,只是从分工的角度来?#25285;?#21069;者更专注于细节,为我们安全的每一个?#26041;?#25552;供基础的支撑;而后者安全架构更多地是站在安全目标的角度考虑,如何调度前者的资源,协调各种安全措施之间的关系,在各个部门之间穿针引线,让的所有的安全措施朝安全目标前进,而不是各自为政。

 

周燃:我看到过很多的公司,把他的安全性保障放在一个或几个他觉得很重要的一些安全产品上面,?#28909;縊的?#21069;用的最多的像各种防火墙之类的。?#23548;?#19978;是因为他们本身安全架构做得不好,或者说本身缺少安全架构,他想以产品来搞定安全问题,这个就是安全架构做的不好。

 

彭伟:安全架构要考虑的是整体上的安全方案,包括我们的软硬件设施、网络设施,甚至人?#22791;?#20301;分工、各种风险的应急预案,当风险发生的时候把风险带来的影响降到最小。

 

周燃:安全架构?#23548;?#19978;最核心一点,与其它两部分不同的就是:它更多的需要以安全目标为前进方向,在这个前提之下去调度各个方面的资源,包括产品方面的资源,还包括运维方面的资源,然后通过这样一些资源调度以及本身的协作关系调整?#21019;?#21040;安全目。

相对于前面说的安全产品还有安全运维,它们更多的着眼点是自己负责的某个点做得好与坏。?#28909;?#35828;防火墙是不是?#26032;?#27934;,?#28909;?#35828;扫描漏洞的发现率是多少,这个是他们最大的目标。

 

彭伟:这两天晚?#31995;?#22788;都在刷腾讯云因为操作上有一些不符合规定的地方,导致一个公司的数据丢失了,这个就是属于安全管理方面的问题,他没有按?#23637;?#23450;的东西去做。

 

周燃:还有更早的一个例子是阿里云的,那边之前是出过事故的。具体表现就是运行什?#35789;?#20040;就被删除,?#28909;?#35828;运行ls命令,ls命令就会被删除。

这个事故原因说起来超级简单,就是某个安全策略下错了。在我看来,这个事故虽然直接责?#38382;?#20855;体操作的人,但是根本原因是在于安全管理上的问题。

为什么这?#27425;?#38505;的一个规则没有经过审核,普通员工就能够把它下到全网,我们在操作流程上更加规范一些这样的问题是能够避免的。

 

彭伟:这种操作最好不要人为去操作,因为人为操作很容易产生失误,能够自动化的都不要人为去操作。

 

周燃:这个道理确实是对的,也是我们安全公司包括各个公司安全部门发展的一个方向。

但现实情况是包括BAT这样的超级大公司都不能完全做到这一点,不能完全实现自动化操作。这样的现实情况下我们的安全管理就承担了规避风险的任务。

所谓的安全管理规避风险手段无非也就是各种操作流程,如果说日常工作中有部门因为安全方面要求你做一些事你不要觉得很?#24120;?#22240;为这是规避风险的事情,如果出了事不仅是公司会造成损失,第一个造成损失的会是你自己。

4

彭伟:来听我们这次分享会的应该大多数都是做开发的,这方面我也想讲一讲黑客是怎么攻击我们的程序和系统的。

有可能一个小小的bug就会造成巨大的损失,之前美链BEC一行代码导致他的币价接近归零。代码其实就是一句话的事情,他就是一个整数被溢出,然后就可?#36816;?#20415;的制造新的BEC了。其实这个问题应该也是属于安全管理方面的问题,就是他的代码没有经过审查。

黑?#22836;?#26512;我们的程序或者系统通常是两种方法:静态的和动态的。

静态的就是看源代码或者反汇编,因为现在很多系统文件都会依赖第三方开源库,有可能开源库有一个漏洞。如果说没有源代码的话,他可能会通过其他的方式,?#28909;?#21453;汇编。

动态的分析方法就是调试或是模糊测试,通常是程序有一个对外的用户入口,用户会输入什么或读取什么,?#28909;?#35270;频文件或者网络上获得的数据等等。

黑客通常会从这些点去入手,输一些不正常的数据,通过这些不正常的数据,看数据在程序里是什么样的路径,在这个过程当中可能会有一些逻辑上的错误,?#28909;?#25105;们刚才说的BEC整数溢出就是没有对数据做一个检查。

 

周燃:?#23548;?#19978;我们本身在编码中的一些安全问题,不见得是什么高深问题,一旦有人指出来你会觉得这个问题简直太傻了。但事实上就是这样,一些简单问题导致了非常?#29616;?#30340;后果,?#28909;?#22240;为一行代码损失了几十亿。

 

彭伟:这个再次强调了安全管理的重要性,?#28909;?#25105;们代码写好之后,要经过一些什么样的流程,这个代码才能发出去。

不管是逻辑错误漏洞或是内存溢出漏洞,绝大多数的漏洞都是由于输入错误数据、不正常数据而触发的。所以这些外部输入的数据都是不可信的,必须对数据的合法性、边界进行检查。

 

周燃:我曾经有个下属,他写代码出了问题,他检查之后?#25285;?#26159;因为你输入的?#38382;?#27809;有按照我要求来,所以我的程序出了问题。这个不就类似于练武术一样,别人不按照你的拳法?#21019;潁?#25152;以把你打?#24125;?#38738;脸肿,这个说得过去吗。

 

彭伟:对于我们开发者来?#25285;?#25105;有三个建议。我们基本上做到三个点,就能够解决大部分的安全隐患。

1、所有外部输入的数据都是不可信的,要处理;

2、对于敏感数据,我们需要做加密处理,像用户密码这些做一个哈希的处理,可能单纯的哈希处理不够,因为现在?#28909;鏜D5,会很容易就碰出来;

3、我们对自己的系统一定要有一个权限控制的处理,就是能够给一个用户最低的权限,完成他的需求任务,就一定不要给他所有权限。

 

周燃:很多没接触过安全这块问题的开发人员可能会觉得?#25285;琈D5这种东西怎么可能会猜出来。

但是大家应该知道,目?#30333;?#22823;的彩虹表应该到了几百G的规模,这么大规模的彩虹表,它里面都是记录了明文的一些密码对应的哈希值是多少,如果?#30340;?#36824;?#24125;?#20934;的MD5算法去直接算的话,很可能被人用彩虹表撞出来。

?#28909;縊担行?#20154;是?#19981;?#35774;置密码为1234567,那么这种密码在彩虹表上是一定会被撞出来的。但是?#35789;?#23494;码是1234567,你做些加盐的处理后,然后算出来哈希,被撞的可能性就小很多。

任?#38382;?#25454;,你不要认为别人给的,就一定是你想的那个样子。而且你不要觉得?#25285;?#21035;人输入数据的途径就一定是那个样子的。

?#34892;?#24320;发人员可能会觉得?#25285;?#21069;端页面做了限制,?#28909;?#23545;输入的?#38382;?#37117;做了检查的,一定不会传过来这样的数据。但是别人不一定要通过你的前端某个页面传数据过来,他可以有各种方式传数据过来,不要觉?#24125;?#20154;一定会通过某个途?#27934;?#25968;据,这些都是不可行的。

任何写程序的人对于外部输入,都一定要?#21482;?#30097;态度,你不要预设很多条件,这些预设条件在多数情况下都是不可能成立的。

 

安全问题不可能通过这?#38382;?#38388;?#36864;?#30340;很清楚,我们只是沿着一个梗概给大家说了一些基本理论方面的问题,具体在实施过程中还有很多的细节问题,今天不在这里展开了。

声明:本文为入驻“火星号”作者作品,不代表火星财经官方立场。转载请注明出处、作者和本文链接
提示?#21644;?#36164;有风险,入?#34892;?#35880;慎。本资讯不作为投资理财建议。
语音?#38469;?#30001;科大讯飞提供

推广
相关新闻

涨幅榜

你可能?#34892;?#36259;的内容
下一篇

Google一天追踪你340次,零隐私时代需要怎样的区块链数字身份?

寻求报道 寻求融资 APP下载
APP下载 扫描下载APP
陕西11选五开奖结果