黄乐:安全工作的甲方乙方——媒体安全工作实录

摘要:任何一个安全部门技术工作负责人,工作中都会和自己的甲方—领导和乙方—安全厂商的同仁打交道。本文将从内容安全、漏洞治理、应急响应、态势感知、安全运营等5项实际安全工作出发探讨甲方和乙方视角对相同工作看到的不同景象。

黄乐2

黄乐    央视网网络安全专家

一、跟公司汇报工作的总体逻辑

这个金字塔是我们跟公司汇报时的重要思路,也是2018年的最新版。

能力输出是相当于安全部门对公司的整体接口。我们告诉公司我们可以提供什么服务,公司以此来决定如何给我们投入。

安全工作是第二层,这是网络安全部最核心的模块。

技术及管理手段是这个工作的支撑手段,包括公司的政策、制度层面等等。

央视网的技术能力、开发能力还是相对比较弱的,我们需要很多项目落地的支持。

这个金字塔是从下往上的支撑逻辑。

这个思维导图是我们内部整理的网络安全工作。我们把网络安全工作分为安全治理、安全检测、安全防御、安全响应四大模块。我们发现安全工作是非常复杂和繁杂的,涉及到管理、技术、策略、运营,各个层面的东西都有。如此多的工作不是任何一个甲方凭自己的努力就可以做到的,我们需要跟公司领导和乙方各公司通力合作。

下面给大家简单介绍一下我们的具体工作。

二、甲乙方的不同视角

作为媒体,我们最重要的是内容安全。2017年,我们对国内主要的内容安全厂商开放接口进行了横向评测。我们发现了一个特点,这些厂商能够提供的都是标准化、碎片化的能力。站在厂商的角度,这没有问题。如果不标准、大量定制是很不理智的选择。但是,对于我们来说,这样就带来了标准化问题和最便化问题。

标准化的问题,当我们测一个接口的时候,大量的报政治敏感图片的报警。政治敏感图片都是关于国家领导人的。央视网要报道国家领导人,也要报道落马官员、恐怖分子。单一的判断逻辑在我们这儿是失效的。这就引出了碎片化的问题。厂商能给我们提供的都是一个个的原子能力。如果不整合这些原子能力,对我们的意义是不大的。碎片化的能力如果遇到开发能力不强的公司,这个能力就用不起来。我们现在在整合这些能力。举一个非常简单的例子,如果是国家领导人的照片出来了,它下面的评论应该是正向的,至少是这样,我们才认为这条新闻是对的。如果是恐怖分子或者是落马官员,我总不能在下面夸他吧?至少我要给人工看一看。这是最简单的整合,但不整合肯定是有问题的。

由此引出另外一个问题,我一直在说政治敏感识别产生的问题。我们在2017年的评测结果大概是这样的,在图片方面,色情的识别率好于恶心图片的识别率、暴恐和政治敏感。为什么政治敏感排在最后?我们发现排名越靠前的是策略不太容易变的。不管色情图片学起来有多难,但它的标准是不变的。但是,政治敏感图片怎么定义成政治敏感?这本身就是问题。

如果要做好政治敏感图片的识别,至少要做到两点。一是快速得到最新的信息,能够做到快速更新。二是怎么把我们得到的信息快速落地到系统,快速实现检测能力。做到这两点,对政治敏感图片的识别才能是基本可用。

二是漏洞管理是我们都能遇得到的。甲方的需求很简单,快速发现漏洞、快速治理。厂商给我们做服务,他们都是用标准模式、标准服务流程,进行漏洞扫描,然后出报告、整改意见。还有一些新漏洞,我可以通报给你或者协助你。站在厂商的角度,做到这些已经可以了。从另一个角度,如果可以在两个方面帮甲方做的更好,漏洞管理的效率会好很多。首先还是快速发现。不知道乙方的漏洞扫描周期是多长,我们曾经是3个月,漏洞在我们的网里待3个月,黑客可以把想干的不想干的都干了。如果可以把漏洞发现的时间压缩到1周,甚至1天异类,这就是不同的场景。另外一点就是综合治理。乙方、厂商、服务商把漏洞交给甲方,大家做甲方的都知道内部调动起来是很难的,他有100个理由告诉你修不了,怎么办?这个问题的解决方案也没有那么复杂,现在也有开源的漏洞管理平台。我在去年汇报的时候也提到了我们也在做漏洞管理平台,我们把一个漏洞在系统上流转起来,搞排名,把大家的积极性调动起来。这样更好的帮助甲方把漏洞治理起来。

我们自己也在研究如何快速发展。目前得出的结论就是1万台以下的主机每天扫一轮是完全没有问题的。我们希望把漏洞变成动态的信息、动态的数据,综合治理起来。

二是应急响应。我理解它分为快速响应、快速恢复、精准溯源三个层面。仔细分析,厂商可以帮助甲方真正掌握的就是快速响应。如果甲方支持力度不够,你让乙方投入多大的精力,后面两个也没办法做。因为恢复的权限在甲方手里。溯源的很多情况是乙方不掌握的,应急响应团队不是长期驻场的,他对情况不了解。应急响应这件事一定是由甲方主导,有些工作乙方做不到。我认为甲方做好应急响应至少要实现四个层面,有思路、有办法、能溯源、搞建设。

有思路。一个应急事件来了,我们总要知道干点什么、怎么干。是请援军?调谁?内部跟谁联系?外部跟谁联系?我们就遇到过突然就乱了的,所有人都慌了,导致这个事跟没干一样,效果非常差。所以,有思路是非常重要的。

有办法。你有思路以后,你想调内部的资源,应急恢复的时候我们靠运维,运维部门愿不愿意支持我们?这要靠品市的积累。还有工具,我们有没有很好的工具?有些工具做起来可能就是一个批处理,这件事经常发生。厂商资源能不能调集得过来,在合同中有没有这种约束,人家是不是愿意管我们。

能溯源。溯源这件事,大家都能理解,我分享一个我们内部工作的小技巧。我们的溯源会分别从两个方向展开。第一个肯定是应急的方向,A主机被渗透了,我到B主机看。B主机被渗透了,我再去C主机看。这个过程是反着的,可以发现安全手段存在什么问题,它为什么可以进来?这条线理完以后,我调过来看,作为黑客的角度,我为什么这么做?为什么是走这线?这条线是不是因为某台主机很弱,比较好搞?还是说有什么东西吸引了他?还是他外面有情报,我们没遇到过?一条很诡异的线,他为什么这么走?因为他的情报有问题。这个时候我们才知道设的坎儿有没有绊住他。

搞建设。我们知道哪儿有问题、哪儿不到位,我们就开始建设。这是我们申请预算的非常好的办法。平时申请预算难,领导觉得安全没什么事,天天要钱,还挺贵。出事了就批点钱,给我们一些经费。比如,因为弱密码进来了。可不可以把CA搞起来,多一层认证。

这几件事做完以后才是整体的应急响应过程。

四是态势感知。这对我们来说是很沉重的话题,因为我们选择了自研,遇到了很多问题。诉求很简单,好看、实用。我们看到的安全厂商的诉求是好看、通用。

好看这一点很好理解。甲方的安全部门就指着这张好看的皮给领导做汇报,这个东西很重要。

通用也好理解,厂商没有通用的东西,去搞定制确实是不理智的行为。

其实,从我们的角度,我要的是实用。

首先是数据处理。安全日志特别多,一旦有应急事件了,或者有一条内部的分析线,分析出一个新的攻击类型,我们会把专家叫过来给我们讲为什么我没看出来,你是怎么看出来这条线是有问题的。把他的逻辑记下来以后,丢给开发,帮我实现。我们搞一些基本的分析能力,我们就左右前后的拼装这些东西,希望尽量把人的经验放到系统里面。因为人不可能7×24,系统可以。

第二块是安全评分。我们不关心现在的分是80分,还是100分,我们关心的是它跟上一个时段的分有什么变化。它跟昨天的分、上周的分有什么变化。假设分越高越危险,昨天60分,今天70分,高了10分,为什么?漏洞多发了?还是攻击增加了?还是新业务上线?拿到后面的结果就可以马上知道后续的动作,该干什么,不该干什么。如果是越来越好了,我们也知道。这样跟领导汇报的时候就可以说哪块做的越来越好、哪块做的越来越差。现在的总体思路是这样的,真正想粗略的实现并不是很难。它是一个态势,前后有一个对比。

第三块是业务逻辑。我现在想到的态势感知就是地图,都是地图。我是看腻了。大家做IT的都知道,很多东西都在云上,地域信息对我们真的那么重要吗?至少我不是这么认为。我更关心的是业务逻辑,老板关心的也是业务逻辑。好看的同时能不能把业务逻辑展现出来,某一个中间环节出现了安全风险,或者它的风险值很高,可以一目了然的了解它会影响后面哪些业务。

五是安全运营。我们一直想做这件事,机缘巧合之下,终于找到了梦想中的那个人,招了一个运营,帮我们把运营工作做起来。整体思路分对内、对外两个层面。

对内分制度设计、安全教育、企业文化三个方面。我们发现一个安全漏洞,跟业务说要修复。业务会找100个理由告诉你修不了。安全部门以前就会说,反正我给你了,风险在这儿,你看着办。业务说,反正我们修不了,你看着办。内部的人也是一样的,就是不锁屏,就是弱密码。这根本不是技术问题。我们的想法是让大家更理解我们,一个是领导更理解我们。我没听说哪个领导不支持安全,他至少会支持你,只是不知道该怎么支持你,所以我让他知道该怎么支持我。一个是员工,让他知道怎么做安全,也让他知道我们是在帮他。我们遇到过一种情况,网安来了解情况,员工真的不敢露面。与其现在这么害怕,告诉你的时候干嘛不这么做呢?所以我们把风险和思路告诉他们。安全教育有很多方式。企业文化如果做到了安全是央视网企业文化的一部分,安全团队的重要性也就提升了。我今天穿的这件衣服,运营的同事告诉我必须穿,这也是企业文化的一部分。

对外要树立一些我们自己的形象,至少让大家觉得这家公司还不是很烂。树立形象干什么呢?招人。我们遇到过这种情况,遇到熟人,问他愿不愿意来央视网工作。人家可能会觉得,央视网体制内,数据氛围不会好。技术输出是我们求财若渴,我们在互联网圈不行,但我们可以在广电圈混,你觉得我们行的话,我可以搞一些服务,甚至给公司创造点收益,我们就不是成本中心了。

安全运营这个部分没有提乙方,是我没有发现哪个乙方可以帮我们做这些事。

 三、一些思考

一是服务和产品意识。这里说的是甲方团队的。如果我们发现一个漏洞,最后出了问题,谁都好不了。如果甲方安全团队有自己的服务和产品意识,如果你修不了,我们试试虚拟补丁的方案行不行?好歹帮你把一些东西过滤掉。如果你有这种配合的态度,我相信运维团队和业务团队一定会帮你想办法。我们基本上把这个事情想通了,未来的工作思路就是要这样干。我们跟厂商和服务商学习,把服务和产品的意识灌输下去,在公司内部成为服务性质的团队。

二是先锁门、再造锁。之前跟一个乙方公司聊过,觉得自己很牛,万恶的甲方就是不理解。后来我跟他聊,我说很有可能有一个问题是你走的太快了。大家还没有意识到要锁门的时候,锁匠造再好的锁也是没有用的。我曾经顶着很大的压力把我们公司内部的渗透和注册的项目否了。因为我自己拿着开源扫描器扫,发现的全是漏洞。我们先把基本的工作先做好,最后再做那些高大上的东西。一个方面还有一些疑虑,贯彻程度是50%。

三是什么样的情报好。我曾经跟一个非常好的情报师交流,他跟我说好像某业务被黑产拿了权限,要不要我帮你把这个情报换回来。如果是白换,我不好意思。如果是花钱,我们没有预算。我说算了,我回去查查。两天之后,就是那个业务出事了。我们溯源看到那个业务出事了。我再反过头来想,这个情报的价值密度好高。现在我们最能看到的情报是什么?IP、域名、漏洞。这种情报价值密度比较低的有那么大一个库,黑客随便搞一个肉鸡很容易。这是我的幻想,我也没想通该怎么做,黑产圈的事搞不定,涉及到很多问题,但这个事值得我们思考。

四是如何交付确定性。我们做安全的都知道安全没有百分之百的,一定是不断的提高门槛,攻击者不断的想别的办法。但是,我们猛然发现我们在不断的提高门槛,黑客用更大的代价进来的同事,给领导的感觉就是你们这帮笨蛋每年都被人攻进来。我们如何给领导交付一个确定性的东西?我们能达到什么程度?怎么量化它、定义它?这是甲方安全团队最需要做到的一件事,怎么是一个确定的东西,怎么是最终给领导交付的东西。这也是一个想法,但还没有好的办法。

上一篇:徐锋:云端安全新思路——软件定义服务

下一篇:崔晶炜:安全的最后一公里