1. 威客安全首页
  2. 安全资讯

安全工作的甲方乙方

6月13日,笔者参加第六届网络安全大会,并进行了半个小时的演讲。非常感谢主办方的邀请,先上几张现场图

安全工作的甲方乙方

安全工作的甲方乙方

安全工作的甲方乙方


下面将PPT和基本内容整理如下(因为本次演讲很多都是以前文章中提过的观点,所以设计到之前文章中的内容就直接放链接,不再敲字了):

安全工作的甲方乙方

去年介绍了央视网安全历程,今年算是将一年的工作和思考给大家做一个介绍。我作为甲方安全部门的工作人员,主要工作就是跟我的甲方-领导和我的乙方-安全厂商的同仁们打交道。

我希望我和我的甲方乙方通力协作做好具体的安全工作,所以今天我将分享一下央视网一些具体工作中的甲方需求和我见到的乙方方案之间的差异。

安全工作的甲方乙方

整体PPT的逻辑分为三个部分:

1、总体逻辑是我面对我的甲方–公司领导的思路;

2、具体工作介绍我和我的乙方之间的一些具体事项,我将通过甲乙双方两个维度将五项具体工作进行简单的梳理;

3、一些思考是我们在安全工作中的一些想法

安全工作的甲方乙方

安全工作的甲方乙方

这个金字塔是我们安全工作梳理的核心部分:

1、能力输出:是安全部门对公司的统一接口,安全部门对公司的价值公司都将通过这个层面展现,对安全的所有投入也将参考这个层面;

2、安全工作:这是我们的总体架构中安全部门最核心部分,安全工作是根据能力输出对应出来的,这就避免了过度建设,比如央视网暂时不需要做业务安全,这样在安全工作就不涉及到这类内容;

3、手段:巧妇难为无米之炊,通过技术手段和管理手段支撑安全工作,这包括:商业产品、开源软件、管理制度、运营手段等等。

4、项目:在笔者体系内开发和开源产品研究的能力有限,很多方面需要商业产品那么项目落地就是对手段的支撑。

总体来说这个金字塔就是一个从底向上的支撑系统,通过这套逻辑让公司领导尽可能的理解安全工作的基本方法。下面我们稍微展开一下金字塔的第二层。

安全工作的甲方乙方

这个思维导图看上去很乱(实际上确实挺乱),而且细节可能看不清,不过没关系,这里的逻辑每个公司都不一样。我们是将安全工作分成了四个维度–安全治理、安全检测、安全防御、安全响应。具体内容可以参考笔者之前的文章《网络安全日常工作梳理》。下面我们从甲乙双方的两个视角分析一下五项安全工作。

安全工作的甲方乙方

安全工作的甲方乙方

作为媒体内容安全是我们最关注的一个领域。我们从2017年开始对内容安全的解决方案进行了一系列的测试。我们发现很多内容安全厂商所提供的都是标准化、碎片化的服务,当然从厂商角度看这是应对市场很好的做法,在很多场景下适用性也非常好。但我们的实践中也需要了一些问题:

  • 标准化的问题

我们在测试的时候发现一个问题,就是所有跟领导人相关的图片全都识别成政治敏感图片并报警。这就比较尴尬了,对一个媒体来说领导人是需要报道的,对落马官员也是要报道的,甚至对恐怖分子也是要报道的。如此一个简单的结论我们如何进行判断呢?这就引出了碎片化问题。

  • 碎片化的问题

既然单一检测方法无法判断一张图片的合法性,那就需要一套整体的逻辑来判断。举个例子,首先判断这张图片的信息,如果是领导人,那么后续图片下面的报道至少应该是正向的;相反如果是恐怖分子,正向的报道就有问题了。这只是一个简单的逻辑,针对政治敏感的判断有很复杂的逻辑,但这套逻辑现在是没人做的。这就引出了另外一个问题:

  • 为什么政治敏感识别这么难?

2017年我们对主流的图片识别接口做了一个横向的测试,先不说哪个厂商好一些,就类别来说,色情>恶心图片>暴恐>政治敏感。其实这个结果中我们能看到一些过滤,识别效果好的都是分析策略基本不变的。色情图片的分析策略就比较固定,这大家都好理解,但政治敏感的分析策略是经常变化的。所以做好政治敏感的分析至少要有两种能力:一是最新信息的获取能力;二是快速将新的规则落地。

安全工作的甲方乙方

漏洞管理工作在任何行业都是一个必须面对的问题。我们看看甲乙双方对这个问题的看法:

甲方:很简单,有漏洞赶紧发现,马上修复。

乙方:标准服务,发现漏洞,形成报告,通知甲方。还有一项增值服务,新漏洞通告。

这里我站在厂商的角度提出两个可以优化地方:

1、压缩漏洞发现周期,我各位企业中漏洞检查的周期是多久,我们之前是一个季度一次。这个周期可以说是非常长了。安全厂商如果有办法将这个周期压缩到一周,甚至一天以内漏洞发现这件事的价值就完全不同了,这个方面我们正在实践。

2、漏洞管理,一般来说漏洞管理都是甲方的职责,如果乙方能够帮助甲方把漏洞管理的事情做起来,这项服务的价值也大幅提升。至少可以帮助甲方搭建一套开源的漏洞管理平台。

安全工作的甲方乙方

一般来说应急响应是甲方对乙方最为看中的技术输出,也是乙方最能体现价值的工作。但经过我的分析,应急响应工作的最终效果其实取决于甲方。我站在甲方的角度分析一下这个问题:

应急响应的核心要求无非是三个:快速响应、快速回复、精准溯源。但这里乙方唯一能掌控的就是快速响应。至于快速恢复和精准溯源则需要甲方和乙方的合作才能做到,因为应急团队一般都不是驻场团队,应急专家对甲方情况是不够了解的。

所以甲方在应急工作中至少要做到四个层面的工作才行:有思路、与办法、能溯源、搞建设。具体内容可以参考笔者之前的文章《永远着急的应急响应》。

安全工作的甲方乙方

对我们来说,这是一个很沉重的话题,因为我们选择了自主研发。这里不说那些比较麻烦的事,我们对态势感知的要求就是两个:好看,实用。而一般来说厂商能做到的则是:好看,通用好看这件事很好理解,几乎所有的态势感知系统都不难看,一般来说这张好看的皮儿是安全部门对公司和外界的重要界面。通用也比较好理解,厂商应对市场复杂的需求,如果大量定制是非常不理智的做法,所以一定要搞出相对通用的安全需求,统一实现,尽量减少定制开发量。这里重点分析一下我们对实用需求:

数据处理:也就是对海量安全日志和相关数据的分析,这里的核心是把人的经验落地。

安全评分:态势感知的一个重要使命就是辅助决策,我们做法就是安全评分。但评分具体的分数并不重要,重要是趋势。

业务逻辑:提到态势感知,不知道大家会想到什么,我的第一反应是“地图”,但是对于一个IT架构来说地理位置对我们来说真的那么重要吗?我们希望将业务逻辑在安全态势感知系统中综合体现。

安全工作的甲方乙方

安全运营对我们来说是一个比较新的概念,我们也是在今年(2018)刚刚开始这方面的工作。做安全运营工作的初衷也很简单,对内提高重视,对外树立形象。简单展开一下:

对内:还是从制度设计开始,这是安全工作取得正当性的基础保障,后面就是各类安全教育,这根一般意义上的教育不太一样,我们更注重通过各类大家能接受的方式提高安全意识,比如:线上答题领奖品,线下沙龙,安全意识游戏等等。最终我们希望把安全融入到企业文化中,当然这也是安全团队在公司内取得尊重的重要方式。

对外:对于没有技术光环的企业来说,树立形象是非常重要的。我们虽然跟互联网公司相比要差不少。但是同行横向比较还不算落后的。树立形象之后我们可以招揽人才,甚至对外技术输出。

安全工作的甲方乙方

安全工作的甲方乙方

最后是我对安全工作的一些思考:

服务和产品意识:参见我的文章《安全工作随笔(一)

先锁门,再造锁:参见我的文章《安全工作随笔(一)

什么样的安全情报好:参见我的文章《安全工作随笔(二)

如何交付确定性:安全从业者都知道,没有100%的安全,我们只是不断的提高攻击者的门槛。如果去年黑客很容易的拿到你的权限,但今年用了个0day才做到这说明我们的安全工作有了很大进步。但在公司领导角度,看到的就是“我们又被黑了!”。如何给公司交付一个相对确定的安全等级,这是个很值得思考的问题,当然我也没有答案。

安全工作的甲方乙方

最后给自己打个广告,宣传一下公众号,谢谢大家!!


原文始发于微信公众号(企业安全工作实录):安全工作的甲方乙方

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X