张作裕：蘑菇街，从一到百的安全系统搭建

　　中国IDC圈12月28日报道，12月20-22日，第十一届中国IDC产业年度大典(IDCC2016)在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导，中国IDC产业年度大典组委会主办，中国IDC圈承办，并受到诸多媒体的大力支持。

　　中国IDC产业年度大典作为国内云计算和数据中心领域规模最大、最具影响力的标志性盛会，之前已成功举办过十届，在本届大会无论是规格还是规模都"更上一层楼"，引来现场人员爆满，影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。

　　会上，蘑菇街 信息安全总监 张作裕 出席IDC服务大会并为当天的安全运维分论坛做《蘑菇街，从一到百的安全系统搭建》主题演讲。

蘑菇街 信息安全总监 张作裕

　　以下是演讲实录：

　　做一下公司的介绍，美丽说、蘑菇街等都是集团的业务，我们遇到的问题和挑战是比较多的，包括有很多家小的APP应用厂商，包括有很多大的已经在用，或者已经在建的互联网公司，大家遇到的问题我们都有遇到过，而且挑战非常大。讲一下我们的经验，也算是过来跟大家做一个分享。

　　我刚才提到挑战，大家可以想一下，一家互联网公司从刚开始做肯定是不会有安全条件的，一家互联网公司从一开始做会遇到什么样的安全问题，会遇到什么样的安全管理挑战呢?今天我主要分享一下蘑菇街是怎么做的，顺利抛这个问题给大家。

　　第一，企业安全现状。大家知道互联网企业，尤其是近些年的创业公司爆发的业务增长是互联网公司的安全问题频发。一家互联网公司在创业初期是不会成立安全团队的，因为这时候的业务，或者说这时候遇到的资产需要保护还没有那么大，除非是安全的创业公司才创业初期就会有安全团队。不管是什么样的互联网创业公司安全团队起步都晚，包括整个政府来说，我们的安全也是起步比较晚的。

　　当前现状的问题。说下企业里面，起步晚遇到的问题分三个，当出现一个安全问题，一定是从发现到阻断到复盘去处理，我们知道这样去处理问题，但是具体怎么做呢?有人要问这个图什么意思，现在的做法是当我们发现有一个安全挑战，比如说有一个漏洞被报到漏洞评级机构，或者媒体有去曝光我们有数据泄露的情况，我们怎么做的呢?我们还没有做到应急实时反应的时候乙方公司就打电话说，买个设备，买个产品吧。这个不会解决一些问题，或者说我们会对接乙方的公司购买安全服务获取一段时间的保护，但是这样是解决不了问题的。我称这样的方式叫快照式安全，它在某一个时间内是安全的。比如我们用三个月时间做一个众测，在这三个月的时间段内我们的安全是有提升的，整个过程是不是完美的?解决问题了呢?这三个月内我们是好一些，但是并没有彻底解决问题。我们遇到的问题和挑战依然很不大，不能用这种方式解决安全问题。

　　回归本质想一下我们最终的目的是什么?最终想解决什么样的问题?企业遇到大量的安全问题最后回到的初衷就是当出现一个问题的时候，我们以什么样的能力对待这样的问题，就是从威胁感知到响应手段的能力，或者说一种过程，这是我们需要去挑战的。

　　第一，说一下Hades系统。这是两年以前蘑菇街的安全是零，外面也有数据泄露，我们当时花了一部分精力购买了安全产品，比如说阻断的能力，像防火墙，甚至做了众测，遇到这样的事情，我们最后收到的是差不多将近一百个PDF，教你如何把这些问题修复了。这就是我刚才说的没有彻底解决问题，因为当众测一停止我们的威胁又来了。当我们的设备，规则没有更新，我们的问题又来了，我们当时做了一个项目，就是把所有的问题全部记录下来。记录这个问题并不是说我们找到这个问题的时候，看之前是怎么处理的，我们就是把所有的问题记录下来，这个系统包含到一个漏洞从谁提交的，提交的级别是怎样的，谁跟进的，跟进的时间用了多久，谁负责修复的，修复的整个流程是怎样的，修复成什么样的程度，以后会不会出，我们都有做了标记。

　　这个系统就从上到下灌输着一个漏洞的生命时间，我们要这个东西的作用，第一个是做漏洞回溯，我们并不想知道这个漏洞发生到最后的解决结果是怎样的，但是要回溯这个漏洞是谁做的，来定位一些问题。第二个是弱点分析，当一个系统记录了我们超过五家合作伙伴，超过十几个安全项目对我们的弱点发现之后，我们就知道在整个美联集团应用上、外部服务上的缺陷在哪里，哪一类最容易出现问题，哪个项目组最容易出现问题，我们会针对这个项目组做集中的问题管控。第三个是效果比较，比如说我们接了三到五家众测，Hades会监测哪一家的效果最好，哪一家优先发现漏洞，这个数据我们会直接看的到。但是只去做数据统计是没有用的，或者说用处只是告诉我们该怎么做，除了我们去做众测，我们还需要抬高我们受攻击的门槛，提高我们的发现能力。所以就有我们的黑客扫描器Eagle，这个扫描器有很大的精力投入，它理想比Hades这个项目还早，但是它最终出现的时候解决了我们很多问题，不大量的人工要去做的事情反馈在这个扫描器上。

　　有人就说一千个人读哈姆雷特是一千个版本，我们行业也是这样的，一千个漏洞就有一千扫描器。我们做这个事情就是把公司里面的发现能力进行了统一，减少重复造漏子，企业版的扫描器加上我们多年的定制，它的发现能力极强，这是我们发现能力的统一。做了这个发现能力统一之后我们就将它和我们的Hades系统进行对接，这么做的结果就是我们减少了一部分人工操作，统一了我们的发现能力，在这个规划上，将人工的大量工作以自动化的方式体现出来，就构成了这样子上报给Hades的样子，所以Eagle是非常重要的。

　　第三个就是Cobra系统。大家知道一个安全的流程从发现一个漏洞到数据平台，到将这个问题修复好，整个过程应该做成一个闭环。我们只去发现问题是不够的，我们会发现有一个团队老出问题，这个时候我们服务会不会被干掉，安全团队不到十个人，开发团队有上百号人，他们老出现问题，就老过来找我们修，每次都要沟通一遍，所以我们要做一个事情，这个是被逼的，但是它也是在正常的开发流程中体现出来的。我们在他们还没有把漏洞写出来的时候，就在代码里做检查，提前预知和发现这个漏洞可能会在哪里，当然还有漏报。发现这个问题之后我们能定位这个问题的基本原因，统一了一个修复方案，将这个修复方案以自动化的方式反馈给开发。当开发提交一个系统变更的时候，或者说代码变更要发布的时候，他们会从Cobra直接取到一些结果，告诉他们的代码潜在风险。这样就自动地做了一次安全甲方的加固。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!