张作裕：蘑菇街，从一到百的安全系统搭建

　　Cobra本身的作用是多大?因为我们发现很多的规则，写了之后会扫出来很多问题。所以它在这个环节里面体现的作用是有一个威胁分析，当我们发现有很多出现代码风险，或者说出现代码漏洞的地方，经常是某一个团队某一个人出现的，我们会对这个人的历史项目进行检查，就可能会再把一些问题抛出来，是这样的分析。

　　这个安全架构是一年前的状态，我们做到了人工提交到一个系统再进行提交到复盘，升级我们的防火墙、堡垒及策略来去做的一套安全管控，这个就是刚才我们一进来提到的，从威胁感知到自动化响应的补充。

　　Aone是干什么的呢?这个东西大家都在做，用处只是通过积累我们做的东西不一样。但是安全依然是投入大量的人力资源去做重复的事情，我们要做的事情是要针对所有的安全申请、需求、规则学习和情报，要做这样的安全派发。大家知道安全不能做一个闭环的东西，要开放。需求申请，比如说有大量的安全需求，，提过来说我们需要你们做一个审计，一个项目要上线，我们可以自动派发成用户填清单，有一些系统黑盒、白盒搞不定我们会有一些情报联动。讲到情报联动，我们在这个东西前面加了一个大喇叭，这个项目是做什么用的呢?刚才提到Aone能够将所有的安全资源，比如情报相关的、漏洞相关的，比如别人提的需求申请相关的，都能通过它自动分发给人工做处理，这么做虽然已经完成了以前能力的提升，但是还不够。Aone还有一件事情就是所有安全工作都以Aone的形式进行统计，有机会我们可以看一下整个界面。它通过分发之后就能够把大量的任务进行衔接，我刚才提到有情报的时候，我们情报是需要一个自动化的系统。这个和黑盒、白盒一样，我们现在去关注的所有情报和漏洞，它的发布都有不同的战略。我们同时又是将所有团队里面能够收集到的情报源进行统一，减少了重复造笼子的过程，有了这个情报系统，它会将大量现有、已有的情报源做一次人工分检，情报对接的后面就是Aone下发给各个平台或者说工具去处理。

　　比如说我们发现了一个CVE漏洞，这个漏洞进行人工评估之后可以通过黑盒或者白盒的方式去发现，所以我们就做了情报到CVE到规则升级，我们可以立刻去出一个检测方案，立刻去出一个白盒的修补方案，这是这个情报对我们最重要的地方。

　　接下来是问题预警，对别的厂家来说是一个很严重的高危漏洞，但是我们没有遇到，这个我们可以做一个预警。说到合作和采购，我们还会采购一些第三方的网站产品，这些服务如果出现漏洞的时候，我们也会通过情报平台去进行跟进。以人工提需求扩展到以人工自动化发现去提需求。

　　刚才提到安全不能做一个闭环，这整套东西我们用了十一个月时间，把它在公司里面玩的很溜。从一个信息发现到最终推送给黑盒安、白盒，到将这个问题升级成我们的管控手段。比如说白盒里升级了一个规则去发现这一类漏洞，我们一年发现了蘑菇街、美丽说、好世界四万多个漏洞，推进修复两万七千多个，这是最近一年统计出来的数据。我们不会做封闭的安全，所以我们也是很开放的。

　　我正式宣布我们美丽联合的MLSRC上弦，有这么一个平台增加我们和甲方、乙方、合作伙伴、其他的SRC合作伙伴的沟通和交流平台，因为我们之前自己踩过很多坑，有大量的问题，画一个流程图是不够，我们希望将这个系统放出来，开元出来，让大家做代码贡献。由我们自发的情报预警系统共同推动一个自动化的任务，或者说通过Aone自动化选择所有的任务，下发给人工，下发给黑盒和白盒进行联动，通过黑白盒将产生的问题交给Hades，通过人工的再次干预定位这个漏洞到底是什么样子，最后推送给Action、防火墙、堡垒机等等我们现有的安全产品，乙方有很多优秀的产品。

　　这就是我今天想分享的主要内容。因为在座有很多是安全相关的从业者。我再多讲两句，我们是一家比较开放的公司，我们在安全上面的态度是一样的，我们接受所有的问题，我们处理所有我们的问题，我们也很希望在座的各位安全行业内的朋友可以跟我们敞开心扉，有任何问题我们都可以坐下来聊。但是我们不接受恶意的提交和恶意的漏洞攻击，这块我们也会保留我们起诉的权利。最后送一句话给大家，我自己觉得安全从业者很多人具有很强大的技术能力，但是我们拥有这样的能力，我们没有拥有用这个能力去做攻击的权利。我们不能消灭心魔，我们只是学着与它共存。谢谢大家!

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!