诸子云 | 走进猪八戒网:企业安全建设实践及数据安全研讨会
随着互联网、物联网及云计算的快速发展和广泛应用,网络安全的风险也在持续增加,在企业的信息化建设过程中,安全建设及数据保护成为至关重要的环节。那么,企业应该如何有效应对安全风险,亟需新思维、新实践。
基于此,12月11日,诸子云“企业安全建设实践及数据安全”专题研讨会在重庆猪八戒网总部大厦路演大厅举行。通过参会专家的分享,话题的讨论,热烈的交流和互动,从数据安全、攻防对抗、安全体系建设的多个方向,剖析了如何有效应对数字化场景下企业业务发展的安全挑战,帮助企业安全高效发展。
本次活动由猪八戒网与诸子云共同举办,作为诸子云(重庆)的会员活动,以“走进猪八戒网”交流参访的特别形式举行。云丁科技安全总监、诸子云西南分会会长向阳在进行简单的开场白之后,适时将话筒交给了在场嘉宾。
活动有幸邀请重庆若可、猪八戒网、上海帝熙、云丁科技、重庆西西弗文化传播有限公司、重庆长安汽车股份有限公司、罗克佳华(重庆)科技有限公司、中元汇吉、云从科技、重庆马上消费金融股份有限公司、重庆农商行、成都路行通等企业的安全专家参与。
猪八戒网信息安全负责人齐迹、罗克佳华数据中心红队负责人陈鹏有、西西弗信息安全部负责人胡松林三位专家进行了分享。
猪八戒网数据安全体系建设实践
齐迹 猪八戒网信息安全负责人
在进行数据安全体系建设之前,企业必须要明确定义数据安全的目标,划分数据安全的责任,因为目标是方向,责任是底线。
对于数据安全的目标,我们一是要符合各类合规要求,二是不出现重大数据泄露事件;而对于数据安全责任,我认为数据收集方是数据安全第一责任方,同时安全部门承担数据安全监管责任,并且要合理设置主次责任。
业界有个比较流行的做法叫安全左移,猪八戒网目前也在尝试通过研发平台和流程,希望可以将包括开发、运维、安全等工作,在一个平台上实现。所以对于数据安全,我们也在依托研发流程将数据安全左移,具体的落地分为三个方向,分别是数据归属管理、数据分类分级、数据使用管理。
首先是数据归属管理。因为我认为数据收集方是数据安全第一责任方,所以我们一定要搞清楚数据到底是谁的,那么通过研发流程+数据库规范,就可以推动数据和工程关联落地:
一个表只能被一个工程关联;
所有数据查询、数据订正、数据结构变更均需要表对应的工程负责人审核;
表对应工程的负责人有权回收其他工程的读写权限(需提供相应的业务接口);
工程的数据库账号权限由库级权限改为表级权限;
新工程原则上只能连接和工程关联的表(推荐一个工程一个库);
没有关联的表无法进行操作并会根据情况进行备份下线处理。
其次是数据分类分级。由于数据量非常庞大,我们只能够关心重要的敏感数据,所以对于数据分类分级,第一步就是要定义敏感信息数据特征,包括字段名称特征、字段内容特征等,这些被定义好的特征就是我们需要重点关心的数据。
第二步,对于新产生的数据,我们需要在数据库DDL的时候对字段名称进行检查;第三步,对于历史数据,我们可以根据字段内容特征实时扫描数据库内容实现数据自动打标。但这个过程目前存在很多的误报,如果后续需要推动加密,就会遇到比较大的麻烦。猪八戒网目前采用的方式是发动群众的力量,通过开发页面功能让工程负责人主动反馈,就能够反向将数据变得更加准确,最终全面落地数据加密。
最后是数据使用管理。即使我们知道了敏感数据在哪,如何存储,但在使用过程中还是可能会因使用不当而导致一些安全问题,那么我们应该如何管理:
1、数据分析或人工提取。根据申请的数据,对应到不同的审批流程和数据列表,并由每一个表的负责人来进行审核。作为数据的第一负责人,审核力度非常强,可以有效管控数据的访问使用;
2、监控和审计。告诉数据使用者行为审计,起到威慑作用,同时进行异常监控,发现数据异常立即告警,并直接通知该员工的上级领导,谁的人谁来管,本着谁审核谁负责的原则;
3、基于零信任的数据访问。通过零信任网关,可以让所有访问请求都经过该网关,并对方位行为进行记录,从而及时发现存在的问题,及时阻断和预警(目前产品已经开始商业化探索,欢迎试用:https://zxdsso.qy.zbj.com/);
4、应用间调用权限控制。通过研发平台进行授权管理,目前有两种微服务,基于dubbo的微服务默认允许所有访问,需要提供者通过研发平台加入需要鉴权的接口并引入sdk,然后调用者申请权限并引入相关sdk即可完成鉴权,我们目前也正在落地Mesh,默认拒绝所有请求,需要访问通过研发平台直接申请即可访问,更加方便;
5、基于nginx+lua的web接口敏感数据识别。因为很多web接口对外,存在很多越权问题,导致大量数据泄露,所以我们需要对API进行管控(此方案存在较大的性能问题,我们也持续优化,有条件可以考虑镜像流量的方式进行识别);
6、业务场景提供公共服务。很多业务、服务,都需要用到敏感数据,所以对于明文信息,我们要做匿名化处理。
总的来说,安全是为业务服务的,安全可以间接提高业务的竞争力,那么如何实现这一目标,帮助企业安全高效发展,就需要:
制定让老板放心的目标;
通过运营持续推动落地;
依托研发流程进行管控和赋能;
建立完善的安全体系(SDL、红蓝对抗、安全文化...)。
红队视角下的企业风险点
陈鹏有 罗克佳华数据中心红队负责人
作为防守方,企业其实有很多的安全设备,包括WAF、防火墙、态势感知、告警平台、蜜罐等,还有专业的安全人员对设备进行定期的维护,在网站上线前进行安全测试。企业往往更加注重安全设备的告警,根据告警进行流量溯源的分析,提取安全事件,必要时对IP进行封锁,在防御被突破后,紧急下线资产,甚至采取蜜罐反制。
但其实在这个过程中,红队经常发现企业有很多忽视和遗漏的地方,这些也是在攻防演练中,红队重点关注的企业安全防护脆弱点。
首先是边缘资产,包括了子域名、端口、DEMO资产等,这些边缘资产企业往往不够关注,安全渗透做的也比较少。
其次是App,因为同一功能点App端可能存在未校验的情况,所以红队可以通过App端进行突破,从而获取数据库权限;而在开发程序的时候,可能会用到很多注释,导致一些账号密码和敏感信息的遗留,所以在源码层面也可能会存在信息泄露;而App会调用很多API接口,所以根据这些相关的资产,我们也能有机会获得关键信息。
再者,诸如VPN、OA和邮箱服务器等重要的系统和服务器,也会因为弱口令和自身漏洞等原因,成为企业安全防护当中的薄弱环节。此外,还有微信的公众号和小程序,也会红队严重的企业安全脆弱点。
关联资产是企业非常容易忽视的环节,包括子公司、供应商和上级公司。其中上级公司和子公司,可以通过公开信息的投资比例来判断,供应商则需要通过更加详细的渗透来发现,这些都可以作为红队正向或反向突破的目标。
信息泄露主要分为两种,一种是因为企业自身的信息泄露,如JS文件、备份文件、SVN、Git等,红队可以在这些文件中发现很多敏感信息和资产。另外一种是其他途径的信息泄露,比如GitHub、码云、网盘等,因为在开发程序的过程中,会遇到很多需要登录的情况,就会把一些账密写在代码里,同时还有一些内部的压缩文件,红队也可以通过收集这些文件来发现敏感信息。
近年来攻防演练越来越受到重视,开展的频率也越来越高,红队也开始转变思路,把突破的重点放在人员安全上面,而红队通常容易接触到的场景和人群主要包括群聊、售前、售后、客服和供应商。
普通员工的安全意识确实有待提高,经常会打开一些未经确认的文件。尤其是在内部聊天的场景下,因为身份信息相对透明,且互相之间比较信任,所以一旦发生内部聊天软件账密泄露的情况,红队就可以通过伪造身份发送钓鱼文件,或直接通过聊天软件持续进行渗透,成功实现攻击。
作为企业,我们需要做到这样几点:
1、人员安全。需要过硬水平的安全人员定期进行安全测试,定期巡检,对普通员工进行人员安全意识的培训,提升安全意识;
2、资产安全。需要常态化的资产整理,防止有遗漏资产,并定期做安全检查;
3、设备安全。企业需要必须的安全设备,安全设备的运维和管控;
4、互联网暴露面。有些企业会因为专注自身而忽略了其他途径的信息泄露,所以一定要对互联网暴露面做定期巡检,包括GitHub、网盘、码云、网站本身。
危与机并存——实体零售行业安全建设
胡松林 西西弗信息安全部负责人
在企业信息安全建设之初,我通过安全评估和风险摸底,对公司整体的安全情况有了一个大致的了解:
在岗位和职责方面,安全团队的职责是什么不明确,不清楚需要什么样的安全人才;在资产方面,自研与外包混合型,无资产台账;直接端口映射访问;在网络层面,传统VPN架构,门店与总部,云上与总部互联互通,没有VLAN划分,顾客与门店共用WIFI;而对于账号,无准确花名册,弱密码,未请退账号占比50%,各系统都有独立的账号体系。
由于公司成立较早,业务模式已经成型,因为没有做好基础的适配,所以直接修复的成本非常高,因此我采取的方式是从改变底层框架入手,从零开始建设安全。
首先,要明确部门的核心职责,做好部门职责划分,岗位分工,因为只有明确岗位和职责,才能够以此为基础,引入每个岗位所需要的人才。
其次,由于资产太多没办法区分,所以我采用了最简单的方式——将资产进行了搬家(分级分区隔离进行治理)。相当于拿一个空的东西,把框架画好,将资产一个一个放到对应的框架当中去,梳理清楚大致的网路情况,了解大概有哪些资产。
针对域名资产,主要采取了收归域名解析入口、实时同步域名解析、差异告警等手段;针对IP资产,主要通过接入堡垒机,强制启用KEY+令牌登录、实时同步IP信息、差异告警等方式;针对端口资产,我们默认只开放80、443,并采取了非常规端口备案、差异告警等手段。
在资产搬家的过程中,我们顺带做了全站的HTTPS,因为这个过程中也会涉及到网络通信,所以我们引入了安全组+ACL的严格管控(非接入层默认拒绝所有流量差异告警),同时也将门店网络与顾客网络分离。
对于账号,我们主要通过入转调离,建立了准实时花名册,对异常账号进行了清退,同时进行了统一的身份认证,主要采用了多因子认证,包括扫码+密码、扫码+短信、密码+令牌这三种方式。
由于过去完全没有研发安全的概念,所以以安全的名义直接指出研发流程的不足是很难获得认可的,所以我们最早采用的是“自娱自乐”的方式。
首先,每周都测试前一周上线的系统,将问题以项目制的方式进行修复,在经过一段时间后,指出现网系统的安全问题,并分析项目制的缺点,以及明确发生安全问题后怎么办,该由谁负责。那么基于这个场景,我们推出了线上安全问题最晚的修复时间,要求安全问题必须严格按照最晚修复时间进行推进,并让大家认可。
因为所有的安全测试都要在项目上线后开展,必须要卡漏洞的修复时间,这样一来就会严重影响项目的排期和迭代,项目部门会受到非常大的压力。此时我们提出上线前进行安全测试的想法,将上线后的安全问题在上线前进行规避,得到了项目团队的认可。基于安全测试,我们不断梳理历时漏洞,并输出安全开发规范和业务安全规范,给到产品和开发负责人。
在防御和监控环节,我们采购了WAF,但由于WAF不能解决CS结构的问题,且有一定不拦截的成本,所以我们又增设了安全网关,主要目的在于确保:认证访问者是内部员工、访问设备是否受信、认证访问者有使用此系统的权限以及什么人、什么时间、做了什么敏感操作。
对于供应商管理,我们首先要对其进行资质审核,其次对它的产品安全性进行证明,并调查历时安全问题的情况,同时也要关注供应商在合作期内的响应速度。
总的来说,安全建设道阻且长,还有很远的路要追赶。
圆桌论坛
本次研讨会还特别增设了圆桌论坛环节,向阳担任主持,齐迹、陈军、胡松林三位专家围绕“企业安全建设方法论”进行了深入的交流和探讨。
话题一:如何体现安全团队和安全工作的价值?
齐迹:互联网企业通常更追求效率,所以安全的目标主要是为业务创造价值,那么安全的价值体现,就在于尽可能满足业务需求,同时为业务赋能,帮助业务既可以赚钱又同时具备安全能力。
陈军:如果是业务安全,那么安全的价值就比较容易衡量,只要安全问题给业务造成的损失是0,那就是安全价值的体现。但如果是非业务安全,本质就注定了要默默无闻,所以我们要做的就是保证不发生重大安全事件,当然“重大”需要我们自己来定义,要保护好自己。初次以外,安全也可以代表公司参加一些会议或是竞赛,提高影响力,为公司赢得一些荣誉,也可以体现安全团队的价值。
胡松林:对于一个网络安全建设初级阶段的企业来说,应该先明确每一个阶段要做哪些安全建设,评估可能存在的问题点,会带来哪些风险和可以被利用的价值,优先处理紧急的事情,然后验收成果,通过这种方式来体现安全团队的价值。
话题二:如何平衡安全和业务?
齐迹:对于互联网企业来说,业务一定是比安全重要的,所以在安全评审这件事情上,安全能做的就是尽可能把风险告诉业务。但是,无论如何,都要守住底线,所有转化成法律法规明确要求的就是底线,只要不突破底线,剩下的业务要不要接受就是他们自己的事情了,安全不能阻碍业务发展。
陈军:安全肯定要为业务服务,作为护航业务的角色,在尽量告知安全风险之后,也应该在安全你的职责范围内,采取一些措施,把业务的风险降到最低。因为安全也业务难免冲突,所以我们只需要坚持自己的原则,尽到应尽的责任就好,这个过程中也要尽量保护好安全自身。
胡松林:首先,安全要有自己的底线和原则,不能够被越过。但当冲突发生以后,我们也可以尝试和业务沟通,各退一步,因为双方都是站在自己的角度思考问题的。我们要尽量做到既让业务运转也让风险降低,所以要建立安全评估反馈的机制,当底线没办法衡量的时候,负责人就要明确知晓这个事情,让业务先开展起来,之后安全再想一些方式来规避风险。
话题三:对于安全人才有什么心得和感悟?
齐迹:安全人才的成长是最重要的,因为人不能永远重复做一件事情,我们需要通过用自动化或是内生安全的方式把人解放出来,所以安全工程师要经过一条从懂安全,到把安全能力转化成产品的成长道路。单纯的开发人员其实并不能很好的理解安全,所以对于安全开发人员来说,需要具备一定的安全技术,而后接触到管理和合规,就可以逐渐带领团队进行体系化全面的安全建设。
陈军:从安全运维和安全管理的视角出发,安全人才除了需要具备基础的安全技能以外,沟通能力更加重要。因为安全的性质决定了一个人不仅要具备专业知识,还应该同时拥有很广的知识面,这也是安全技能的基本需求。一旦一个人拥有了很广的知识面,就会接触到更多的人和部门,就会产生更多的沟通,所以沟通能力非常重要。
胡松林:我总结了三“对”,第一是眼神要对,人要对,因为只有品质和性格相符,大家才能走到一起;第二是工作内容要对;第三是工资要对。除此以外,沟通能力非常重要,尤其是有一些乙方的技术专家,拥有很强的技术实力,但在甲方企业并不适应,发现问题不知道如何推动和修复,写出来的渗透测试报告和修复方案其他部门也看不懂。所以沟通的能力和技巧非常重要,决定了对问题的理解程度。
现场花絮