甲方安全運(yùn)營(yíng)的發(fā)展現(xiàn)狀

在早期，大多數(shù)甲方企業(yè)的安全建設(shè)都是事件驅(qū)動(dòng)型的，由一個(gè)安全漏洞或者事件驅(qū)動(dòng)開(kāi)始建設(shè)安全。隨著安全的不斷建設(shè)和發(fā)展，很多企業(yè)很快就會(huì)發(fā)現(xiàn)事件驅(qū)動(dòng)型的安全建設(shè)大多數(shù)都只是不斷的救火，遠(yuǎn)遠(yuǎn)滿足不了企業(yè)安全體系化建設(shè)的需求。微軟的SDL為體系化安全建設(shè)提供了一個(gè)很好的思路，DevSecOps的理念也被越來(lái)越多的提起，雖然SDL和DevSecOps為如何在企業(yè)中建設(shè)安全體系提供了一個(gè)很好的參考，但是在實(shí)際的落地建設(shè)中會(huì)發(fā)現(xiàn)存在各種各樣的問(wèn)題，而中通安全也面臨著同樣的困擾。

圖1：微軟的SDL（Security Development Lifecycle）

我的理解是不管是SDL還是DevSecOps，對(duì)于甲方企業(yè)來(lái)講是否執(zhí)行標(biāo)準(zhǔn)化的SDL和DevSecOps并不重要，我們也完全沒(méi)有必要照搬，而是應(yīng)該學(xué)習(xí)其安全建設(shè)的思路，以SDL和DevSecOps為指導(dǎo)思想進(jìn)行最適合自己企業(yè)的安全建設(shè)，然后在企業(yè)中逐步建設(shè)最適合自己的安全體系。

目前，中通安全的建設(shè)也是處于不斷落地和完善的階段，和大家分享下甲方安全運(yùn)營(yíng)的一些思考，歡迎大家一起討論。本篇文章主要討論在甲方安全運(yùn)營(yíng)中的兩個(gè)核心問(wèn)題：

• 在有限安全資源的情況下怎么利用自動(dòng)化提高安全工作的效率。

• 使用賦能的方式打破安全孤島狀態(tài)，即各個(gè)安全產(chǎn)品的孤島以及獨(dú)立安全部的部門孤島。

為了解決以上的兩個(gè)問(wèn)題，中通安全的做法是通過(guò)安全運(yùn)營(yíng)的方式輸出安全影響力，建設(shè)中通安全管理運(yùn)營(yíng)平臺(tái)，打通各個(gè)軟硬件安全產(chǎn)品，提高安全自動(dòng)化和可視化水平 ；通過(guò)安全服務(wù)給全員賦能，讓安全成為其能力中的一部分。

DevSecOps和SDL思想引導(dǎo)的安全自動(dòng)化

為了解決上述的問(wèn)題，中通安全部學(xué)習(xí)DevSecOps的思想，將安全集成到DevOps以及其他研發(fā)相關(guān)的工作中。

中通自主研發(fā)的CI/CD平臺(tái)名為星云發(fā)布系統(tǒng)，與星云自動(dòng)發(fā)布系統(tǒng)集成的主要有安全測(cè)試、代碼掃描、運(yùn)維安全以及主機(jī)安全等安全模塊。

圖 2:中通DevSecOps

自動(dòng)發(fā)布平臺(tái)與安全測(cè)試

中通安全自主研發(fā)了安全風(fēng)險(xiǎn)管理系統(tǒng)（名為同安）用于管理中通所有安全漏洞和風(fēng)險(xiǎn)事件。同安安全風(fēng)險(xiǎn)管理系統(tǒng)通過(guò)與CMDB（Configuration Management Database，配置管理數(shù)據(jù)庫(kù)）以及星云系統(tǒng)的對(duì)接，實(shí)現(xiàn)了對(duì)系統(tǒng)上線前安全測(cè)試的管控。

同安安全風(fēng)險(xiǎn)管理系統(tǒng)通過(guò)與CMDB的對(duì)接，獲取應(yīng)用的基礎(chǔ)數(shù)據(jù)，包含應(yīng)用、IP、負(fù)責(zé)人等應(yīng)用基礎(chǔ)數(shù)據(jù)信息（自動(dòng)發(fā)布平臺(tái)與CMDB對(duì)接同步數(shù)據(jù)），通過(guò)與自動(dòng)發(fā)布平臺(tái)的對(duì)接控制系統(tǒng)上線前的安全測(cè)試。

SDL有一個(gè)很重要的思想，即安全風(fēng)險(xiǎn)的處理越是前置處理的成本越低，而在前置環(huán)節(jié)中最簡(jiǎn)單和快速的就是系統(tǒng)上線前的安全測(cè)試。經(jīng)過(guò)與自動(dòng)發(fā)布平臺(tái)的集成可以確保所有的發(fā)布均通過(guò)安全測(cè)試。當(dāng)新的應(yīng)用在自動(dòng)發(fā)布平臺(tái)創(chuàng)建后，安全工程師對(duì)系統(tǒng)進(jìn)行評(píng)估后設(shè)置安全測(cè)試方式，包括自動(dòng)安全掃描、被動(dòng)掃描（關(guān)于被動(dòng)掃描的介紹可以參考《中通分布式被動(dòng)安全掃描實(shí)踐》）以及人工安全測(cè)試。當(dāng)應(yīng)用發(fā)布到測(cè)試環(huán)境，自動(dòng)發(fā)布系統(tǒng)會(huì)將測(cè)試信息與同安安全風(fēng)險(xiǎn)管理系統(tǒng)同步。完成安全測(cè)試后，同安安全風(fēng)險(xiǎn)管理系統(tǒng)會(huì)同步測(cè)試結(jié)果給到自動(dòng)發(fā)布平臺(tái)，若系統(tǒng)存在安全風(fēng)險(xiǎn)則會(huì)限制其發(fā)布，需完成安全風(fēng)險(xiǎn)修復(fù)后才可以上線。對(duì)于需進(jìn)行緊急發(fā)布的系統(tǒng)，除經(jīng)負(fù)責(zé)人審核同意外，還需經(jīng)過(guò)自動(dòng)安全掃描后才可以進(jìn)行發(fā)布，同時(shí)同安安全風(fēng)險(xiǎn)管理系統(tǒng)也會(huì)收到緊急發(fā)布通知，以便在發(fā)布后進(jìn)行安全測(cè)試。

圖3：中通安全風(fēng)險(xiǎn)管理系統(tǒng)

自動(dòng)發(fā)布平臺(tái)與堡壘機(jī)

很多公司對(duì)于生產(chǎn)服務(wù)器的訪問(wèn)控制都很嚴(yán)格，但是有些時(shí)候研發(fā)人員有查看生產(chǎn)服務(wù)器日志的需求，我們通過(guò)堡壘機(jī)對(duì)接自動(dòng)發(fā)布平臺(tái)和CMDB，在有堡壘機(jī)進(jìn)行安全控制和審計(jì)記錄的情況下允許開(kāi)發(fā)人員訪問(wèn)生產(chǎn)服務(wù)器日志。中通目前使用的堡壘機(jī)其中一個(gè)為開(kāi)源的jumpserver，通過(guò)重寫(xiě)jumpserver的登錄對(duì)接中通的SSO，可以讓開(kāi)發(fā)在同樣對(duì)接SSO的自動(dòng)發(fā)布平臺(tái)上訪問(wèn)jumpserver。在與CMDB對(duì)接后，自動(dòng)給應(yīng)用的對(duì)應(yīng)研發(fā)人員分配低權(quán)限的帳號(hào)，僅允許研發(fā)人員訪問(wèn)生產(chǎn)服務(wù)器的日志。

圖 4：jumpserver

自動(dòng)發(fā)布平臺(tái)與主機(jī)安全

為了保障線上系統(tǒng)的安全，中通安全對(duì)線上系統(tǒng)的主機(jī)進(jìn)行了安全監(jiān)控，防止線上主機(jī)遭到入侵和安全攻擊。為了保障線上系統(tǒng)的服務(wù)器均納入安全監(jiān)控，在自動(dòng)發(fā)布平臺(tái)進(jìn)行部署環(huán)境檢查的時(shí)候，會(huì)自動(dòng)檢查服務(wù)器是否部署了主機(jī)安全系統(tǒng)的agent。如即將上線的服務(wù)器未部署主機(jī)安全系統(tǒng)的agent，會(huì)自動(dòng)進(jìn)行部署。在完成部署后自動(dòng)進(jìn)行主機(jī)安全檢查并輸出主機(jī)安全報(bào)告，確認(rèn)主機(jī)無(wú)問(wèn)題后才可以進(jìn)行發(fā)布上線。

安全培訓(xùn)作為SDL里最前置流程的同時(shí)也是自動(dòng)化建設(shè)的重點(diǎn)。中通學(xué)院在線教育平臺(tái)，可以直接把安全技術(shù)培訓(xùn)做成在線課程，要求新入職員工全部在線學(xué)習(xí)后進(jìn)行在線考試，提高全員安全意識(shí)和安全技術(shù)能力。另外，通過(guò)同安安全風(fēng)險(xiǎn)管理系統(tǒng)的數(shù)據(jù)，可以發(fā)現(xiàn)各個(gè)部門的安全薄弱點(diǎn)，自動(dòng)為部門各個(gè)成員推送適合的安全培訓(xùn)課程。

圖 5：中通信息安全培訓(xùn)體系

安全培訓(xùn)

很多安全漏洞的產(chǎn)生并不是因?yàn)檠邪l(fā)人員安全技能不足，而是其安全意識(shí)薄弱，所以安全意識(shí)的培養(yǎng)也很重要。安全意識(shí)的培養(yǎng)并不是靠一兩次的培訓(xùn)就可以搞定，而是需要長(zhǎng)期的培養(yǎng)。中通安全除了通過(guò)各個(gè)渠道推送信息安全小常識(shí)和海報(bào)外，還有以在線答題的方式提高員工信息安全意識(shí)。

圖 6：中通信息安全意識(shí)海報(bào)

安全應(yīng)急響應(yīng)

針對(duì)SDL最后置的應(yīng)急響應(yīng)，中通上線了中通安全應(yīng)急響應(yīng)中心（插播小廣告：歡迎各位大佬入駐，豐富禮品等你來(lái)兌）。白帽子提交的漏洞自動(dòng)同步到同安安全風(fēng)險(xiǎn)管理系統(tǒng)，經(jīng)安全工程師審核完成后自動(dòng)進(jìn)行漏洞分發(fā)和提醒，后續(xù)可以通過(guò)同安安全風(fēng)險(xiǎn)管理系統(tǒng)直接進(jìn)行漏洞狀態(tài)跟蹤以及自動(dòng)定期輸出數(shù)據(jù)提供給質(zhì)量管控部門。

安全自動(dòng)化后的安全賦能   

安全部門的影響力應(yīng)該靠輸出服務(wù)去建立而不是靠輸出規(guī)則。在很多的甲方企業(yè)中會(huì)出現(xiàn)安全部成為孤島的狀況，一方面是由于在甲方企業(yè)中安全還沒(méi)有成為生產(chǎn)力，另一方面是因?yàn)楹芏喟踩坎](méi)有服務(wù)意識(shí)。解決安全部孤島狀態(tài)一個(gè)很好的思路就是去學(xué)習(xí)乙方安全公司的做法，向其他的部門輸出安全部的專業(yè)安全服務(wù)，甚至可以去引導(dǎo)其他部門發(fā)現(xiàn)安全需求，而不是以安全為名要求其他部門配合安全工作。

在中通安全管理運(yùn)營(yíng)平臺(tái)上，針對(duì)公司不同的人員和崗位提供了不同的安全賦能。針對(duì)APP安全，安全部提供專業(yè)的APP安全加固功能；針對(duì)實(shí)人認(rèn)證需求，中通安全提供實(shí)人認(rèn)證SDK。用心去發(fā)現(xiàn)，其實(shí)在甲方企業(yè)中有各種各樣的安全需求可以去做，小到驗(yàn)證碼大到安全風(fēng)控，當(dāng)安全部去滿足這一個(gè)個(gè)安全需求的時(shí)候，不斷的刷出存在感，就會(huì)發(fā)現(xiàn)甲方的安全并沒(méi)有那么難做。

圖 7：中通安全管理運(yùn)營(yíng)平臺(tái)

除了不斷的去輸出安全部人員的安全能力外，還有一個(gè)很好的方式就是安全賦能，讓非安全人員擁有安全能力。在甲方企業(yè)中，即使是有安全研發(fā)團(tuán)隊(duì)，也很難做到全部的安全體系均使用自己研發(fā)的產(chǎn)品，在權(quán)衡研發(fā)的各種成本后，總會(huì)用到第三方的產(chǎn)品，而不同廠商的產(chǎn)品很少提供聯(lián)動(dòng)。中通安全通過(guò)安全管理運(yùn)營(yíng)平臺(tái)將各個(gè)安全產(chǎn)品打通進(jìn)行聯(lián)動(dòng)，既可以利用系統(tǒng)代替人工的方式自動(dòng)化處理安全工作，還可以通過(guò)封裝的方式將安全工具提供給研發(fā)人員、測(cè)試人員等使用。

中通安全部不僅給安全部的好伙伴QA人員提供了被動(dòng)掃描工具外，安全部還提供各類主動(dòng)安全掃描工具，可滿足研發(fā)人員以及其他業(yè)務(wù)部門對(duì)待測(cè)試系統(tǒng)的安全掃描需求。在安全營(yíng)運(yùn)管理平臺(tái)上，通過(guò)提交掃描地址等基礎(chǔ)信息即可主動(dòng)對(duì)待測(cè)試系統(tǒng)進(jìn)行安全掃描，掃描完成后即可直接查看掃描結(jié)果。

正所謂運(yùn)維和安全不分家，安全部的很多工作和運(yùn)維部都存在交叉，密不可分，通過(guò)安全管理運(yùn)營(yíng)平臺(tái)，可以將運(yùn)維相關(guān)的產(chǎn)品直接開(kāi)放給運(yùn)維人員使用，讓運(yùn)維可以更直接的了解到運(yùn)維相關(guān)的安全狀態(tài)。如通過(guò)主機(jī)安全產(chǎn)品，運(yùn)維可以批量檢查和執(zhí)行安全基線；通過(guò)安全日志管理中心，可直接查看各個(gè)安全設(shè)備的日志，快速進(jìn)行故障排除；通過(guò)外發(fā)流量管理系統(tǒng)精細(xì)化管理對(duì)外訪問(wèn)的流量。

甲方安全運(yùn)營(yíng)的未來(lái)

我們期望可以在一個(gè)平臺(tái)上集中安全能力，輸出安全服務(wù)，安全管理運(yùn)營(yíng)平臺(tái)除了上面有提到的功能，其實(shí)還有很多其他的功能，例如針對(duì)領(lǐng)導(dǎo)、研發(fā)、測(cè)試、運(yùn)維和安全等不同崗位提供不同視角的安全大盤，讓不同的人員可以直觀的看到自己關(guān)心的安全內(nèi)容。

圖 8 ：一起期待詩(shī)和遠(yuǎn)方

我們?cè)诩追狡髽I(yè)要做的不僅僅是建立一個(gè)安全體系，更應(yīng)該去運(yùn)營(yíng)一個(gè)安全生態(tài)，讓安全成為企業(yè)的生產(chǎn)力，成為甲方企業(yè)文化的一部分。甲方企業(yè)安全建設(shè)任重而道遠(yuǎn)，仍需砥礪前行，跨過(guò)當(dāng)下的黑暗和茍且，讓我們一起期待詩(shī)和遠(yuǎn)方。

參考資料：

1.Microsoft 安全開(kāi)發(fā)生命周期：https://www.microsoft.com/en-us/SDL

2.OWASP DevSecOps Studio Project：https://www.owasp.org/index.php/OWASP_DevSecOps_Studio_Project

團(tuán)隊(duì)介紹

中通信息安全團(tuán)隊(duì)是一個(gè)年輕、向上、踏實(shí)以及為夢(mèng)想而奮斗的大家庭，我們的目標(biāo)是構(gòu)建一個(gè)基于海量數(shù)據(jù)的全自動(dòng)信息安全智能感知響應(yīng)系統(tǒng)及管理運(yùn)營(yíng)平臺(tái)。我們致力于支撐中通快遞集團(tuán)生態(tài)鏈全線業(yè)務(wù)（快遞、快運(yùn)、電商、傳媒、金融、航空等）的安全發(fā)展。我們的技術(shù)棧緊跟業(yè)界發(fā)展，前有 React、Vue，后到 Golang、Hadoop、Spark、TiDB、AI 等。全球日均件量最大快遞公司的數(shù)據(jù)規(guī)模也將是一個(gè)非常大的挑戰(zhàn)。我們關(guān)注的方向除了國(guó)內(nèi)一線互聯(lián)網(wǎng)公司外，也關(guān)注 Google、Facebook、Amazon 等在基礎(chǔ)安全、數(shù)據(jù)安全等方面的實(shí)踐。