李晨  北京中熙正保遠(yuǎn)程教育技術(shù)有限公司安全專(zhuān)家

　　第一，甲方安全價(jià)值。

　　做了這一塊的簡(jiǎn)單整理，我估計(jì)大家刷朋友圈的時(shí)候已經(jīng)占滿了微信朋友圈。從2017年開(kāi)始整理，第一塊是勒索病毒，2017年對(duì)政府行業(yè)、能源、銀行各個(gè)機(jī)構(gòu)造成了比較大的影響。當(dāng)時(shí)我還在車(chē)聯(lián)網(wǎng)行業(yè)，其中被政府的機(jī)構(gòu)叫去處理相關(guān)問(wèn)題。這一次也是在歷史上有大規(guī)模的攻擊，對(duì)整個(gè)甲方敲醒了警鐘，包括后期大家逐漸認(rèn)清了勒索病毒的可怕性。

　　2018年做安全這塊記憶猶新，Gitialb達(dá)到1.35高峰值的流量，幸運(yùn)的是運(yùn)營(yíng)商很快對(duì)端口做了封堵，沒(méi)有把病毒蔓延下去。再就是數(shù)據(jù)安全這塊，華駐是經(jīng)典的案例，后期的應(yīng)對(duì)方式是比較完善的，前期做的稍微參差不齊。我記得在2014年、2015年12306陸續(xù)出現(xiàn)問(wèn)題，包括2018年底出現(xiàn)數(shù)據(jù)謝列，這一次波交給了軟件。像我們公司有電商的業(yè)務(wù)，618也是重要的，在上線前把活動(dòng)的安全性檢測(cè)好。據(jù)說(shuō)，最近剛發(fā)生的易到用車(chē)也是遭到了應(yīng)用層的攻擊，具體還沒(méi)有進(jìn)一步去調(diào)查。所以這些東西是老生常談的安全價(jià)值，沒(méi)事會(huì)在朋友圈刷屏的東西。

　　很多初到甲方或者是廠商的朋友上來(lái)跟大家聊要合規(guī)、要支持2.0，支持網(wǎng)絡(luò)安全法，天天給CEO老大去洗腦，網(wǎng)絡(luò)安全不做要蹲監(jiān)獄，老板可能也不會(huì)在意這個(gè)東西。最近數(shù)據(jù)安全這塊受到國(guó)家的重視，六一兒童節(jié)出了兒童信息保護(hù)征求意見(jiàn)稿。這一塊可能是大家在做甲方安全給領(lǐng)導(dǎo)去灌輸為什么做安全的思路。

　　可能有一部分同學(xué)跟我一樣技術(shù)出身，到了甲方開(kāi)始挖洞，要自己打自己，我就可以越權(quán)幫別人支付憑單，可以改變別人的性別。在領(lǐng)導(dǎo)看來(lái)，第一個(gè)，業(yè)務(wù)影響非常的有限。第二個(gè)，你給我講什么高大上的東西也不一定聽(tīng)得懂。很多人在領(lǐng)導(dǎo)得到的反饋是安全挺重要，但最后還是沒(méi)有作為。

　　接下來(lái)說(shuō)一下個(gè)人在整個(gè)企業(yè)安全過(guò)程當(dāng)中應(yīng)該怎么樣去跟領(lǐng)導(dǎo)灌輸這些東西。越往高層去走更偏向于業(yè)務(wù)、偏向于戰(zhàn)略、偏向于實(shí)際應(yīng)用，很多東西結(jié)果與導(dǎo)向業(yè)務(wù)結(jié)合。前段時(shí)間有同學(xué)問(wèn)我說(shuō)，我要去推等保，但怎么跟領(lǐng)導(dǎo)說(shuō)等保特別重要？緊緊依靠國(guó)家推行的網(wǎng)絡(luò)安全法不一定哪一天會(huì)查到你們企業(yè)頭上，尤其是像我們中小型企業(yè)，不像BAT、TMT大的公司，中小型企業(yè)很多全是靠幾個(gè)人壘起來(lái)的安全壁壘，非常的脆弱，這塊投入相對(duì)有限。大家在推合規(guī)的時(shí)候建議以業(yè)務(wù)為基礎(chǔ)，有一些業(yè)務(wù)上的合作。比如說(shuō)，我以前是做車(chē)聯(lián)網(wǎng)出身的，可以跟交通部有很多的合作，各地的交通部是有等保要合規(guī)的，起碼政府機(jī)構(gòu)這一塊做的不錯(cuò)的。在業(yè)務(wù)對(duì)接的時(shí)候，他們會(huì)明確的提出來(lái)，我們是等保三個(gè)系統(tǒng)，如果你的系統(tǒng)是等保二級(jí)，你的數(shù)據(jù)是不應(yīng)該跟我對(duì)接，或者不應(yīng)該把我的數(shù)據(jù)拿過(guò)去，我懷疑你的安全體系建設(shè)有問(wèn)題。

　　像我現(xiàn)在是做在線教育，前一段時(shí)間去出差與當(dāng)?shù)氐母咝：献?，現(xiàn)在學(xué)校也已經(jīng)被當(dāng)?shù)氐木W(wǎng)安嚇得夠嗆，天天被約談，說(shuō)網(wǎng)絡(luò)安全、信息安全怎么建設(shè)。他們對(duì)我們也提出了很大的要求，到什么樣的程度才可能有接下來(lái)進(jìn)一步業(yè)務(wù)的合作。一旦貼合到業(yè)務(wù)，告訴領(lǐng)導(dǎo)業(yè)務(wù)能夠幫你去完成這個(gè)項(xiàng)目能幫你掙錢(qián)，領(lǐng)導(dǎo)可能接下來(lái)會(huì)有相對(duì)的安全投入。

　　天天跟別人說(shuō)，別人家的網(wǎng)站又被勒索了，天天說(shuō)這家網(wǎng)站又被攻擊了，很少有發(fā)生在自己身上的，不打到自己身上不疼這一點(diǎn)是肯定的。所以說(shuō)，可以跟領(lǐng)導(dǎo)引申聊一下核心數(shù)據(jù)，核心數(shù)據(jù)到底在哪里，到底安不安全。財(cái)務(wù)業(yè)務(wù)部門(mén)這塊被加密勒索領(lǐng)導(dǎo)沒(méi)下一步的招，把領(lǐng)導(dǎo)去代入到真正的業(yè)務(wù)場(chǎng)景當(dāng)中。前一段時(shí)間有人把B站的源碼放到網(wǎng)上，造成了很多大規(guī)模的反響，自己公司也有相關(guān)的問(wèn)題，剛?cè)肼毜臅r(shí)候發(fā)現(xiàn)了公司有相關(guān)的代碼被傳到APP上去。如果去跟領(lǐng)導(dǎo)說(shuō)源碼被傳上去了，大部分的源碼沒(méi)有那么的核心、那么的重要，重要的點(diǎn)在哪？在里面找的數(shù)據(jù)庫(kù)賬號(hào)密碼或者是關(guān)心的能夠越權(quán)拿到核心數(shù)據(jù)，這時(shí)候是領(lǐng)導(dǎo)業(yè)務(wù)更加關(guān)心的。當(dāng)時(shí)跟領(lǐng)導(dǎo)去講泄露了會(huì)影響到學(xué)員，領(lǐng)導(dǎo)講挺重要，這一塊加強(qiáng)。

　　內(nèi)容安全，尤其是在今年的時(shí)候被國(guó)家抓的非常緊，最近又在去推這一塊，只要論壇上有不法言論黃賭毒很快被國(guó)情部關(guān)停，這一塊影響真實(shí)的業(yè)務(wù)?？偨Y(jié)一下，不要平時(shí)老給領(lǐng)導(dǎo)灌輸支持等保，國(guó)家必須要求做等保，領(lǐng)導(dǎo)可能會(huì)問(wèn)你不做怎么辦？找一下頭條、找一下朋友圈，一翻罰200塊錢(qián)，那領(lǐng)導(dǎo)說(shuō)做等保多少錢(qián)？200萬(wàn)，那罰200塊錢(qián)吧。可能要跟業(yè)務(wù)掛鉤，這一塊更有說(shuō)服力。

　　第二，安全建設(shè)思路。

　　第一點(diǎn)，先去梳理風(fēng)險(xiǎn)，評(píng)估風(fēng)險(xiǎn)、評(píng)估脆弱性。從底下往上看是簡(jiǎn)單到難的過(guò)程，最簡(jiǎn)單防護(hù)邊線，最近有很多的朋友聊這塊又被黑、又被挖礦，怎么老是攻擊？我跟他說(shuō)，你先梳理你的互聯(lián)網(wǎng)邊界，在人數(shù)少、投入資源少的時(shí)候去縮小被攻擊的面，最好有效的防護(hù)措施。我們有一個(gè)領(lǐng)導(dǎo)做法還是非常霸氣的，很多年前有想過(guò)，在注冊(cè)的時(shí)候可能會(huì)上傳頭像、營(yíng)業(yè)執(zhí)照這些東西，大家都在去嘗試怎么能夠上傳木馬文件。說(shuō)實(shí)話，上傳上來(lái)執(zhí)行不了沒(méi)有太大作用，但是領(lǐng)導(dǎo)不懂安全，對(duì)這一塊也是非常頭疼、也是非常擔(dān)心的。他做了一個(gè)決定說(shuō)直接把注冊(cè)入口關(guān)了，這其實(shí)也是縮小攻擊面臨的方式方法，也要跟大家的業(yè)務(wù)貼合。當(dāng)時(shí)我們的注冊(cè)是可以根據(jù)郵件注冊(cè)，注冊(cè)量比較少，這是縮小攻擊面。

　　說(shuō)到這里，還包括邊界的設(shè)備。大家可能有防火墻，ADS抗擊設(shè)備都在外面，設(shè)備的風(fēng)險(xiǎn)點(diǎn)也是有問(wèn)題的，也是需要去關(guān)注的。當(dāng)時(shí)梳理的時(shí)候有一臺(tái)是安全設(shè)備，不知道是哪年買(mǎi)的，可能之前有，一直掛在外面。因?yàn)檫@臺(tái)安全設(shè)備自身存在漏洞被別人進(jìn)來(lái)的，所以邊界一定要處理好。再往上是PC服務(wù)器，像弱口令、賬戶、補(bǔ)丁管理，前一段時(shí)間剛曝的0708漏洞。當(dāng)時(shí)很快第一天已經(jīng)開(kāi)始逐漸的修復(fù)，大概也就兩三天的時(shí)間實(shí)現(xiàn)全面的掃描。當(dāng)時(shí)跟運(yùn)維團(tuán)隊(duì)做了簡(jiǎn)單的溝通，工具沒(méi)有很快的出來(lái)，運(yùn)營(yíng)團(tuán)隊(duì)問(wèn)我產(chǎn)生這個(gè)東西著急嗎？說(shuō)實(shí)話，這個(gè)東西比較重要，但不一定特別急，互聯(lián)網(wǎng)上沒(méi)有直接里工具出來(lái)，但肯定會(huì)出來(lái)，建議你們現(xiàn)在著手修補(bǔ)，運(yùn)維團(tuán)隊(duì)還是比較靠譜的，當(dāng)天晚上就做了。

　　再往上到應(yīng)用服務(wù)層，這一塊應(yīng)用有時(shí)候?qū)ν?、有時(shí)候?qū)?nèi)，正常情況下，很多的內(nèi)部系統(tǒng)放到內(nèi)網(wǎng)是安全的，有些人說(shuō)為了方便放到外網(wǎng)好不好？很可能被別人命令執(zhí)行以及繞口令的方式進(jìn)來(lái)。最近在想大部分的攻擊無(wú)非幾點(diǎn)，上傳漏洞或者是組件自帶來(lái)的漏洞等方式進(jìn)來(lái)。這一塊也是大家需要去注意的。再往上是最近幾年一直在頭疼的數(shù)據(jù)安全，數(shù)據(jù)安全太大了，單獨(dú)拿上來(lái)可能也要講一天，在這兒簡(jiǎn)單舉了幾個(gè)例子。一個(gè)是數(shù)據(jù)接口的暴露。時(shí)間長(zhǎng)了，很多的接口在不斷的迭代，無(wú)論是最下層的編輯策略，最上層的應(yīng)用接口，大家可能一直在往上添加接口，真正去刪除、消除風(fēng)險(xiǎn)的措施還不夠，沒(méi)有意識(shí)到去做閉環(huán)，不用的時(shí)候把它關(guān)掉，這一塊也是存在問(wèn)題的。最難管的是人，無(wú)論是有意、無(wú)意的數(shù)據(jù)泄露都是很難監(jiān)控到，這一塊是業(yè)界比較一致認(rèn)可人是最難管理的，這一塊也要加強(qiáng)安全意識(shí)宣貫。

　　面對(duì)這些問(wèn)題怎么做？需要一支專(zhuān)業(yè)的安全團(tuán)隊(duì)，后面加了比較重要的角色，高層領(lǐng)導(dǎo)的支持。如果高層領(lǐng)導(dǎo)不支持，跟運(yùn)維、跟開(kāi)發(fā)對(duì)剛的時(shí)候安全不重要，先放一放吧。再往上的話，最基礎(chǔ)的安全的能力要建立在IT基礎(chǔ)能力之上，我去過(guò)幾家甲方公司，包括監(jiān)測(cè)的公司一直覺(jué)得如果IT基礎(chǔ)能力不夠，資產(chǎn)梳理不清楚，做安全一步一個(gè)坎特別難的，起碼技術(shù)角度上會(huì)遇到坎，像常見(jiàn)的系統(tǒng)是比較偏基礎(chǔ)的，需要建立起來(lái)。

　　再往上是內(nèi)網(wǎng)安全，通訊就不說(shuō)了，郵件安全是攻擊者比較喜歡去利用的。如果我是攻擊方更喜歡去拿咱們的職能管理人員賬號(hào)以及運(yùn)維的賬號(hào)。曾經(jīng)跟領(lǐng)導(dǎo)溝通過(guò)，你有沒(méi)有考慮過(guò)運(yùn)維總監(jiān)郵箱密碼被盜是什么后果？郵箱里邊有多少密碼？總監(jiān)說(shuō)從來(lái)不在郵箱里邊發(fā)密碼，從來(lái)不會(huì)把密碼放到郵箱里發(fā)給別人。后來(lái)大領(lǐng)導(dǎo)拍，你不會(huì)給別人發(fā)密碼，你發(fā)密碼的時(shí)候別人不會(huì)抄你嗎？這個(gè)數(shù)據(jù)多多少少一旦時(shí)間長(zhǎng)都會(huì)有。

　　內(nèi)部辦公系統(tǒng)，前幾天有人說(shuō)（英）又被鎖，你不能光內(nèi)網(wǎng)。（英）稍微好一點(diǎn)光交代了代碼層的東西，如果你的OA被干掉更多的數(shù)據(jù)被出去了。再往上Web應(yīng)用、移動(dòng)應(yīng)用以及更頭疼的是接口的相互調(diào)用。接口分為兩塊，一塊對(duì)外、一塊對(duì)內(nèi)，對(duì)內(nèi)有時(shí)候掃得出來(lái)在頁(yè)面上找得到，對(duì)內(nèi)調(diào)用老的接口很難被監(jiān)控得到的。再往上數(shù)據(jù)業(yè)務(wù)層面，剛開(kāi)始數(shù)據(jù)資產(chǎn)的收斂到收斂之后需要根據(jù)業(yè)務(wù)層面的人對(duì)接數(shù)據(jù)怎么去分級(jí)分類(lèi)。大家有通用的標(biāo)準(zhǔn)，手機(jī)號(hào)、銀行卡號(hào)，每個(gè)行業(yè)有每個(gè)行業(yè)的不同，之前在的車(chē)聯(lián)網(wǎng)行業(yè)，車(chē)主的信息、車(chē)牌號(hào)是敏感的東西，車(chē)輛行駛軌跡也是敏感的東西。像我們現(xiàn)在公司在線教育學(xué)員的信息、學(xué)員的發(fā)票、學(xué)員的地址又是敏感的信息，這一塊要控制好。再有數(shù)據(jù)加密和數(shù)據(jù)審計(jì)，尤其是數(shù)據(jù)審計(jì)這一塊，無(wú)論是外部和內(nèi)部，數(shù)據(jù)審計(jì)可以用子代或者是自己去搭買(mǎi)一些初審工具，這是內(nèi)部的。外部從應(yīng)用層面接口的調(diào)用，這些數(shù)據(jù)是否被頻繁的調(diào)用？有沒(méi)有異常的流量？這一塊也需要被審計(jì)起來(lái)。

　　面對(duì)大的體系架構(gòu)來(lái)講，怎么樣才能一步步把它做得更好、更完善一些？曾經(jīng)在2016年讀了互聯(lián)網(wǎng)安全管理書(shū)，覺(jué)得還挺不錯(cuò)的，一開(kāi)始講了需要有三張圖，第一個(gè)是架構(gòu)圖、第二個(gè)是Top（音）、第三個(gè)是業(yè)務(wù)圖。為什么需要架構(gòu)圖？作為負(fù)責(zé)人、安全管理者，可能需要有很多縱向與橫向的溝通，可能面向的是運(yùn)維團(tuán)隊(duì)和整個(gè)的研發(fā)團(tuán)隊(duì)、IT團(tuán)隊(duì)以及業(yè)務(wù)團(tuán)隊(duì)，出現(xiàn)問(wèn)題需要向哪一級(jí)了解問(wèn)題？一定要去了解清楚，包括像我現(xiàn)在做在線教育可能呼叫中心、客服中心人比較多，涉及到哪一塊數(shù)據(jù)一層層往上梳理清楚。網(wǎng)絡(luò)Top（音），出現(xiàn)故障的時(shí)候根據(jù)網(wǎng)絡(luò)Top排查故障是非常重要的。再是業(yè)務(wù)圖，安全資產(chǎn)、主機(jī)資產(chǎn)對(duì)應(yīng)到業(yè)務(wù)平臺(tái)是哪一些？最關(guān)鍵的別忘了有負(fù)責(zé)人。一定找到負(fù)責(zé)人是誰(shuí)，一旦出現(xiàn)問(wèn)題找到對(duì)應(yīng)的負(fù)責(zé)人是非常重要的。

　　有了基礎(chǔ)之后有工作需要去做，安全測(cè)試在人比較少的情況下，可以先做周期性的安全測(cè)試。比如說(shuō)，可以每個(gè)季度，甚至每半年看大家的業(yè)務(wù)量做周期性安全測(cè)試。再是加強(qiáng)迭代測(cè)試，每個(gè)企業(yè)不一樣，所以有的企業(yè)覺(jué)得時(shí)間周期長(zhǎng)，你可以慢慢來(lái)。有的像之前公司一個(gè)周迭代上百個(gè)版本，所有平臺(tái)加起來(lái)上百個(gè)版本，一兩個(gè)人、三五個(gè)人迭代不過(guò)來(lái)。在迭代項(xiàng)目過(guò)程當(dāng)中一定要去把控好大版本的迭代，包括618或者是新的功能、新的平臺(tái)上線要加強(qiáng)。再有如果真的自己忙不過(guò)來(lái)，可以去借助第三方的能力。

　　拿自己舉例，我們一共有18個(gè)平臺(tái)，可能面向開(kāi)發(fā)人員就那些，無(wú)論是開(kāi)發(fā)人員忽悠、代碼的忽悠，最終可能會(huì)導(dǎo)致一個(gè)漏洞在一個(gè)平臺(tái)上出現(xiàn)可能會(huì)在其他各個(gè)平臺(tái)上出現(xiàn)。目前這個(gè)問(wèn)題是我們?cè)谶@兒通用的，在做第三方安全測(cè)試的時(shí)候?qū)嶋H擼，然后發(fā)現(xiàn)其他平臺(tái)上也會(huì)出現(xiàn)這個(gè)問(wèn)題，那就出現(xiàn)了事半功倍的作用。

　　再有是安全運(yùn)維，自有的安全防護(hù)設(shè)備要用好，今天來(lái)之前有同事說(shuō)上（英），一上整個(gè)業(yè)務(wù)線就斷了，前期沒(méi)有做好安全測(cè)試。很多都喜歡做開(kāi)元工具，有些開(kāi)元的工具方便、好用、成本低、性價(jià)比比較高，包括牛的企業(yè)有自己的安全開(kāi)發(fā)團(tuán)隊(duì)給自己搭了，這一塊有系統(tǒng)運(yùn)維，再就是安全響應(yīng)，出現(xiàn)故障的時(shí)候怎么樣去應(yīng)急？當(dāng)時(shí)定了一套基礎(chǔ)的應(yīng)急響應(yīng)手冊(cè)，老大給我們講的非常明白，說(shuō)你把所有的安全事件全都給我分好類(lèi)，全都告訴我這一個(gè)事件一步一步怎么去查，告訴運(yùn)維應(yīng)該怎么去做，你就完全把所有運(yùn)維團(tuán)隊(duì)的人當(dāng)傻子就可以了，只要能按照你的手冊(cè)一步一步去調(diào)查這是什么原因，怎么去解決就OK了。說(shuō)實(shí)話，做這個(gè)東西真的特別難，但是反過(guò)來(lái)想也不是沒(méi)有道理。我是一直在完善優(yōu)化過(guò)程當(dāng)中這個(gè)東西，不會(huì)列全，列全很多（英）人就可以下崗待業(yè)了。這一塊也是需要大家去換位思考的，運(yùn)維團(tuán)隊(duì)真的沒(méi)有像你這么專(zhuān)業(yè)。

　　再有是賬戶審計(jì)，也是之前做的，包括我來(lái)了這家公司做的，郵箱賬號(hào)、OA賬號(hào)由兼職人員，包括是在職還是離職的狀態(tài)？這是非常重要的。再有是邊界監(jiān)控，對(duì)外資產(chǎn)暴露了哪些？現(xiàn)在很多企業(yè)很難做到實(shí)時(shí)監(jiān)控，上線業(yè)務(wù)一定知道做非常難，但其實(shí)可以通過(guò)內(nèi)部和外部?jī)蓚€(gè)段結(jié)合起來(lái)。外部，可以用類(lèi)似于其他工具，包括現(xiàn)在的一些商業(yè)產(chǎn)品，自動(dòng)化探測(cè)資產(chǎn)東西，可以去把一塊監(jiān)控起來(lái)。內(nèi)部，加強(qiáng)內(nèi)部的資產(chǎn)配置變更流程，不能讓運(yùn)維隨便上一個(gè)。

　　之前遇到一個(gè)坑，某部門(mén)上線了（英）還是Web服務(wù)，這個(gè)問(wèn)題不是單一的一個(gè)人導(dǎo)致的，它的端口影射是之前開(kāi)的，把端口影射出去了，但是那個(gè)人離職了，離職他過(guò)來(lái)之后不知道端口影射出去就開(kāi)了別的服務(wù)正好出去了，正好那段時(shí)間直接被攻擊方抓住把柄黑進(jìn)來(lái)。這個(gè)問(wèn)題不僅僅是一個(gè)巴掌的問(wèn)題，一個(gè)是邊界策略有沒(méi)有及時(shí)的去關(guān)閉，有沒(méi)有在不用的時(shí)候去關(guān)閉。去年刪了六七百?gòu)埐呗裕瑹o(wú)論是東西向、南北向，尤其是東西向這一塊很多不用的都留著。還有員工自身沒(méi)有做到基本安全基線加固能力。最后提到策略管控，無(wú)用的策略一定要及時(shí)去刪除，添加策略一定要記好在不用的時(shí)候刪除。

　　做完這些整個(gè)思路要改變，從以前被動(dòng)的發(fā)現(xiàn)業(yè)務(wù)被影響了，運(yùn)維團(tuán)隊(duì)、業(yè)務(wù)團(tuán)隊(duì)跑過(guò)來(lái)告訴你，李晨，我們的業(yè)務(wù)被干了，我們的CPU高了，緊接著開(kāi)始應(yīng)急響應(yīng)。這時(shí)候發(fā)現(xiàn)入侵已經(jīng)成功了，數(shù)據(jù)也被偷了，命令也被執(zhí)行了，這時(shí)候是被動(dòng)感知狀態(tài)，我們是被業(yè)務(wù)方或者運(yùn)維方牽著鼻子走的。這一塊去優(yōu)化，從被動(dòng)感知到過(guò)程感知一階段，首先你在攻擊我，在你攻擊我的時(shí)候感知到了你在干我、你在搞我。你在搞我的時(shí)候用各種策略、各種防護(hù)手段阻斷你攻擊的路徑，阻斷之后再去修復(fù)，這時(shí)候安全終于可以翻身農(nóng)奴把歌唱。主導(dǎo)業(yè)務(wù)體系優(yōu)化修改這個(gè)問(wèn)題。

　　這是之前列的表，大概做了簡(jiǎn)單的梳理。攻擊路徑，最基本的做資產(chǎn)探測(cè)，這一塊用比較簡(jiǎn)單的工具掃描，再是內(nèi)部錄入ID資產(chǎn)。曾經(jīng)我是把CMDP寫(xiě)了簡(jiǎn)單的腳本，資產(chǎn)變動(dòng)沒(méi)有特別的大，不會(huì)經(jīng)常去批量增加IP地址，資產(chǎn)這一塊主要是IP地址。所以每個(gè)人去導(dǎo)入一份掃描，掃描完看業(yè)務(wù)有沒(méi)有新的增長(zhǎng)和暴露出去，如果沒(méi)有新的發(fā)現(xiàn)就搞我，搞我會(huì)有日志監(jiān)控。曾經(jīng)遇到過(guò)爬蟲(chóng)爬我們的數(shù)據(jù)、批量掃我們數(shù)據(jù)的時(shí)候，可以設(shè)最簡(jiǎn)單的預(yù)值。正常情況下，一個(gè)人一分鐘看我三四頁(yè)，結(jié)果看了我一百多頁(yè)，其實(shí)是有問(wèn)題的，在發(fā)現(xiàn)中間搞我的時(shí)候阻斷。如果最后沒(méi)有發(fā)現(xiàn)進(jìn)來(lái)，主機(jī)基線以及HIDS各方面綜合的能力利用起來(lái)，檢測(cè)到你在我服務(wù)器上做命令執(zhí)行了。首先，我要防止你進(jìn)不來(lái)，進(jìn)來(lái)的時(shí)候要防止你做不了事情。如果你能做事情的，我讓你讀不了，你能讀得來(lái)拿不走，拿得走看不了，看得了用不了，所以一層層去做防護(hù)。

　　第三，安全落地。

　　講一下自己在做安全建設(shè)小的思路，自上而下管理體系、管理思路。大家也是經(jīng)常去聊這個(gè)事情，最重要的就是三個(gè)字“同理心”，我覺(jué)得同理心這塊是非常重要的。把這塊分為：垂直管理、水平管理。垂直管理是向上跟領(lǐng)導(dǎo)簡(jiǎn)單做匯報(bào)，這一塊需要有最基本的管理思路，不能總拿工程師思路跟領(lǐng)導(dǎo)去做，認(rèn)知面不是在一個(gè)層次的。第二塊貼合業(yè)務(wù)，領(lǐng)導(dǎo)最關(guān)心的是業(yè)務(wù)，怎么掙錢(qián)。向下環(huán)節(jié)需要有工程思維，在什么時(shí)間段做什么配置，在什么時(shí)間段去完成實(shí)現(xiàn)，這一塊是做工程師比較喜歡看到的東西。大家都是從基層干起來(lái)的人，都渴望著被認(rèn)可的欲望。

　　如果說(shuō)我干的很好表?yè)P(yáng)我一下，不需要給我十塊錢(qián)。但如果我干了辛苦就一句話帶過(guò)了，可能很多人覺(jué)得不爽，我干的挺牛逼的，你為什么不表?yè)P(yáng)我一下？這是垂直管理，再是水平管理。水平管理主要是跨部門(mén)，像去開(kāi)發(fā)、去運(yùn)維吐槽事情該怎么落地的時(shí)候，一定要抱著結(jié)果為導(dǎo)向的形態(tài)去解決這個(gè)問(wèn)題，這是一塊。第二塊一定要去想辦法互惠互利，曾經(jīng)有朋友跟我說(shuō)過(guò)，暗線不能不能給別人產(chǎn)生價(jià)值，怎么讓別人主動(dòng)幫你給你產(chǎn)生價(jià)值？這是互惠互利。再是組織虛擬的安全團(tuán)隊(duì)，當(dāng)時(shí)心血來(lái)潮一個(gè)人搞SDL，基本上是不可能完成的，那就做了信息安全的虛擬團(tuán)隊(duì)，在每一個(gè)業(yè)務(wù)平臺(tái)找了人，進(jìn)了半個(gè)人把這一塊落地。這半個(gè)人的作用是什么？可以知道其他開(kāi)發(fā)人員落地開(kāi)發(fā)規(guī)范，共享漏洞的修復(fù)方案。每次把大家叫一塊的時(shí)候，可能各個(gè)平臺(tái)都有漏洞，每個(gè)平臺(tái)的修復(fù)代碼會(huì)一致，再有是把案例整理起來(lái)后期送培訓(xùn)。不僅僅是編碼規(guī)則，安全培訓(xùn)體系也相應(yīng)的慢慢把這塊建立起來(lái)。安全培訓(xùn)體系不僅僅是簡(jiǎn)單的安全意識(shí)培訓(xùn)，可能包括編碼培訓(xùn)、工具的使用，讓對(duì)方真正切實(shí)的了解到我們是怎么攻擊的，他們才知道怎么去防御。說(shuō)實(shí)話，團(tuán)隊(duì)挺好的，讓每個(gè)團(tuán)隊(duì)的研發(fā)人員講了一下每個(gè)平臺(tái)的安全是怎么做的。他們是真正站在研發(fā)的角度來(lái)講安全，效果會(huì)更好、更加被認(rèn)同。

　　最后講一下SDL，及時(shí)是講因地制宜的SDL，也是刪減版之后的。微軟推SDL的時(shí)候，人家可以好幾年迭代Windows版本，我們是不可以的。很多是比肩開(kāi)發(fā)的過(guò)程，所以整個(gè)SDL會(huì)陷入沉重、冗余。抓幾點(diǎn)，安全培訓(xùn)體系的建立，無(wú)論是安全意識(shí)、安全技能，一定要去落實(shí)。再是安全開(kāi)發(fā)規(guī)范，好多人找我上線的時(shí)候要有哪些開(kāi)發(fā)規(guī)范，一百條和沒(méi)列開(kāi)發(fā)規(guī)范是一樣的效果。如果每天產(chǎn)生10萬(wàn)條告警日志和沒(méi)有產(chǎn)生是一樣的，所以要落地出來(lái)。安全測(cè)試這一塊一定較嵌入到上下游，不要讓任何版本逃過(guò)你的視線，可以不測(cè)，一定要知道。這個(gè)業(yè)務(wù)可能不是重要的業(yè)務(wù)，功能沒(méi)有太大的問(wèn)題。

　　第四，安全痛點(diǎn)與思考。

　　大家在經(jīng)常生活中會(huì)遇到的問(wèn)題，好多人跟我吐槽領(lǐng)導(dǎo)不重視安全或者是領(lǐng)導(dǎo)口頭上重視安全。每一塊都拿著16個(gè)字去總結(jié)一下，向上管理、結(jié)果導(dǎo)向、換位思考、管理思維，一定要有同理心去了解管理者領(lǐng)導(dǎo)是什么樣的性格，他想要做的事情是什么。曾經(jīng)有人問(wèn)我，如果你想做的和領(lǐng)導(dǎo)做的不一致會(huì)怎么樣？如果完全相悖勸你離開(kāi)，但有一定的角度重合度，可以先把領(lǐng)導(dǎo)的事情做完再做自己的，也不耽誤事。

　　這一塊考慮領(lǐng)導(dǎo)是怎么去想的，也有人在群里吐槽跟領(lǐng)導(dǎo)去講GDK版本的問(wèn)題或者講GDK，結(jié)果領(lǐng)導(dǎo)問(wèn)我GDK是啥。你們的理解層級(jí)一定要去了解領(lǐng)導(dǎo)是在什么樣的認(rèn)知程度上，領(lǐng)導(dǎo)可能壓根兒不需要知道什么叫GDK，也不需要知道什么叫XSS（音），這一塊跟領(lǐng)導(dǎo)去匯報(bào)他想要知道的東西。

　　第二塊是害怕背鍋，適度背鍋，強(qiáng)身健體，過(guò)度背鍋，灰飛煙滅。怎么講？大家以安全事件為出發(fā)點(diǎn)推動(dòng)安全，沒(méi)有安全事件領(lǐng)導(dǎo)永遠(yuǎn)不重視安全，一定要有適度的安全事件觸發(fā)。但如果像我的同事一樣一不小心上Buf，所有的核心業(yè)務(wù)干掉，這東西可能真的就是灰飛煙滅的結(jié)果。

　　再有是修復(fù)時(shí)間長(zhǎng)，第一個(gè)先水平管理，互惠互利，同時(shí)一個(gè)部門(mén)，沒(méi)有一堆肉解決不了的，如果解決不了兩堆肉解決問(wèn)題。如果開(kāi)發(fā)人員、運(yùn)維人員態(tài)度不好，可能需要用到垂直管理，需要去找領(lǐng)導(dǎo)這一層匯報(bào)強(qiáng)行把事情解決掉。

　　最后是人員不足的問(wèn)題，二八原則，事半功倍，從無(wú)到有，從有到優(yōu)。只有兩個(gè)人完成80%的活不難，安全最重要的是剩下的10%到20%，前期的80%是花20%的力可以解決的，包括剛才講的因地制宜SDL去做一個(gè)項(xiàng)目是可以的，做全部的SDL項(xiàng)目是難的。再有從無(wú)到有，從有到優(yōu)，先把東西推進(jìn)去，逐漸的優(yōu)化和細(xì)化，當(dāng)老板看到效果批到人再做更細(xì)化，這一塊是基本的思路。