跟大多数公司的安全团队起步时一样,同程旅游的安全团队刚开始时只有一个人,组织架构也是放在运维团队里面的。百废待兴,到底要从哪里着手呢?大家七嘴八舌地出了很多主意,有人说我们应该去买一堆安全设备,这个人就是安全设备的管理员;也有人说我们应该去做一些安全规范,这个人就是安全文档的编写者;还有人说我们应该自己挖一些漏洞,这个人就是安全测试员。这时这个安全工程师完全没有主意了,被大家说晕了。
还是胖波拍了桌子吼道:“安全是一个体系工程,我们应该将其分为基础安全、应用安全、安全测试、漏洞收集等各个方向,来建立一个完整的安全体系,而不是简单地去修一个围墙,安全是需要有纵深的。”
话这么说是没错,但是安全行业人难招啊。安全工程师在早期基本上是救火队员的角色。这边挖一个漏洞,那边报一个漏洞,再跟进研发团队进行修复,每周出一份安全周报,将本周的安全漏洞、安全进展及需要协助的地方报告给各相关项目的负责人。在CTO的鼎力支持下,早期的安全工作进展得还算顺利,虽然还是只有一个人,但是在组织架构上已经从运维部门划分出来,成立了独立的安全组(后称安全团队)。但一个人的力量毕竟有限,外部报告的漏洞越来越多,其中不乏高危漏洞,安全工程师忙得焦头烂额,疲于奔命。
没过多久就发生了一起严重的安全事故。安全工程师收到外部漏洞报告,说线上系统因为对外开放了一台空密码的FTP服务器,而这台服务器上同时运营着一套没打上最新安全补丁的监控系统,所以黑客经过一番探测之后,可以利用漏洞直接切进线上的生产环境,探测内网的信息,带来严重的威胁。
虽然是周末,但安全工程师还是拉上了部门负责人、运维、网络等团队的同事应急响应。过去因为业务需要快速上线,防火墙上的对外映射等其实是没有审批流程的,有人申请,网络团队就去执行,时间一长,已经无法理清哪些对外映射还在用,哪些已经可以关掉了。而现在出了安全事故,大家不得不坐下来慢慢梳理了,于是大家用了周末这两天逐条梳理防火墙的对外映射。尽管大多数报告漏洞的白帽子都是遵守白帽子黑客道德约束的人,但安全工程师和负责运维的同事还是对线上全网主机的日志进行了审计,以确保报告者没有做出格的事情。
事故处理完之后,大家也一起开了复盘会,讨论之后要怎么做才能避免类似事故的发生。大家首先达成了共识:之后防火墙的对外映射需要安全团队的审批,因为负责网络的同事并不能对应用做出安全评估,到底能不能做,由安全团队说了算。
于是顺理成章,第2名加入安全团队的同事是网络安全方向的,虽然之前并不是做安全的,但是拥有丰富的与网络相关的经验,以及长时间的防火墙项目实施和运维经验。防火墙相关的运维工作也从网络团队移交到了安全团队。
在早期安全团队人少的情况下,安全工程师的精力是最重要的,必须集中注意力应对最急迫的安全威胁。在预算允许的情况下,安全团队在早期可以采购些商业安全设备,比如防火墙、WAF(Web应用防火墙)等,能买的可以先买来用上,至少能为安全团队的成长赢得一些时间,规避很大一部分风险;另外,安全团队找了第三方的安全平台对公司进行了安全众测,就是在平台上召集一些可靠的白帽子,在一段时间内对公司的各个项目从各个维度进行安全评估。
P139-142