阅读提示:本文约2625个字,建议阅读时长6分钟。
作者 | 高鹤 小米安全运营中心负责人
说到运营,很多人都想到的是非技术方面的工作,策划活动发布新媒体文章等等,但是对于安全运营来说,其实是安全技术和非技术的融合。下面就小米在安全运营中的落地和实践与大家分享。首先从几个角度对安全进行解释。拿安全里面比较适用的两个理论:木桶理论,一个木桶盛水的多少,并不取决于木桶上最高的那块木板,而恰恰取决于木桶上最短的那块,公司业务中怎样找到最短的那块木板,怎样去发现,并通过什么方式进行弥补,这对于研发、运维、产品都是无法察觉到的,这时就需要有其他人去对一个业务的整体安全进行把控,了解业务中所有木块的情况,找出到底哪块是薄弱的点,协助安全建设弥补它的短板。冰山理论,具体含义是:我们能看到的只是表面很少的一部分,更大的一部分却隐藏在更深的层次。类比业务安全,一个安全漏洞发生后,我们表面看到的只是一个简单的漏洞,联系业务去修复即可,但是这个漏洞的产生,一定是由于研发人员在开发时未关注到技术点,或是由于安全意识的缺失等其他方面的原因,或是安全防御过程中忽略的点,这些原因才是真正需要去挖掘和解决的,单纯一个漏洞只是一个表象而已。除了理论指导,在实际的安全建设中,很多企业也会遇到以下这些问题:安全建设是好是坏?我们做的扫描器、waf、hids等具体在业务中的效果如何?这些工具已经覆盖了网络防御、系统安全、应用扫描,为什么还存在这样那样的问题?业务要高速发展,安全不断报漏洞,还限制业务上线,业务和安全该怎样进行结合?对于安全工作的成果怎样展示给老板看?将这些问题抛给安全建设的技术人员,很难回答,抛给非技术的运营人员,也很难知道安全建设用到的技术到底哪里出现的问题,如何进行优化和改进。以上两个理论和实践中遇到的这些问题,都说明应该有安全建设和业务之间的协调者,不但可以对安全建设中的工具系统了解比较情况,而且还对各个业务中遇到的安全痛点、安全需求有很好的沟通能力,这就催生了新的工作内容——安全运营。1、支撑和反馈安全建设的能力,通过运营来发现安全建设中的弱点不足,反馈安全建设、安全系统不断优化。2、安全问题的收敛,包括对业务不断的深入沟通、深入了解,发现业务中的安全痛点和问题,对问题进行分析、诊断、发现症结所在,通过技术的方式去解决问题。3、技术和非技术的融合,需要将技术进行不断的完善,发现更多的问题,另一方面在非技术上将安全的能力输出出去,推广安全的成果和理论。安全运营这个概念在网上并没有一个明确的定义,通过上述的思考和汇总,我们在小米内部对安全运营的定义是:结合技术和非技术的能力,对安全建设进行支撑和持续优化、对安全问题进行收敛,最终完成构建完善的安全体系并提升安全在业务中的品牌影响力。既然给出了定义,那么我们工作就必须有目标的设置和工作的方法论来指导。小米的安全运营的目标以及人员的要求:1、做到技术和非技术的整合和协调,在业务上完成安全闭环,推动安全左移:安全运营人员不单有安全技术的硬实力在,还需要有沟通技巧,解决问题、数据展示、项目推进等软实力的要求。2、把控整体安全建设的质量,对安全建设进行持续优化和改进,构建完善的纵深防御体系。3、将内部安全建设和工作做到规范化、标准化、提升安全在业务中的影响力。右边devsecops体系可以看做是小米内部的安全运营工作的指导,安全运营需要将sec融合到dev和ops阶段,完成整体业务的安全闭环,融合到业务的各个阶段,与dev人员、ops人员不断沟通,构造小米自己的devsecops体系。小米安全运营理念在devsecops上的实践,包括了需求和设计阶段,编码、编译阶段、测试验证阶段、预发布、发布、预防、检测、响应、预测、适应等各个阶段,每个阶段都部署对应的工具集来指导业务,每个阶段都有安全进行介入,包括收集每个阶段业务遇到的安全问题,思考是否可以通过安全建设的方式解决,在每个阶段推广安全建设中的工具和安全系统、安全制度、安全文档等,来观察安全建设在业务每个阶段的具体实施效果,收集问题,优化改进。在过程中小米已经形成了小米安全手册在技术上的指导文档、各种培训体系、上线流程等,在编码阶段,安全给出安全的sdk、安全加密、安全方案评估等。测试已经有了扫描、安全测试、众测等各个手段,但小米安全还有很多不足的地方,我们在不断的完善过程中。这些是每个阶段我们应该做什么,能做什么,但是安全也不能在每个阶段通过人工方式进行跟踪。因此,我们构造了小米安全平台、小米安全评估体系、数据化展示等多种方式,使得业务、安全更加容易操作和被感知到。首先是体系化。针对业务应该做什么,在项目的前期、中期、后台我应该怎么做这些问题,我们有一个流程指导。上图只是流程大概的脑图展示,过程中需要专职专人负责,每一块都有专门的安全人员进行对接,并且按照流程进行。流程化的东西使得每一步都有记录跟进、处理,每个人也容易把自己的工作做到闭环。其次是平台化建设,包括了小米安全工作平台,包括发现、监控、响应、感知、预警、管理等等,安全运营人员只要登入平台就能完成各项工作。第二个是米盾防御平台,包括了安全代理、waf等一系列提供给业务使用的工具平台,通过这个平台,我们对waf、代理的运营可以深入到业务,收集业务中遇到的问题和需求可以反馈到安全研发人员,不断提升和改进,第三个是风控平台,有些业务的安全问题不是技术能解决的,就需要风控的手段来防御处理。最后是数据化平台建设,通过对运营过程中产生的数据进行图表化的展示,一方面能很好的展示出安全建设的运营效果,反向反映出安全建设的能力;另一方面可以通过对漏洞数据的汇总分析出业务部门的短板在哪,可以针对业务部门的短板进行弥补升级和优化等。以上是小米在平台化、规范化和数据化的一些尝试,把安全运营的理念通过这些平台融入到里面,可以更好地展示安全运营的工作成果和能力。扫描二维码进入360宙合威胁检测分析平台,为您提供免费、安全、可靠的数据包威胁检测服务。
获取更多精彩
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
360安全应急响应中心
关注网络尖刀微信公众号
