“別人家的安全”是安全威脅情報（微信ID：Threatbook）近期推出的一檔專欄。

合規、管理、構建、應急……安全問題千千萬，層出不窮。我們沒辦法給出這些問題的標準答案，但我們可以用Case Study的形式，讓你看看“別人家的安全”。

本期主角：汽車之家 安全團隊負責人 紀舒瀚

Q：在你加入汽車之家后，你面臨的安全環境是什么樣的？

A：我來到汽車之家的時候，正值汽車之家10周年。

一方面，當時的汽車之家對于安全的需求其實是全方面的。那一年正好是各種APP都在運營推廣，對于移動上的安全加固就有很強的需求，此外就是對網站的要求，比如網站是否安全，有沒有人黑我們，等等。

另一方面，作為一個上市公司，汽車之家合規性的安全需求都已經滿足了，但當時汽車之家的安全工作是比較分散的，代碼安全相關的，讓開發測試去做，運營安全就讓運營團隊去做……安全的工作是分開的，解決事情大部分是case by case，并沒有非常完全地按照體系去建設自己的安全框架。

還有一方面就是其他團隊對于安全的了解也不多，比方說新業務上線，技術團隊理解的安全就是讓我們去幫著測試一下，別被人黑了就完事兒了。基本是這樣的。

Q：那么，面對這樣的環境，你是怎么開展工作的呢？

A：其實我剛做工作交接的時候，所有的安全問題都是以Excel和Word文檔的形式交給我的。所以當時的情況是，安全團隊現在有多少工作要做，不知道；有多少風險，也不知道。很多東西都是未知的，挑戰可以說非常大 。

所以當時我也沒急著開干，我先做了這么幾個事：

第一是讓整個團隊內部了解、認可安全的重要性；第二是了解下公司的工作方式風格；第三是對整個公司現在的業務形態、技術框架、可能存在的安全風險問題的現狀摸了一下底。

摸底是在甲方做安全的時候比較獨有的一個特征，因為你要了解到整個公司的工作模式是什么樣的，這樣才能做出更有效的安全規劃。

Q：經過一番摸底后，你是怎樣設想汽車之家的安全框架的？

A：我當時的想法是我要先做一個三年的規劃，三年之后，汽車之家的安全框架能達到什么程度，我心里會有一個預期，根據這個預期再想好每一年要做什么，再去組建團隊。

尤其是問題比較多的時候，要先制定一個計劃，有節奏地“及時止損”，長期來看就要有一個可持續的計劃，比如三年以后的安全狀況比現在好在哪里，或者保持安全團隊的前沿技術能力等等。甲方安全負責人就像一個老中醫，雖然發現很多問題，但是不能case by case就結束了，需要用一整個體系去“調養”，過一段時間你就會發現，之前發生的一些類型的問題，已經被調理好了。

具體來算的話，我們第一年是一個從0到1的過程，首要任務是提高對安全風險的感知能力，所以如果要畫出安全的基本框架，就需要明確我們幾個網絡的邊界。我們當時是把辦公網、生產網、公網的一些框架明細劃分出來了，然后對邊界的一些地方去做加固。

在劃分和加固邊界的同時，我們也著手對公司的資產進行清點，我們用一年多的時間研發了一套Agent，用來部署在終端上。此外，還對安全風險進行了可視化，我們研發了一套可視化的軟件，可以通過各個維度去檢測業務，了解整個安全風險的現狀，這樣就不需要再用Excel或者Word文檔來記錄了。

第二年我們主要是把Agent部署在生產端的服務器上，并穩定運行，通過運行Agent，我們對公司的資產情況了解得更加清晰，對于一些資產死角也進行了清理，解決了一些相應的安全隱患。

今年我們主要就開始在做辦公網的安全。因為現在很多入侵生產網的行為都是從入侵辦公網開始的，所以需要做風險前置，在辦公網里首先把問題發現，也會開始嘗試去做一些類似統籌的工作，目前我們在研發TIP（Threat Intelligence Platform），同時會結合SOC和TIP的數據讓數據沉淀更有針對性，就變成了汽車之家自建大安全中心的重要組成部分。未來我希望能用威脅情報去匹配我們公司所有的節點，然后定位出哪些點曾經被這個東西去感染過或者是影響過，這樣能夠精準定位到每一個問題點，把這些信息關聯起來的話，就能夠量化整個公司的資產情況，甚至能對可能的問題點做出預測，讓安全更清晰、智能。

（TIP長什么樣呢？看上面）

Q：從剛剛的講述中，能夠發現汽車之家的安全正在從被動防御變為主動監測，這是新的安防趨勢嗎？

A：之前我們可能去買一些IDS、WAF、防火墻，通過一些硬件、或者是通過完全防御的思維來做安全，只是為了“防防防”，但是防御到一定階段的話，天花板就非常低了，投入非常多，但是真正帶來的產出未必會很高，所以做企業安全，檢測和響應會更加重要，比方說我們的服務器是一個黑盒子，我在黑盒子里可以去布很多點來發現問題，根據這些問題我們能夠及時報警、自動化處理，這樣就形成了一個閉環，跟APT攻擊打一個時間戰，及時止損。

Q：檢測和響應正是Gartner連續三年提出的“自適應安全”中較為重要的兩個象限，那么實現自適應安全的難度在哪里？汽車之家又做了哪些自適應方面的實踐呢？

A：說到自適應安全就要說威脅情報，很多甲方在做威脅情報，但其實大家可能對情報的做法和理解都不太一樣。完全自動化的、人工智能識別風險，要做到非常難。做自適應安全需要土壤，公司體量非常大的時候，業務非常復雜，做起來前期的付出會更多一些。網絡環境復雜的話，資產信息都很難搞清楚，而搞不清楚的資產信息將會成為安全框架中最短的那塊木桶板。

具體來說，汽車之家做自適應安全，首先需要非常多的監控點，在生產網的異常樣本、登錄日志、郵件網關、辦公網出口流量等各種信息，都需要去做采集。但是實際上，國內的互聯網公司很難做到從員工的設備上采集信息，我們去年曾經嘗試從員工自己的PC和手機采集，但是預裝agent必然會影響員工體驗，一定程度上會增加公司的投入。在資產清點完成以后，我們會把威脅情報的體系建立起來，用威脅情報去作為具體操作的準繩。現在的情況是，我們對生產網的一些監控已經有一定的能力了，包括關鍵配置文件、一些軟件我們都會監控，針對信息泄露這一點，我們也已經做了一些防備。

自適應安全我們在嘗試去做，聚合內部資產信息和威脅數據，結合模型算法去實施一些自動化的響應工作，以便及時發現風險，為企業止損。此外我們還會訂閱一些漏洞信息。所以遇到突發情況的時候我們相對比較從容，比如WannaCry爆發的時候，我們通過運用威脅情報驅動的應急響應機制，對開關域名（Kill Switch）持續監測與更新，有效控制了威脅指數級擴散，為應急響應團隊與黑客對抗中贏得了寶貴的時間。從而實現對威脅快速控制與修復，保障企業全網零加密事件。

Q：從您在汽車之家的從業經歷來看，您認為現在的安全從業者應該提升自己哪些方面的能力？

A：首先是要提升安全分析能力。多層次的持續監控，包括網絡、終端、應用程序和用戶活動，這些將不可避免地產生大量數據，沒有適當的分析，大數據帶來的將僅僅是大噪聲。通過以上的內部環境數據、結合外部威脅情報，可以采用多重的分析技術（包括：啟發式、統計分析、機器學習、可視化等等），最終提供可操作的“可發現”的能力，讓失陷事件更及時地被我們發現。

第二就是威脅情報能力。威脅情報是很多甲方在做的安全項目之一，我認為未來會是一個剛需。它是預測階段的主要工作，也是防御、檢測過程的基礎，貫穿整個過程。威脅情報不僅是提供IP、域名、網址、文件等的可信度，更可以使企業深入了解攻擊者、攻擊目標和攻擊方法，進而在如何保護自身系統和信息上獲得具體指導。所以，如何利用威脅情報去輔助自己的SIEM、SOC等系統、以及如何提高對威脅情報的響應、處理能力，也是我們需要做的。

第三，如果你是安全團隊的管理者，可能還要注意把團隊管理和新的安全趨勢結合起來。比如汽車之家的安全團隊在評定工作中，引入了MTTD（平均檢測時間）和MTTR（平均恢復時間）兩個指標。

原文發布時間為：2017年7月21日

本文來自云棲社區合作伙伴至頂網，了解相關信息可以關注至頂網。