QConShanghai2013胡珀企业安全体系好心建设理论与实践.ppt

第一天 10:00 白帽子通过TSRC平台上报腾讯某站点存在struts任意命令执行0day漏洞 10:40 应急团队完成漏洞分析，掌握原理 10:50 扫描器紧急更新漏洞特征 11:40 struts站点精准快速扫描完毕，公司预警，推动修复；启动全网慢速扫描 13:00 漏洞细节在网上传播，出现PoC 16:00 网上出现漏洞exploit 18:30 自有站点全部修复 22:00 合作站点全部修复。下班 第二天 总结流程改进 * 2012：50W 2013：150W 2014：? * 1）腾讯安全应急响应中心输出内部工具、技术文章等 2）整合腾讯安全中心平台，对腾讯云平台用户提供安全服务 * 国际化带来的安全挑战 * 强强联合，共同保护企业安全、互联网用户 * 我已讲完，何不给点掌声？ * 腾讯安全体系分享 应急响应：漏洞奖励计划 未来的一些想法 分享：技术分享、安全服务 未来的一些想法 国际化：随业务国际化的安全国际化 未来的一些想法 联盟：企业安全联盟 mrhupo@ lakehu@ * 网名lake2，2002年接触网络安全，超过9年的安全经验。Web安全研究团队80SEC成员之一 07年加入腾讯，一直在安全中心从事网络安全相关工作，见证安全中心的发展和壮大 先后从事过Web漏洞扫描器、恶意网址检测、主机安全Agent等系统的建设和运营，此外还进行过安全事件响应、渗透测试、安全培训、安全评估、安全规范体系的建立 目前负责腾讯评估应急团队 * * 07年前，关注黑客攻击技术 07年后，关注安全防御 一些感悟： 攻击靠一个薄弱点，比较容易；防御的技术点要全面，往往困难。攻击仅需要技术，实施容易；防御则受限于企业大环境，实施困难 —— 知易行难 不赚钱（不重要）的业务没有安全需求，业务发展到一定阶段必然产生安全需求 安全工作涉及到推动业务进行实施安全策略，涉及到跨部门的变动，理所当然会遇到阻力，所以企业的安全团队必须得到企业自上而下的重视和支持，才能够把安全工作做好 以腾讯为例，一直以来，腾讯高层都非常重视安全问题，很多安全策略是CTO直接推动的，负责腾讯整体安全的部门（安全平台部）是与业务评级的部门，所以大部分安全策略能够得以推动实施 * 【事件驱动模式】 塞翁失马焉知非福。发生安全事件的时候，往往也是最容易推动安全工作、提升全员安全意识的时候 ·一个实例（N年前，腾讯推动业务安装主机安全Agent软件）： 1）发生黑客入侵事件 -- 应急响应 -- 总结 -- 快速推进主机安全Agent的安装 2）由于入侵事件的推动，出问题的部门上下都较为重视这块安全工作，发现黑客入侵行为的主机Agent的安装量在该部门迅速上升到100% ·可以借力外部热点安全事件，通过分析体现安全团队的专业度和提升安全团队的内部影响力，加强内部安全意识教育 * 企业面临的安全风险很多，不能眉毛胡子一把抓，要分清主次轻重，抓大放小，集中力量先解决主要矛盾 某企业的业务各个时期的主要矛盾及解决方案如下： IDC入侵 – IDC安全：清理不必要的对外端口（服务+管理）、漏洞扫描、主机安全Agent研发 内网入侵 – 办公网-生产网隔离，办公终端安全软件部署，专网专用加隔离（开发网，办公网） 客户端安全 – ActiveX安全审计、COM组件安全审计、Fuzz Web漏洞 – Web漏洞扫描器、代码安全审计 DDoS攻击 – DDoS攻击发现系统、DDoS攻击防御系统 终端漏洞 – 终端安全审计系统 * 唐太宗《帝范》卷四：“取法于上，仅得为中；取法于中，故为其下” 定位很重要！ 应急响应 = 全面保障业务发展 = 业务的核心竞争力之一 * 从事安全工作的大约 1000+ * 2006年及之前主要矛盾是黑客攻击和入侵，成立应用运维安全团队 2007年左右主要矛盾聚焦虚拟财产被盗、垃圾消息、欺诈信息，成立业务安全团队 2008年左右主要矛盾是危害信息的传播，成立信息安全团队；同时各个业务基本成立了自己的业务安全团队，负责各自业务的相关安全 2013 ？ * 成立于2005年，负责腾讯的整体安全，旧称“安全中心”，员工数200+ 主要三大块：账号安全（盗号、垃圾消息、欺诈）、黑客对抗（DDoS、漏洞、入侵）、有害信息打击（黄赌毒） * 安全建设的几个阶段 2005-2006，【救火】以事件响应为主，到处救火。团队非常忙，没有沉淀和积累，没有安全体系和流程 2007-2009，【建设】化被动为主动，逐步做安全系统来解决一类问题。系统越来越多，运营问题凸显 2010-至今，【运营】系统沉淀，关注运营效果，平台化，三大平台贯穿安全体系，所有问题都有相应平台来解决 * 安全是一个整体，需要一个过程的纵深防御 参考微软的SDL，腾讯也围绕