结果导向的安全运营

0x00 Referer

个人学习笔记，摘录于美团基础安全负责人 赵弼政/职业欠钱，详情请 点击查看

0x01 安全运营是什么？

运营就是对运营过程的计划、组织、实施和控制，是与产品生产和服 务创造密切相关的各项管理工作的总称。从另一个角度来讲，运营管 理也可以指为对生产和提供公司主要的产品和服务的系统进行设计、 运行、评价和改进的管理工作。

——百度百科

为了实现安全目标，提出安全解决构想、验证效果、分 析问题、诊断问题、协调资源解决问题并持续迭代优化的过程。

——《我理解的安全运营》

特质：

• 跟传统安全工程师的区别：对目标负责，而不仅是对技术痴迷
• 有强烈的对目标负责和结果导向意识，并且极具技巧的达成了目标，就是一个有运营意识和能力的安全工程师并不是非得专门设置一个安全运营岗位
• 醉心攻防技术本身不愿意为最终结果负责，只想提供核心技术的专业人才同样值得尊重。只是需要有人配合完成他不愿意、不擅长完成的部分，共同达成目标

0x02 如何评价安全工作的好坏？

2.1 入侵检测

• 技术沙盘的完备性？

• 蜜罐、HIDS、NIDS、EDR、WebIDS、RASP

• 技术/概念的先进性？

• 用户态 vs 内核态 特征工程 vs 机器学习

• 攻击场景的覆盖度？

• ATT&CK

• 酷炫的地图炮？

• 态势感知、威胁情报、SOAR、NG-SOC

2.2 SDL

• 自研/开源黑白灰盒组件/SDK？
• 主动发现的数量 /比例高？
• CVE/Paper/CTF？
• 外报漏洞少？
• 人均代码多？
• 培训的次数多？

2.3 入侵：反正就是发现不了

• 后台规则引擎正好没工作
• 这台机器的HIDS似乎有bug， 日志没回传
• 这一台机器恰好没安装 HIDS
• 误报太多了，看不过来，其实已经告警了
• 看过了当成误报了

2.4 漏洞：遗漏是难免的

• URL不在库中
• Cookie认证不通过
• 调度引擎Bug了
• 爬虫引擎Bug
• Post 类URL不敢扫
• 插件异常

0x03 安全怎么做？

基本要求

• 说得清要达成的目标，解决的思路，符合逻辑
• 量化出评价的方式，跟踪趋势
• 分析得清主要矛盾
• 坚持复盘、迭代优化

以入侵检测为例

目标管理/量化评价

1. 防止对互联网开放的服务被利用：SSH/RDP、Redis、Jenkins/Tomcat/OpenFire/、VPN、代 理
2. Web应用漏洞：RCE、上传漏洞、SSRF、命令执行/注入漏洞
3. (钓鱼、水坑、社工)员工账号失窃、设备感染恶意木马
4. 供应链攻击(Xcode、Xshell、Putty、Pip、CCleaner、供应商/开发商/外包/客服)
5. 公共存储平台泄露内网接入信息(GitHub、网盘、知识管理工具)
6. WiFi、有线网络
7. 边界网络设备、影子系统(IoT、嵌入式设备)

解决思路的逻辑

1. 加固：减少攻击面
2. 感知：数据采集、模型建设告警/部署商业产品
3. 欺骗：蜜罐

主要矛盾

1. 禁止一切非业务端口对外开放
2. 安全域隔离

0x04 安全运营的一些心得

• 安全责任归属：业务是安全主责
• 安全推动配合度问题：区分态度和能力问题、数据晾晒
• 正确表达安全诉求：说人话
• 安全高层支持：对标最佳实践
• 事件驱动的利弊：塞翁失马焉知非福
• 安全宣导：以终为始、全民战争