華文網

華數CSO葉翔:企業如何選購安全服務?

葉翔,華數數位電視傳媒集團安全管理部總經理,國際資訊系統審計師(CISA),高級工程師,曾就職於中國聯通、中國電信及中國建設銀行總部。目前負責華數集團和下屬子公司浙江華數、華數傳媒、中廣有線、地鐵電視、華數雲的網路安全、播出安全和安全生產工作。


華數集團是廣電行業的龍頭企業,科技實力和網路安全水平均處於行業領導地位。集團下屬1家上市公司,70多家廣電網路公司,擁有近3000萬數位電視使用者,全國1億以上的互聯網電視使用者和5600萬手機電視使用者。

說這麼多,安全服務還是要買。那麼我們就來談談到底市場上哪些安全服務是必須買的,哪些是可選的,買服務要注意些什麼,不要被無良商家騙了,其實被騙了錢還是小事,反正花的公家的錢,最怕是騙了錢不做事,出了事安全責任還是甲方安全部門背。

下面的分類,不是按照體系分類的,我把服務分了3個等級,初級服務一般企業都必須做,

還要週期性的做,中級服務按需採購,高級服務那就是有錢人的奢侈品。

一、初級服務

顧名思義,這是最基本的,你手下自己人可能就能做,自己人能搞定最好,搞不定就必須得買服務,這些事不做,100%出事。

1.1風險評估

風險評估主要的方法是等保和27001。如果你是一個普通的企業或者政府事業單位,那麼過等保就好了,沒有必要過27001。如果你是從事系統集成、生產製造IT產品的企業,

那麼你需要過27001,投標的時候會用到。

等保的級別一般都是有國家、行業規定的,如果能打個擦邊球,儘量往低了定,別傻乎乎往高了定,除非你就是想多花錢多拿回扣。現在還新出來個”關鍵資訊基礎設施”的規定,四級肯定是關鍵設施,三級就可以斟酌一下。對企業來說,不建議被定為“關鍵設施”,但是對全額撥款事業單位或者政府部門來說,定為“關鍵設施”比較好,

可以拿到更多的撥款。

等保測評是分省的,每個省都有公安指定的公司,各省的價格差別較大,一般不能跨省做。啟明、綠盟、安恒之類的公司並沒有資質做等保測評,他們賣的是“等保輔導服務”,就是説明你整改並通過等保。你需要掂量一下自己的水準,不是所有甲方都有實力自己過的,沒信心就買個服務吧。

三級四級等保都是要年審的,二級是系統重大改變才需要重新審核。

一般是發生了主要設備更換,重大擴容,機房搬遷,才需要重新做,否則按照慣例,3-5年做一次就可以,不要傻乎乎去年審。

1.2滲透測試

滲透測試通常被稱為漏洞掃描,要定期做,最好每週做,沒錢沒人就每個月或者每個季度做。注意分為作業系統的漏掃和WEB的漏掃,兩個都要做的。

大部分安服公司就是拿個軟體或者硬體掃一下,俗稱“機掃”,甲方也可以自己買一套來掃,隨便找個小弟摸索一下就行,操作很簡單。但難點在於掃出來漏洞後,如何指導系統管理員修復漏洞,這就很體現水準了。

負責的安服人員還會根據業務特點,做一些人工的滲透測試,但這個全憑良心,不好考核,不能要求必須手工滲透找到多少個漏洞。通常只能用獎金激勵,但如何鑒定漏洞的危險等級,又是一門學問。

如果甲方自己做“漏掃”,記得要經常更新漏洞庫噢,並要在非重要業務時段掃,避免把業務系統掃癱了。

1.3安全巡檢和加固

前面說的滲透測試主要是系統和應用層面的,安全巡檢和加固則主要是網路和系統層面。巡檢針對網路設備和防火牆、IPS等,有沒有正確配置ACL,有沒有permit all之類的配置,IPS的庫有沒有升級到最新,網路有沒有管控住,能不能繞過堡壘機直接登陸設備等。

加固服務一般指的是作業系統層面的安全基線,有沒有按照基線進行配置,有沒有打必要的補丁,通常來說我們不推薦在linux系統上安裝內核加固軟體,但是過低的linux版本對安全是不利的,如果上層應用軟體導致確實沒法升級底層作業系統,應考慮加裝內核加固軟體。

1.4應急回應和重保值守服務

這個服務你一定要買,出事了呼叫大牛過來救場。一般都是按天付費的,就算過來2小時就搞定,也得給一天的錢,誰讓你出事呢。這種服務就一條注意點,一定要買本地廠商的,外地廠商再牛B,如果本地沒有牛人,專家從北京飛過來,黃花菜都涼了。我們公司離安恒20分鐘車程,前幾天剛呼叫過一次,真的是20分鐘就到了,相當贊。好像全中國拿的出手的安全公司都在北京深圳杭州,其他城市的就自己好好考察一下吧。

這個服務其實還包含了重保期值守。比如開十九大期間,如果你的業務,特別是涉及互聯網的業務,不能關的話,穩妥期間,買個人過來坐鎮,晚上比較睡的著。

1.5安全意識培訓

這個服務其實優劣差別挺大的,有些大品牌,產品線很豐富,一年花個幾萬塊錢,小動畫,宣傳片,短劇,學習課件和考試系統,手冊,海報,展板,易拉寶,類比釣魚軟體,屏保,真的是一大堆,內容也很好玩有趣,相當贊。有些小公司,只會做個新員工培訓,弄幾張很醜的畫報,收費還不一定低。

二、中級服務

中級服務,適合安全負責人自己比較懂,願意更上一層樓的,可以嘗試一下。

2.1安全監控

2.2網路安全規劃

這個就比較高級了,我以前的文章就有講過,安全的網路源于安全的設計,重新規劃整個企業網路,劃分好VLAN,管理好互聯網出口,可以極大的提升整個企業的安全。

不過,能提供這種服務的安全公司可不多,或者找一個集成商的高級網路工程師來做這事更靠譜。

還有個難點在於,你需要先打敗貴公司的網路工程師,他可不承認他原來設計和運維的網路是不安全的,他也不願意幫你做調整。

2.3安全管理諮詢

畢竟,大部分搞安全的,都是工科生,寫安全管理的規範和制度,真是一件要命的事情。所以,最好能說動老闆,批一點錢給你,找個專業的公司幫你編寫制度規範。

不過,這個服務如果公開招標,那你的錢基本要打水漂,一定會有個公司低價中標,然後交給你一堆27001的制度範本,僅僅把標題改為貴公司…

2.4 WEB託管

你先打聽一下貴司的官網多少錢開發的,10萬以內甚至兩三萬,你覺得會有多少漏洞,買個WAF能防住嗎?這麼廉價買來的網站,我反正是沒信心。

雖然說安全責任不能轉移,但是如果把WEB伺服器託管到一個大品牌,比如阿裡雲或者華數雲啥的,出了事好歹多個人幫你背黑鍋。

另外從省錢的角度來說,你至少要買WAF、IPS、Anti-ddos,至少大幾十萬,還要培訓人來運維,託管到雲上,省心還省錢。

2.5威脅情報

這個主要指的是漏洞盒子、補天、阿裡先知等等平臺幫你關注貴公司的網站,一旦有人說貴司的網站有漏洞,第一時間獲得細節並驗證,給出解決方案,趕緊讓相關部門打補丁修復。以及,當互聯網爆發出重大威脅,比如struts又爆洞了,勒索病毒又變重了,趕緊自查專殺。

這事其實不難,找個有責任心的小弟每天去刷一下互聯網,完全可以自己幹。注意,要找個有責任心的小弟,因為他刷沒刷,你也管不過來。

2.6 APP安全檢測

如果貴司有APP,記得要買個APP安全檢測服務,這裡面分為三個步驟。

第一步是安全檢測,和網站的漏洞掃描類似,看看APP本身有什麼問題,修補漏洞。

第二步俗稱“加殼”,就是找專業機構幫你的APP加個殼,類似買了台WAF,避免被壞人嵌入病毒和廣告,傳播出去,毀你聲譽。

第三步則是管道監測,一般你只在3-5個應用市場投放你的APP。據說中國有200多個安卓市場,很多市場裡充斥著被壞人嵌入了病毒和廣告的APP,你要監測起來,禁止那些市場傳播,毀你聲譽。

三、高級服務

高級服務,必然是兵強馬壯,手有閒錢,前面的事情都做了,才開展的工作。前面那些事沒搞定的,就不要搞這些新玩意兒了。畢竟咱們搞安全,多數時候是默默無聞的,別老想著創新,喜歡創新你得去搞業務啊。

3.1代碼審計

簡單的說,就是對貴公司編寫的軟體和網站進行原始程式碼審計,看看原始程式碼有沒有邏輯上的安全問題。這是從根本上解決安全問題,是安全的最高境界。

代碼審計有自動化軟體的,但絕不是買一套跑一下就好了,跑出來的結果,開發人員很可能看不懂,看得懂的人還很難招到,所以,你得買服務,很貴的…其實貴還是其次,大部分二三線城市根本買不到這個服務。

不過沒關係,除了銀行喜歡自己開發,大部分行業自己不開發,也就談不上代碼審計。

3.2攻防培訓

這個一般的企業也沒啥用,適合大企業,培養一些“駭客”,出去打個比賽拿個名次,顯擺一下。其實我司也在組織,如何證明我司在行業內安全水準高?唯有打個比賽啊。

3.3 APT樣本分析

Advanced Persistent Threat高級持續性威脅,利用先進的攻擊手段對特定目標進行長期持續性網路攻擊的攻擊形式。卡巴斯基稱為Targeted Attack,針對性攻擊,我覺得從字面理解更加直白。

一般的企業,誰會下血本針對性攻擊你們啊。就算要針對性攻擊,完全可以用社會工程啊,花更少的錢,我就把你們公司的郵箱和OA管理員拿下,你們全公司的秘密我都能拿到,誰花那心思黑你們的系統啊。

不過,有錢就燒一下唄,買個APT檢測設備,學名叫BDS(Breach Detection System)威脅檢測系統,這種設備的部署類似ids,和ids一樣,無窮無盡的誤報。Bds每天會給你檢測出一堆疑似樣本,其實70%都是變種病毒,如果你把這些樣本存起來,過一周再用殺毒軟體查殺,基本都能殺掉。

可是,你也不能確定這些就是病毒啊,既然你已經買了bds,你就順便再買個人工樣本分析服務,可以第一時間分析出來,告訴你,不是針對性攻擊,只是個還未被收錄的普通病毒。

有人說,這有啥意義?有意義啊,萬一有人要搞我呢。再說了,我比別人早找到病毒,也可以拿來吹牛嘛。還有人說,那剩下的30%呢?誤報唄,壓根就是正常程式…

3.4雲等保測評輔導服務

這個高大上,不過我覺得這個服務其實賣不出去的。畢竟,有實力搞公有雲的企業,難道還沒有實力自己過等保嗎?

3.5眾測

其實高級服務裡,我覺得就這個最值。眾測服務是切實有效的,之前幫我們找到過一個很不錯的漏洞,就是一分錢購物,一分錢可以買我們價值幾百的電視年包。畢竟錢可以激勵廣大駭客,“機掃”是掃不出這種漏洞的。

眾測本質上還是互聯網系統或網站的滲透測試,但這次不是找安全公司做,而是邀請駭客來搞,找到漏洞,給錢,2000,5000,10000,按照漏洞的威脅程度。

眾測服務有一個難點在於如何判定漏洞值多少錢。駭客說可以通過這個漏洞重啟我的設備,我說這個不嚴重啊,我只在乎篡改,你把我網站關了我無所謂的…當然,平臺有一套科學的判定方法的,但依然還是不可避免有扯皮的。

眾測也有風險,慎用,據說有的駭客會利用此機會,大肆入侵,趁機幹點壞事。如果被抓,就說自己是受邀請來的啊…

操作很簡單。但難點在於掃出來漏洞後,如何指導系統管理員修復漏洞,這就很體現水準了。

負責的安服人員還會根據業務特點,做一些人工的滲透測試,但這個全憑良心,不好考核,不能要求必須手工滲透找到多少個漏洞。通常只能用獎金激勵,但如何鑒定漏洞的危險等級,又是一門學問。

如果甲方自己做“漏掃”,記得要經常更新漏洞庫噢,並要在非重要業務時段掃,避免把業務系統掃癱了。

1.3安全巡檢和加固

前面說的滲透測試主要是系統和應用層面的,安全巡檢和加固則主要是網路和系統層面。巡檢針對網路設備和防火牆、IPS等,有沒有正確配置ACL,有沒有permit all之類的配置,IPS的庫有沒有升級到最新,網路有沒有管控住,能不能繞過堡壘機直接登陸設備等。

加固服務一般指的是作業系統層面的安全基線,有沒有按照基線進行配置,有沒有打必要的補丁,通常來說我們不推薦在linux系統上安裝內核加固軟體,但是過低的linux版本對安全是不利的,如果上層應用軟體導致確實沒法升級底層作業系統,應考慮加裝內核加固軟體。

1.4應急回應和重保值守服務

這個服務你一定要買,出事了呼叫大牛過來救場。一般都是按天付費的,就算過來2小時就搞定,也得給一天的錢,誰讓你出事呢。這種服務就一條注意點,一定要買本地廠商的,外地廠商再牛B,如果本地沒有牛人,專家從北京飛過來,黃花菜都涼了。我們公司離安恒20分鐘車程,前幾天剛呼叫過一次,真的是20分鐘就到了,相當贊。好像全中國拿的出手的安全公司都在北京深圳杭州,其他城市的就自己好好考察一下吧。

這個服務其實還包含了重保期值守。比如開十九大期間,如果你的業務,特別是涉及互聯網的業務,不能關的話,穩妥期間,買個人過來坐鎮,晚上比較睡的著。

1.5安全意識培訓

這個服務其實優劣差別挺大的,有些大品牌,產品線很豐富,一年花個幾萬塊錢,小動畫,宣傳片,短劇,學習課件和考試系統,手冊,海報,展板,易拉寶,類比釣魚軟體,屏保,真的是一大堆,內容也很好玩有趣,相當贊。有些小公司,只會做個新員工培訓,弄幾張很醜的畫報,收費還不一定低。

二、中級服務

中級服務,適合安全負責人自己比較懂,願意更上一層樓的,可以嘗試一下。

2.1安全監控

2.2網路安全規劃

這個就比較高級了,我以前的文章就有講過,安全的網路源于安全的設計,重新規劃整個企業網路,劃分好VLAN,管理好互聯網出口,可以極大的提升整個企業的安全。

不過,能提供這種服務的安全公司可不多,或者找一個集成商的高級網路工程師來做這事更靠譜。

還有個難點在於,你需要先打敗貴公司的網路工程師,他可不承認他原來設計和運維的網路是不安全的,他也不願意幫你做調整。

2.3安全管理諮詢

畢竟,大部分搞安全的,都是工科生,寫安全管理的規範和制度,真是一件要命的事情。所以,最好能說動老闆,批一點錢給你,找個專業的公司幫你編寫制度規範。

不過,這個服務如果公開招標,那你的錢基本要打水漂,一定會有個公司低價中標,然後交給你一堆27001的制度範本,僅僅把標題改為貴公司…

2.4 WEB託管

你先打聽一下貴司的官網多少錢開發的,10萬以內甚至兩三萬,你覺得會有多少漏洞,買個WAF能防住嗎?這麼廉價買來的網站,我反正是沒信心。

雖然說安全責任不能轉移,但是如果把WEB伺服器託管到一個大品牌,比如阿裡雲或者華數雲啥的,出了事好歹多個人幫你背黑鍋。

另外從省錢的角度來說,你至少要買WAF、IPS、Anti-ddos,至少大幾十萬,還要培訓人來運維,託管到雲上,省心還省錢。

2.5威脅情報

這個主要指的是漏洞盒子、補天、阿裡先知等等平臺幫你關注貴公司的網站,一旦有人說貴司的網站有漏洞,第一時間獲得細節並驗證,給出解決方案,趕緊讓相關部門打補丁修復。以及,當互聯網爆發出重大威脅,比如struts又爆洞了,勒索病毒又變重了,趕緊自查專殺。

這事其實不難,找個有責任心的小弟每天去刷一下互聯網,完全可以自己幹。注意,要找個有責任心的小弟,因為他刷沒刷,你也管不過來。

2.6 APP安全檢測

如果貴司有APP,記得要買個APP安全檢測服務,這裡面分為三個步驟。

第一步是安全檢測,和網站的漏洞掃描類似,看看APP本身有什麼問題,修補漏洞。

第二步俗稱“加殼”,就是找專業機構幫你的APP加個殼,類似買了台WAF,避免被壞人嵌入病毒和廣告,傳播出去,毀你聲譽。

第三步則是管道監測,一般你只在3-5個應用市場投放你的APP。據說中國有200多個安卓市場,很多市場裡充斥著被壞人嵌入了病毒和廣告的APP,你要監測起來,禁止那些市場傳播,毀你聲譽。

三、高級服務

高級服務,必然是兵強馬壯,手有閒錢,前面的事情都做了,才開展的工作。前面那些事沒搞定的,就不要搞這些新玩意兒了。畢竟咱們搞安全,多數時候是默默無聞的,別老想著創新,喜歡創新你得去搞業務啊。

3.1代碼審計

簡單的說,就是對貴公司編寫的軟體和網站進行原始程式碼審計,看看原始程式碼有沒有邏輯上的安全問題。這是從根本上解決安全問題,是安全的最高境界。

代碼審計有自動化軟體的,但絕不是買一套跑一下就好了,跑出來的結果,開發人員很可能看不懂,看得懂的人還很難招到,所以,你得買服務,很貴的…其實貴還是其次,大部分二三線城市根本買不到這個服務。

不過沒關係,除了銀行喜歡自己開發,大部分行業自己不開發,也就談不上代碼審計。

3.2攻防培訓

這個一般的企業也沒啥用,適合大企業,培養一些“駭客”,出去打個比賽拿個名次,顯擺一下。其實我司也在組織,如何證明我司在行業內安全水準高?唯有打個比賽啊。

3.3 APT樣本分析

Advanced Persistent Threat高級持續性威脅,利用先進的攻擊手段對特定目標進行長期持續性網路攻擊的攻擊形式。卡巴斯基稱為Targeted Attack,針對性攻擊,我覺得從字面理解更加直白。

一般的企業,誰會下血本針對性攻擊你們啊。就算要針對性攻擊,完全可以用社會工程啊,花更少的錢,我就把你們公司的郵箱和OA管理員拿下,你們全公司的秘密我都能拿到,誰花那心思黑你們的系統啊。

不過,有錢就燒一下唄,買個APT檢測設備,學名叫BDS(Breach Detection System)威脅檢測系統,這種設備的部署類似ids,和ids一樣,無窮無盡的誤報。Bds每天會給你檢測出一堆疑似樣本,其實70%都是變種病毒,如果你把這些樣本存起來,過一周再用殺毒軟體查殺,基本都能殺掉。

可是,你也不能確定這些就是病毒啊,既然你已經買了bds,你就順便再買個人工樣本分析服務,可以第一時間分析出來,告訴你,不是針對性攻擊,只是個還未被收錄的普通病毒。

有人說,這有啥意義?有意義啊,萬一有人要搞我呢。再說了,我比別人早找到病毒,也可以拿來吹牛嘛。還有人說,那剩下的30%呢?誤報唄,壓根就是正常程式…

3.4雲等保測評輔導服務

這個高大上,不過我覺得這個服務其實賣不出去的。畢竟,有實力搞公有雲的企業,難道還沒有實力自己過等保嗎?

3.5眾測

其實高級服務裡,我覺得就這個最值。眾測服務是切實有效的,之前幫我們找到過一個很不錯的漏洞,就是一分錢購物,一分錢可以買我們價值幾百的電視年包。畢竟錢可以激勵廣大駭客,“機掃”是掃不出這種漏洞的。

眾測本質上還是互聯網系統或網站的滲透測試,但這次不是找安全公司做,而是邀請駭客來搞,找到漏洞,給錢,2000,5000,10000,按照漏洞的威脅程度。

眾測服務有一個難點在於如何判定漏洞值多少錢。駭客說可以通過這個漏洞重啟我的設備,我說這個不嚴重啊,我只在乎篡改,你把我網站關了我無所謂的…當然,平臺有一套科學的判定方法的,但依然還是不可避免有扯皮的。

眾測也有風險,慎用,據說有的駭客會利用此機會,大肆入侵,趁機幹點壞事。如果被抓,就說自己是受邀請來的啊…