安全應急響應中心如何從零建設?
最近單位考慮建設安全應急響應中心(SRC),但這塊我完全是不懂,比如:如何開始建設、運作;需要做些什麼準備工作;需要的人員編製、分配;平台的搭建發布等,求各位指導~
我是企業安全應急響應系統SRCMS的作者,最近我和 @西風微雨 正在一起研究,希望能為廣大企業的信息安全管理貢獻規範和更多相關解決方案。下面說一說我對安全應急響應中心、企業安全應急響應的理解,以及對建立SRC的建議,希望對各位有所幫助。
(一)、概念介紹
安全應急響應中心(SRC, Security Response Center),是企業用於對外接收來自用戶發現並報告的產品缺陷的站點。一般起著對外發布企業突發安全事件處理動態,作為企業與熱心用戶以及安全研究人員溝通反饋的平台以及對外發布企業信息安全團隊研究成果的重要作用。
目前安全應急響應中心主要有兩種實現方式:
1、 漏洞報告平台。漏洞報告平台是指由獨立的第三方公司或機構成立綜合性的「安全應急響應中心」。國內補天平台、漏洞盒子平台,以及據此衍生的Sobug眾測平台等均屬於該模式。外部報告者註冊對應漏洞報告平台選擇對應的廠商進行報送,接著該第三方機構會發送郵件提示相關廠商確認處理。這種方法的缺陷十分明顯。廠商的歷史漏洞信息完全暴露給第三方機構,報告中涉及的企業內部大量敏感信息因此外泄喪失私密性。
2、 xSRC模式。xSRC模式是指:企業自己分配工程師開發屬於自身的安全應急響應中心,制定自己的漏洞收集和披露計劃。目前包括Google、Microsoft以及騰訊、阿里巴巴、百度等,均成立了自己的安全應急響應中心,對外收集並處理安全研究員報送的漏洞報告。使用這種模式,企業在漏洞的收集和披露過程中完全掌控了主動性,擁有良好的私密性和可定製性。
(二)、建立安全應急響應中心(SRC)的重要性和必要性
近年來黑客攻擊頻發,企業信息安全已經愈來愈受到重視。騰訊安全平台部應用運維安全中心總監lakehu先生在其發布的研究論文《企業安全應急響應中心建設理論與實踐》中提到,「大型企業的業務模式多,涉及的產品也多,特別是互聯網業務講究小步快跑敏捷迭代,往往忽視了安全檢查或者來不及進行細緻的安全檢查,同時安全系統本身是程序也會存在各種遺漏,因為互聯網業務的在線特性,使得互聯網的人都能夠接觸到,相對於傳統業務被攻擊面擴大,所以更容易被善意的、惡意的或者無意的人發現漏洞——如果漏洞被利用或者在黑市交易,對企業和用戶是極大危害的」。
縱觀國內外,Google、微軟、阿里巴巴、騰訊、小米、網易等知名互聯網公司都已經建立各自的應急響應中心,並在推出以後取得了良好的效果,對企業安全有了巨大的協調和推動作用。lakehu先生還在文中為企業信息安全防護建設指明了方向「可以把安全應急響應中心看成一種安全能力或者產品,由一個安全應急響應中心服務商來為沒有資源建設安全應急響應中心的企業整合資源提供安全應急響應中心系統,這就是雲安全應急響應中心了。就跟我們普通用戶自己沒有資源搭建個人博客而使用新浪博客一樣。雲安全應急響應中心是為企業提供免費的漏洞收集服務與平台,盈利點是為平台上的企業提供安全增值服務的方式(比如漏洞修復方案諮詢、安全加固甚至是安全情報,具體的增值服務方式還可以再摸索)。」
(三)、 參考解決方案
1. 安全應急響應中心Web平台的搭建
目前,「漏洞報告平台」模式在實現過程中由於操作運營的規範問題,外加越來越多的魚龍混雜的第三方企業和機構的介入,甚至出現了漏洞報告平台泄漏企業敏感信息從而導致企業因此被攻擊的案例。大多數互聯網企業對「漏洞報告平台」既「愛」又「恨」。
因此,出於私密性和可定製性的考慮,大多數互聯網企業均傾向於選擇「xSRC」模式(當然,我們也強烈推薦企業能夠選擇xSRC的操作模式,因為我認為,未被修復的企業的漏洞信息也是企業的重要「私密資產」)。作為互聯網企業安全防護體系中用戶所能直接接觸到的門面,同時也作為協調企業各部門對安全事件做出及時積極響應的工作中心,越來越多的企業意識到,建立安全應急響應中心和建立產品交流論壇、博客、WIKI等站點同等重要。
17年剛剛正式實施生效的《網路安全法》中也對企業建立信息安全應急響應和管理提出了要求。再加上,前段時間席捲全球的「Wannacry」蠕蟲病毒,充分暴露了大部分機構和企業在應對安全事件時,還存在很大建設空間。
綜上,建立屬於自己的安全應急響應中心是每家企業在內網進行安全管理的布局是每個企業不可或缺的一部分。但由於國內大多數企業的安全部門人手緊張,仍有不少企業應急響應中心的建立面臨困境:企業無法為安全部門分配足夠的人手和精力,開發建立屬於企業自己的安全應急響應中心網站,導致企業在安全攻防戰中失去主動性。
這裡毛遂自薦我自己開發的SRCMS。15年夏,我著手開發並發布了SRCMS——企業安全應急響應中心管理系統,旨在為所有有意向建立安全應急響應中心的企業提供一款能夠在短時間內快速部署上線安全應急響應中心的解決方案。
Github地址: https://github.com/martinzhou2015/SRCMS
特色介紹:
1) 基礎功能一應俱全,美觀大方
默認首頁
排行榜
禮品庫
2) 專門為方便企業安全事件管理設計的特色功能
· 外部漏洞報告導出
· 單個漏洞報告生成工單(導出為json格式)
演示站點 / 本程序的SRC:Sixtant Lab安全應急響應中心
2. 人員的配備和運轉經驗
作為國內首家建立SRC並推出豐厚獎勵計劃回饋白帽子的企業,騰訊在企業信息安全管理領域積累了豐厚的經驗,同時在企業信息安全方面投入了巨大經費和精力。致力於整個互聯網安全生態的改善,騰訊安全平台部也分享了他們在安全應急響應中心過程中人員的配備和整個平台日常運轉的寶貴經驗:
企業安全應急響應中心建設理論與實踐 - 博客 - 騰訊安全應急響應中心
3. 企業信息安全檢測工具集合
我們深知企業安全應急響應不僅僅是建立一個安全應急響應中心那麼簡單,還需要積極主動的在內部探測潛在的安全漏洞,已經最大程度上防止漏洞被外部發現報告,甚至是被黑客利用。因此我們也整理了一套對企業內部安全漏洞自檢有用的工具集合,並將它命名為Scanner-Box:
We5ter/Scanners-Box
最後,我還想強調,安全不僅僅是企業自身的事情,而是一個大生態。
企業的信息安全一方面是由自身的安全建設水平決定的,另一方面也很大程度上受到外部大環境的影響。企業內的業務和產品不可避免的會用到第三方組件,開源的框架和基礎組件,這些組件一旦爆出0-day漏洞將會對這個「大生態」造成毀滅性的影響。
外加企業成千上萬的註冊用戶,這些用戶註冊的站點肯定不止自己企業一個,當然他們登錄的密碼可能也是一樣的,編織成了密密麻麻的用戶「賬戶網」。設想一家企業因為安全工作沒有到位,泄露了用戶的賬戶數據。就會給其他站點帶來撞庫,或者是用戶賬戶因為別家網站密碼泄漏而入侵的極大安全風險。
因此,企業在加強自身安全建設的同時,也因關注對整個安全生態的貢獻。這也是谷歌為什麼會成立Porject Zero團隊的原因,即:通過召集一大群世界最頂尖的黑客,挖掘可能影響到自己產品和用戶的零日漏洞。這在另一種角度來說,也是在另一個「戰場」保護Google的業務和產品安全。當然,這也是為什麼我推出並不斷維護SRCMS的原因——為整個安全生態貢獻一份綿薄之力。
希望廣大企業能一起攜手,完善自身的安全建設,建設更加安全的大生態。
* 如果有什麼好的想法或者有相關的困惑,可以發送私信與我交流。
是在自己的網站做一個子頁面,還是重新做一個網站。
小心SRC有漏洞那就丟人了
最少招一個運營策劃
推薦閱讀: