微信支付安全建设随…
前言
在微信支付做安全的日子暂且告一段落了,这段实习里接触到了真正的业界安全,开会时候听到的每一个策略,都可能作用在动辄上亿的用户上,感觉是颇为奇妙和价值肯定的。
趁着记忆新鲜,想记录一下自己这段时间对安全建设的认知和思考,理一理应届生要想参与真实的业界安全建设该如何。临走之前,Leader和我说安全架构的团队是很少招应届生的,加之最近和阿里云安全的学长聊,也得到了类似的信息。的确提醒我,能在刚接触业界安全时候便接触架构性质的工作,从中了解到一些结构化的思路,颇为难得,确实也该复习之前工作中所接触的,再吸收他人的安全建设经验,好好思考这方面的问题。
安全建设做什么
安全建设到底需要做什么,是首先需要考虑的问题。
恰好昨天看见群里有师傅在说hvv越来越难了,另一个师傅感慨道:
上面的思路就是跟管制交通安全和治安一样。强监管,强基建。提升基建标准,全场景装监控,犯罪可溯源,敢犯事的人自然就少了。
本意不是逼干红队的失业,只是原本的期望就是提高犯罪门槛。
常常出现在安全官话里面的”提升安全水位“,也差不多是这个思路。我们是没有办法杜绝进攻的,安全建设要做的就是让攻击来的更难一些,更容易被抓一些,足够了。
根本目的以上,部分具体工作方向个人理解如下:
- 安全合规。个人理解是将业务的建设规范接入国家的建设规范。
- 应急响应。解决、处理安全事件,将处理过程中获取到的信息归纳、教训吸收并推而广之。
- 数据安全。即保证数据的收集、归纳、存储、使用过程中不被窃取和损坏,一部分是加解密全程的可靠与否,一部分是认证全流程中是否符合预期与业务需求。
- 应用安全。顾名思义即应用程序级别的安全措施,个人认为不管Web应用、移动端APP,还是各种形式运行的服务,其安全性的保证可称应用安全。
- 内网安全。主要是资产梳理,内部的各种服务各种账户,说起来渗透时候想找哪些信息就关注哪些信息的保护。
- DevSecOps。以其思路为代表的研发与安全结合,即把安全能力集成到研发流程中。
- 安全教育。其实是极为重要的一环,很多建设方案的人员安全部分都来自于此,其他几个方向的建设成果也要通过安全教育规范到人身上。
也只能具体到小方向的个人认知上了,具体措施不敢信口开河,毕竟一般的单个业务安全团队都是每个人或者几个人负责其中一个小方向,大厂的安全部甚至每个小方向都是一个小组。从零安全建设的措施建议看各种《一个人的安全建设》,多看几个就会从建设重心和避坑点有所认知。
安全建设关注什么
做安全建设,关注的点和之前单做安全研究也有所区别。
做实习项目时候,有被Leader和Mentor的话提醒到,安全建设的方案是一个整体,不是单单技术的内容,要站在更高一层去考虑。比如当时面试时候有被问到,如果让你负责一个渗透测试项目,你会考虑哪些指标?
我当时的回答只想到了偏技术侧的漏洞数、漏洞威胁程度、可利用性等等,但面试官也就是我后来的Leader提示如果要确定项目指标,最基本的项目时间这种属性肯定也要考虑到。要说我不知道会有时间这么基本的要求那不可能,仅仅因为我面了那么多次技术面,思考问题天然只会考虑安全技术方面。
如果认真思考做安全建设,得跳出我们学了好多年的技术视角去想问题,关注问题全貌。
实习中的杂谈
- 因为实习项目有用到数据分析的内容,所以说简单学了一下数据分析,自感对于大厂的安全建设来说,数据分析能力还是必要的。很多时候数据量如果少,各种log直接Ctrl+F找关键字即可定位目标,但如果动辄几十亿条的数据,数据分析就派上了用场。而且从数据中找到恶意样本的时候,就是检测规则成型的时候。
- 为了不面向监狱安全建设,具体的方案、工作、见闻都没法谈,只能说工作中方案文档或者PPT,每一环的清晰缘由,之间的逻辑自洽特别重要。比如拿到手一份数据,直接做可能不够,起码要确定数据的来源部分有没有可以考虑的,就像数据是采集来的还是上报来的,上报来的有没有办法确认数据全不全,能不能要求上报更利于我们做安全的条目等等。
- 机器学习做安全,不行!
参考
先知的各种单枪匹马安全建设: