开个新坑,写一些企业安全建设的经验和想法。
网络上安全相关的文章,最多的是攻防类的,涉及企业安全建设的基本都是《一个人的安全部》系列,里面往往列举一堆安全工具和服务。
对于处于安全建设初期的企业来说,先用现成的工具快速救火解决问题没有错,但是等到想要优化完善安全体系时,各种安全能力的建设、安全团队的配合,才是最重要的。
那么为什么那些大型互联网公司的安全建设者们不多发点文章呢?可能安全建设很多理念性的东西,显得比较虚,大家不一定喜欢看。也可能做安全建设的人太少了,相应的这些文章也比较少。
说起企业安全建设,离不开【体系化】这个词。为什么我们需要体系化思考?这篇文章已经说的很好了: 企业安全建设的体系思考与落地实践。
企业内部安全建设大致可以分为以下几个阶段:
救火阶段
- 安全团队人比较少,个位数
- 用开源或者自研的小工具
- 救火队员,哪里有问题补哪里
建设阶段(初期)
- 安全团队有十几人
- 采购商业产品,或基于开源代码改造
- 梳理现状,了解业务
建设阶段(中期)
- 安全团队有几十人,分不同方向
- 开始自研一些安全系统和工具
- 制定、实施一些基础的安全流程和规范
建设阶段(后期)
- 安全团队有几百人,分不同团队
- 安全系统和工具链完善,自动化和平台化
- 在业务线推广 SDL,安全运营闭环
输出阶段(ToB)
- 安全团队近千人,目前国内只有 BAT 有能力
- 公有云集成或单独提供
输出阶段(Google)
- 产学研结合,技术、思路领先
- Security by Design,引领业界趋势
有趣的是,大型互联网公司的安全系统一般倾向于自研,并不是因为担心采购成本或者数据安全,而是因为采购的系统【不好用】。原因有几个:
- 每个公司对安全系统的需求不一样,二次开发或者定制化开发成本太大,乙方很难满足(国内主要还是私有化部署,SAAS 很少)
- 因为环境所限,乙方的安全系统在大体量的互联网公司水土不服。比如某个 HIDS 在小规模部署的时候表现很好,但是当主机量到达十万级别时各种问题,更别说百万级了。
- 没有统一标准,采购的不同系统很难整合,无法支持体系化和平台化建设。
下期预告:
- 企业安全建设 - 安全中台
- 企业安全建设 - 软件供应链
- 企业安全建设 - DevSecOps