开个新坑,写一些企业安全建设的经验和想法。

网络上安全相关的文章,最多的是攻防类的,涉及企业安全建设的基本都是《一个人的安全部》系列,里面往往列举一堆安全工具和服务。

对于处于安全建设初期的企业来说,先用现成的工具快速救火解决问题没有错,但是等到想要优化完善安全体系时,各种安全能力的建设、安全团队的配合,才是最重要的。

那么为什么那些大型互联网公司的安全建设者们不多发点文章呢?可能安全建设很多理念性的东西,显得比较虚,大家不一定喜欢看。也可能做安全建设的人太少了,相应的这些文章也比较少。

说起企业安全建设,离不开【体系化】这个词。为什么我们需要体系化思考?这篇文章已经说的很好了: 企业安全建设的体系思考与落地实践

企业内部安全建设大致可以分为以下几个阶段:

  1. 救火阶段

    • 安全团队人比较少,个位数
    • 用开源或者自研的小工具
    • 救火队员,哪里有问题补哪里
  2. 建设阶段(初期)

    • 安全团队有十几人
    • 采购商业产品,或基于开源代码改造
    • 梳理现状,了解业务
  3. 建设阶段(中期)

    • 安全团队有几十人,分不同方向
    • 开始自研一些安全系统和工具
    • 制定、实施一些基础的安全流程和规范
  4. 建设阶段(后期)

    • 安全团队有几百人,分不同团队
    • 安全系统和工具链完善,自动化和平台化
    • 在业务线推广 SDL,安全运营闭环
  5. 输出阶段(ToB)

    • 安全团队近千人,目前国内只有 BAT 有能力
    • 公有云集成或单独提供
  6. 输出阶段(Google)

    • 产学研结合,技术、思路领先
    • Security by Design,引领业界趋势

有趣的是,大型互联网公司的安全系统一般倾向于自研,并不是因为担心采购成本或者数据安全,而是因为采购的系统【不好用】。原因有几个:

  • 每个公司对安全系统的需求不一样,二次开发或者定制化开发成本太大,乙方很难满足(国内主要还是私有化部署,SAAS 很少)
  • 因为环境所限,乙方的安全系统在大体量的互联网公司水土不服。比如某个 HIDS 在小规模部署的时候表现很好,但是当主机量到达十万级别时各种问题,更别说百万级了。
  • 没有统一标准,采购的不同系统很难整合,无法支持体系化和平台化建设。

下期预告:

  • 企业安全建设 - 安全中台
  • 企业安全建设 - 软件供应链
  • 企业安全建设 - DevSecOps