“别人家的安全”是安全威胁情报（微信ID：Threatbook）近期推出的一档专栏。

合规、管理、构建、应急……安全问题千千万，层出不穷。我们没办法给出这些问题的标准答案，但我们可以用Case Study的形式，让你看看“别人家的安全”。

本期主角：汽车之家 安全团队负责人 纪舒瀚

Q：在你加入汽车之家后，你面临的安全环境是什么样的？

A：我来到汽车之家的时候，正值汽车之家10周年。

一方面，当时的汽车之家对于安全的需求其实是全方面的。那一年正好是各种APP都在运营推广，对于移动上的安全加固就有很强的需求，此外就是对网站的要求，比如网站是否安全，有没有人黑我们，等等。

另一方面，作为一个上市公司，汽车之家合规性的安全需求都已经满足了，但当时汽车之家的安全工作是比较分散的，代码安全相关的，让开发测试去做，运营安全就让运营团队去做……安全的工作是分开的，解决事情大部分是case by case，并没有非常完全地按照体系去建设自己的安全框架。

还有一方面就是其他团队对于安全的了解也不多，比方说新业务上线，技术团队理解的安全就是让我们去帮着测试一下，别被人黑了就完事儿了。基本是这样的。

Q：那么，面对这样的环境，你是怎么开展工作的呢？

A：其实我刚做工作交接的时候，所有的安全问题都是以Excel和Word文档的形式交给我的。所以当时的情况是，安全团队现在有多少工作要做，不知道；有多少风险，也不知道。很多东西都是未知的，挑战可以说非常大 。

所以当时我也没急着开干，我先做了这么几个事：

第一是让整个团队内部了解、认可安全的重要性；第二是了解下公司的工作方式风格；第三是对整个公司现在的业务形态、技术框架、可能存在的安全风险问题的现状摸了一下底。

摸底是在甲方做安全的时候比较独有的一个特征，因为你要了解到整个公司的工作模式是什么样的，这样才能做出更有效的安全规划。

Q：经过一番摸底后，你是怎样设想汽车之家的安全框架的？

A：我当时的想法是我要先做一个三年的规划，三年之后，汽车之家的安全框架能达到什么程度，我心里会有一个预期，根据这个预期再想好每一年要做什么，再去组建团队。

尤其是问题比较多的时候，要先制定一个计划，有节奏地“及时止损”，长期来看就要有一个可持续的计划，比如三年以后的安全状况比现在好在哪里，或者保持安全团队的前沿技术能力等等。甲方安全负责人就像一个老中医，虽然发现很多问题，但是不能case by case就结束了，需要用一整个体系去“调养”，过一段时间你就会发现，之前发生的一些类型的问题，已经被调理好了。

具体来算的话，我们第一年是一个从0到1的过程，首要任务是提高对安全风险的感知能力，所以如果要画出安全的基本框架，就需要明确我们几个网络的边界。我们当时是把办公网、生产网、公网的一些框架明细划分出来了，然后对边界的一些地方去做加固。

在划分和加固边界的同时，我们也着手对公司的资产进行清点，我们用一年多的时间研发了一套Agent，用来部署在终端上。此外，还对安全风险进行了可视化，我们研发了一套可视化的软件，可以通过各个维度去检测业务，了解整个安全风险的现状，这样就不需要再用Excel或者Word文档来记录了。

第二年我们主要是把Agent部署在生产端的服务器上，并稳定运行，通过运行Agent，我们对公司的资产情况了解得更加清晰，对于一些资产死角也进行了清理，解决了一些相应的安全隐患。

今年我们主要就开始在做办公网的安全。因为现在很多入侵生产网的行为都是从入侵办公网开始的，所以需要做风险前置，在办公网里首先把问题发现，也会开始尝试去做一些类似统筹的工作，目前我们在研发TIP（Threat Intelligence Platform），同时会结合SOC和TIP的数据让数据沉淀更有针对性，就变成了汽车之家自建大安全中心的重要组成部分。未来我希望能用威胁情报去匹配我们公司所有的节点，然后定位出哪些点曾经被这个东西去感染过或者是影响过，这样能够精准定位到每一个问题点，把这些信息关联起来的话，就能够量化整个公司的资产情况，甚至能对可能的问题点做出预测，让安全更清晰、智能。

（TIP长什么样呢？看上面）

Q：从刚刚的讲述中，能够发现汽车之家的安全正在从被动防御变为主动监测，这是新的安防趋势吗？

A：之前我们可能去买一些IDS、WAF、防火墙，通过一些硬件、或者是通过完全防御的思维来做安全，只是为了“防防防”，但是防御到一定阶段的话，天花板就非常低了，投入非常多，但是真正带来的产出未必会很高，所以做企业安全，检测和响应会更加重要，比方说我们的服务器是一个黑盒子，我在黑盒子里可以去布很多点来发现问题，根据这些问题我们能够及时报警、自动化处理，这样就形成了一个闭环，跟APT攻击打一个时间战，及时止损。

Q：检测和响应正是Gartner连续三年提出的“自适应安全”中较为重要的两个象限，那么实现自适应安全的难度在哪里？汽车之家又做了哪些自适应方面的实践呢？

A：说到自适应安全就要说威胁情报，很多甲方在做威胁情报，但其实大家可能对情报的做法和理解都不太一样。完全自动化的、人工智能识别风险，要做到非常难。做自适应安全需要土壤，公司体量非常大的时候，业务非常复杂，做起来前期的付出会更多一些。网络环境复杂的话，资产信息都很难搞清楚，而搞不清楚的资产信息将会成为安全框架中最短的那块木桶板。

具体来说，汽车之家做自适应安全，首先需要非常多的监控点，在生产网的异常样本、登录日志、邮件网关、办公网出口流量等各种信息，都需要去做采集。但是实际上，国内的互联网公司很难做到从员工的设备上采集信息，我们去年曾经尝试从员工自己的PC和手机采集，但是预装agent必然会影响员工体验，一定程度上会增加公司的投入。在资产清点完成以后，我们会把威胁情报的体系建立起来，用威胁情报去作为具体操作的准绳。现在的情况是，我们对生产网的一些监控已经有一定的能力了，包括关键配置文件、一些软件我们都会监控，针对信息泄露这一点，我们也已经做了一些防备。

自适应安全我们在尝试去做，聚合内部资产信息和威胁数据，结合模型算法去实施一些自动化的响应工作，以便及时发现风险，为企业止损。此外我们还会订阅一些漏洞信息。所以遇到突发情况的时候我们相对比较从容，比如WannaCry爆发的时候，我们通过运用威胁情报驱动的应急响应机制，对开关域名（Kill Switch）持续监测与更新，有效控制了威胁指数级扩散，为应急响应团队与黑客对抗中赢得了宝贵的时间。从而实现对威胁快速控制与修复，保障企业全网零加密事件。

Q：从您在汽车之家的从业经历来看，您认为现在的安全从业者应该提升自己哪些方面的能力？

A：首先是要提升安全分析能力。多层次的持续监控，包括网络、终端、应用程序和用户活动，这些将不可避免地产生大量数据，没有适当的分析，大数据带来的将仅仅是大噪声。通过以上的内部环境数据、结合外部威胁情报，可以采用多重的分析技术（包括：启发式、统计分析、机器学习、可视化等等），最终提供可操作的“可发现”的能力，让失陷事件更及时地被我们发现。

第二就是威胁情报能力。威胁情报是很多甲方在做的安全项目之一，我认为未来会是一个刚需。它是预测阶段的主要工作，也是防御、检测过程的基础，贯穿整个过程。威胁情报不仅是提供IP、域名、网址、文件等的可信度，更可以使企业深入了解攻击者、攻击目标和攻击方法，进而在如何保护自身系统和信息上获得具体指导。所以，如何利用威胁情报去辅助自己的SIEM、SOC等系统、以及如何提高对威胁情报的响应、处理能力，也是我们需要做的。

第三，如果你是安全团队的管理者，可能还要注意把团队管理和新的安全趋势结合起来。比如汽车之家的安全团队在评定工作中，引入了MTTD（平均检测时间）和MTTR（平均恢复时间）两个指标。

原文发布时间为：2017年7月21日

本文来自云栖社区合作伙伴至顶网，了解相关信息可以关注至顶网。