汽车之家纪舒瀚：从防御到检测的企业安全之路

汽车之家是一家十分具有代表性的互联网资讯及电商公司。在安全之路上，汽车之家的安全负责人纪舒瀚经历了安全团队组建、安全架构体系梳理搭建，以及安全愿景的树立。是不是很像一次创业呢？纪舒瀚在本次情报大会上将自己的心得体会一一分享，由微步在线整理发布。

汽车之家安全负责人 纪舒瀚

我今天演讲的议题跟其他的演讲者有点区别，我将站在一个互联网企业的甲方视角、一个三年的安全团队的组建者视角，去分享我们从防御到检测的企业安全之路。

我叫纪舒瀚，现在就职于汽车之家，现在负责整个汽车之家的网络安全。提到汽车之家可能大家第一时间想到的就是论坛和资讯业务，其实汽车之家在2014年还增加了电商业务，线上卖车。平台的流量我们不敢跟其他电商比，但我们的客单价比较高。除此之外我们也做车金融，包括汽车后市场维修保养、保险等业务。

今天我这个议题分四块来给大家做一下分享：第一是企业对安全需求的迷茫的状态；第二是我个人对企业安全的理解；第三是一点案例；第四是汽车之家安全实践。

说到迷茫，我发现其实很多互联网公司对安全都有需求，不管规模大小，甚至是A轮的创业公司都有需求，但是他们的需求并不明确，或者是认为安全这件事情可做可不做，对安全的理解仅限于是不是要做、该投入多少，并没有把对安全的意愿定成量化的安全的需求。

我们决定做一个创业模式的安全团队，那么我们要做的就是下面的三步：首先要组建一个团队，要有人，这个团队可能刚开始是救火队，后续我们会逐渐打造成正规军；其次就是我们要对企业内部的安全现状要有准确的认知，每个企业都有自己的风险，但是作为一个甲方的安全规划者来说，应该主要抓住企业会“死人”的一个痛点，这一点每个企业是不一样的，电商企业有电商企业的痛点，外卖企业有外卖企业的痛点；最后一步就是明确愿景，我们做了前面两个事之后，需要做安全的整体规划，这个规划一定要达到一个最理想的状态。有了这三点，安全负责人再去向CTO，向老板CEO汇报的时候，能够让他们更深刻地认知到我们对安全的理解，并且有利于扩大企业对安全的投入。

我在组建安全团队的时候设置过这样一个愿景。其实当时我跟CTO汇报工作的时候CTO直接问我：从0到1这个过程中我们怎么体现安全团队的价值，而且如何量化安全团队的价值？其实我们很难去做量化，也很难讲明白。所以我的想法是，安全其实是一个持续对抗的过程，在这个对抗过程中肯定有人受益，有人受损，所以抽象出来我当时总结出来八个字就是：谁也别想占到便宜，就是说在每次对抗的战役中，我们都能够比对手占一点优势。

有了愿景，我们第一步应该怎么去做？对老板来说这家公司有没有被黑、或者服务器上有没有后门等等这些都是未知数，我们首先能做到的是让企业的风险感知能力一目了然，所以我们当时设置的目标就是要提高安全的感知能力。针对提高安全感知能力我们当时做了三个工作：一是要明确安全的边界，包括对资产边界的盘点；二是去做主机上的Agent研发；三是要对安全的风险做到可视化。

企业安全防护经历了从传统的以防为主，到现在以监控和自动化为主的过程，未来可能会出现类似于安全顾问事务所的形式。现在市场上对于安全规划人员的需求越来越多，但是大家可能没有想过安全规划人员以组织的形式出现。其实映射到其他行业，比如说律师、会计/审计，和安全行业有三个共同点，一个是需要高经验值，第二个是服务低频，第三个是可持续，我觉得未来可能会出现一个事务所形式的甲方顾问团队。

从防御的变化来说，我们现在着手的方向从从防御、监控到自动化止损，都有涉及。传统防御可能做IDS、WAF防火墙，部署相应的设备就OK了。其实类似于我们这样的互联网公司更关注的是如何更灵活、更快速地发现一些问题，我们自研Agent，我们使用蜜罐，包括对旁路流量和一些核心业务做一些监控等等，都是为了在安防上更加灵活快速。我们未来的一些规划是，结合TIP和SOC做一些联动的自动化的止损，还有之前提到的资产空间可视化。其实我觉得可以把资产的概念放宽一点，除了固定资产之外我们还有一些危险的资产，包括内部产生的一些IOC和情报数据的汇总。

而且现在企业面临很多新的挑战，比如企业的边界在发生变化。之前的边界可能我们想到的就是IP、域名、端口等等，其实未来是一个终端的世界，或者说边界概念已经在变化，企业合规要求越来越高，业务需求也都在适应市场的变化而变化，包括对攻击的技术容器的安全要求，包括针对企业的APT攻击等等。所以我们整体的防御架构都会做一些相应的变化。

新的边界意思是什么？目前针对企业的APT的攻击更多的是从办公网入手的，很多企业被黑是因为通过wifi而进来的。我知道国内有几家公司他们是因为wifi的一些防护措施做得不是很好被黑客进来了。很多公司其实门禁卡是非常弱的，包括现在很多商家的餐卡也都是非常非常容易破解，假如我们通过这样的技术去复制了一个公司的员工的分卡，就能顺利的进入这家公司，相信很多公司网线插入到笔记本上是没有做准入的，这个时候分分钟就能到公司的网络边界，进入内网做一批技术攻击。

我们团队用了一年多的时间自研了Agent，目前这个Agent已经部署到整个汽车之家生态网的主体当中，这是整个架构。它分为三块：Agent端、处理端和SOC展示。

Agent端现在有几个作用，首先我们可以监控到外部目录的敏感数据泄露，包括有很多不规范的开发行为可能会把一些代码或者是包放在目录下，造成代码泄露和密码泄露的事件，还有一些我们是对外部服务器的主机木马和进行检测，还有一些关键目录的大规模的发布。

中转服务器我们现在是有这样的一个构成，后面是Agent，我们做到实时检测，现在每个Agent上传到中转服务器，现在中转服务器里面有几个配置，一个是本身我们从这个代码里面同步出来的整个原始代码的白名单，然后在中转服务器上面进行缓存。还有黑名单，除了白名单和黑名单之外，我们在里面利用了一些沙箱做一些动态的样本查杀，还有一些云端的病毒库的联动。

中转服务器整体是有一个升级的策略，一个是白名单文件的升级，还有本地的病毒库黑名单的升级，还有云端的病毒库的升级，还有病毒沙箱模拟运行结果的升级，我们会定期做升级的工作。从处理时效上来说，Agent是15分钟就会做一次增量的扫描，30分钟做全量的全盘扫描，中转服务器Agent提交到中转服务器的样本文件我们都会实时做检测，60天会对本地的黑名单的病毒库做一次全量的更新。

这个是我们整体实践的结构图。我发现很多公司老板都会问，现在出现了一个恶意软件，我们公司有没有被影响？或者前两天出现了一个钓鱼邮件，我们公司有没有被影响？这些问题都是独立的个体，安全团队在救火的过程中出现了CC攻击，我们可能就顺着CC攻击的线索去复原，或者出现一个木马我们可能只针对一个样本进行复原，很难把整个事件关联起来。其实现在针对企业的APT公司是联动在一起的，可能很早之前，攻击者就通过伪装信息来给每一个财务或者核心员工发一封钓鱼文件，然后拿到了公司一部分人的个人信息，再去做一些撞库、拿到后台的某一个系统权限等等，其实很多公司都在尝试着把这些事件关联起来，但目前还不是很成熟。

上图其实是汽车之家要做整体的安全态势的事件联动示意图。前端我们通过终端和镜像的方式获取到数据源，最终通过报警的机制和终端的响应机制。现在其实很多企业里面都用了钉钉，钉钉有一些API的接口，我们可以通过报警做一定的授权，通过手机终端一键隔离危险的文件或者危险的IP行为，这个是可以实现的。除此之外最底下其实我们有一些武器库，可能是之前的一些工具，包括代码安全工具、沙箱、边界监控还有蜜罐等。然后利用这些武器库对采集到的数据做二次的数据分析，根据这些分析去做格式化的数据处理，把这些数据存到另外一个地方。

然后我们通过内部存在的这些威胁的情报还有外部收集到的威胁情报做关联的溯源分析。在这个过程中，你会发现很多事件是可以关联起来的，比如说怎么通过另外一套舆情的系统去发现大家实时关注什么东西，然后关注什么类型的人不断地搜索什么样的东西，这些人你会发现他有一些特征，不仅是正常的用户会有特征，非正常的用户也会有特征。这些事件都可以被完全关联起来整体分析。之后上面这个模块，对业务方来说我们可以给业务方展示一个业务安全的现状报表，然后对安全团队来说我们会给一个安全策略效果报表，这样就是一个可视化的展示。右边这一块有一个是武器策略的优化，针对现在关联的一些效果及时就能判断出来我们在底下的代码安全工具包括沙箱会有哪些不足或者漏报的东西，可以把这些东西都批量的分析出来，分析完了之后会对武器库做一些策略的优化。最后是对业务的输出。其实我觉得在集团做到一定程度的时候，我们需要对业务也做一次加固，不止是做基础安全的建设，包括我们把业务风控的一些数据其实也导入到这个数据的分析平台里面，发现很多人其实是有联系的，也就是说他们是一伙人。

前面讲了这么多，我们的宗旨就是一个公司在开始招安全团队时要想到这些问题，但是我们最终要达到的效果就是把这个危险区降低。做到威胁的先扬后抑，最终寻找到一个对抗的平衡点，谢谢大家！