互联网公司的安全及其安全团队
互联网公司的安全及其安全团队
我们在做什么?将走向何方?
这本来是一个极具有哲学意味的命题,在读大学的时候,我的心理课程老师就专门给我们上过一堂这样的课。但今天在这里,我并不想探讨任何哲学或者人生的问题,只是想讲讲我对甲方安全发展方向的一些理解。对面临就业选择的朋友来说,可以作为一个参考。
甲方在这里就是指安全不是核心业务的企业,比如google,比如apple;相对而言,乙方就是指安全厂商、防病毒厂商了。一般来说,乙方的主要以安全产品或者安全服务为主。
在几年前,甲方招安全人员一般都是放到运维部门,主要工作还是扫描和服务器加固等。这也为乙方的生存和发展提供了市场。乙方到甲方做渗透测试、安全评估,然后出个安全解决方案,最后再把一大堆产品卖给甲方。
但是实际上,甲方的问题还是难以得到很好的解决,因为乙方毕竟是外来的和尚,念完经就走了,留下一堆文档和产品应付检查,但是文档和策略需要人去执行,产品需要人去维护,如果业务发生了变更,安全策略也需要跟着发生变更。如果没有人维护,那么很多产品都会用不好。做安全只做了个半调子,才是最可怕的。
IDS/IPS就是最好的例子,这个玩意说起来很唬人,市场也卖的很好,但是真正挡住了多少黑客攻击?估计抓的最多的还是漫无目的的蠕虫。人用不好产品,才是问题的关键。很多时候,这就是甲方的安全人员存在的意义,让这一切很好的执行下去。
互联网企业发展到了今天,已经出现了很多庞然大物,在如此恶劣的网络环境下,互联网企业都开始重视安全。互联网公司很早就招了自己的安全人员,正如之前说的那样,一开始,一般是放在运维部门下。后来随着这个部门的壮大,开始覆盖更多的工作,比如WEB安全。
因为部门壮大了,所以就能做更多的事情。乙方出于对市场的追求,其产品已经无法满足各个不同互联网公司的个性化需求,所以对于业务增长极其迅速的互联网企业来说,很多安全产品只能开始走自主研发的路线。在中国的互联网公司里,腾讯是走在最前面的。
腾讯很早就开始在研发自己的安全产品,比如扫描器、钓鱼网站检测、反欺诈、桌面安全(QQ医生)等,很多很多,到现在应该做的更好了。
阿里巴巴也是一样,我们在各个领域研发自己的安全产品,咋一听像是小安全公司。这是种很奇特的现象,因为我们的客户只有一个,就是我们公司自己。我们也需要做各种各样的安全研究和研发。和几年前比,现在的甲方安全显然更加的专业了。
曾经有朋友问我们是否有意向购买WAF(Web Application Firewall),我笑言道,我们自己做
WAF。我们当然不会真的去做个box叫做WAF然后摆在网站的最前面,我们的思路是把WAF对抗的各种威胁,全部分析清楚,然后开发对应的方案或产品部署在我们网站的架构中,在最合适的地方做最合适的方案,完完全全的为我们自己定制化一套方案和产品。这是任何一家安全厂商都很难或者是无法做到的。比如某个安全厂商是做WAF的,那么这个产品势必是为了满足大多数企业的需求,很难实现真正的个性化,更不要说后期维护的事情,毕竟专门投一个人给某一家客户做维护,成本还是相当大的。
为什么说个性化如此重要?为什么很多时候必须得自主研发?举个例子,淘宝目前有上百个产品线,但是没有哪个人能够说清楚到底都有哪些产品。为什么?因为这些产品每天都在发生变化,每天都有新产品线出现或变更,对于这样的一个高速发展的庞然大物,不走自主定制的路线,是很难满足需求的。
当然这也不是说甲方就完全不需要购买安全产品了。一些基础安全需求,还是需要通过购买产品来解决的。比如大多数企业的桌面安全,杀毒软件等,可能需要购买。像防火墙这种设备则更是必不可少(除非你的网络方案真的很特别)。而对于很多在快速发展业务的互联网公司来说,没有太多的精力去做安全,可以适当的购买产品或方案以应付眼前紧迫的安全需求。
在国外的大型互联网企业,安全的自主研究、研发则相对更加成熟了。
苹果的appstore,是让开发者自己提交2进制代码到appstore上,我们曾经有一个疑问,如果开发者提交了恶意代码,或者是有攻击性的程序,appstore如何去审核呢?后来想到苹果的操作系统是自己做的,他们完全可以在OS上实现个sandbox,所以这个问题相对也好解决了(我不玩iphone,说的不对勿怪)。所以,这个sandbox,则完全需要apple的人自己来设计和实现,没有别的厂商能帮他们做。
类似的,google则做了更多的事情:chrome的安全模型、GAE安全、搜索内容过滤(色情等,涉及到很多算法方面的技术)。前段时间闹的很火的linux kenerl的空指针漏洞,exploit就利用了google的Tavis Ormandy发现的一个映射内存到0地址的技巧,他最近又发现了哪个windows内核提权漏洞,影响vista、windows7和2008。很难想象google的人会跑去研究软件漏洞吧?
yahoo也是让人敬仰的,在若干年前(至少大于5),他们就自己开发了扫描器去扫自己所有的页面的XSS。yahoo的apache是自己定制的,叫yapache;机器上装的OS也是freebsd改的,在这个过程中,很难想象没有安全专家的参与。而定制、修改webserver、OS,对于安全专家的吸引力是非常非常大的。
互联网公司的业务发展的越迅速,相应对安全的需求也就越高、越迫切。所以我前面有篇blog里提到,在互联网公司,永远会有非常多的新挑战在等着你。
前些时候,我与某资深黑客聊天的时候,说起我们的工作,他感觉web安全除了XSS,CSRF,SQL INJECT等就没啥了。我无言以对,因为我们已经在做很多的事情,并正在构思更多的事情,都不知道该从何说起了。SDL已经是2年前的重点,虽然我们会持续坚持把SDL做下去并做好,但是现在安全的产品线已经铺开,有更多的挑战在等我们。
(出于保密性的问题,我不会在blog过多的谈论我们的具体工作内容,所以最近扯淡越来越多,技术文章越来越少,因为大部分时间都在做公司的工作,需要保密 #_#)
以前读大学的时候,经常在论坛里看到的一句话就是:“破坏永远比建设容易”,很多老一辈的黑帽子们总是会用这句话教诲新人,虽然当时我也听进去了,但是直到今天,才对这句话有了深刻的理解。
熟悉各种hacking技巧,熟练掌握各种漏洞利用工具,在今天已经比较难以符合我们对人才的要求。两年前我们就意识到已经不太需要纯粹的乙方安服人员,如果应聘者只懂渗透的话。渗透技术在我们这里已经是最低要求,我们更看重的是其他方面的优势。比如对某方面有深刻的理解,比如kj -- 精通java与oracle安全,比如wzt -- 精通linux内核安全,或者是经验极其丰富的专家,比如hawk,云舒,或者是既精通安全又擅长开发,比如cnqing。部门还有很多牛人,各有所长,不一一说了。
讲这么多,其实也就是想说,今天的甲方安全和几年前比已经有了很大的不同。在一个高速发展的互联网公司里,技术挑战是日新月异的,一切皆有可能。年前和wzt聊天时,他也有感慨,现在给他做的东西是极其富有挑战性的,我告诉他,未来只会更多。
所以,如果还停留在每天修修补补几个漏洞上面,还停留在几年前的安全行业状况上,这样的企业安全,是在原地踏步。大型互联网公司安全的发展方向,势必是要将安全作为核心技术牢牢的把握在自己手上。
Kussa:腾讯、百度、阿里巴巴、盛大、网易、迅雷这些互联网公司越做越大,重合的地方也很多,比如腾讯/百度/阿里巴巴都分别从IM/搜索/电子商务出发,又都严重覆盖和依赖其他两种业务,大家对他们的发展和竞争的走向有什么看法呢?
关于上述互联网公司的安全团队中做安全,和在绿盟/天融信/启明星辰这样的专业安全公司做安全似乎也很不一样,大家也聊聊吧:)
主要是今天看到这样一篇文章:
百度CTO李一男和COO叶鹏同时离职了。再加上之前陆续离职的联合创始人和若干CTO和COO,李彦宏的高管团队保持着业内最快的“新陈代谢”频率。业内有人评论,Robin同学需要反省高管引入机制,但远水不救近火。
所谓近火,就是传说中百度高层一段时间来所进行的争论:百度是继续专注于搜索,还是尽快赚钱壮大势力。若是前者,就要继续紧盯“整合全球中文信息”这个目标、以Google为参照系、对比如去年李一男空降伊始重推的阿拉丁计划做主力投入。若是后者,就要废弃Robin本人“不做游戏,不做短信,不做弹出广告,这样才能把搜索做好”的早年论断,什么最有钱景就做什么,不管是游戏、短信、还是弹出广告。
听说这场争论被Robin一锤定音:赚钱最紧要。于是一帮百度高层离去了,他们觉得赚钱没意义,像Google那样骄傲的探索才对得起自己的青春。离职的不止CXO这个级别,还跟着一些中高层,相应的人事变动接踵而来,比如创新发展部的主管VP就由就由任旭阳换成了SVP沈浩瑜。
再接下来,一些本来进行中的项目也被断然废弃,比如跟178游戏网达成的合作:178承建百度游戏频道,百度推广并卖广告,双方分成。这个套路是百度作为一个信息整合者这个传统定位所能涵盖的,也是百度之前探索过的路子。但据说新思路是:百度不赚此类拉广告的小钱,而要自己研发和运营游戏,直接赚大钱。看起来,Robin真的要率领百度“转向”了。这在百度历史和互联网格局上,都是大事。
为什么要转型?
2009年Q3,百度收入1.9亿美金,运营利润近8千万。在中国互联网公司里大致排第三,仅次于腾讯和盛大。同时,百度收入还保持40%的同比增长,手里有6亿美金闲钱。就这么一个看起来很豪华的家底,但Robin并不满足,还是要“转型”,去挣更多的钱。
这个压力当然来自腾讯。同样的2009年Q3,腾讯收入5亿美金,运营利润2.5亿。分别是百度的2.6倍和3倍。腾讯收入和利润的同比增长率分别是66%和107%,远高于百度的40%。现金储备是16亿美金,是百度2.7倍。按照这个发展趋势下去,腾讯和百度的距离会很快会是5倍,甚至10倍。那个时候,大家就不在一个量级了。
腾讯这么赚钱,是因为腾讯就是“什么赚钱就做什么”,而百度一直仅仅依靠竞价排名一个核心业务。目前腾讯每季度5亿收入里,有广告、大型网游、休闲游戏、虚拟物品、无线四块,其中比例最大、利润最高的是游戏,同时游戏也是互联网所有业务线里市场规模最大、利润最厚、仍然江山未定波起云涌的一个。很自然,百度要赚钱,第一个冲刺的也是游戏。
如果单说赚钱,百度没必要怕腾讯。中移动和地产商也很赚钱,百度肯定不怕它们。不一样的关键是:腾讯赚钱的方式迟早要抽掉百度的老底。
腾讯有一个黏性巨大的QQ用户群,其赚钱战略是:当有什么商业模式成熟了,就把这个模式导入我的用户群,然后迅速获得收入。比如早先是模仿韩国人做虚拟物品买卖,跟着中移动捞SP的钱,后来跟着新浪们做门户拉广告,再后来跟着盛大们做大型网游。现在大家都看清楚了,电子商务又尤其是B2C要井喷了,于是QQ也开始大做商城项目了,QQ用户也可以通过财付通定机票和酒店了。螳螂捕蝉,黄雀在后。
问题是:当黄雀腾讯并不承担摸索一个新商业模式以及教育市场的成本,也并不承担推广的成本(向其QQ用户直接推广新产品,市场费用几乎为0),并且,各项业务共同分担管理费用等等成本,那么它做每一个业务的利润空间都要更大,综合起来的利润率都要高很多。结果是:腾讯季度有5亿美金收入,排老二的盛大也才2亿左右,至于利润,更不是一个量
级了。腾讯利润这么大,确实要感谢那些辛劳勤奋、为整个行业创新预付成本的先驱。
接下来,当针对于每一个业务的直接对手时,腾讯就可以在某一个特定时间内用其它业务的利润来补贴这一个业务,“耗”掉这个业务主要对手的利润,进而逼迫它压缩投入,逐步削弱对手而自己成为这个细分市场老大。比如门户的广告业务,利润率一直都很薄,腾讯就可以用自己的游戏利润来补贴门户业务,逐步追赶,现在已经非常接近老二搜狐,并有望在3年内取代老大新浪。比如在线支付工具,一直处于烧钱抢市场的阶段,腾讯的财付通就通过9折充值Q币的“强行输血”的方式来不断壮大自己,蚕食掉支付宝的市场份额。附带说一声,腾讯已经是网游业的老大,据说QQ邮箱也几乎把网易拿下,占有率第一。
于是我们就明白了马云看似怪异的行为:淘宝盈利如果高于某个指标,高管就有罪,而不是有功。因为第一,如果你盈利了,表明商业模式成熟了,腾讯们就会更加凶猛的扑进来。第二,如果你眼睛盯住利润而不是市场份额,那么就正好契合了腾讯的套路:我用其它业务的利润来“耗”你,我不要利润,要份额。
于是我们也看到了中国的互联网公司接二连三的跨界运作,多元化,什么有钱做什么,混战,布局。追根溯源,是腾讯的收入模式间接决定的,富户马化腾就是很大程度上制定中国互联网竞争和发展规则的人。要命的是,腾讯的收入模式又决定于其业务模式,即先有一个牢不可破的QQ用户群,才能不断导入商业模式。收入模式可以模仿,但业务模式仅此一家。
不过不少业内人士认定:就算没有腾讯的业务模式,也必须尽早模仿其收入模式,只有体积够大,才有持久力,也才有跟腾讯“对耗”的资本,才能争取时间寻找突破或者等待奇迹。这恐怕要被很多互联网人所惋惜:混这个江湖,最重要的是势力,而不是创新。可能,这也是百度那些出走高管们的痛,也是Google粉丝们的痛。
现在学习腾讯的不止百度,而基本成了主流。比如号称拥有第二大客户端安装量(仅次于QQ)的迅雷,就在这条路上撒腿狂奔,先是卖广告,后是联合运营游戏,再到开商场、自己研发游戏,不断把被证明为成熟的商业模式往自己的用户群里嫁接。不过终归到一点:这样学,只是形似而不是神似。用户群黏性大、牢不可破,才是神。
目前来看,百度和迅雷都缺乏“神”。哪天用户不再需要下载电影到本地,而直接在网上看了,迅雷的价值也就釜底抽薪了。哪天搜索引擎有了一次技术革命,或者社会性搜索的比重逐渐超过一般信息的搜索,百度的价值也就日渐萎缩。它们没有一个网,在这个网上,用户根本跑不出去。
值得一看的是,阿里和盛大两个集团似乎开始有那么一点“神”了。这个神不是人际之间的网,而是不同业务线之间的网。
阿里巴巴、淘宝、支付宝、阿里软件、阿里妈妈、口碑,就是相互嵌套起来的网,并且马云还为之苦心炮制出C2B2B2S的概念。你用我一个业务容易跑掉,但用我5个业务就很难跑掉,而且你用我一个业务感觉“及格”,但用我5个互相关联的业务就会感到“爽”。现在阿里要织更大的网,比如和电视台一起做购物平台和购物节目,和媒体一起做杂志。越来越多的业务线共享信息流,多次复用,不仅分摊成本,整体抗风险能力提高。
盛大游戏、华友世纪、盛世影业、起点中文,也是相互嵌套起来的网。起点的创意可以给盛世的电影和华友的音乐用,盛世的电影可以在酷6和华友的渠道上推广,华友的音乐人也可以给盛世的电影和盛大的游戏作曲,盛世的导演可以为盛大的游戏策划。当各块资源互动起来,达到多次复用,成本降低,收入和利润空间就很大,并且复制难度就会越来越大。
期望看到更多的类似的尝试,期望有更多战略级而不是产品级的高难度创新,以打破既定的发展规则和行业格局。诚挚祝愿百度和Robin走好。
Benjurry:(盛大在线副总裁 benjurry-季昕华出任公司CEO)
我来简单介绍下各互联网公司的安全团队吧,不当的地方还望各位补充和指正。
1、为什么互联网公司要有自己的安全团队。
a,公司重视:互联网公司的业务特别依赖于网络,网络的稳定和安全直接关系的公司业务,甚至是公司的市值,因此需要重点保障;
b,市场不能完全满足:由于安全公司偏向于传统网络安全,比较关注漏洞、FW、IDS、Scanner、Anti-DDOS、UTM等通用性安全产品和技术的研究,对于互联网公司的业务分析的相对少一些,因此短期内无法满足互联网公司的全部需求,因此在需要得到安全公司的服务外,还有不少安全需求无法解决。
c、和业务结合紧密:互联网公司的安全工作的以公司业务为主要目标,并和公司的业务紧密结合,并要求能落地实施,同时考虑到一些内部机密,不适合外包;
因此大部分都会自己组建安全团队。
2、目前互联网公司安全团队的工作内容、组织架构和人员数量(按公司名字首字母排列) a,阿里:
阿里是我很佩服的一个公司,非常欣赏他们的商业模式,而且最近几年的技术发展非常快。
目前阿里的安全架构分为阿里集团和各公司相结合的模式,即阿里集团的安全部门统一制定安全策略、安全框架和一些安全系统,各公司在此基础上进行推行,也会在此基础上根据业务的特点来做安全工作。
集团目前的安全组织是安全中心,主要工作是反黑客入侵,并且结合阿里的业务特性(以WEB业务为主),因此在系统、web安全方面的研究是国内互联网公司中最深入的,目前团队30来人左右。但是牛人很多,比如刺、云舒、hawk、wzt等等,交流学习氛围非常不错。 推荐:http://hi.baidu.com/aullik5/blog/item/a2fbb110c6950e75ca80c4f8.html
b,百度
百度的工程师文化非常强,每次和他们的技术人员聊,他们都显示出了很强的自豪感:)
百度的安全建设相对晚一些,目前在组织架构上是放在系统部下,向系统部总监汇报,人员大概在10多个。基于百度的业务特性,百度的安全人员主要也是以WEB和网络安全为主,对反DDOS和web方面的研究自成一套,保障了百度业务的稳定和快速发展。聚集了晓栋、剑心、firefly等牛人,这次百度DNS的事件,我想应该会让Robin更关注安全方面的工作,因此后续的发展应该会更快。
c,盛大
盛大在安全点的方面建设较早(比如密宝),但体系方面的建设才刚起步,并设立了CSO的职位。
盛大的安全工作可以分为:网络安全、帐号安全为主,还包括支付安全、业务连续性、内控等工作。
网络安全主要以传统的反黑客入侵为主,包括网络安全、系统安全、WEB安全等方面; 帐号安全以保障用户帐号安全为主要目标,包括密宝建设、数据分析、帐号安全体系建设,人工干预等方面;
目前安全团队分散在盛大的各个公司,总共有40来人,包括San、段钢、neeao、召唤等人。
d、腾讯
腾讯是目前国内互联网公司中安全建设较早,投入较大的公司,2005年从运维支持部分离出来,成立了安全中心,目前安全中心人数超过120人。
腾讯公司安全中心的工作包括:
a、传统的网络安全;
b、帐号安全;
c、内容安全(反有害信息)
其他方面的安全如:
d、安全政策法规研究
e、内控
f、QQ医生
g、支付安全
则分散在其他相关部门。
由于腾讯的研发能力比较强,因此在安全体系和平台的建设上比较强,开发了自己的WEB扫描器,主机Agent 安全系统,反DDOS 系统,特别值得一提的是他们自己研究出来的网站挂马检测,依托SOSO的爬虫,实时检测互联网的网页,并和多个业务结合,取得了不错的效果。每年举办的安全峰会也取得了一定的成绩。
另外在帐号安全和内容安全方面也取得了较好的技术积累。
腾讯中的牛人包括Coolc、plan9,apollo、xenos、lake等等。
另外sina、sohu、巨人、迅雷、360等互联网公司在安全方面都取得了较好的成绩,由于时间较晚了,我以后再逐步补充。
3、总结
由于最近几年互联网公司发展较快,因此在安全方面的投入较大,同时由于国内法律相对不健全的情况,互联网公司遭遇的安全挑战很大,这也促成了互联网安全团队的快速成长。 但是毕竟术业有专攻,传统的安全公司如绿盟、启明,新型的安全公司如创宇和一些个人在技术方面的研究和积累都是非常深厚的,国际咨询公司在安全管理体系方面的积累也是很强大的。
希望能在大家的一起努力下,加强交流,共同保障互联网的安全。
我现在盛大学习,毕竟在互联网公司待了5,6年,也得到了很多朋友的帮忙,所以略微知道一些互联网公司的情况,其中很多情况也不一定是正确的。
补充sina、sohu、巨人、迅雷、360几个公司的简单情况吧:
1、Sina:
Sina 一直以来都是很大的门户网站,受到的安全挑战也是蛮大的,因此他们成立安全团队也是比较早的,我记得shellcode,cy几个人好像都在sina,他们的脚本检测能力都是非常不错的:)
2、sohu:
Sohu 的安全按照我的理解可以分为3个阶段:
第一阶段好像并不是特别重视;第2阶段为了准备奥运,因此在这块投入了不少人力物力,积累也特别快,在整个奥运过程中,他们也是作出了非常不错的成绩的,蜘蛛(cu的负责人)、杨勇等好多人都在这个团队中;
第3阶段是搜狐的畅游,由于游戏增长很快,因此他们在游戏的安全方面也增强了不少。
原来运维和安全的负责人周总升到了VP,我想对安全和运维的投入也应该会更强。
3、迅雷
前几年迅雷的发展非常快,然而在2008年左右,一系列的客户端漏洞被公布出来。这个时候包子加入到迅雷成立了安全团队,并增加了小胖等学习能力非常不错的年轻人,取得了较好的成绩。
特别值得一提的是迅雷在内部推广SDL方面还是取得了非常好的成绩的,目前相对来说迅雷的客户端还是比较安全的。
4、360
360从业务来讲,是做安全行业的,因此他的安全团队和其他互联网安全团队有点不太一样,360的安全团队更多的是focus 在系统这一块,并且招揽了一大批国内在内核、杀毒方面非常强的人,像pjf、墨者团队和mj等,都是技术非常不错的人。
从以上的分析可以看出,每个互联网公司的安全团队都是比较有鲜明特点的,比如阿里和百度,由于他们公司的业务模式比较偏多于web,因此他们的安全积累比较多的在web方面;迅雷和腾讯则是以客户端起家的,因此安全团队在客户端方面就会比较关注,如软件的安全检测、fuzzing,漏洞报告机制以及软件漏洞自动补丁升级机制就会考虑的多一些;盛大以游戏起家,因此就会更多关注游戏的安全;而360是以反流氓和木马起家的,因此在内核的研究上就会有更多的积累。
另外有一点,我特别感受深刻的是:
安全毕竟是支持部门,因此必须要紧密结合业务,这样安全人员的发展空间才会更大,安全人员在公司的地位才会更高,安全人员为企业创造的价值也才会越大。
比如我在腾讯,刚开始以传统的网络安全为切入点,后续稳定下来后,公司对安全的重视就
会降低;因此我们就趁机关注在反盗号上,为公司解决了最为头疼的盗号问题;再往后,发现内容安全越来越成为重点,因此又组建团队深入到内容安全方面的工作中。
只有这样,我们安全人员才能解决企业头疼的问题,发挥自身的价值,同时也获得公司的认可,我们的职业发展才能更好。
比如sina 目前以后可以发展的安全方向就是内容安全(用户评论、微博),云安全(sina推出了app engine);
阿里除了传统的网络安全外,很关心的就是支付风控(帐号被盗、欺诈)、云安全(阿里云是个很大的团队);
百度除了传统的安全外,点击欺诈是公司很关注的一点,如果能解决这里的问题,对百度的安全团队也是个很大的提升。
我们盛大的安全会在微支付、云计算、物联网方面遭遇很大的安全挑战,也真是因为这样的挑战,我们才能有更大的发展空间:)
我来补充一下巨人的吧。。
巨人前两年发展非常快,很多员工是由盛大跳到巨人。目前巨人的安全分成3块。
1.账号安全 2.运维安全 3.信息安全
由于之前巨人曾经遭遇 黑客入侵 和 员工泄密 导致游戏代码外泄
因此公司对安全方面较为重视
目前巨人负责安全的人数约在20人左右
其中有安全实验室与巨盾安全实验室合作研发 面向所有游戏玩家的巨盾产品
公司运维中心通过ISO20000认证
集团公司通过ISO27001认证
应该是目前为数不多的通过两项认证的游戏公司
因此相信在公司在合规和ITIL流程方面做到了业界的领先水平
期待后面 9you 网龙 等游戏公司 ^_^
我介绍一下久游的安全团队吧。
照抄凌云总的一笔带过体:
久游前两年发展比较快,安全团队成立的时间比较短,前期主要是做运维和内部的安全,反黑客入侵方面花的心思比较多。
后期和典型的技术团队略有区别,
我们做了一些IT治理的事情,协助运维团队,在流程、IT风险控制方面从原始的管理方式向正规军靠拢,目前一阶段的流程梳理和制度建设已经完成。
另外一方面,我们努力扮演技术与管理方面的顾问角色,帮助其他团队解决一些问题,类似于内部的咨询服务。
目前一些常见的技能输出已经基本到位,大部分问题运维的底层人员已经熟练掌握。
团队人数在10人左右,下阶段可能会效仿腾讯,盛大,往技术开发方面继续深入核心业务。
补充一句:
安全团队除了要往核心业务靠拢之外,也受限于安全团队在整体架构中的位置和leader的技能、视野。
另外,公司也有一支反外挂的队伍,以游戏内容安全为中心,他们的工作也非常努力并且有明显的成效,在此不作详细点评。
Cnhawk:
公司安全的好坏依赖安全团队的好坏,而安全团队的好坏依赖团队内成员的水平和组成,以及梯队建设。
安全是一个长期持续演进的过程,没有团队成员的齐心协力,坚持不懈的积累和努力,是不可能做出长期安全。
同理公司发展好,能提供员工良好的发展,安全团队才能有能力培养人才,才能留住人才,这样才有足够资源将公司安全做的更好。
反之公司发展的不好,安全团队也无法留住人才,无法培养团队新人,自然没有足够资源把公司安全做好。
腾讯安全团队之所以强,是因为腾讯公司长期稳定的发展,安全团队能在稳定中快速成长。 如今很多互联网公司都已经是度过了10周年,看看安全团队的发展也可以反映出来公司的发展状态。
sun_bone:
有空可以听听北邮的一个姓赵的博士讲管理的一个视频,引用水浒解释若干问题。 呵呵,印象比较深刻的是:
企业有3类员工:
1,喝粥型 矮脚虎等为代表
2,喝酒型 „„
3,喝茶型 林冲、吴用等为代表
喝粥型是属于生活在较低级别的员工,来公司目的就是为了“混口饭吃“,主要以物质满足为主;
喝酒型基本属于嫡系部队的员工,只要不返水,永远会跟着老大干,主要以精神激励为主; 喝茶型属于中、高层管理人员,吃喝不愁,主要以提供平台供其发展为主。
宋江的高明之处在于:聚义厅前面挑了一面大旗”替天行道“,不断灌输”劫道富人天经地义,劫道穷人是上天安排“。呵呵,居然能让林冲这样的当年80万禁军教头(喝茶型),最后沦落到以劫道为生(主要谋生手段)为荣!!【梁山的主要经费来源是靠劫道维持】
在一点上,所有企业都会有此类相同的问题。
Ayazero:
我补充一下吧,久游网的安全团队成立于06年下半年,相对于其他的互联网公司比较晚,起初只有我一个光杆司令,那时刚从绿盟出来,思路主要也是原来安全服务团队以及我所属的技术组织PST的一些思路
一开始在反黑客方面花了比较大的精力,在初步解决了IT基础设施和APP层面的安全之后,开始着手建立ISMS,将安全审计嵌入所有的生产环节。在ISMS完成之后,我们决定继续拓展“业务”并壮大队伍。
在公司的整个技术团队中以领导者的身份建立了运维管理体系,在核心运维团队中实现了ITIL本地化运作,同步进行了游戏核心业务流程的BPR
在技术方向上对公司内所有的IT系统分类分级,实施了DRP,尤其是核心billing&账户中心建立了异地多点灾备、切换方案以及培训和演练等
我们提倡顾问角色服务于“内部客户”(部门)的概念,日常为老板及其他团队提供各种支持,例如APP架构&性能优化、开发工具,流程和KPI,KM等
目前着手建立大规模集中管理&智能监控平台,后续还有一些保密项目
Skydump:
这些企业的信息安全防护其实或多或少都会依靠先进厂商的技术力量和产品的,虽然是自己搞,但不可能什么都自己培养,这个是费钱、费事、费力不讨好的事情。
只能说明用户的需求不是所有的产品都能满足的,还有,这些公司基本上还是以自用为主,要想拿到市面上当作通用产品来销售,估计肯定会死得很惨。
"自用为主"这个词用对了,但是“死得很惨”就未必。这些公司信息安全团队的产品肯定不能拿到市面上去销售,因为信息安全团队本身就是为了满足自身的特定的需求。
应该可以这样说,如果这些公司自身没有信息安全团队,而当他们需要服务的时候,就只好把自己当作“甲方”,寻求市面上的“乙方”的服务了。
现在,公司自己的信息安全团队顶替了“乙方”的功能。(事实上,员工的确是老板的“乙
方”)
互联网企业自己的信息安全团队的目标不是做出来什么安全产品,而是将安全融合到本企业的各个产品线上。或者说,将安全渗透到骨髓里。
如同前面某个帖子里推荐大风的一篇文章:我们在做什么?将走向何方?
ccbcyh:
看了ben兄及各位同袍的高论,我也续貂谈下移动互联网的安全现状:
1、随着电信IP话化及移动网络互联化,传统电信运营商业务模式也在向互联网特别是移动互联网倾斜,中国移动才有了飞信、139互联公司、MobileMarket应用超市的转型尝试,甚至传出了收购腾讯的“绯闻”(ben兄去盛大不是因为这个原因吧,哈哈,开句玩笑)。
2、运营商传统的业务实现方式,重量不重质,企业文化相对的严谨有余而创新不足,在移动互联网领域的探索可谓步履维艰。
3、电信行业原来关注的安全领域在等级保护、网络安全、系统安全层面,介入移动互联网领域后,梦网业务安全、内容安全(涉黄)、个人信息安全发展为新的关注点,监管部门及新闻监督的双管齐下(先不管这些管吹得究竟是什么调),加强上述领域的安全管理必须成为重中之重,近期中国移动终于成立了专职的信息安全部。
4、互联网的基础安全设计与防护在运营商看来并非不重要,但是国内的信息安全舆论环境及移动互联网自身的安全要求,使得网络安全需要部分让位与业务安全与内容安全,从移动的安全管理架构来看,信息安全部主管信息与内容安全、数据部主管梦网业务安全、网络部安全处主管网络与系统安全。近年来传统网络安全公司在与移动等运营商的共舞时已经频繁出现了步点错乱的现象,反之,一些“十年磨一剑”的内容安全产品与公司似乎看到了春天。 5、09年末开始的移动互联网管制,在清理移动涉黄的同时,也导致了wap暂停计费的决策,也导致了众多SP业务的下滑,梦网本身的业务安全与违规管理的紧迫性相对下降,内容安全与个人信息安全的紧迫性提高,安全管理也要讲政治。
6、百度被黑、谷歌风波、绿坝、国家防火墙等等一路走来,中国的信息安全环境日益复杂,交织了各方面的利益,政治、意识、经济、技术轮番登台,各擅胜场。各位同袍在信息安全领域上下而求索的同时,是不是也有“路漫漫其修远兮”的慨叹。
Ayazero:
通用型的产品,例如高端硬件FW,抗DDOS这些应该还是有市场的
漏洞管理,俗称scanner看甲方Team的偏好了,如果网络层和主机层面的访问控制和补丁管理做得好,估计也就只能扫出一些apache版本低之类的,意义不大,当然有钱烧可以买来当玩具玩玩
内网的终端管理例如SEP等应该是有市场的,无论如何其所属行业如何,互联网公司的办公网络也是一个正常的公司内部网络,研发体系可能有些特殊,不过至少在运营体系是适用的
至于IDS,有钱的话可以买来玩玩,自定义一些规则干脆把IDS当成一个大型抓包器。如果主机和网络层面的监控做的比较好的话,IDS这种也就可有可无了。主机层面的关键变更、安全入侵行为的监控相对而言比较重要,不过通用型的HIPS在这里不一定适用
NIPS估计没人会买
还有一些产品即使买了也要做二次开发,这就要从ROI的角度衡量到底是采购还是自己开发,如果甲方自身有比较周全的大平台建设规划或是对IT架构的主导性比较强,可能会更亲倾向于自己开发
甲方的大牛们之所以对乙方的解决方案兴趣不大我个人觉得是因为这些东西相对而言比较基础,属于甲方安全建设初级阶段的部署,还不够贴近应用和深入业务,凸显不了安全团队的价值和个人能力(通俗的讲这些根本就不是谈资)
相比之下也许甲方人员更愿意聊些深入Web产品,游戏内容安全,虚拟,云计算,或者是关乎本行业本公司内价值链上下(支付等)相关的安全
至于乙方的安全服务是否有价值应该是因人而异,我做乙方的时候也服务过一些知名的互联网公司,他们的特点往往是安全团队的力量不太强,主管领导希望寻找一家外部机构的审计结果作为互补,或是偏向于外包和责任转嫁的模式
如果我是甲方的安全管理者,选择乙方服务的概率可能比较低,SOX合规性,ISMS,风险评估,渗透测试,安全监控、加固,应急响应,代码审计,黑盒测试什么的感觉自己都能做,自己做更放心一些,呵呵
粗略算一下,上述服务外包的总价肯定比养一支优秀的安全团队的价格便宜。但问题是,乙方所提供服务或解决方案的内容仅涵盖甲方大约30%左右安全建设的内容,其余70%业务内容相关的安全问题仍属空白。所以重头还是需要自己组建力量去解决。
前30%除了必要的安全产品采购外,其他的事情从互联网公司的IT架构灵活多变,业务随需应变的角度讲,用自己的人显然比用乙方要爽,呵呵
外包和背负责任这个问题比较复杂,也不是全都不能外包,如果自己在核心业务方面做的比较好,可以把外围的东西外包一部分。因为外包了自己也就做不了什么,做不了什么即便风险转嫁了也肯定没有业绩,久而久之变成了傀儡,只有当自己拥有核心安全业务时,才可以选择把边缘的或是通用型技术层面的安全外包。
如果说我要外包的话,我比较看重乙方在黑客、外挂这些圈子的渠道,当本公司被意外入侵、源代码被盗、新外挂产生时可以由乙方优先告知,以便及时应对,这些应该是对甲方来说比较实际的
从侧面看,经常选择外包,对外包商依赖比较大的,这种甲方的安全团队通常在行业里不是很出彩,也不容易有业绩,如果Leader有思想,想把安全团队做大做强,肯定会选择自己动手深入公司的核心业务
个人认为,对甲方而言,行业应用和公司业务的安全的是大头,而基础设施、网络安全这些乙方所擅长的领域,即便从¥的投入上看可能比重不小,但这些应该不是甲方安全研究的重点和难点
例如在游戏行业,老板眼中的安全是:外挂、盗号、源代码不被拷走、不被DDOS
而不会关心有多少个蠕虫病毒,还是其他的一大堆风险指标
Linkboy:
我来回答一下成本的问题和是否可能外包的问题。
对安全而言 Sox合规相对内容不多,很多可以包含在每年定期的ISMS、风险评估作完成。因此成本可以忽略。
风险评估、渗透测试的人力成本根据目前游戏公司大小 在90个人天左右基本可以完成(如果事先已经有所准备,有了自己的成熟工具可能更快)。 事实上 我以前在绿盟的时候,做风险评估和渗透测试 可能时间更短。 当然那主要是商务上的原因限制
安全监控、加固,应急响应。这三块我个人认为对于游戏公司很难外包。
游戏公司的核心就在与游戏代码,其中代码包括 二进制代码和源代码两种。
安全监控、加固,应急响应这三块无疑是会接触到二进制代码的。如果进行外包就会产生由此引发的第三方服务风险。而事实上第三方服务风险也是最不可控的。(实例参考百度DNS被修改)。因此将这几块安全外包犹如于银行将自身的保安系统外包给社会上的保安公司。风险无法接受。
同样代码审计,黑盒测试将会接触到游戏源代码。如果进行外包,感觉和印钞厂外包货币印刷检查一样。其外包所带来的风险甚至超过了工作本身所需处理的风险!
sun_bone:
当然,游戏公司还是会找些安全公司的做部分安全服务
但我个人认为,那更多的是想作为一种验证,验证本公司的安全情况。
或者是想做风险外包。
我觉得,这种风险外包是非常危险的,因为其最容易导致甲方的安全意识麻痹。而一旦出现安全事故的时候,这种所谓的风险外包又显得十分的可笑和无力。
这样写好像把 乙方兄弟们的路给断了。 怎么说也是乙方出来的。
我想了一下。
对于IT行业特别是游戏行业的特殊性,乙方可以将自身定位在安全管理上的安全咨询,和技术支持上的三线支持。
对于一些技术比较强大的安全公司,甚至可以进行相关方面的安全合作。譬如NProect就是个很成熟的合作样例
这样会促使乙方提供更高水平和层次的咨询服务,甲方也可以根据实际情况考虑,定期请乙方进行现状评测(转嫁一部分风险责任,不能全抗),以及未来规划、计划的合理性讨论论证(结合乙方掌握的业界动向、情报等)。
乙方也会从此案例中提升自己的服务水平(不只是基础服务),对乙方也是很有好处的。
一句话,乙方的能力也是随着甲方能力的提高主动(或被动)提高的,共赢局面。
itsec_cdy:
网游公司一般不需要乙方公司的介入和服务的应用。除非是一些安全设备产品。
网游安全队伍中都是摸地打滚建立起来、技能和知识框架基本包含乙方所有的。外包服务那也许是天方夜谭。
但是网游安全队伍发展的瓶颈在哪里呢?
ayazero :
瓶颈和后期发力的重点在游戏内容上,我举几个例子:
1.反外挂
2.防盗号、盗金盗充
3.欺诈和内部交易、敏感言论
4.游戏内部平衡体系
以上的解决方案包括但不仅限于:
建立专业反外挂队伍
密保,令牌,手机(对应web系统)
金额流动限制,跟踪,冻结和快速查账
GM监控,用户输入过滤
数据仓库和数据挖掘
专题页面和在线活动对用户安全意识培训
高效的客服流程以及GM工具
乙方不是什么也不能做,如果乙方的顾问对主流网游公司的内部体系熟悉程度很高,能提供真正增值的流程或是可操作性较强的系统架构规划,我还是很乐意接受咨询服务的,但问题是这样的人恐怕不会去当一个安全顾问
另外一方面,对于较底层的技术服务,传统安全公司关注的是缓冲区溢出,格式窜,整溢,空指针之类的,但网游更关注键盘,鼠标操作,封包网络协议,加速,客户端服务端验证,游戏逻辑之类的,还是侧重点不同
Deltay:
90年代,信息高速公路建设时期,铺光纤是相对来说就是高技术了。
而现在,铺光纤和普通的基建没啥区别。
同样,安全这块,基础的网络安全,随着网络设备和操作系统的完善,
地位虽然重要,但是不再会成为焦点,需要的投入相对降低,或者被分摊到网络设备和操作系统里去了。
安全到了后面更多的应该是放在应用层,和具体的业务相挂钩了。
而每个行业,每个公司的业务都有差别,所以最后的安全一定是百家争鸣。
最后,管理和审计的重要性会逐渐上升的
网路游侠:
自我感觉在这么牛叉的帖子上,不写几句对不住各位大牛
特别是久违了的、一直敬仰的benjurry兄
1、互联网公司的业务必然是有侧重的。比如腾讯、迅雷以客户端安全为主;淘宝、百度以WEB安全为主。所有的都在围绕其核心业务。
2、腾讯、百度、阿里系,毫无疑问的在第一团队。也可以看出来这和他们的历史、盈利能力成正比。
3、网游公司关注点必然是账号安全、运维管理。和1说的一样,这是他们的核心业务
4、很多当年《黑客防线》还是双月刊的时候的人,现在都在这些公司挑大梁了 ,很高兴。
同时也感觉压力很大,自己的路还很长!
5、慢慢的,很多人不再搞纯技术,而转向安全管理。身边越来越多的人如此,实际上如果能过上小康生活,那么搞纯技术的人要多的多,但是越来越多的兄弟开始换方向,毕竟,生存是第一目标。当然,这个扯远了。
甲方自己开发产品的侧重点必然是针对自己的核心业务,这个某些可以复制,但如果拿到市面上来卖,可能效果不好,因为技术,对本文提到的这些公司来说不是问题,但是对大众用户而言,很多用户ls都不知道什么意思,操作太难了。呵呵
看了ben总的帖子很有感触,感谢同时也谈谈个人对安全团队的看法,虽然自己没有在这样团队里干过,但多多少少接触过一些这方面的朋友。
个人理解互联网公司的安全团队实际上是有几层不同的定位,与公司类型、团队阶段、人员组成和个人能力有很大关系。我大概划了四个不同的层次,之间可能会有职能和阶段的重叠,也不一定是严格意义上的顺序关系。
抛砖引玉希望听听大家的看法。
Tombook:
前面有人说移动公司
我来说说电信吧
1.电信由于业务系统庞大,安全关注点在基础设备正常使用,无硬件故障方面,内部管理与处理B/S构架的业务系统信息安全的部门水平不高,主要依靠安全厂商进行安全服务。
2.电信为转型成立的子公司,信息安全有关的部门又被搞去做安全产品的系统集成,招来的
信息安全人员都去做集成业务营销。
3.电信内部安全又不给子公司做
Ayazero:
个人觉得安全运营更多的意思是从业务持续性的角度来看的,大约的意思就是不出事,老板可以睡安稳觉
例如,I(基础设施) P(平台) S(服务)三个层面的无故障运营时间,灾备应急等,I、P这两个的BC、DR和传统运维类似,乙方应该都比较熟悉,S在网游这边可能体现为游戏bug,外挂等,而信息安全,例如被入侵,盗号,DDOS,内部人员舞弊(复制装备)等应该只是其中一部分
接下来一段时间我打算写一些网游平台架构,安全架构体系,运维、数据架构体系,和内部IT治理方面的东西,有可能会比较详细的谈及技术及管理两个维度的实际应用
Renxiaoyao:
这么多人都发表自己观点了,我也随便聊两句。
1,乙方还是有生存空间的,毕竟好的安全公司专注于几个安全细分领域,产品做的好就是硬道理,甲方的安全涉及领域多,不可能个个精通,自己开发如果作个中不溜,误报漏报高,一样没啥用。乙方需要的就是根据甲方的要求做些小的调整,适合乙方嵌入流程中。
2,乙方确实不可能涉及到甲方核心业务,所以乙方或个人除了通用产品外,专注于几个行业研究,做甲方的业务安全咨询辅导角色,这样稍许比卖产品好点,能做到稍微深入些。象四大做安全咨询的,有的就有CPA证书。
3,互联网公司的业务前面人已经介绍蛮多了,起码游戏行业的已经大概知晓。其实“安全运营”真的是万变不离其中,还是我们信息资产的风险管理,即ISMS的运营,技术上也就是P2DR,管理上也就是27001,这是战略上,战术上自动化工具,流程,管理三者环环相扣,缺一不可。
具体战术实施上,各有各法,不做一一列举。不过实施步骤上按照风险高低,看重要紧急情况了。
建议以后各位在安全运营具体做法描述上,从统一纬度分析,不然混乱大家思路。
lsq_39:
腾讯、百度、阿里等这些互联网公司拥有国内顶级的安全团队,这是大家公认的。但是,他们更多的是关注各自公司核心业务的安全问题,对自身业务方向的安全掌控诚然是相当娴熟,这是这些团队存在的核心意义所在。像绿盟、启明这样的专业安全公司,关注的是普遍性的安全,当然他们也同时提供特定行业的专业安全服务。运营商、政府等单位是他们的核心客户,相比较而言,这些客户没有像腾讯、百度、阿里等这样的互联网公司一样拥有这么突出的顶级安全团队为各自的核心业务保驾护航,政府单位尤甚。至于军工及涉密等单位,专业安全公司也占据相当大一块领地。所以说,互联网公司安全团队专注度相较很高,主要保障的是各自的核心业务方向。而专业安全公司由于人才数量优势绝不会把自己局限于某单
一业务,只要有蛋糕的地方都想分一块。从某种意义上来说,互联网公司安全团队关注的业务方向是专业安全公司关注的业务方向的子集,虽然互联网公司也关注他们核心业务方向之外的,但毕竟相较而言很少。
另外,就目前国内来看,像腾讯、百度、阿里这样的拥有自己的顶级安全团队的企业毕竟很少,大家数都能数出来。所以,面对当前日益严重的安全问题,专业安全公司的前景还是比较明朗的。当然,不排除某些巨无霸(eg:HW etc.)重拳出击安全行业的可能性。
不管怎么说,国内的各种安全团队在迅猛的发展,这是好现象。但是毕竟和国外相比还有一定的差距,信息安全在中国还是任道重远啊!