张作玉:蘑菇街1-100安全体系建设

本篇文章4366字，读完约11分钟

张作玉:蘑菇街1-100安全体系建设 会上，蘑菇街信息安全总监张作宇出席了国际数据中心服务大会，并在当天的安全运维分论坛上发表了主题为“蘑菇街，从一个到一百个构建安全系统”的演讲。 中国国际数据中心圈12月28日报道，第11届中国国际数据中心行业年会(IDCC2016)于12月20日至22日在北京国家会议中心隆重举行。在中国信息与通信研究院、发展与政策论坛和联盟的指导下，本次会议由中国国际数据中心行业年会组委会主办，中国国际数据中心圈主办，得到了众多媒体的大力支持。

作为中国云计算和数据中心领域最大、最具影响力的标志性事件，IDC中国行业年会已经成功举办了10次。本次会议的规格和规模都是“上一层楼”，吸引了全部现场人员，其影响力涵盖了数据中心、互联网、云计算等所有领域。

会上，蘑菇街信息安全总监张作宇出席了国际数据中心服务大会，并在当天的安全运维分论坛上发表了主题为“蘑菇街，从一个到一百个构建安全系统”的演讲。

蘑菇街信息安全总监张作玉

以下是这次演讲的文字记录:

为了介绍公司，梅里说，蘑菇街等都是该集团的业务。我们遇到了许多问题和挑战，包括许多小型应用程序制造商，包括许多已经在使用或正在建设中的大型互联网公司。我们都遇到了问题和挑战。告诉我们我们的经历，也是来和你分享的。

我刚才提到了挑战。让我们考虑一下。互联网公司从一开始就肯定没有安全条件。互联网公司从一开始会遇到什么样的安全问题和安全管理挑战？今天，我想和你们分享蘑菇街是如何建成的，我想把这个问题抛给你们。

一、企业安全现状。众所周知，近年来互联网公司，尤其是初创公司的业务增长，是互联网公司安全问题频繁发生的原因。一家互联网公司不会在其初创期的早期建立安全团队，因为此时的业务或此时遇到的资产不需要如此多的保护，除非它是一家安全的初创公司，否则在其初创期的早期将会有一个安全团队。无论哪种互联网初创公司的安全团队起步较晚，包括整个政府，我们的安全起步相对较晚。

问题的现状。比方说，在起步较晚的企业中会遇到三个问题。当存在安全问题时，必须从发现到中断再到恢复进行处理。我们知道如何处理这个问题，但如何去做呢？有些人想问这个数字是什么意思。当我们发现一个安全挑战时，比如一个泄漏被报告给一个泄漏评级机构，或者媒体披露我们已经泄漏了数据，我们现在该怎么办？在我们能做紧急实时响应之前，乙方打电话说，买一个设备，买一个产品。这并不能解决一些问题，或者我们将从乙方公司购买安全服务以获得一段时间的保护，但这并不能解决问题。我称这种方法为快照安全，它在一定时间内是安全的。例如，我们花了三个月的时间进行人群调查。在这三个月的时间里，我们的安全状况有所改善。整个过程完美吗？你解决问题了吗？我们在这三个月里有所进步，但是我们还没有完全解决这个问题。我们遇到的问题和挑战仍然很小。我们不能用这种方法解决安全问题。

回到本质，我们的最终目标是什么？你最终想解决什么样的问题？遇到大量安全问题的企业最终回来的初衷是当问题发生时，我们有什么样的能力来处理这样的问题，也就是说，从威胁或过程中感知到响应的能力，这就是我们需要挑战的。

首先，谈谈哈迪斯系统。这是两年前，蘑菇街的安全是零，外面有数据泄漏。当时，我们花了一部分精力购买安全产品，如防火墙等拦截功能，甚至进行大规模测试。在这种情况下，我们最终收到了近100个PDF来教你如何解决这些问题。这就是我刚才说的，问题还没有完全解决，因为一旦停止公开考试，我们的威胁又来了。当我们的设备和规则没有更新时，我们的问题又来了。当时我们做了一个项目来记录所有的问题。记录这个问题并不意味着当我们发现这个问题时，我们将会看到它以前是如何处理的。我们将只记录所有的问题。该系统包括谁提交了漏洞、提交了什么级别、谁跟踪了漏洞、跟踪了多长时间、谁负责修复漏洞、整个修复过程如何、修复到什么程度以及将来是否会出现漏洞。我们都做了标记。

这个系统从上到下灌输漏洞的生命周期。我们想要这个东西的功能。第一个是做漏洞回溯。我们不想知道这个漏洞的最终解决结果是什么，但是我们需要回溯是谁造成了这个漏洞来定位一些问题。第二是脆弱性分析。当一个系统记录了超过五个合作伙伴和十几个安全项目发现的我们的弱点时，我们将知道整个AOL组的应用程序和外部服务中的缺陷在哪里，哪种类型最容易出现问题，哪一个项目组最容易出现问题，并且我们将对该项目组进行集中的问题控制。第三是效果比较。例如，我们进行了三到五次人群测试。哈迪斯会监控哪一个效果最好，哪一个有优先权找到漏洞。我们可以直接看到这些数据。然而，只做统计是没有用的，或者只告诉我们如何做才是有用的。除了做群体测试，我们还需要提高攻击的门槛，提高我们的发现能力。因此，有我们的黑客扫描器鹰。这台扫描仪有大量的能量输入。理想情况下，它比哈迪斯还早。然而，当它最终出现时，它解决了我们的许多问题，并且没有大量的人工工作反馈给这个扫描仪。

有人说，一千个人读《哈姆雷特》是一千个版本，我们的行业也是如此，每一千个孔有一千个扫描仪。我们做这件事是为了统一公司的发现能力，减少重复泄密的数量。企业扫描仪，结合我们多年的定制，具有极强的发现能力，这是我们发现能力的统一。在这种发现能力统一后，我们将把它与我们的哈迪斯系统连接起来。因此，我们减少了一些手动操作，并统一了我们的发现能力。在这个计划中，大量的手工工作将以自动化的方式反映出来，从而形成向哈迪斯报告的样子。因此，鹰非常重要。

第三是眼镜蛇系统。我们都知道，从发现数据平台的漏洞到解决问题，一个安全的过程应该是闭环的。仅仅发现问题是不够的。我们会发现一个团队总是有问题。在这个时候，我们的服务会被终止吗？只有不到10个安全团队和数百个开发团队。如果他们有问题，他们会来找我们修理，并且每次都和我们沟通一次。因此，我们必须做一件事。这是被迫的，但也反映在正常的发展过程中。我们在他们写出漏洞之前检查了代码，提前预测并发现了漏洞可能在哪里，当然也没有报告。在发现这个问题之后，我们可以找到这个问题的根本原因，统一一个修复计划，并以自动化的方式将这个修复计划反馈给开发人员。当开发提交系统变更时，或者当代码变更将要发布时，他们将直接从Cobra获得一些结果，并告诉他们代码的潜在风险。这样，甲方的安全加固自动进行。

眼镜蛇自身的角色是什么？因为我们发现了很多规则，所以我们会在写完之后把很多问题清除掉。因此，它在此链接中的功能是进行威胁分析。当我们发现某个团队或某个人经常会遇到许多代码风险或代码漏洞时，我们会检查此人的历史项目，并可能会抛出一些问题。这就是分析。

这个安全架构一年前还是一个州。我们已经通过手动将它提交给系统，然后将其提交给复制磁盘，升级我们的防火墙、堡垒和策略，完成了一套安全控制。这是刚才提到的从威胁感知到自动响应的补充。

Aone是做什么的？每个人都在做这件事，它的用途只是积累我们做的不同的事情。然而，安全仍然是要投入大量人力资源去做重复性的事情。我们必须做的是以安全的方式分发所有安全应用程序、需求、规则学习和智能。众所周知，安全不能是一个闭环。它一定是开着的。例如，需求应用程序有大量的安全要求。另一方面，我们需要你做一个审计。当一个项目上线时，我们可以自动将它分发给用户来填写列表。如果某些系统黑盒和白盒无法处理，我们将有一些智能链接。说到情报联系，我们在这个东西前面加了一个大喇叭。这个项目的目的是什么？刚才提到的Aone可以自动分配所有的安全资源，例如与情报相关的和与漏洞相关的，例如由他人提交的要求和应用，通过它进行手动处理。虽然这提高了以前的能力，但还不够。Aone的另一个特点是所有的安全工作都是以Aone的形式来计算的。有机会的话，我们可以看看整个界面。分发后，它可以连接大量任务。当我前面提到有智能时，我们的智能需要一个自动化系统。这和黑盒白盒一样。我们现在关注的所有信息和漏洞都有不同的发布策略。同时，我们还统一了所有团队可以收集的情报来源，从而减少了重复搭建笼子的过程。有了这个情报系统，它将对大量现有的情报来源进行人工分类。智能对接的背面是Aone，它被发送到各种平台或工具进行处理。

例如，我们发现了一个CVE漏洞，经过人工评估后可以通过黑盒或白盒找到，因此我们将信息发送到CVE并升级了规则。我们可以立即提出检测方案和白盒修复方案。这是我们最重要的地方。

接下来是问题警告，这对于其他制造商来说是一个非常严重的高风险漏洞，但是我们没有遇到过。我们可以对此做出预警。说到合作和采购，我们也会购买一些第三方网站产品。如果这些服务有漏洞，我们会通过情报平台跟进。需求从手动需求扩展到手动自动发现。

刚才有人提到，安全不能是一个闭环。我们花了11个月的时间在公司里玩这套东西。从发现一个消息到最终推动黑盒安装和白盒安装，再到将这个问题升级为我们的控制措施。例如，在白盒中升级了一个规则来发现这样的漏洞。梅里说，我们发现了蘑菇街，“美好世界”中的4万多个漏洞，并推动修复了2.7万多个。这是最近一年的统计数字。我们不会做封闭的安全，所以我们也很开放。

我正式宣布，我们美丽的联合MLSRC绕组有这样一个平台，增加我们与甲方、乙方、合作伙伴和其他SRC合作伙伴的沟通和交流平台，因为我们以前踩过很多坑，遇到过很多问题。画一个流程图是不够的。我们希望发布这个系统，开放人民币，让每个人都贡献代码。我们自发的情报和预警系统将共同推进自动化任务。换句话说，Aone将自动选择所有任务，并将其发送给手工工人，黑盒和白盒进行链接。通过黑盒和白盒，哈迪斯将移交产生的问题，并再次手动干预，以确定这个漏洞到底是什么样子。最后，它将被发送到Action、防火墙、家庭基站和其他现有的安全产品。乙方有许多优秀的产品。

这是我今天想分享的主要内容。因为这里有很多与安全相关的从业者。让我再说几句。我们是一家相对开放的公司。我们对安全的态度是一样的。我们接受所有的问题。我们处理所有的问题。我们也希望在座的所有安全行业的朋友能够向我们敞开心扉。我们可以坐下来讨论任何问题。但是，我们不接受恶意提交和恶意漏洞攻击，我们也保留起诉的权利。最后，我想给你一个词。我认为安全行业的很多人都有很强的技术能力，但是我们有这样的能力。我们没有权利使用这种能力进行攻击。我们不能消灭恶魔，我们只是学会与它们共存。谢谢大家！

梅里在网上说蘑菇街和购物指南合并了。业务发生了什么变化 蘑菇街和梅里街合并的消息直到2015年底和2016年初才被证实。 网上蘑菇街和美利的合并表示，徐还是“市场驱动”的退出 据说，美利和蘑菇街以股份交换的形式完成了合并，但不是1: 1的比例。