1. <dd id="qqztp"><noscript id="qqztp"></noscript></dd><li id="qqztp"></li>
      <th id="qqztp"></th>

      <dd id="qqztp"><pre id="qqztp"></pre></dd>

      En

      企業安全應急響應中心建設理論與實踐

      作者:lake2公布時間:2015-05-13閱讀次數:99197評論:3

      分享

       

      【前言】

       

             騰訊在2012年5月推出安全應急響應中心(TSRC)在線漏洞提交平臺和安全漏洞獎勵計劃,一路磕磕碰碰走來也快三年了。早就想結合TSRC的經驗教訓寫一篇關于SRC(SecurityResponse Center)建設的文章予以總結,現在終于有時間了。

       

             記得在2013年的第一屆TSRC沙龍上,superhei和cnhawk就企業SRC的“法治”和“人治”問題現場PK起來(見《TSRC 4-19沙龍實錄》),現場不過癮然后又發文章PK,還有iceyes、掃地僧、DragonEgg都相繼寫過談漏洞報告平臺的文章(見附錄1)。

       

             知易行難,我以為以上諸位并沒有建設SRC的實際經驗,有紙上談兵之嫌,所以終于到我上場了(事物是在變化的,現在iceyes在ASRC工作)。

       

       

      【背景】

       

             大型企業的業務模式多,涉及的產品也多,特別是互聯網業務講究“小步快跑敏捷迭代”,往往忽視了安全檢查或者來不及進行細致的安全檢查,同時安全系統本身是程序也會存在各種遺漏,因為互聯網業務的在線特性,使得互聯網的人都能夠接觸到,相對于傳統業務被攻擊面擴大,所以更容易被善意的、惡意的或者無意的人發現漏洞——如果漏洞被利用或者在黑市交易,對企業和用戶是極大危害的。

       

             既然漏洞被外部發現不可避免,那么該如何吸引外部安全力量規范地參與進來呢?

       

             互聯網工作組的“負責任的安全漏洞披露過程”(可以參考翰海源翻譯的中文版本,微軟提出的類似作法叫“協作式漏洞披露”)基本是業界共識。

       



       

             具體的做法大致會分為微軟模式和谷歌模式。

       

             以微軟為代表的IT企業主要采用的公告致謝方式。只要漏洞發現者將漏洞先報告給微軟,微軟就會在每個月的補丁發布日發布安全公告致謝漏洞報告者。由于微軟是世界級的企業,能夠發現它的漏洞并得到致謝,這個榮譽使得全世界的漏洞報告者樂此不彼。當然,時代在進步,現在微軟也有了漏洞獎勵計劃。

       

             以谷歌為代表的互聯網公司采用了現金獎勵方式。只要漏洞發現者將漏洞報告給官方而不直接公開,將會得到一筆價值不菲的現金獎勵。這種模式又有公告又有錢,大大地調動了報告者的積極性。

       

             騰訊安全團隊為這兩種模式的企業都提交過漏洞,從人性的角度體驗,當然是后者的效果更好。

       

             那么,騰訊的漏洞收集準備采用哪種模式呢?當然是符合中國國情的騰訊特色的SRC啦。

       

       

      【一個劃時代的建議】

       

             圈內的朋友都知道,TSRC時代之前(2012年5月以前),向我們反饋騰訊業務的漏洞,無論多嚴重的漏洞最終都只有贈送QQ公仔表達謝意——也有發布安全公告的時候,我查閱了歷史記錄,總共只有三個公告(TX07040201TX07092701TX09040901)。

       

             雖然回饋與漏洞報告者的貢獻完全不對等,但是當時整個行業都是這樣的,而且黑客們總有一種俠義精神,發現漏洞通知廠商似乎本身就是一種俠義之舉,廠商的簡單感謝似乎也是合情合理的。

       

             直到2012年3月底,安全應急團隊在處理完一個外部報告的嚴重的安全漏洞之后,我們的CTO、大師兄tony先生給我發了一封Email:“這個漏洞很嚴重,公仔不足以表達我們的感謝。我有一個建議,請加我的微信聊”。

       

             于是,在微信群里一番討論后,我、熾天使、coolc、ls、tony共同見證了騰訊漏洞獎勵計劃的起源。

       

       

      【磕磕碰碰中成長】

       

             接下來行政上就是一系列的特殊審批。

       

             同時技術上我們也著手建設。沒有開發、沒有產品、沒有設計、沒有運營,這些職位我們都自己頂著(什么都懂一點,生活會精彩一點),TSRC一期的系統開發及與內部安全工單系統對接工作都是harite完成的,產品、網頁設計、文案話術、處理流程、微博、博客文章大部分都是我和harite做的。

       



       

             下面兩個圖就是TSRC的漏洞報告處理流程。其中的復查程序是后面優化迭代增加的功能。

       



       



       

             比較核心的在于TSRC漏洞報告系統打通了內部的漏洞工單系統,一經確認的漏洞就會自動同步到工單系統驅動業務修復,修復后會自動同步狀態到TSRC漏洞報到系統反饋給報告者復查。

       

             說實話當時心里沒底,畢竟TSRC是業內第一家企業自建漏洞收集平臺,萬一平臺建好了沒人來報漏洞怎么辦?萬一同時來了無數個漏洞怎么辦?萬一被競爭對手坑了怎么辦?萬一……

       

             一系列小步快跑敏捷開發之后,騰訊漏洞報告平臺于5月20日邀請了一些白帽子內測,5月31日正式上線。

       



       



       

             比較欣慰的是,項目一上線就取得了不錯的效果,大部分白帽子們對這個企業自建漏洞報告平臺的模式也比較認同。2012年6月就有38位白帽子報告了上百個漏洞,其中不乏嚴重漏洞。這里還是非常感謝當時支持我們的朋友,如果沒有大家的支持,TSRC肯定很難走到今天。感謝!

       

             接下來幾個月,漏洞數也一路攀升,7月176個,8月280個……這還是最終確認為漏洞的數量——還有更多確認不是漏洞的報告(數倍于確認)。漏洞報告直接關聯到短信、微信,每天都聽到我們幾個人的手機滴滴響個不停。人力嚴重不足,頂著,每天除了其他工作,我們幾個都要處理好些漏洞。更可怕的是每個月寄送禮物的時候,快遞單都要自己手工填,每月五十個左右,手都快寫廢了(后來實現了一鍵直接連接EMS,再也不用手寫快遞單了)。

       

             跟所有的產品一樣,建設完成只是一個開始,關鍵要靠運營。TSRC建設運營的十六字箴言是:小步快跑,大膽試錯,溝通為王,以德服人

       

             前期由于沒有規則,經常出現漏洞評分的爭議。改!于是我們很快發布了《騰訊外部報告漏洞處理流程》并且不斷更新,現在都還在維護更新。

       

             然后又是因為跟白帽子溝通不暢,產生摩擦。改!于是增加了評論功能。發現還是不夠。再改!又增加了一鍵QQ聯系的功能。

       

             然后又發現有些漏洞推送到業務修復后,沒有修復徹底,又會被外部發現。改!于是增加了“報告者確認修復”的流程。

       

             ……

       

             就是在這種不斷迭代的運營過程中,TSRC形成了現在的框架。

       

             下圖是統計的這幾年騰訊和幾個大型友商在烏云漏洞報告平臺上的漏洞數量,可以看到,2012年騰訊位居“漏洞之王”,2013年已擺脫這個“桂冠”。

       



       

             再來看看騰訊的外部發現漏洞數量趨勢(來源主要是TSRC和烏云漏洞報告平臺)。

       



       

             我們可以看到,TSRC的漏洞獎勵計劃啟動后,報告的漏洞數量突飛猛進(一度讓我們震驚。SRC收集的漏洞越多,越說明企業的安全體系需要優化),2013年數量達到頂峰,但2014年終于將漏洞數量收斂——這幾年團隊是做了很多努力的,終于看到效果了。

       

             2013年1月,網易也推出了漏洞報告平臺。接著京東、百度、阿里等都相繼推出,SRC模式基本被大型互聯網企業接受并且如火如荼地開展。這一年可以稱為“SRC元年”。

       

             現在我們可以看到,隨著安全行業的發展,像深信服、國家電網、中興(中興特別提到參考了TSRC,讓我們小小驕傲一下吧)、聯想這樣的傳統企業都開展了“漏洞獎勵計劃”(見附錄),相信未來還有更多的企業SRC出現。

       

       

      【思考:溝通為王,以人為本】

       

             漏洞的獎勵模式與過去的俠義模式最大的區別就是現在漏洞報告者是利益驅動的(這也沒有錯,王陽明心學早就說過“天理即人欲”),漏洞評分會直接影響收益,所以漏洞評分要特別謹慎,不然會引起爭議。

       

             早期我分析過TSRC惹出爭議的所有問題,發現80%以上都是跟報告者的溝通問題。換句話也就是說只要溝通得當,這些爭議是不會出現的。

       

             廠商和漏洞報告者對同一個漏洞的評級不一致是很正常的,所以這個時候就要充分溝通。所以TSRC在漏洞處理的時候增加了評論功能,但是后來又發現通過評論溝通起來太慢仍然有問題,于是又增加了一鍵QQ聯系的功能。對于不怎么使用即時聊天工具的報告者,那就想辦法要到電話號碼(郵寄禮品的時候也需要電話號碼)。

       



       

             如果報告者對處理流程有異議,還可以繞過當前漏洞處理人員一鍵QQ聯系TSRC首席運營官溝通;如果仍然有異議,可以聯系到首席執行官(嘿嘿,表誤會,是TSRC的CEO);仍然無法達成一致的,可以邀請雙方認可的業界大牛一起來進行判斷。

       

             所以,我認為溝通是SRC運營過程的重中之重——與人的矛盾解決了,其他都好說了。

       

             漏洞報告平臺的核心是上面的漏洞報告者,沒有人給你報漏洞,你的平臺有什么意義呢?所以平臺粘性很重要。

       

             怎么提升平臺粘性?獎勵額度是一方面,另外你要讓報告者樂于到你的平臺來。其實就可以看作一個垂直細分領域的社區類產品,這個產品運營模式可以多摸索。

       

             早期我們推出了虛擬的企鵝勛章用以獎勵做出突出貢獻的漏洞報告者,當時還夸下還說說要實體化,現在我們真的制作了實體的企鵝勛章。下圖是設計稿之一。

       



       

       

       

      【思考:不僅僅是漏洞收集平臺】

       

             若干企業的SRC建立后,我見到一些企業的SRC只是收集外部漏洞(更有甚者只是一個擺設),我認為這是不夠的(知道我的標題為什么叫應急響應中心建設了吧)。

       

             SRC本身就是企業的一個窗口,傳遞企業對安全的態度,在這個框架之下,SRC要承擔更多的工作。

       

             SRC一個很直接的功能就是內部安全系統的試金石。稍具規模重視安全的企業肯定有自己的安全團隊和系統,那為何還會被外部發現漏洞?一定是相關團隊和系統存在這樣那樣的疏漏所致。

       

             接下來就是要分析和改進。TSRC的每個漏洞都會復盤,找出和修復相應的團隊和系統的疏漏。漏洞報告者幫助騰訊發現漏洞的同時也在優化著騰訊的安全系統。

       

             下圖就是針對Web漏洞復盤后發現的騰訊漏洞掃描器系統的問題及優化方案以及歷年來從TSRC漏洞中收獲到的優化點數量(這個數據趨勢和外部漏洞數據趨勢基本吻合)。

       



       



       

             另外就是平臺上的漏洞報告者可以換一個相對第三方的視角來檢驗我們的安全系統。比如騰訊自研的WAF上線前就讓漏洞報告者進行了專門的繞過測試,發現了一些問題,效果非常贊。這篇文章《WAF之SQL注入繞過挑戰實錄》就是當時WAF繞過挑戰的一些總結——這樣的活動即增加了用戶粘性,又優化了系統。

       

             現在安全行業開始受到重視,高級安全人才急缺,SRC是絕佳的人才招聘渠道。我們團隊的部分實習生、應屆畢業生和社招人員都曾是TSRC上優異的漏洞報告者,TSRC的現任負責人flyh4t也曾是TSRC的漏洞報告者。

       

             SRC還要承擔企業的安全影響力輸出,TSRC也會在官網分享一些騰訊安全建設方面的經驗和工具。不過目前來看做得還不夠(有人在群里說騰訊安全不分享,不過欣慰的是馬上有另一個非騰訊的人說騰訊是有分享的。感謝支持啊),未來肯定還會更多。后續flyh4t還計劃把優質漏洞報告里的思路提煉出來發在博客里,供大家切磋,共同提高。

       

             除了自身企業的漏洞,SRC還可以做得更多。以OpenSSL心臟出血、Bash Shell破殼漏洞為典型案例,一些基礎組件的安全漏洞對互聯網企業的影響很大,所以TSRC也推出了“互聯網生態安全漏洞獎勵計劃”(The Security Hero Project),將漏洞獎勵的范圍擴大到基礎組件,希望能對互聯網安全有點幫助。

       

       

      【思考:排行制 vs 兌換制】

       

             早期的幾個月,考慮到如果按漏洞個數發獎,有經費不足的風險,所以我們采用了“排行制”,即對每個月的白帽子進行積分排序,按等級贈送禮品(iPad、手機、QQ公仔等實物)。下圖就是2012年10月排行制下獲得禮品規則:

       



       

             過了幾個月,排行制的弊端就顯現了:報告者無法得到喜歡的東西。這等于嚴重打擊了漏洞報告者的積極性。那不行,得改!

       

             于是“兌換制”誕生了。也就是通過漏洞的評分獲得相應數量的金幣,報告者可以使用這個金幣去積分商城自由兌換物品。仍然為了防止破產,上線禮品的時候,我們通過簡單的經濟學手段利用金幣-人民幣兌換系數來控制禮品的“通貨膨脹”。不過一段時間后發現經費還是足夠的,同時白帽子普遍反映挖騰訊漏洞難度提高了,我們就逐步調大了這個系數。

       

             這就等于是讓市場來決定漏洞價值。如果漏洞越少越難發現,單個漏洞的獎勵越貴。在內部的一次討論會上,我們笑稱等以后一個騰訊的反射型XSS漏洞都獎勵500美金了,就說明騰訊安全做得不錯了。也有很多朋友吐槽騰訊獎勵不如谷歌、Facebook,我的答案還是市場來決定漏洞價值,現階段還沒有到一個騰訊漏洞500美金的時候。

       

             之前我們擔心直接獎勵現金對行業有負面影響,不過看到其他平臺也用現金,業界比較接受,后來TSRC也有了直接的現金獎勵,今年還增加了金幣直接兌換現金功能。

       

       

      【思考:江湖險惡,小心炒作】

       

             自從PR介入安全行業以來,普通安全問題可能會被競爭對手炒作,SRC作為直接處理安全問題的官方團隊,一定要小心謹慎。

       

             有朋友吐槽過騰訊對于安全問題的官方答復一律是“非常感謝您的報告。這個問題我們已經確認,正在與業務部門進行溝通制定解決方案。如有任何新的進展我們將會及時同步”。這個答復是我們內部討論改進過多個版本的安全問題官方標準答復口徑,不過這不是因為敷衍,而是為了避免被炒作。

       

             早些時候,我們的工作人員在烏云漏洞報告平臺答復安全漏洞的時候,由于話術過于隨意,發生了被競爭對手炒作的情況。

       

             2013年TSRC發布過一個年度報告,公布了上一年度TSRC處理的漏洞及獎勵情況,然后當天晚上就出現了利用報告里的數據指責騰訊漏洞多、獎勵少的軟文。

       

             TSRC郵箱曾經收到過某公司的郵件,稱要來合作,TSRC答復說非常歡迎但是這事不是我們的職責所以我們轉給某某部門了。結果第二天就出現了指責騰訊對于安全問題多次催促還推諉的軟文。

       

             類似的血淚教訓還有幾個,總之企業SRC對外的話術口徑一定要謹慎,要注意避免被競爭對手利用。

       

       

      【思考:云SRC】

       

             我們可以把SRC看成一種安全能力或者產品,由一個SRC服務商來為沒有資源建設SRC的企業整合資源提供SRC系統,這就是云SRC了。就跟我們普通用戶自己沒有資源搭建個人博客而使用新浪博客一樣。

       

             云SRC是為企業提供免費的漏洞收集服務與平臺,盈利點是為平臺上的企業提供安全增值服務的方式(比如漏洞修復方案咨詢、安全加固甚至是安全情報,具體的增值服務方式還可以再摸索)。

       

             我理解的云SRC是免費提供給所有有需要的廠商的漏洞信息私有的服務,所以不論是傳統的第三方漏洞報告平臺(烏云或者補天)還是新興的安全眾測平臺(烏云眾測漏洞盒子Sobug威客眾測)都不能算是云SRC。某些眾測平臺的廠商常駐模式有點那個形式。

       

             隨著信息安全得到重視,未來各種企業特別是試圖進軍互聯網業務的傳統企業肯定是需要有自己的SRC的,但是大部分企業又未必有資源自己來做,所以我認為云SRC這種服務是值得嘗試的。

       

       

      【思考:xSRC聯盟】

       

             xSRC是指所有的SRC,這里的“x”是通配符,代表一個或多個字符,相當于正則里面的“*”。記得前幾個SRC出來的時候,就有人戲言xSRC太多,26個字母不夠用了,得擴大x的位數。

       

             所謂xSRC聯盟就是企業的SRC有共同的需求而聯合起來交換資源合作共贏的聯盟。

       

             這里可以合作的事情比較多:漏洞收集平臺相關的統一帳號體系、漏洞評分標準、經驗分享;業界安全情報共享(有點類似MAPP);企業之間的安全問題溝通(漏洞通報/僵尸網絡通報/攻擊協查);安全系統共享……

       

             當然了,涉及到各家公司的安全團隊協同了,所以以上大部分想法實施起來稍微有點困難。

       

       

      【后記】

       

             信息技術發展到物聯網時代,信息安全與我們的生活息息相關,隨著各企業對安全的重視增加,可能就會有SRC的需求。這是時代進化的一個趨勢,那么SRC的未來該怎么走呢,本文拋磚引玉,與業界各位同仁一起探討。

       

       

      【附錄1:關于SRC建設的幾篇文章】

       

      superhei,給TSRC等甲方平臺建設的一些建議,http://hi.baidu.com/hi_heige/item/937357b12bed3aa1ebba9316

      cnhawk,淺談企業漏洞收集平臺建設,http://www.freebuf.com/articles/others-articles/8963.html

      Superhei,再談企業漏洞收集平臺建設,http://hi.baidu.com/hi_heige/item/b619f44cc11996af61d7b9dd

      cnhawk,三談企業漏洞收集平臺建設,http://www.freebuf.com/articles/others-articles/9059.html

      iceyes,漏洞報告平臺那點事,http://www.freebuf.com/news/special/16302.html

      掃地僧,吐槽國內各大公司的漏洞報告平臺,http://www.freebuf.com/articles/others-articles/10813.html

      DragonEgg,誰最給力?國內各大應急響應中心獎勵分析,http://www.freebuf.com/articles/others-articles/13953.html

       

       

      【附錄2:國內各企業SRC地址】

       

      騰訊,TSRC,http://www.3310z.com

      百度,BSRC,http://sec.baidu.com

      阿里巴巴,ASRC,http://security.alibaba.com

      360,360SRC,http://security.#

      網易,NSC,http://aq.163.com

      1號店,1SRC,http://security.yhd.com

      京東,JSRC,http://security.jd.com

      新浪,SSRC,http://sec.sina.com.cn

      金山,KSRC,http://sec.kingsoft.com

      迅雷,XSRC,http://safe.xunlei.com

      攜程,CSRC,http://sec.ctrip.com

      去哪兒,QSRC,http://security.qunar.com

      搜狗,SGSRC,http://sec.sogou.com

      小米,MiSRC,https://sec.xiaomi.com

      快播,QSRC,http://security.kuaibo.com

      魅族,MEIZUSRC,http://sec.meizu.com

      深信服,深信服安全響應中心,http://security.sangfor.com.cn

      國家電網,信息系統安全實驗室漏洞提交平臺,http://124.205.52.38

      中興,中興通訊PSIRT,http://www.zte.com.cn/cn/about/corporate_citizenship/security/201405/t20140530_424338.html

      聯想,LSRC,http://lsrc.lenovo.com

      [ 國內漏洞獎勵計劃聚合 ] http://www.3310z.com/index.php/xSRC

       

      評論留言

      提交評論 您輸入的漏洞名稱有誤,請重新輸入
      放荡的寡妇