今天看了绿盟科技2017Techworld—大型互联网安全实践,美团点评的赵彦大牛的演讲,看的我是激动不已,因为在看这个视频之前,在今年3,4月份,我就一直在思考,绝对的安全是什么样子的,太多的思路和想法都和这个视频完全一样,虽然没有赵大那么高的高度,但是还是非常激动,也许这种纵深防御体系的思路正如赵大所说,十几年前就有了,可是对于我这个安全从业时间不到一年的小白来说,可是独立思考出来的概念和名词又看到了确实有大型甲方按照这个思路来搞,不免稍微有点沾沾自喜。
我认为纵深防御体系最大的问题就是,层层防御难以关联,比如,一个or 1=1,假设WAF没有防御住,然后到了RASP层被发现了,报警一次,到了风险感知又发现一次,再报警,到了SQL审计,再再报警,是不是非常的。。但是关联又的确不是很容易的事情,因为不同层面看到的完全不一样,简而言之,SQL审计看到可能只是一条完整的SQL,但是前面的看到的可能只是其中的一个带有SQL注入特征的参数而已,难以关联,报警量可能几何倍增长。不过应该也可以通过特征提取去重的方式来做掉很多报警。
但是我在想,如果最后一层如此让人放心,那么为何不仅仅部署两层防御系统,以SQLI为例,第一层WAF做掉明确的SQL注入,第二层就是SQL审计,来做不明确和脱裤之类的行为上的安全风险。
第二就是关于部署难度,大型公司服务器拓扑图复杂程度可想而知,各种复杂的网络环境,个人认为难以完整的理想的部署这样一套复杂的系统。
第三,赵大多次反复提到了,解决安全问题需要基于各种能力,运维,开发等等,如果真的是在开发时就可以解决掉很多安全问题,就不需要各种外挂式的安全设备等等,赞同到不能再赞同。
第四,看了这个明确的甲方的安全实践,感觉乙方,,不好做啊,太多的安全需求不可能即插即用和需要紧贴业务去做的前提下,乙方的太多安全产品注定在甲方看来脱离实际,难以满足需求,还很难用,所以乙方只能瞄准政府,非互联网的互联网企业,和不是很大却很对安全有很强需求即开源软件不可满足需求的公司。
不过乙方也许可以作出便于二次开发,有强核心算法的模块来卖,也是不错的选择,虽然甲方爸爸不缺钱不缺人的情况下,也许乙方很难做出这样的东西满足各种需求。
- Post author: E_Bwill