查看原文
其他

默安科技CTO云舒:君有漏洞在腠理,不治将恐深

2017-11-03 谢幺 浅黑科技


本文作者谢幺,科技作者,微信:dexter0


用医生比喻网络安全人员者,精辟得很,不光在于治伤捉疾的逻辑类似,“医患关系”也如此。


比如,生了病才想起医生,不生病时你叮嘱他注意作息饮食按时睡觉?

呵呵,我没病,先爽了再说!

搞安全也是永远在止损,没出事之前价值很难衡量,常常是“事件驱动”,被黑客搞了才开始较真。


再比如,有些人总觉得搞安全的经常危言耸听,就像即使是小病小伤,医生也让你先去做个全身体检。


安全行业的“医患”逻辑甚至可以套用在《扁鹊见蔡恒公》里。


一天,安全人员对老板说,“君有BUG在腠理,不治恐将深”,老板说“寡人无疾,安全人员之好治无病以为功。"

 

过不久,安全人员跟老板说,“君有漏洞在肌肤,不治恐将深”,老板不悦,曰“寡人无疾”。

 

不久,安全人员辞职了,老板问他为啥辞职,答曰:“漏洞出现在产品开发阶段时,很容易就修补,你不管;漏洞在产品测试阶段出现,修补也不难,现在产品上线了,高危漏洞一大堆,这锅老子不背!”

 

居五日,公司数据泄露,使人索安全人员,已跳槽矣,公司遂亡。

 

这不是说段子搞笑的,这是残酷的事实,不少企业的安全状就是如此。111日,默安科技新品发布会上,资深网络安全专家云舒印证了这一逻辑。


知名网络安全专家、默安科技联合创始人、CTO  云舒 ↑


一个产品开发生命周期中,不同阶段修复安全漏洞的成本差距非常大,研发阶段和运行阶段的修复成本甚至能相差数百倍。

 

什么意思呢?云舒举了个例子:

 

产品在开发阶段发现个漏洞,找开发人员直接Fix 就行。成本是单倍。

 

测试阶段发现问题,就得拉上运维、研发、测试、安全、产品等好几个部门来解决,还有一定沟通成本。成本可能是两倍。

 

到了发布阶段,产品在线上检测出漏洞,需要安全人员给方案,和研发人员沟通,测试人员验证,还需要承受线上风险。成本可能是十倍。

 

等产品真正上线后出问题了,公关部门就闪亮登场开始填坑,没准还要老板亲自发文道个歉,泄露了用户数据被请去喝茶。然后是业务部、产品、运营、市场、客户投诉、开发、测试……成本可能是百倍千倍,甚至无法衡量。


这就是“不治将恐深”,活脱脱的网络安全版《扁鹊见蔡桓公》有木有?


90%的公司在产品开发阶段都不太考虑网络安全,只想着产品早日上线。往往等到产品上线后,再进入出漏洞,修补,出漏洞,修补的循环,甚至有的产品架构都需要重构。

 

早发现,早治疗,道理谁都懂,可是现实很骨感。


显然,研发安全是所有企业都无法回避的问题。无论是高大上的云计算,还是传统行业“比较土”的服务器、租用托管,都避免不了由自己的员工开发自己要用的系统。

 

云舒说,对于微软、google 那样的大公司而言,常用一种名叫 SDL 的安全开发流程规范来确保安全,从产品的开发到上线,让安全人员参与进来,每个环节都考虑安全和用户隐私因素。


然而这终究是巨头公司。云舒直言“国内很少有公司能把 SDL 做好,勉强及格的只占8%左右。”

 

云舒没有说破,但在我看来,造成这种情况的本质原因就一个:不愿意在安全方面花太多钱—— 产品先上线,赚钱再说!


安全永远是止损,收益很难直接观察到,不出事,很难衡量价值,以至于往往只关注到开发而忽略安全。


这个问题表现在实际当中就是:缺人,缺安全人员。


我们都知道,安全人员的薪水还是比较高的,现在的安全产品操作界面都挺复杂,只有专业安全人员才能用懂。


那么问题来了,如果开发、测试阶段的每个漏洞都让安全人员盯着来审核、修复,确认、修复,那他就基本不用干别的活儿了,就耗在上面了。


云舒说着,聊起以往自身的经历,


以前在阿里云安全的时候,唯一一次试用第三方安全产品,让人抓狂。


当时用的某国际知名厂商的安全扫描产品,由于我们的产品又是做安全的,非常复杂,结果各种误报,恨不得每天报一万个问题。


若是一个个审核,人手永远都不够。

 

既然多招几个安全人员太贵,研发安全又很重要,有没有一种办法或工具,能让开发人员和测试人员,在产品研发的早期阶段,“顺手”就把安全漏洞解决了呢?


这个曾经困扰云舒很久的问题,终究被解决。他按下翻页,身后旋即出现“赋能”二字。

 

答案就是赋能。


他们想通过一个产品,把专业的安全能力赋予给不懂安全的研发、QA人员,让所有普通员工能在不增加工作量,不改变工作方式的情况下,拥有判定安全的能力,像是拥有一把鉴定安危的利剑。


说起“雳鉴”,云舒不无骄傲,那么,它到底是怎么工作的呢?

 

软件开发阶段,雳鉴是一个交互式白盒测试系统,对所有代码进行安全提示,对所有代码仓库进行安全巡检,不让一处有安全隐患的代码上线。


测试阶段,它是一个人人都能用的灰盒和黑盒测试系统,利用被动扫描的方式,跟着开发、测试人员的步伐,把每个流程的安全进行检查,防止产品带病上线。

 

当然,要做好这件事并不容易,既要能找出安全漏洞,又不能老是误报。如果一个安全工具成天报错,拖慢正常的研发节奏,注定会被舍弃。


基本上接近百分之百没有误报。


对于这一点,云舒尤其有信心,


因为我们宁愿漏报,也不误报。


这个耿直Boy解释道,这是基于他自己多年从业的思考。


他认为,本质上漏报和误报本身就是个矛盾体。但安全可以是分层次的、立体的,每一个层次都只做当前层面最适合做的事情。

 

有的漏洞可以在第一阶段放过,因为它适合在第二阶段处理。就像过滤器,每一层只能过滤一种杂质,但叠加起来就能达到很好的过滤效果。


宁可漏报也不过多打扰,曾经亲历过“误报之苦”的云舒想把雳鉴做到足够简单。


不需要任何的安全知识,QA(测试人员)会用,PD(产品经理)会用,说不定公司老板也会用。


后记


相较国外企业,国内公司在网络安全方面的投入不足是现状,即便《网络安全法》出台后,这种状况在逐渐改善,但放眼望去,国内企业的安全建设之路还很长。


“雳鉴”便是默安科技的三位安全专家能想到的,在当下大环境下,能将漏洞扼杀于萌芽的最好方式。


【默安科技三位联合创始人:左起汪利辉、聂万泉、云舒,离职创业时title分别是阿里高级安全专家、阿里云平台安全总监、资深安全专家】



回到安全与医生的思辨,我想起医神扁鹊的另一个故事:


魏文王问扁鹊,你们三兄弟谁医术最牛X?


扁鹊说,我大哥是医术最牛,我二哥其次,我最菜。


魏文王不信,扁鹊解释“上医治未病,中医治欲病,下医治已病”。


我大哥在别人没发病之前就预防了,所以大家不知道他的医术高。我二哥在别人刚发病时就治好,所以他名气也不大。我往往是别人快死了才出手救活,所以显得牛X,请问,我是不是很鸡贼?


默安科技这回妥妥当了一回“上医”。


其实,不止是默安科技,那些帮助人们防患于未然,在漏洞爆发之前就修补的安全人员,都是上医,他们的功劳值得为人所知,值得尊敬。


---


本文作者谢幺,科技作者,微信:dexter0


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存