阿里巴巴集團(tuán)安全部 項(xiàng)顯獻(xiàn)

SRC是企業(yè)安全的必備

阿里巴巴集團(tuán)安全部 項(xiàng)顯獻(xiàn)

隨著安全漏洞和安全威脅越來越受到人們的關(guān)注，近年來越來越多的公司紛紛成立自己的安全響應(yīng)中心（Security Response Center, SRC）。企業(yè)自己的SRC究竟該如何定位？能夠發(fā)揮什么作用？未來該如何發(fā)展？本文在大量的實(shí)踐基礎(chǔ)上對(duì)這些問題進(jìn)行說明，供業(yè)界參考。

1 SRC的定義和價(jià)值

2004年，微軟成立了第一個(gè)企業(yè)安全響應(yīng)中心MSRC，負(fù)責(zé)對(duì)外收集微軟系產(chǎn)品相關(guān)的安全漏洞并發(fā)布相關(guān)的安全通告，防止安全事件的發(fā)生、改進(jìn)相關(guān)產(chǎn)品的安全性。阿里巴巴的安全應(yīng)急響應(yīng)中心（Alibaba Security Response Center，ASRC）成立于2013年10月，是國內(nèi)最早成立的一批SRC之一。

隨著企業(yè)的互聯(lián)網(wǎng)化，越來越多的產(chǎn)品面臨著來自互聯(lián)網(wǎng)的安全威脅，尤其是部分業(yè)務(wù)多、迭代快、邊界廣的互聯(lián)網(wǎng)公司無時(shí)無刻都在面臨安全的挑戰(zhàn)。當(dāng)前企業(yè)安全會(huì)面臨以下幾個(gè)問題：

（1）到目前為止并不存在實(shí)際可用的方法徹底杜絕產(chǎn)品或者業(yè)務(wù)設(shè)計(jì)方面的漏洞，這些漏洞隨時(shí)會(huì)被攻擊者利用；

（2）安全人才短缺，專業(yè)安全人員成本高昂，導(dǎo)致企業(yè)很難有足夠的專職安全團(tuán)隊(duì)及時(shí)全面地發(fā)現(xiàn)自己產(chǎn)品中的漏洞；

（3）安全的維度很多領(lǐng)域很廣，即使是專業(yè)的安全人員也會(huì)存在認(rèn)知上的短板，導(dǎo)致對(duì)產(chǎn)品的安全性認(rèn)識(shí)不夠全面，存在未知的巧妙方式突破；

（4）安全是一個(gè)動(dòng)態(tài)的過程，許多通用型的0day不定期出現(xiàn)在互聯(lián)網(wǎng)上，第一時(shí)間獲取相關(guān)消息進(jìn)行應(yīng)急響應(yīng)尤為重要；

（5）黑灰產(chǎn)產(chǎn)業(yè)的存在，導(dǎo)致部分重要安全漏洞被外部惡意利用后將造成巨大損失；

（6）在多種不同動(dòng)機(jī)的驅(qū)使下，一些安全漏洞會(huì)在未修復(fù)的情況下被公開傳播，給用戶安全帶來重大風(fēng)險(xiǎn)。

因此，充分發(fā)揮海量外部安全專業(yè)人員的作用，建立良好的互信和激勵(lì)機(jī)制，鼓勵(lì)他們發(fā)現(xiàn)和反饋企業(yè)產(chǎn)品的安全漏洞，是提升企業(yè)發(fā)現(xiàn)自己產(chǎn)品漏洞的全面性和及時(shí)性從而啟動(dòng)快速修復(fù)的一個(gè)必要工作，這就是SRC發(fā)揮的最大作用。

除此之外，ASRC還發(fā)布了威脅情報(bào)收集計(jì)劃，收集任何與阿里集團(tuán)相關(guān)的安全事件或者威脅線索，只要能從中發(fā)現(xiàn)安全隱患，那么及時(shí)收到這些信息對(duì)阿里集團(tuán)及我們客戶的安全都非常有意義。另外，SRC還是一個(gè)企業(yè)安全形象的重要因素，涉及企業(yè)安全性在用戶心中的影響力。

2 SRC的形式

常規(guī)SRC從工作內(nèi)容上分為對(duì)外部分和對(duì)內(nèi)部分，以SRC平臺(tái)為橋梁連接兩者。

對(duì)外包括漏洞上報(bào)、漏洞審核、獎(jiǎng)勵(lì)發(fā)放和外部溝通，對(duì)內(nèi)包括漏洞流轉(zhuǎn)、漏洞驗(yàn)證、漏洞修復(fù)、漏洞review等環(huán)節(jié)。根據(jù)這兩部分工作可將SRC分為托管式SRC和自建SRC。

托管式SRC模式往往是企業(yè)和第三方托管平臺(tái)之間的付費(fèi)合作，企業(yè)在這種模式下只需在第三方托管平臺(tái)上創(chuàng)建一個(gè)入口，就可以利用第三方平臺(tái)的安全人員和平臺(tái)資源完成安全漏洞收集。這類SRC的工作重點(diǎn)在于內(nèi)部流程，對(duì)外只需要和托管平臺(tái)達(dá)成合作即可，往往不需要單獨(dú)設(shè)置SRC團(tuán)隊(duì)而是由內(nèi)部技術(shù)團(tuán)隊(duì)兼職。如云盾先知計(jì)劃就是這樣的托管平臺(tái)，有許多企業(yè)用戶依托先知平臺(tái)對(duì)外提供自己的安全問題上報(bào)入口。

在自建SRC模式下，最大的不同在于企業(yè)建立自己的專業(yè)化運(yùn)營能力、自己搭建對(duì)外SRC平臺(tái)、形成更加緊密的內(nèi)外流通流程。這樣的模式成本更高，但是也能更好地實(shí)現(xiàn)能力和資源沉淀，例如會(huì)直接與上報(bào)者建立強(qiáng)關(guān)系并逐漸形成自己的外部上報(bào)專家群體。

ASRC屬于自建SRC，運(yùn)營著專業(yè)的SRC平臺(tái)并有上千名為阿里上報(bào)安全漏洞的安全人員，形成了良好的合作和獎(jiǎng)勵(lì)機(jī)制，吸引了大量的專家前來上報(bào)安全問題。

3 SRC的建設(shè)

3.1 內(nèi)部漏洞流轉(zhuǎn)制度

科學(xué)的漏洞流轉(zhuǎn)制度是發(fā)揮SRC應(yīng)有價(jià)值的必備條件。

從企業(yè)信息安全體系建設(shè)來說，SRC其實(shí)是安全開發(fā)生命周期（Secure Development Lifecycle，SDL）中的一塊，大部分成立SRC的企業(yè)都擁有較為成熟的內(nèi)部安全體系，成立SRC后只需SDL流程對(duì)接作為一個(gè)漏洞發(fā)現(xiàn)源即可。如阿里安全內(nèi)部的SDL2.0體系，覆蓋了全集團(tuán)安全開發(fā)工作的整個(gè)過程，其中的漏洞流轉(zhuǎn)流程很好地將ASRC的漏洞提交工作對(duì)接到集團(tuán)內(nèi)部。

沒有SDL流程的企業(yè)需要形成完善的漏洞流轉(zhuǎn)制度，包括漏洞錄入、漏洞驗(yàn)證、漏洞修復(fù)、漏洞復(fù)查等，可以保證一個(gè)漏洞被提交后，能有效地被傳遞到對(duì)應(yīng)的部門進(jìn)行修復(fù)，常規(guī)情況下一個(gè)承載流轉(zhuǎn)沉淀功能的內(nèi)部漏洞管理平臺(tái)也是企業(yè)標(biāo)配。

3.2 SRC平臺(tái)

SRC平臺(tái)是自建SRC的基礎(chǔ)設(shè)施，是外部安全人員上報(bào)的渠道。

早期最簡易的SRC平臺(tái)只有一個(gè)頁面，展示了用于上報(bào)者投遞漏洞的企業(yè)郵箱信息，定級(jí)評(píng)分及后續(xù)流程也走郵件溝通。通過郵件提交漏洞的形式已不常見。

常規(guī)的SRC平臺(tái)擁有漏洞提交、漏洞評(píng)定、漏洞反饋、制度公告發(fā)布和禮品發(fā)放功能，進(jìn)一步如ASRC還有安全人員積分排名、禮品商城、博客、留言板等擴(kuò)展，SRC與外部上報(bào)者可以在平臺(tái)上實(shí)現(xiàn)幾乎所有溝通。

3.3 SRC標(biāo)準(zhǔn)制度

漏洞評(píng)價(jià)獎(jiǎng)勵(lì)標(biāo)準(zhǔn)是一個(gè)SRC的核心。

當(dāng)漏洞被確認(rèn)后，定級(jí)和獎(jiǎng)勵(lì)是極容易發(fā)生爭議的。評(píng)價(jià)獎(jiǎng)勵(lì)標(biāo)準(zhǔn)是SRC根據(jù)自身業(yè)務(wù)制定的衡量體系，也是對(duì)外解釋的依據(jù)，因此應(yīng)當(dāng)體現(xiàn)企業(yè)重點(diǎn)關(guān)注的漏洞類型，應(yīng)具有較強(qiáng)的合理性也需要一定的可解釋空間，不能自相違背或完全一概而論。運(yùn)營人員也需對(duì)標(biāo)準(zhǔn)具有深刻的解讀，當(dāng)發(fā)生爭議時(shí)懂得合理解讀標(biāo)準(zhǔn)去說服他人，否則極容易造成公關(guān)事件和外部人員流失。

ASRC的漏洞評(píng)價(jià)獎(jiǎng)勵(lì)標(biāo)準(zhǔn)經(jīng)過3年多的整理，具有較為合理的評(píng)價(jià)體系與解釋空間，重點(diǎn)關(guān)注賬號(hào)、訂單、店鋪信息泄露和資金類的安全問題，被多家業(yè)內(nèi)自建SRC修改引用，并且還在不斷優(yōu)化當(dāng)中。

3.4 運(yùn)營團(tuán)隊(duì)

運(yùn)營團(tuán)隊(duì)決定了SRC的效率、效果和形象。

運(yùn)營團(tuán)隊(duì)的設(shè)定涉及企業(yè)內(nèi)部組織架構(gòu)，非常復(fù)雜。部分SRC的運(yùn)營工作由技術(shù)團(tuán)隊(duì)直接負(fù)責(zé)，對(duì)內(nèi)修復(fù)和對(duì)外解釋均由技術(shù)團(tuán)隊(duì)完成；也有專業(yè)的SRC運(yùn)營團(tuán)隊(duì)只管漏洞收錄與外部溝通，具體的內(nèi)部修復(fù)工作歸屬其他部門。

理論上擁有技術(shù)背景的運(yùn)營人員是SRC的最佳選擇，他們既能懂得漏洞的原理與價(jià)值及時(shí)推動(dòng)修復(fù)工作，又能對(duì)外與技術(shù)人員無障礙溝通。

SRC也可以變得很豐富，像ASRC具有職能較為全面的運(yùn)營團(tuán)隊(duì)，包括平臺(tái)優(yōu)化產(chǎn)品經(jīng)理、漏洞審核運(yùn)營人員、線上線下活動(dòng)策劃運(yùn)營人員、安全內(nèi)容運(yùn)營人員和安全推廣人員。

3.5 SRC社區(qū)

安全社區(qū)是自建SRC的優(yōu)良輔助。

安全社區(qū)通常有論壇、博客、釘釘群、旺旺群、qq群、微信群等模式，聚集了SRC外部漏洞提交人員和各地的安全專家。社區(qū)是運(yùn)營人員維持外部提交者活躍度的重要媒介，需要配以文字內(nèi)容、線上線下活動(dòng)和日常溝通來形成用戶粘性，對(duì)于SRC品牌傳播也極為有價(jià)值，是日常媒體傳播的重要渠道。

3.6 內(nèi)部SRC平臺(tái)

內(nèi)部SRC平臺(tái)是SRC的重要分支，一般分布在大型企業(yè)，而且不能被托管。

當(dāng)大型企業(yè)內(nèi)部人數(shù)較多、擁有較多不在安全崗位但是擁有安全技能的員工，又因?yàn)橹贫群蜋?quán)限問題無法讓內(nèi)部人員在外部平臺(tái)上報(bào)時(shí)，以及當(dāng)集團(tuán)需要對(duì)內(nèi)部系統(tǒng)問題進(jìn)行長期檢測又不能邀請(qǐng)外部安全專家時(shí)，就可以成立內(nèi)部安全應(yīng)急響應(yīng)中心（Internal Security Response Center，ISRC）。

由于內(nèi)部人員的數(shù)據(jù)權(quán)限問題，及部分本職工作考慮，ISRC的公益性較強(qiáng)，是外部SRC的一個(gè)良好補(bǔ)充。ASRC的內(nèi)部提交平臺(tái)每年也為集團(tuán)貢獻(xiàn)很多的內(nèi)外部安全問題，為集團(tuán)和客戶安全的保障提供助力。

4 自建SRC的運(yùn)營

4.1 關(guān)注企業(yè)痛點(diǎn)

SRC的收集工作最終是為了保護(hù)企業(yè)安全、防止安全問題給企業(yè)和用戶帶來損失。因此符合企業(yè)安全痛點(diǎn)、對(duì)企業(yè)最有價(jià)值的安全問題應(yīng)是SRC收集工作的重點(diǎn)，需要在收集標(biāo)準(zhǔn)中體現(xiàn)，并根據(jù)企業(yè)的業(yè)務(wù)轉(zhuǎn)型而變化。

ASRC長期關(guān)注的店鋪、資金、訂單、賬號(hào)問題在標(biāo)準(zhǔn)中明確標(biāo)注相關(guān)系統(tǒng)為核心系統(tǒng)，提交相關(guān)安全問題可以比其他系統(tǒng)得到更豐富的獎(jiǎng)勵(lì)。

4.2 行業(yè)格局的變化

SRC的工作應(yīng)該符合行業(yè)現(xiàn)狀，制定的標(biāo)準(zhǔn)及運(yùn)營策略應(yīng)參考行業(yè)概況，這樣制定的工作計(jì)劃才能有理有據(jù)，在對(duì)內(nèi)對(duì)外溝通時(shí)掌握主動(dòng)。

例如在行業(yè)發(fā)展產(chǎn)生了眾多ISV生態(tài)合作伙伴的情況下，ASRC調(diào)整了工作計(jì)劃，針對(duì)ISV生態(tài)合作伙伴的安全進(jìn)行了大量調(diào)研，并開展生態(tài)合作伙伴眾測活動(dòng)，防止因生態(tài)合作伙伴的問題導(dǎo)致的集團(tuán)信息泄露等安全事件發(fā)生，保障企業(yè)和用戶的安全。

4.3 保持中立

SRC是企業(yè)與外部安全專家溝通的橋梁，涉及到利益問題較為敏感，因此在工作中應(yīng)具有中立性，用理論和事實(shí)依據(jù)說話，以用戶安全為最終目標(biāo)，對(duì)內(nèi)說服同事對(duì)外說服上報(bào)者，這樣才能讓人感到公平公正，樹立良好形象，避免溝通中產(chǎn)生的各類風(fēng)險(xiǎn)。

對(duì)外ASRC是外部安全專家的伙伴，對(duì)于漏洞的理解會(huì)站在外部上報(bào)者的提交角度去思考并且與內(nèi)部業(yè)務(wù)團(tuán)隊(duì)充分溝通；對(duì)內(nèi)ASRC又會(huì)從業(yè)務(wù)實(shí)際考慮出發(fā)，不夸大漏洞的危害，結(jié)合各類業(yè)務(wù)場景來更準(zhǔn)確地衡量問題影響。

4.4 提升知名度，成為聯(lián)絡(luò)門戶

SRC的收集工作具有廣泛性，需要更多的人持續(xù)地為SRC提供企業(yè)的安全隱患，才能實(shí)現(xiàn)SRC的價(jià)值，因此SRC需要樹立一定的知名度，讓更多的人能在有企業(yè)相關(guān)安全問題時(shí)想到特定的SRC，而不是不知道該聯(lián)系誰。

從去年開始，ASRC在商家、開發(fā)者和志愿者等團(tuán)隊(duì)開展線上活動(dòng)，依托專業(yè)的群體社區(qū)去為我們發(fā)聲，讓更多人知道我們。在推廣活動(dòng)之后，陸續(xù)有商家將碰到的安全事件報(bào)告給我們，我們從事件中反向調(diào)查，發(fā)現(xiàn)了許多惡意行為，對(duì)改善集團(tuán)安全、保障客戶利益有很大的幫助，我們也非常感謝為我們上報(bào)情報(bào)的商家，他們的行為是在為上億用戶的安全保駕護(hù)航。

在線下方面，ASRC也開展了雷峰互聯(lián)網(wǎng)安全系列沙龍，從2014年年底起在全國各地舉辦安全沙龍聚會(huì)，與多家大型互聯(lián)網(wǎng)公司和地區(qū)安全團(tuán)隊(duì)一起，邀請(qǐng)當(dāng)?shù)匦袠I(yè)安全專家共話網(wǎng)絡(luò)安全，形成行業(yè)影響和地區(qū)傳播，讓網(wǎng)絡(luò)安全深入人心，提升大眾的安全意識(shí)。

另外，對(duì)于部門繁多的大型企業(yè)來說，外部安全人員很難了解企業(yè)內(nèi)部的不同分支部門，因此發(fā)現(xiàn)問題無法準(zhǔn)確找到最直接的相關(guān)人。這時(shí)候最好建立統(tǒng)一的對(duì)外聯(lián)絡(luò)門戶，把復(fù)雜的內(nèi)部協(xié)調(diào)工作留給企業(yè)自己，會(huì)達(dá)到更好的效果。

4.5 業(yè)務(wù)瓶頸的突破

今天的互聯(lián)網(wǎng)安全和當(dāng)初發(fā)生了很大變化，許多傳統(tǒng)SRC的工作范圍其實(shí)覆蓋的面很小，而實(shí)際上企業(yè)面臨的一切外部安全問題，都是SRC可以涵蓋和做出貢獻(xiàn)的。例如ASRC正在做的安全品牌風(fēng)險(xiǎn)、生態(tài)伙伴安全隱患、安全威脅情報(bào)收集、安全研究合作、安全活動(dòng)協(xié)同共辦等都是SRC可以考慮的。傳統(tǒng)SRC應(yīng)更多地考慮如何發(fā)揮優(yōu)勢提高自己為企業(yè)帶來的價(jià)值。

5 SRC的合作與升級(jí)

安全的廣泛性決定了獨(dú)立研究是難以覆蓋安全所有領(lǐng)域的，形成合作的安全生態(tài)才能整體把握企業(yè)的安全態(tài)勢。另一方面，外部安全人員的思路大多可以拓展到其他企業(yè)，在資源充足的情況下企業(yè)SRC應(yīng)形成良好的溝通，共享資源，讓安全專家的問題發(fā)現(xiàn)思路幫助更多的企業(yè)解決同類安全問題。再者SRC之間也需要互相借力來讓更廣泛的人群知道SRC的概念。

隨著人才興起、語音智能、交通便利，大型互聯(lián)網(wǎng)企業(yè)的發(fā)展必然走向國際，加上安全技術(shù)具有無國界性，因此SRC需要逐漸把控國際安全風(fēng)險(xiǎn)，國際安全專家社區(qū)的形成也是一種趨勢。

SRC可以覆蓋更多的企業(yè)安全需求，對(duì)外的屬性決定了類似企業(yè)合作伙伴生態(tài)安全問題、企業(yè)間的安全研究、安全業(yè)務(wù)交流合作都可以依托SRC進(jìn)行。ASRC正在積極探索突破現(xiàn)有運(yùn)營模式，進(jìn)入豐富、協(xié)同、國際化的SRC 2.0時(shí)代，也歡迎廣大用戶隨時(shí)向我們反饋意見、交流心得、尋求合作。我們的平臺(tái)是https：//security.alibaba.com/