拼客学院陈鑫杰 创业团队如何低成本保护自己的网站安全(4)
2023-03-15 来源:你乐谷
在这个阶段,团队至少引入一名全职且专业的安全工程师,是非常有必要的,TA 能做的事情包括但不限于:
持续关注行业安全动态,例如 0 day 或 N day漏洞,提高安全应急响应能力
周期性对各类网站业务系统进行漏洞扫描 或 渗透测试,提前预判安全风险
充分使用市面上优秀的开源安全产品,甚至能根据企业需求进行二次优化
更好地组合开源与付费商业产品,为企业构建最佳网站防御方案
除此之外,安全工程师还可以根据企业需求,将部分 Web 业务系统,授权给第三方众测服务平台(例如补天),通过性价比较高的方式,吸引外部白帽子黑客进行安全测试。
在这个方案中,我们还增加了「少量商业产品」这个可选项,为什么是可选项呢?
如果招募的这名安全工程师是比较有经验的,例如攻防兼备且研发功底好,那基本上利用好这堆开源产品再结合外部众测服务,基本就足够了。
而如果安全工程师经验较少,例如攻防只熟悉一面且缺乏研发背景,那对于开源产品的使用和二次开发,则会有所受限,这种情况下就可以投入资金来采购一些商业安全产品。
换句话说,如果你找的是年薪 30 ~ 50万 的安全负责人,那采购商业产品的几率就变小;如果你找的是年薪 10 ~ 20 万的安全新人,那采购商业产品的几率就变大。
所以,这个成本到底是花在人力还是产品上面,如何做好平衡,这个要看团队自己的决策了。
方案三
创业阶段:发展期 或 扩张期
网站规模:中大型或大型、3 个域名及以上、数百上千台服务器
解决思路:独立安全团队 开源产品 企业 SRC 少量商业产品(可选)
安全等级:参考等保 3 级
预估成本:50 ~ 100 万/年
在创业发展或扩张期阶段,网站规模开始从「多机多域名多点部署」逐步切换到「异地多IDC数据中心部署」,这个时候企业的 Web 网站架构越趋复杂,涉及网络、系统、应用、数据等方方面面。
考虑到这个时候,业务已进入高速发展期,各个业务系统的流量激增,竞争对手变多且黑客攻击行为开始变得频繁,若要保证整个网站架构的持续稳定安全运行,只有一名安全人员的话,技术、时间、精力都较难分配。因此,推荐的解决方案是「独立安全团队 开源产品 企业 SRC 少量商业产品(可选)」。
在这个阶段,企业组建独立的安全团队,是非常有必要的。这个安全团队可以是 2 ~ 3 人,也可以是 3 ~ 5人,并且不归属研发或运维部,而是独立为安全部。这个部门除了方案二中提到的,还能做的事情包括但不限于:
有人负责安全产品研发,有人负责安全运维或测试
有人专注红队渗透,有人专注蓝队防御
成立企业专属 SRC(安全应急响应中心),与外部白帽子黑客保持良好关系
……
即便独立且能力较强的安全团队,这个方案仍然存在「少量商业产品」这个可选项。毕竟,安全团队也未必能做好每个安全产品,或者防御好每次攻击。
比方说网站遭受到常见的 DDoS 攻击,这个时候产品端已很难直接解决了,还是得花钱采购防 DDOS 弹性包,进行流量清洗和迁移。
以上,便是我给创业团队,在不同阶段的低成本网站防护解决方案,希望对所有同样在创业的朋友们带来帮助。
持续关注行业安全动态,例如 0 day 或 N day漏洞,提高安全应急响应能力
周期性对各类网站业务系统进行漏洞扫描 或 渗透测试,提前预判安全风险
充分使用市面上优秀的开源安全产品,甚至能根据企业需求进行二次优化
更好地组合开源与付费商业产品,为企业构建最佳网站防御方案
除此之外,安全工程师还可以根据企业需求,将部分 Web 业务系统,授权给第三方众测服务平台(例如补天),通过性价比较高的方式,吸引外部白帽子黑客进行安全测试。
在这个方案中,我们还增加了「少量商业产品」这个可选项,为什么是可选项呢?
如果招募的这名安全工程师是比较有经验的,例如攻防兼备且研发功底好,那基本上利用好这堆开源产品再结合外部众测服务,基本就足够了。
而如果安全工程师经验较少,例如攻防只熟悉一面且缺乏研发背景,那对于开源产品的使用和二次开发,则会有所受限,这种情况下就可以投入资金来采购一些商业安全产品。
换句话说,如果你找的是年薪 30 ~ 50万 的安全负责人,那采购商业产品的几率就变小;如果你找的是年薪 10 ~ 20 万的安全新人,那采购商业产品的几率就变大。
所以,这个成本到底是花在人力还是产品上面,如何做好平衡,这个要看团队自己的决策了。
方案三
创业阶段:发展期 或 扩张期
网站规模:中大型或大型、3 个域名及以上、数百上千台服务器
解决思路:独立安全团队 开源产品 企业 SRC 少量商业产品(可选)
安全等级:参考等保 3 级
预估成本:50 ~ 100 万/年
在创业发展或扩张期阶段,网站规模开始从「多机多域名多点部署」逐步切换到「异地多IDC数据中心部署」,这个时候企业的 Web 网站架构越趋复杂,涉及网络、系统、应用、数据等方方面面。
考虑到这个时候,业务已进入高速发展期,各个业务系统的流量激增,竞争对手变多且黑客攻击行为开始变得频繁,若要保证整个网站架构的持续稳定安全运行,只有一名安全人员的话,技术、时间、精力都较难分配。因此,推荐的解决方案是「独立安全团队 开源产品 企业 SRC 少量商业产品(可选)」。
在这个阶段,企业组建独立的安全团队,是非常有必要的。这个安全团队可以是 2 ~ 3 人,也可以是 3 ~ 5人,并且不归属研发或运维部,而是独立为安全部。这个部门除了方案二中提到的,还能做的事情包括但不限于:
有人负责安全产品研发,有人负责安全运维或测试
有人专注红队渗透,有人专注蓝队防御
成立企业专属 SRC(安全应急响应中心),与外部白帽子黑客保持良好关系
……
即便独立且能力较强的安全团队,这个方案仍然存在「少量商业产品」这个可选项。毕竟,安全团队也未必能做好每个安全产品,或者防御好每次攻击。
比方说网站遭受到常见的 DDoS 攻击,这个时候产品端已很难直接解决了,还是得花钱采购防 DDOS 弹性包,进行流量清洗和迁移。
以上,便是我给创业团队,在不同阶段的低成本网站防护解决方案,希望对所有同样在创业的朋友们带来帮助。
幸田李梨rct综艺自己上
