阿里巴巴集團(tuán)安全部 項顯獻(xiàn)

SRC是企業(yè)安全的必備

阿里巴巴集團(tuán)安全部 項顯獻(xiàn)

隨著安全漏洞和安全威脅越來越受到人們的關(guān)注，近年來越來越多的公司紛紛成立自己的安全響應(yīng)中心（Security Response Center, SRC）。企業(yè)自己的SRC究竟該如何定位？能夠發(fā)揮什么作用？未來該如何發(fā)展？本文在大量的實踐基礎(chǔ)上對這些問題進(jìn)行說明，供業(yè)界參考。

1 SRC的定義和價值

2004年，微軟成立了第一個企業(yè)安全響應(yīng)中心MSRC，負(fù)責(zé)對外收集微軟系產(chǎn)品相關(guān)的安全漏洞并發(fā)布相關(guān)的安全通告，防止安全事件的發(fā)生、改進(jìn)相關(guān)產(chǎn)品的安全性。阿里巴巴的安全應(yīng)急響應(yīng)中心（Alibaba Security Response Center，ASRC）成立于2013年10月，是國內(nèi)最早成立的一批SRC之一。

隨著企業(yè)的互聯(lián)網(wǎng)化，越來越多的產(chǎn)品面臨著來自互聯(lián)網(wǎng)的安全威脅，尤其是部分業(yè)務(wù)多、迭代快、邊界廣的互聯(lián)網(wǎng)公司無時無刻都在面臨安全的挑戰(zhàn)。當(dāng)前企業(yè)安全會面臨以下幾個問題：

（1）到目前為止并不存在實際可用的方法徹底杜絕產(chǎn)品或者業(yè)務(wù)設(shè)計方面的漏洞，這些漏洞隨時會被攻擊者利用；

（2）安全人才短缺，專業(yè)安全人員成本高昂，導(dǎo)致企業(yè)很難有足夠的專職安全團(tuán)隊及時全面地發(fā)現(xiàn)自己產(chǎn)品中的漏洞；

（3）安全的維度很多領(lǐng)域很廣，即使是專業(yè)的安全人員也會存在認(rèn)知上的短板，導(dǎo)致對產(chǎn)品的安全性認(rèn)識不夠全面，存在未知的巧妙方式突破；

（4）安全是一個動態(tài)的過程，許多通用型的0day不定期出現(xiàn)在互聯(lián)網(wǎng)上，第一時間獲取相關(guān)消息進(jìn)行應(yīng)急響應(yīng)尤為重要；

（5）黑灰產(chǎn)產(chǎn)業(yè)的存在，導(dǎo)致部分重要安全漏洞被外部惡意利用后將造成巨大損失；

（6）在多種不同動機(jī)的驅(qū)使下，一些安全漏洞會在未修復(fù)的情況下被公開傳播，給用戶安全帶來重大風(fēng)險。

因此，充分發(fā)揮海量外部安全專業(yè)人員的作用，建立良好的互信和激勵機(jī)制，鼓勵他們發(fā)現(xiàn)和反饋企業(yè)產(chǎn)品的安全漏洞，是提升企業(yè)發(fā)現(xiàn)自己產(chǎn)品漏洞的全面性和及時性從而啟動快速修復(fù)的一個必要工作，這就是SRC發(fā)揮的最大作用。

除此之外，ASRC還發(fā)布了威脅情報收集計劃，收集任何與阿里集團(tuán)相關(guān)的安全事件或者威脅線索，只要能從中發(fā)現(xiàn)安全隱患，那么及時收到這些信息對阿里集團(tuán)及我們客戶的安全都非常有意義。另外，SRC還是一個企業(yè)安全形象的重要因素，涉及企業(yè)安全性在用戶心中的影響力。

2 SRC的形式

常規(guī)SRC從工作內(nèi)容上分為對外部分和對內(nèi)部分，以SRC平臺為橋梁連接兩者。

對外包括漏洞上報、漏洞審核、獎勵發(fā)放和外部溝通，對內(nèi)包括漏洞流轉(zhuǎn)、漏洞驗證、漏洞修復(fù)、漏洞review等環(huán)節(jié)。根據(jù)這兩部分工作可將SRC分為托管式SRC和自建SRC。

托管式SRC模式往往是企業(yè)和第三方托管平臺之間的付費(fèi)合作，企業(yè)在這種模式下只需在第三方托管平臺上創(chuàng)建一個入口，就可以利用第三方平臺的安全人員和平臺資源完成安全漏洞收集。這類SRC的工作重點(diǎn)在于內(nèi)部流程，對外只需要和托管平臺達(dá)成合作即可，往往不需要單獨(dú)設(shè)置SRC團(tuán)隊而是由內(nèi)部技術(shù)團(tuán)隊兼職。如云盾先知計劃就是這樣的托管平臺，有許多企業(yè)用戶依托先知平臺對外提供自己的安全問題上報入口。

在自建SRC模式下，最大的不同在于企業(yè)建立自己的專業(yè)化運(yùn)營能力、自己搭建對外SRC平臺、形成更加緊密的內(nèi)外流通流程。這樣的模式成本更高，但是也能更好地實現(xiàn)能力和資源沉淀，例如會直接與上報者建立強(qiáng)關(guān)系并逐漸形成自己的外部上報專家群體。

ASRC屬于自建SRC，運(yùn)營著專業(yè)的SRC平臺并有上千名為阿里上報安全漏洞的安全人員，形成了良好的合作和獎勵機(jī)制，吸引了大量的專家前來上報安全問題。

3 SRC的建設(shè)

3.1 內(nèi)部漏洞流轉(zhuǎn)制度

科學(xué)的漏洞流轉(zhuǎn)制度是發(fā)揮SRC應(yīng)有價值的必備條件。

從企業(yè)信息安全體系建設(shè)來說，SRC其實是安全開發(fā)生命周期（Secure Development Lifecycle，SDL）中的一塊，大部分成立SRC的企業(yè)都擁有較為成熟的內(nèi)部安全體系，成立SRC后只需SDL流程對接作為一個漏洞發(fā)現(xiàn)源即可。如阿里安全內(nèi)部的SDL2.0體系，覆蓋了全集團(tuán)安全開發(fā)工作的整個過程，其中的漏洞流轉(zhuǎn)流程很好地將ASRC的漏洞提交工作對接到集團(tuán)內(nèi)部。

沒有SDL流程的企業(yè)需要形成完善的漏洞流轉(zhuǎn)制度，包括漏洞錄入、漏洞驗證、漏洞修復(fù)、漏洞復(fù)查等，可以保證一個漏洞被提交后，能有效地被傳遞到對應(yīng)的部門進(jìn)行修復(fù)，常規(guī)情況下一個承載流轉(zhuǎn)沉淀功能的內(nèi)部漏洞管理平臺也是企業(yè)標(biāo)配。

3.2 SRC平臺

SRC平臺是自建SRC的基礎(chǔ)設(shè)施，是外部安全人員上報的渠道。

早期最簡易的SRC平臺只有一個頁面，展示了用于上報者投遞漏洞的企業(yè)郵箱信息，定級評分及后續(xù)流程也走郵件溝通。通過郵件提交漏洞的形式已不常見。

常規(guī)的SRC平臺擁有漏洞提交、漏洞評定、漏洞反饋、制度公告發(fā)布和禮品發(fā)放功能，進(jìn)一步如ASRC還有安全人員積分排名、禮品商城、博客、留言板等擴(kuò)展，SRC與外部上報者可以在平臺上實現(xiàn)幾乎所有溝通。

3.3 SRC標(biāo)準(zhǔn)制度

漏洞評價獎勵標(biāo)準(zhǔn)是一個SRC的核心。

當(dāng)漏洞被確認(rèn)后，定級和獎勵是極容易發(fā)生爭議的。評價獎勵標(biāo)準(zhǔn)是SRC根據(jù)自身業(yè)務(wù)制定的衡量體系，也是對外解釋的依據(jù)，因此應(yīng)當(dāng)體現(xiàn)企業(yè)重點(diǎn)關(guān)注的漏洞類型，應(yīng)具有較強(qiáng)的合理性也需要一定的可解釋空間，不能自相違背或完全一概而論。運(yùn)營人員也需對標(biāo)準(zhǔn)具有深刻的解讀，當(dāng)發(fā)生爭議時懂得合理解讀標(biāo)準(zhǔn)去說服他人，否則極容易造成公關(guān)事件和外部人員流失。

ASRC的漏洞評價獎勵標(biāo)準(zhǔn)經(jīng)過3年多的整理，具有較為合理的評價體系與解釋空間，重點(diǎn)關(guān)注賬號、訂單、店鋪信息泄露和資金類的安全問題，被多家業(yè)內(nèi)自建SRC修改引用，并且還在不斷優(yōu)化當(dāng)中。

3.4 運(yùn)營團(tuán)隊

運(yùn)營團(tuán)隊決定了SRC的效率、效果和形象。

運(yùn)營團(tuán)隊的設(shè)定涉及企業(yè)內(nèi)部組織架構(gòu)，非常復(fù)雜。部分SRC的運(yùn)營工作由技術(shù)團(tuán)隊直接負(fù)責(zé)，對內(nèi)修復(fù)和對外解釋均由技術(shù)團(tuán)隊完成；也有專業(yè)的SRC運(yùn)營團(tuán)隊只管漏洞收錄與外部溝通，具體的內(nèi)部修復(fù)工作歸屬其他部門。

理論上擁有技術(shù)背景的運(yùn)營人員是SRC的最佳選擇，他們既能懂得漏洞的原理與價值及時推動修復(fù)工作，又能對外與技術(shù)人員無障礙溝通。

SRC也可以變得很豐富，像ASRC具有職能較為全面的運(yùn)營團(tuán)隊，包括平臺優(yōu)化產(chǎn)品經(jīng)理、漏洞審核運(yùn)營人員、線上線下活動策劃運(yùn)營人員、安全內(nèi)容運(yùn)營人員和安全推廣人員。

3.5 SRC社區(qū)

安全社區(qū)是自建SRC的優(yōu)良輔助。

安全社區(qū)通常有論壇、博客、釘釘群、旺旺群、qq群、微信群等模式，聚集了SRC外部漏洞提交人員和各地的安全專家。社區(qū)是運(yùn)營人員維持外部提交者活躍度的重要媒介，需要配以文字內(nèi)容、線上線下活動和日常溝通來形成用戶粘性，對于SRC品牌傳播也極為有價值，是日常媒體傳播的重要渠道。

3.6 內(nèi)部SRC平臺

內(nèi)部SRC平臺是SRC的重要分支，一般分布在大型企業(yè)，而且不能被托管。

當(dāng)大型企業(yè)內(nèi)部人數(shù)較多、擁有較多不在安全崗位但是擁有安全技能的員工，又因為制度和權(quán)限問題無法讓內(nèi)部人員在外部平臺上報時，以及當(dāng)集團(tuán)需要對內(nèi)部系統(tǒng)問題進(jìn)行長期檢測又不能邀請外部安全專家時，就可以成立內(nèi)部安全應(yīng)急響應(yīng)中心（Internal Security Response Center，ISRC）。

由于內(nèi)部人員的數(shù)據(jù)權(quán)限問題，及部分本職工作考慮，ISRC的公益性較強(qiáng)，是外部SRC的一個良好補(bǔ)充。ASRC的內(nèi)部提交平臺每年也為集團(tuán)貢獻(xiàn)很多的內(nèi)外部安全問題，為集團(tuán)和客戶安全的保障提供助力。

4 自建SRC的運(yùn)營

4.1 關(guān)注企業(yè)痛點(diǎn)

SRC的收集工作最終是為了保護(hù)企業(yè)安全、防止安全問題給企業(yè)和用戶帶來損失。因此符合企業(yè)安全痛點(diǎn)、對企業(yè)最有價值的安全問題應(yīng)是SRC收集工作的重點(diǎn)，需要在收集標(biāo)準(zhǔn)中體現(xiàn)，并根據(jù)企業(yè)的業(yè)務(wù)轉(zhuǎn)型而變化。

ASRC長期關(guān)注的店鋪、資金、訂單、賬號問題在標(biāo)準(zhǔn)中明確標(biāo)注相關(guān)系統(tǒng)為核心系統(tǒng)，提交相關(guān)安全問題可以比其他系統(tǒng)得到更豐富的獎勵。

4.2 行業(yè)格局的變化

SRC的工作應(yīng)該符合行業(yè)現(xiàn)狀，制定的標(biāo)準(zhǔn)及運(yùn)營策略應(yīng)參考行業(yè)概況，這樣制定的工作計劃才能有理有據(jù)，在對內(nèi)對外溝通時掌握主動。

例如在行業(yè)發(fā)展產(chǎn)生了眾多ISV生態(tài)合作伙伴的情況下，ASRC調(diào)整了工作計劃，針對ISV生態(tài)合作伙伴的安全進(jìn)行了大量調(diào)研，并開展生態(tài)合作伙伴眾測活動，防止因生態(tài)合作伙伴的問題導(dǎo)致的集團(tuán)信息泄露等安全事件發(fā)生，保障企業(yè)和用戶的安全。

4.3 保持中立

SRC是企業(yè)與外部安全專家溝通的橋梁，涉及到利益問題較為敏感，因此在工作中應(yīng)具有中立性，用理論和事實依據(jù)說話，以用戶安全為最終目標(biāo)，對內(nèi)說服同事對外說服上報者，這樣才能讓人感到公平公正，樹立良好形象，避免溝通中產(chǎn)生的各類風(fēng)險。

對外ASRC是外部安全專家的伙伴，對于漏洞的理解會站在外部上報者的提交角度去思考并且與內(nèi)部業(yè)務(wù)團(tuán)隊充分溝通；對內(nèi)ASRC又會從業(yè)務(wù)實際考慮出發(fā)，不夸大漏洞的危害，結(jié)合各類業(yè)務(wù)場景來更準(zhǔn)確地衡量問題影響。

4.4 提升知名度，成為聯(lián)絡(luò)門戶

SRC的收集工作具有廣泛性，需要更多的人持續(xù)地為SRC提供企業(yè)的安全隱患，才能實現(xiàn)SRC的價值，因此SRC需要樹立一定的知名度，讓更多的人能在有企業(yè)相關(guān)安全問題時想到特定的SRC，而不是不知道該聯(lián)系誰。

從去年開始，ASRC在商家、開發(fā)者和志愿者等團(tuán)隊開展線上活動，依托專業(yè)的群體社區(qū)去為我們發(fā)聲，讓更多人知道我們。在推廣活動之后，陸續(xù)有商家將碰到的安全事件報告給我們，我們從事件中反向調(diào)查，發(fā)現(xiàn)了許多惡意行為，對改善集團(tuán)安全、保障客戶利益有很大的幫助，我們也非常感謝為我們上報情報的商家，他們的行為是在為上億用戶的安全保駕護(hù)航。

在線下方面，ASRC也開展了雷峰互聯(lián)網(wǎng)安全系列沙龍，從2014年年底起在全國各地舉辦安全沙龍聚會，與多家大型互聯(lián)網(wǎng)公司和地區(qū)安全團(tuán)隊一起，邀請當(dāng)?shù)匦袠I(yè)安全專家共話網(wǎng)絡(luò)安全，形成行業(yè)影響和地區(qū)傳播，讓網(wǎng)絡(luò)安全深入人心，提升大眾的安全意識。

另外，對于部門繁多的大型企業(yè)來說，外部安全人員很難了解企業(yè)內(nèi)部的不同分支部門，因此發(fā)現(xiàn)問題無法準(zhǔn)確找到最直接的相關(guān)人。這時候最好建立統(tǒng)一的對外聯(lián)絡(luò)門戶，把復(fù)雜的內(nèi)部協(xié)調(diào)工作留給企業(yè)自己，會達(dá)到更好的效果。

4.5 業(yè)務(wù)瓶頸的突破

今天的互聯(lián)網(wǎng)安全和當(dāng)初發(fā)生了很大變化，許多傳統(tǒng)SRC的工作范圍其實覆蓋的面很小，而實際上企業(yè)面臨的一切外部安全問題，都是SRC可以涵蓋和做出貢獻(xiàn)的。例如ASRC正在做的安全品牌風(fēng)險、生態(tài)伙伴安全隱患、安全威脅情報收集、安全研究合作、安全活動協(xié)同共辦等都是SRC可以考慮的。傳統(tǒng)SRC應(yīng)更多地考慮如何發(fā)揮優(yōu)勢提高自己為企業(yè)帶來的價值。

5 SRC的合作與升級

安全的廣泛性決定了獨(dú)立研究是難以覆蓋安全所有領(lǐng)域的，形成合作的安全生態(tài)才能整體把握企業(yè)的安全態(tài)勢。另一方面，外部安全人員的思路大多可以拓展到其他企業(yè)，在資源充足的情況下企業(yè)SRC應(yīng)形成良好的溝通，共享資源，讓安全專家的問題發(fā)現(xiàn)思路幫助更多的企業(yè)解決同類安全問題。再者SRC之間也需要互相借力來讓更廣泛的人群知道SRC的概念。

隨著人才興起、語音智能、交通便利，大型互聯(lián)網(wǎng)企業(yè)的發(fā)展必然走向國際，加上安全技術(shù)具有無國界性，因此SRC需要逐漸把控國際安全風(fēng)險，國際安全專家社區(qū)的形成也是一種趨勢。

SRC可以覆蓋更多的企業(yè)安全需求，對外的屬性決定了類似企業(yè)合作伙伴生態(tài)安全問題、企業(yè)間的安全研究、安全業(yè)務(wù)交流合作都可以依托SRC進(jìn)行。ASRC正在積極探索突破現(xiàn)有運(yùn)營模式，進(jìn)入豐富、協(xié)同、國際化的SRC 2.0時代，也歡迎廣大用戶隨時向我們反饋意見、交流心得、尋求合作。我們的平臺是https：//security.alibaba.com/