1.4　建立監控審計

全面安全評估發現存在大量高危安全風險。因為過去吃夠了安全的苦頭，而且根據現在的《安全事件定級標準》，業務方也必須承擔安全責任，所以各個團隊都在整改過程中給予了良好的支持與配合，大量高危風險得以快速消除，M公司的安全事故發生頻率明顯降低。隨之而來的，就是公司各個層面對我的信任程度越來越高，這是我第一次在M公司體會到了安全的存在感！

但是我卻越來越忐忑不安，因為我知道，當前消除的大部分是那些看得見的安全事故，至于那些看不見的事故，它們現在有沒有發生、在哪兒發生、造成了什么影響，依然一無所知。它們就像懸在頭頂的達摩克利斯之劍，隨時可能掉下來，讓用戶和公司承受無法衡量的損失。

要發現這些看不見的風險，就必須建立安全監控審計體系。

安全的監控是一套很復雜的體系，造成這種“復雜”的原因主要有3點。一是新型的攻擊往往不具備已知的特征，這會導致監控審計系統難以識別，比如有大量的 0day 攻擊可以成功繞過監控；二是即使成功識別了攻擊，監控審計系統也難以判斷這次攻擊是否造成了影響，需要干涉處理，比如傳統的 IDS 每天會產生海量的信息，但實際需要處理的極少；三是即使某條信息可以被判定為絕對正常，但是把各個環節的信息進行關聯分析，依然可以定性為攻擊行為，比如一次精密的APT攻擊就可能在單個環節上極其隱蔽。這種復雜性在短期內可能無法被徹底解決——盡管市面上已經存在很多優秀的安全產品，它們在這方面取得了很多進步，但是在安全監控召回率和準確率（或者說漏報率、誤報率）的平衡上依然還有很長的路要走。

面對這樣的復雜性，公司在建立安全監控審計體系的時候，應該注意什么呢？

首先，要盡可能全面地收集各類數據，為后續關聯分析做好準備。

其次，要盡可能避免盲目設置告警，減少在無效告警排查工作上浪費的時間和精力。

再次，要盡可能保證日志不可篡改，防止外部攻擊者或者內部惡意員工清除作惡證據。

最后，要盡可能利用安全評估的過程和結果驗證監控審計體系的有效性，并持續優化和完善監控能力。

一套基本合格的安全監控審計體系，我認為至少應該覆蓋如表 1.8 所示的監測點。

確定了監控審計體系的第一步，接下來需要考慮誰來做、怎么做的問題。一個如此龐大的工程不可能由安全工程師獨立完成。為了方便與各個團隊溝通具體的協作內容，我先梳理了一下當前階段需要協作的具體工作，如表 1.9 所示。

在梳理基礎監控審計體系建設協同工作的時候，我放棄了兩種類型的工作。

一種是需要在服務器安裝部署本地 Agent 的工作。因為在大多數情況下，出于對系統穩定性的考慮，運維人員會比較排斥在生產服務端安裝非業務、非運維功能的 Agent，即使勉強同意，也難免要經歷極其漫長的選型、測試、灰度和上線過程。這對“救火”階段的幫助不大，而且極易在各種運維故障中引發猜疑和沖突。

另一種是類似 IPS、WAF 的串聯部署（無論是物理串聯還是邏輯串聯）。這類設備的上線需要執行網絡割接操作。在一個復雜的網絡環境下，這類設備可能需要分布式部署在多個位置，而多次的割接操作可能會帶來更大的故障風險。與此同時，這類設備通常存在大量的誤報情況，因此在上線后依然需要經歷很長的觀測期才可以啟動阻斷策略，那時候“救火”階段已經過去了。當然，如果網絡攻擊對企業的影響已經達到了極其嚴重的程度，并且企業暫時不具備快速評估整改的能力，那么這時候可以考慮和接受一定的誤報，上線 IPS 和 WAF 等阻斷式入侵防護系統，快速提升整體安全。

小貼士

與業務方溝通安全協同工作時，需要盡可能劃分階段并清晰、全面地向業務方闡述需求，這樣更有利于對方進行資源協調和任務排期。想到什么就告訴業務方需要做什么，已經達成一致的內容反復變來變去，所有任務不分輕重緩急一概催著要結果，這些都是極其影響合作但又特別常見的現象。所以，建議先自己打一張表，想清楚這個階段到底要做什么、誰來做。

對于工作而言，不同的分工有不同的業務目標，所以跨團隊協作中的一些分歧并沒有對錯之分，優秀的負責人應該清楚地認識到這點，避免分歧擴大成沖突，影響后續合作。所以，對于一些阻力大但是見效時間長的工作，可以適當往后緩一緩。

接下來，我正式啟動了第一階段的工作。

• 在互聯網、辦公網部署網絡掃描工具，監控生產網邊界的訪問控制規則的有效性，確保沒有未經授權的 IP、端口和服務對外開放。
• 在生產網部署漏洞掃描工具，監控操作系統、數據庫、中間件和應用程序的已知漏洞。為了避免過度掃描引發故障，我嚴格限制了掃描速度，只啟用可以遠程利用的高危漏洞插件，并且關閉了其中的破壞性掃描插件。
• 在生產網邊界部署 IDS 和僅開啟旁路監聽的 WAF，監控針對生產網的攻擊事件。因為無效報警太多且當前沒有值班人員，所以 IDS 只開啟新近 0day 的攻擊報警，WAF 只開啟請求響應匹配后大概率確定入侵成功（機制類似于漏洞掃描器）的報警。至于全部記錄信息，采用定期集中分析的形式統一檢查。
• 在生產網和辦公網內部部署異常流程分析工具，監控惡意網絡通信和異常流量波動，及時發現木馬病毒、挖礦腳本、APT攻擊和大規模數據外傳等異常情況。
• 部署白盒代碼審計工具，聯動代碼倉庫和發布系統，監控支付、用戶信息等重點業務的代碼變化情況及安全隱患。
• 在生產網和辦公網邊界部署堡壘機，要求所有生產操作必須經過堡壘機執行，監控、記錄全部的生產操作行為。
• 部署日志分析工具，并在第一期實現以下分析能力。
  • 重點接口訪問量異常監控，比如支付、提現、訂單、個人信息等，這類接口如果出現訪問量激增，大概率是出現了安全漏洞或被“薅羊毛”。
  • 與工單流程不匹配的敏感操作監控，比較容易實現的包括但不限于賬號變更、數據庫導出、網絡變化、重啟關機操作。
  • 特定敏感數據的異常查詢監控，比如 DBA 執行的 SQL 語句中特定包含了某個用戶的密碼、地址信息，或者技術員工通過應用后臺查詢了某個用戶的詳細資料等，這種情況極少出現在正常工作中。
  • 在與對外服務和內部重要系統相關的用戶登錄、申訴、找回密碼等接口處部署基本的撞庫、暴力破解和異常登錄行為監控，這是一個水漲船高的業務安全對抗過程。
• 部署內容安全檢測與過濾系統，嚴格防范色情、反動和低俗信息。
• 在辦公終端部署防病毒程序，降低與病毒、木馬、間諜程序和勒索軟件相關的風險。
• 如果條件允許，部署一套 SIEM（security information and event management，安全信息和事件管理）工具進行關聯分析和事件挖掘。

基本上我們可以找到與以上各項工作相關的開源項目或商業解決方案，當然也可以自研，至于具體采用哪種方式，需要根據安全的預算情況、業務的發展規模和團隊的實際能力綜合決定。

一般在時間緊迫、團隊能力不足的情況下，大部分企業會優先選擇商業解決方案來支撐前期需求。但是歸根到底，選擇開源方案、商業方案還是自己開發方案，取決于企業對此項安全需求的評估，選擇可以承擔成本的方案中最優的，才是最重要的。