腾讯PCG技术安全团队:未知与已知,如何打好研发安全的持久战?
第1部分 背景介绍
- 挑战:存量增量业务复杂度高,现网域名多,运营中服务模块多,涵盖社交、视频、信息流服务、内容平台、腾讯新闻、阅文等,新成员和新业务形态纳管难度大,安全水位高低不齐。
- 困境:已知风险与未知风险并存,如何有效管控。
第2部分 救火
- 业务合并带来的未知风险:存量业务安全水位高低不齐,技术栈与基础设施繁多,存量严重风险多,EDR告警多,面临命令注入、文件上传头部风险等已知风险,以及未知风险和解决手段。
- 分析与运营工具:使用资产梳理工具、Web应用基础资产信息工具、拓展资产信息工具、终端应用包名工具、工具链扫描、Web漏洞扫描系统、高危服务扫描系统、APP安全扫描防护WAF、定义运营指标等。
- 运营策略:上线前后黑盒扫描+线上防护,保证覆盖,包括GR评审、发布至预发布环境提交人工评审、发布对外WAF防护例行扫描等。
- 小结:通过上线前后黑盒扫描+线上防护,显著减少严重风险&EDR告警,形成安全运营框架V1.0。
第3部分 治理
- 背景:全面收敛常见应用安全风险,存量技术栈与基础设施繁多,增量业务孵化多,常见Web应用安全漏洞多成为主要已知安全风险,外部报告漏洞数仍偏高。
- 分析与运营:
- SAST工具增强:建设工具链与策略,清存量,包括应用漏洞白盒扫描、代码安全规范扫描、镜像制品扫描,默认覆盖内网全部仓库,支持主动调用外部引擎。
- 编码阶段安全管控:针对常见应用漏洞形成标准化安全开发套件,覆盖11类常见应用安全风险,如参数校验、数据输出脱敏、SQL查询安全等。
- 未雨绸缪:为每个业务提供“安全体检报告”,梳理业务风险清单,结合OWASP TOP10历史漏洞工单复盘。
- 多维度观测指标:结合SRE理念,确保安全系统可靠性,选取观测指标(SLI)并签订SLA。
- 小结:通过编码、构建到发布全流程收敛应用风险,形成安全运营框架V2.0,内部发现风险比显著提升,外部报告量半年下降比显著。
第4部分 探索深水区
- 背景:常见应用安全漏洞逐步收敛,但未知风险成为主要矛盾,包括越权漏洞、第三方组件0/N-Day应用密钥盗用等。
- 分析与运营:
- 案例一:越权漏洞:高发,威胁企业数据安全,业界暂无普适方案。通过自动化测试新思路、架构安全(全程票据+鉴权中心)进行全流程收敛。
- 案例二:敏感应用密钥:牵动企业安全命脉,通过引入AI+异常调用行为监测,整合流程,层层兜底防止敏感密钥泄露。
- 小结:纵向探索新技术,横向扎实运营体系,减少未知风险带来的“爆炸半径”。
第5部分 总结
- 复盘+数据驱动的研发安全运营框架:参考DevSecOps、安全内建、默认安全等理念,复盘每个风险,形成评估体系,量化追踪效果。
- 指标与效果:
- 2018-2019年:通过资产梳理、线上防护,EDR告警数显著减少。
- 2020-2021年:通过构建阶段SAST管控、编码阶段默认安全,内部提前发现率、流水线安全管控覆盖比显著提升。
- 未来:精细化运营EDR告警、外部漏洞报告、内部蓝军报告、各类安全情报,工具链运营SLA指标复盘风险、推导措施,将未知转化为已知。
- 发展阶段:救火期(严重风险)、治理期(常见应用漏洞)、纵深期(逻辑漏洞、业界未知风险)。
