首页>>行业新闻

创业团队如何低成本保护自己的网站安全?

首页 2020-03-29 13:40:55

创业团队如何低成本保护自己的网站安全?请收好这份价值10万元的《网站安全防护指南》


近年来,身边越来越多朋友陆续加入创业大潮,我这莫名其妙就成了大家眼里的「装机大佬」,经常收到这样一些询问:


  • 企业的 IT 基础设施要怎么规划?
  • 采购什么型号的设备会比较划算?
  • 团队知识管理应该如何实施?
  • 如何培养员工的安全意识?……


在这些问题中,问的最为频繁的,当属这个:


目前正在创业中,有哪些方法可以比较低成本保护自己的网站安全?


正式解答之前,我觉得自己还挺适合回答这个问题的,缘由有二。


第一:

自己身处创业团队,从 2013 年创业至今,中间短期或长期的项目和企业,陆陆续续做过一些,知道控制「成本」和保证「现金流」对于一家创业公司有多么重要。因此,我完全能够理解这位朋友提问时的处境和出发点。


第二:从 11 年正式踏入信息安全这个圈子,有幸伴随这个产业从边缘层突然进入国家战略,在这中间,大大小小的项目都折腾过一些,大型项目的话,包括 Jun、政、税、国土、电力、金融等等,中小型项目的话,医疗、教育、企业等等。


而只要涉及到项目,就免不了要根据客户的项目招标书,来编写投标书、产品清单、选型策略、方案报价、技术偏离表、项目实施、售后验收等等方案。而这些方案最终总结起来其实就一句: 即根据客户招标需求,结合客户所在行业,提供最佳性价比的方案,最终拿下这个项目标的。(注:实际情况下,能否拿下项目,性价比未必是最关键的因素,这里不再展开…)


回到这个问题上,这其实更多是一个项目需求而非技术问题。例如这个问题其实就是「一句话招标书」,我接下来要做的,就是结合以往经验,通过项目视角,为创业团队输出最佳项目解决方案,希望对类似的创业团队有帮助。


~~ 以下是正文 ~~


这个需求乍看挺简单,实则蛮复杂。为什么呢?

这里有 3 个关键词,即「创业团队」「低成本」「网站安全」,看似都是定量,实则都是变量


首先,「创业团队」也分 0 到 1 年、1 到 3 年、3 到 5 年、5 到 8 年 …

尤其在国内的创投圈里,只要还没走进资本市场,只要没完成「成人礼」,那么,无论规模多大,大家都是创业团队。你看,我手头这个小微团队,也创业 7 年了……


其次,「低成本」对于不同创业团队的不同阶段,心理标尺和可承受范围都是不同的。


如果是刚创立没拿到融资还在验证商业模式的话,这个阶段肯定希望白嫖,别说「低」成本了,最好就是 0 成本。毕竟,减少各项开销,让团队活着才是这个时候的第一要务。


而如果创立若干年且有资本开始介入,网站或 APP 有较多用户,且用户能逐渐转为客户。这个时候创业项目无论在用户端还是资本侧都受到了认可,说明整个商业模式跑通了。这种情况下,用户数据就是核心资产,投入一定比例的成本来招人组团队或采购商业安全服务,都是非常值得且必要的。


那么,问题就来了,你这个团队的年营收是多少?利润是多少?能拿出多少比例来进行安全建设?例如,同样是拿 10 万/年出来做网站安全,营收 1000 万拿 10 万出来,跟营收 100 万拿 10 万出来,这是完全不同的概念。


再有,「网站安全」这个,不同的网站规模和资产等级,决定了不同的解决思路和安全级别。


比如说,你这个网站其实就一个企业官网,除了几个前端展示页面,没有任何数据资产,那么这种情况但凡投一个安全工程师的人力进来,那都是浪费。例如,网站 IT 拓扑架构长这样:

创业团队如何低成本保护自己的网站安全?


而如果说这个网站背后其实是一个IDC数据中心集群,主域名下面有 N 个子域名,子域名下面对应着 N 多服务器,这样就可能有数百上千万有价值的用户数据,这种情况即便投一个安全团队进来也未尝不可。例如,网站 IT 拓扑架构长这样的:

创业团队如何低成本保护自己的网站安全?

注:以上手绘图解,摘自我的《SDN软件定义网络》系列课件。


也就是说,无论网站大小,资产多少,前期的定级和评估必不可少。这跟国家目前大力推行的《网络安全等级保护》标准和思路是一致的,即根据不同规模和资产重要性,进行分等级保护,最终实现成本和安全的平衡


~~ 以下是正正文 ~~


那么,作为创业团队,到底如何在低成本的情况下,为自己的网站保驾护航呢?


在此,根据创业团队的不同阶段,可能达到的网站规模,需要得到的安全等级,给出不同低成本的解决方案。

我们用这个列表来展开:


创业阶段网站规模解决思路技术点预估成本方案一初创期小规模开源产品 或 云安全产品≈ 等保 1 级0 ~ 10 万/年方案二成长期中小集群若干安全人员 + 开源产品 + 众测服务≈ 等保 2 级10 ~ 50 万/年方案三发展期数据中心独立安全团队 + 开源产品 + 企业SRC≈ 等保 3 级50 ~ 100 万/年


方案一

  • 创业阶段:初创期
  • 网站规模:小规模、1 个域名、10 台服务器以内
  • 解决思路:开源产品 或 云安全产品
  • 安全等级:参考等保 1 级
  • 预估成本:0 ~ 10 万/年


在创业初创阶段,最经典的网站规模便是「单机单域名单点部署」,即企业通常仅启用一个域名,采用一台物理或一个虚机来提供 Web 服务,没有做任何主备冗余策略。


考虑到这个时候,网站的访问量很少,技术架构不复杂,因此,可以先节省一个全职安全工程师的费用,让团队其他人例如运维或开发人员兼任,甚至创始人可以亲力亲为。


网站规模小并不意味着可以不做任何安全措施,最基本的安全工作还是要做的,这里推荐的解决方案是「开源产品 或 云安全」。


简单来说,如果团队有一定的技术基础,那么直接采用市面上成熟稳定的开源安全产品,基本能做到 0 成本。这里直接截取我之前给一些单位做企业安全建设的讲义内容 =>

创业团队如何低成本保护自己的网站安全?


在这个阶段的话,采用 OpenVAS 做周期性的漏洞扫描, Modsecurity 做为 Web 防火墙,Snort 做入侵检测等等,基本能满足需求了。


既然采用开源产品能做到 0 成本,为什么此阶段的解决方案里还有「云安全」呢?


这是因为,在我们实际的工程项目中,并不是所有创业团队都有技术能力且干的都是 IT 互联网行业,很多团队本身就是传统行业出来的,TA 们连企业官网都没法自己搞定且需要外包,你让 TA 们 用开源产品?


因此,如果初创团队没有任何技术功底,那么更为务实的做法便是:


直接将网站部署到云端,然后直接采购商业 WAF 服务。例如,你把网站放阿里云上,那就买阿里的 WAF,放腾讯云,那就买腾讯的 WAF。虽然购买云安全产品,每年要花费数万元,但是也节省了运维人力和管理精力。


方案二

  • 创业阶段:成长期
  • 网站规模:中小型集群、2 个域名及以上、10 ~ 100 台服务器
  • 解决思路:若干安全人员 + 开源产品 + 众测服务 + 少量商业产品(可选)
  • 安全等级:参考等保 2 级
  • 预估成本:10 ~ 50 万/年


在创业成长期阶段,网站规模开始从「单机单域名单点部署」逐步切换到「多机多域名多点部署」,这个时候的企业开始启用多个域名,或者一个主域名结合 N 多个子域名协作,用于支撑官网、OA、Email、CRM、ERP 等 IT 业务系统。于此同时,核心站点还需要引入 CDN 优化、LVS 负载均衡、数据备份等技术。


考虑到这个时候,业务逐渐发展起来了,基于 Web 的业务系统增多,某些核心站点流量较大,因此,不再建议再由内部人员兼任,推荐的解决方案是「若干安全人员 + 开源产品 + 众测服务 + 少量商业产品(可选)」。


在这个阶段,团队至少引入一名全职且专业的安全工程师,是非常有必要的,TA 能做的事情包括但不限于:

  • 持续关注行业安全动态,例如 0 day 或 N day漏洞,提高安全应急响应能力
  • 周期性对各类网站业务系统进行漏洞扫描 或 渗透测试,提前预判安全风险
  • 充分使用市面上优秀的开源安全产品,甚至能根据企业需求进行二次优化
  • 更好地组合开源与付费商业产品,为企业构建最佳网站防御方案


除此之外,安全工程师还可以根据企业需求,将部分 Web 业务系统,授权给第三方众测服务平台(例如补天),通过性价比较高的方式,吸引外部白帽子黑客进行安全测试。


在这个方案中,我们还增加了「少量商业产品」这个可选项,为什么是可选项呢?


如果招募的这名安全工程师是比较有经验的,例如攻防兼备且研发功底好,那基本上利用好这堆开源产品再结合外部众测服务,基本就足够了。


而如果安全工程师经验较少,例如攻防只熟悉一面且缺乏研发背景,那对于开源产品的使用和二次开发,则会有所受限,这种情况下就可以投入资金来采购一些商业安全产品。


换句话说,如果你找的是年薪 30 ~ 50万 的安全负责人,那采购商业产品的几率就变小;如果你找的是年薪 10 ~ 20 万的安全新人,那采购商业产品的几率就变大。


所以,这个成本到底是花在人力还是产品上面,如何做好平衡,这个要看团队自己的决策了。


方案三

  • 创业阶段:发展期 或 扩张期
  • 网站规模:中大型或大型、3 个域名及以上、数百上千台服务器
  • 解决思路:独立安全团队 + 开源产品 + 企业 SRC + 少量商业产品(可选)
  • 安全等级:参考等保 3 级
  • 预估成本:50 ~ 100 万/年


在创业发展或扩张期阶段,网站规模开始从「多机多域名多点部署」逐步切换到「异地多IDC数据中心部署」,这个时候企业的 Web 网站架构越趋复杂,涉及网络、系统、应用、数据等方方面面。


考虑到这个时候,业务已进入高速发展期,各个业务系统的流量激增,竞争对手变多且黑客攻击行为开始变得频繁,若要保证整个网站架构的持续稳定安全运行,只有一名安全人员的话,技术、时间、精力都较难分配。因此,推荐的解决方案是「独立安全团队 + 开源产品 + 企业 SRC + 少量商业产品(可选)」。


在这个阶段,企业组建独立的安全团队,是非常有必要的。这个安全团队可以是 2 ~ 3 人,也可以是 3 ~ 5人,并且不归属研发或运维部,而是独立为安全部。这个部门除了方案二中提到的,还能做的事情包括但不限于:


  • 有人负责安全产品研发,有人负责安全运维或测试
  • 有人专注红队渗透,有人专注蓝队防御
  • 成立企业专属 SRC(安全应急响应中心),与外部白帽子黑客保持良好关系……


即便独立且能力较强的安全团队,这个方案仍然存在「少量商业产品」这个可选项。毕竟,安全团队也未必能做好每个安全产品,或者防御好每次攻击。


比方说网站遭受到常见的 DDoS 攻击,这个时候产品端已很难直接解决了,还是得花钱采购防 DDOS 弹性包,进行流量清洗和迁移。


以上,便是我给创业团队,在不同阶段的低成本网站防护解决方案,希望对所有同样在创业的朋友们带来帮助。

 

推荐阅读