果然,2007年腾讯以公司名义推行这套基线和 iOA 的时候,内部论坛里瞬间炸开了锅。
“老子在家被媳妇管着就已经受够了,为啥在公司还要受这么多限制?”
“本来登录自己的内网账号一秒钟就OK,现在非得插一个令牌,真是烦的一比。”
“这么烦的东西,究竟是谁开发的啊??”
看到内网里的讨伐,蔡晨一开始怂在一旁潜水,但是后来他觉得这样下去不行,于是在每个帖子下面回帖,以一个路人的姿势解释:“公司这么做是有道理的,大家不了解,我们面临的攻击形势其实非常严峻。。。”
直到同事们发现,每次在类似帖子下面认真回帖的都是蔡晨,才终于找到了那个开发 iOA 的“罪魁祸首”。
功夫不负有心人,经过一年多坚持不懈的回帖,还有公司组织的几次全员安全意识的培训,内网安全团队的苦心终于被小伙伴理解了。
然鹅,很快他们就发现,只有 iOA 还是不够的。
2、检测——监控探头
顾名思义,基线只能解决基本的黑客入侵问题。
1)简单来说,企业内网建立了基线以后,就像在大厦外面筑了一层高高的围墙,60分以下的黑客,就只能望洋兴叹。当然毫不客气地说,这世界上绝大多数黑客水平都不够六十分。所以 iOA 可以解决很大一部分的黑客攻击,让安全风险能够“收敛”。(注意,在安全这一行,让风险“收敛”是一个非常重要的目标)
2)但是高水平的黑客,仍然可以突破 iOA 所守护的基线。这时,除了围墙以外,就需要在大厦里装备一套“监控探头”。
蔡晨和团队搞出的这套监控探头,名字叫做“TSOC”。
简单来说,TSOC 就是把各个终端上的信息汇总起来,进行综合分析判断。
如果还是用小黄人举例:
TSOC 就是实时观察每个小黄人的健康状况,行动轨迹,发现哪个小黄人表现怪异,马上揪出来。
实际上,TSOC 和 iOA 是递进关系:
1)iOA 是篱笆——负责防止黑客完成单点入侵;
2)TSOC 是监控系统——一旦 iOA 没有挡住黑客的单点入侵,那么 TSOC 可以防止黑客在电脑之间流窜。事态就不会进一步扩大。
说到这,蔡晨总结了他的心得:
做防护和打仗是一样的。
如果像苏联那样把重兵都放在前线,那么德军一旦突破防线,就会长驱直入。所以要在整个防护空间里布满小铃铛。黑客躲过一个,躲过两个,他不可能都躲过吧。。。
这就是我们做 TSOC 的指导思想。
回到开头我看《卑鄙的我》时候的那个疑问:如何管理几万个小黄人,不让他们神坑主人?
答案也很简单:
1、基线:给每个小黄人一个《小学生行为手册》,然后找一个妈跟着他们监督实施;
2、监控:实时观察每一个小黄人的状态,稍有异常就赶紧关到小黑屋,检查处理,追根溯源。
其实说到这里,腾讯十几年的内网安全史就差不多交代清楚了。
但是,有一个特别重要的脑洞,我还一直埋着,没有亮出来。
3、量级
你可能没有意识到,我们的一生,都在和量级作斗争。
你吃一个馒头容易,吃十个馒头就很难。
你每月赚到5000很容易,每月赚到50000就很难。
你学会500个英语单词很容易,你学会5000个英语单词就很难。
你打游戏的时候,苟到最后十人挺容易,但是把把吃鸡就很难。
体会到了吗?无论是人生哪个方向,跨越一个量级,难度可不止增加十倍。
同样,做内网安全最大的困难可不是搞定“基线”、“监控”这些策略,而是面对腾讯内网不断增长的终端数量。
