SRC是企业安全的必备

阿里巴巴集团安全部 项显献

SRC是企业安全的必备

阿里巴巴集团安全部 项显献

随着安全漏洞和安全威胁越来越受到人们的关注，近年来越来越多的公司纷纷成立自己的安全响应中心（Security Response Center, SRC）。企业自己的SRC究竟该如何定位？能够发挥什么作用？未来该如何发展？本文在大量的实践基础上对这些问题进行说明，供业界参考。

1 SRC的定义和价值

2004年，微软成立了第一个企业安全响应中心MSRC，负责对外收集微软系产品相关的安全漏洞并发布相关的安全通告，防止安全事件的发生、改进相关产品的安全性。阿里巴巴的安全应急响应中心（Alibaba Security Response Center，ASRC）成立于2013年10月，是国内最早成立的一批SRC之一。

随着企业的互联网化，越来越多的产品面临着来自互联网的安全威胁，尤其是部分业务多、迭代快、边界广的互联网公司无时无刻都在面临安全的挑战。当前企业安全会面临以下几个问题：

（1）到目前为止并不存在实际可用的方法彻底杜绝产品或者业务设计方面的漏洞，这些漏洞随时会被攻击者利用；

（2）安全人才短缺，专业安全人员成本高昂，导致企业很难有足够的专职安全团队及时全面地发现自己产品中的漏洞；

（3）安全的维度很多领域很广，即使是专业的安全人员也会存在认知上的短板，导致对产品的安全性认识不够全面，存在未知的巧妙方式突破；

（4）安全是一个动态的过程，许多通用型的0day不定期出现在互联网上，第一时间获取相关消息进行应急响应尤为重要；

（5）黑灰产产业的存在，导致部分重要安全漏洞被外部恶意利用后将造成巨大损失；

（6）在多种不同动机的驱使下，一些安全漏洞会在未修复的情况下被公开传播，给用户安全带来重大风险。

因此，充分发挥海量外部安全专业人员的作用，建立良好的互信和激励机制，鼓励他们发现和反馈企业产品的安全漏洞，是提升企业发现自己产品漏洞的全面性和及时性从而启动快速修复的一个必要工作，这就是SRC发挥的最大作用。

除此之外，ASRC还发布了威胁情报收集计划，收集任何与阿里集团相关的安全事件或者威胁线索，只要能从中发现安全隐患，那么及时收到这些信息对阿里集团及我们客户的安全都非常有意义。另外，SRC还是一个企业安全形象的重要因素，涉及企业安全性在用户心中的影响力。

2 SRC的形式

常规SRC从工作内容上分为对外部分和对内部分，以SRC平台为桥梁连接两者。

对外包括漏洞上报、漏洞审核、奖励发放和外部沟通，对内包括漏洞流转、漏洞验证、漏洞修复、漏洞review等环节。根据这两部分工作可将SRC分为托管式SRC和自建SRC。

托管式SRC模式往往是企业和第三方托管平台之间的付费合作，企业在这种模式下只需在第三方托管平台上创建一个入口，就可以利用第三方平台的安全人员和平台资源完成安全漏洞收集。这类SRC的工作重点在于内部流程，对外只需要和托管平台达成合作即可，往往不需要单独设置SRC团队而是由内部技术团队兼职。如云盾先知计划就是这样的托管平台，有许多企业用户依托先知平台对外提供自己的安全问题上报入口。

在自建SRC模式下，最大的不同在于企业建立自己的专业化运营能力、自己搭建对外SRC平台、形成更加紧密的内外流通流程。这样的模式成本更高，但是也能更好地实现能力和资源沉淀，例如会直接与上报者建立强关系并逐渐形成自己的外部上报专家群体。

ASRC属于自建SRC，运营着专业的SRC平台并有上千名为阿里上报安全漏洞的安全人员，形成了良好的合作和奖励机制，吸引了大量的专家前来上报安全问题。

3 SRC的建设

3.1 内部漏洞流转制度

科学的漏洞流转制度是发挥SRC应有价值的必备条件。

从企业信息安全体系建设来说，SRC其实是安全开发生命周期（Secure Development Lifecycle，SDL）中的一块，大部分成立SRC的企业都拥有较为成熟的内部安全体系，成立SRC后只需SDL流程对接作为一个漏洞发现源即可。如阿里安全内部的SDL2.0体系，覆盖了全集团安全开发工作的整个过程，其中的漏洞流转流程很好地将ASRC的漏洞提交工作对接到集团内部。

没有SDL流程的企业需要形成完善的漏洞流转制度，包括漏洞录入、漏洞验证、漏洞修复、漏洞复查等，可以保证一个漏洞被提交后，能有效地被传递到对应的部门进行修复，常规情况下一个承载流转沉淀功能的内部漏洞管理平台也是企业标配。

3.2 SRC平台

SRC平台是自建SRC的基础设施，是外部安全人员上报的渠道。

早期最简易的SRC平台只有一个页面，展示了用于上报者投递漏洞的企业邮箱信息，定级评分及后续流程也走邮件沟通。通过邮件提交漏洞的形式已不常见。

常规的SRC平台拥有漏洞提交、漏洞评定、漏洞反馈、制度公告发布和礼品发放功能，进一步如ASRC还有安全人员积分排名、礼品商城、博客、留言板等扩展，SRC与外部上报者可以在平台上实现几乎所有沟通。

3.3 SRC标准制度

漏洞评价奖励标准是一个SRC的核心。

当漏洞被确认后，定级和奖励是极容易发生争议的。评价奖励标准是SRC根据自身业务制定的衡量体系，也是对外解释的依据，因此应当体现企业重点关注的漏洞类型，应具有较强的合理性也需要一定的可解释空间，不能自相违背或完全一概而论。运营人员也需对标准具有深刻的解读，当发生争议时懂得合理解读标准去说服他人，否则极容易造成公关事件和外部人员流失。

ASRC的漏洞评价奖励标准经过3年多的整理，具有较为合理的评价体系与解释空间，重点关注账号、订单、店铺信息泄露和资金类的安全问题，被多家业内自建SRC修改引用，并且还在不断优化当中。

3.4 运营团队

运营团队决定了SRC的效率、效果和形象。

运营团队的设定涉及企业内部组织架构，非常复杂。部分SRC的运营工作由技术团队直接负责，对内修复和对外解释均由技术团队完成；也有专业的SRC运营团队只管漏洞收录与外部沟通，具体的内部修复工作归属其他部门。

理论上拥有技术背景的运营人员是SRC的最佳选择，他们既能懂得漏洞的原理与价值及时推动修复工作，又能对外与技术人员无障碍沟通。

SRC也可以变得很丰富，像ASRC具有职能较为全面的运营团队，包括平台优化产品经理、漏洞审核运营人员、线上线下活动策划运营人员、安全内容运营人员和安全推广人员。

3.5 SRC社区

安全社区是自建SRC的优良辅助。

安全社区通常有论坛、博客、钉钉群、旺旺群、qq群、微信群等模式，聚集了SRC外部漏洞提交人员和各地的安全专家。社区是运营人员维持外部提交者活跃度的重要媒介，需要配以文字内容、线上线下活动和日常沟通来形成用户粘性，对于SRC品牌传播也极为有价值，是日常媒体传播的重要渠道。

3.6 内部SRC平台

内部SRC平台是SRC的重要分支，一般分布在大型企业，而且不能被托管。

当大型企业内部人数较多、拥有较多不在安全岗位但是拥有安全技能的员工，又因为制度和权限问题无法让内部人员在外部平台上报时，以及当集团需要对内部系统问题进行长期检测又不能邀请外部安全专家时，就可以成立内部安全应急响应中心（Internal Security Response Center，ISRC）。

由于内部人员的数据权限问题，及部分本职工作考虑，ISRC的公益性较强，是外部SRC的一个良好补充。ASRC的内部提交平台每年也为集团贡献很多的内外部安全问题，为集团和客户安全的保障提供助力。

4 自建SRC的运营

4.1 关注企业痛点

SRC的收集工作最终是为了保护企业安全、防止安全问题给企业和用户带来损失。因此符合企业安全痛点、对企业最有价值的安全问题应是SRC收集工作的重点，需要在收集标准中体现，并根据企业的业务转型而变化。

ASRC长期关注的店铺、资金、订单、账号问题在标准中明确标注相关系统为核心系统，提交相关安全问题可以比其他系统得到更丰富的奖励。

4.2 行业格局的变化

SRC的工作应该符合行业现状，制定的标准及运营策略应参考行业概况，这样制定的工作计划才能有理有据，在对内对外沟通时掌握主动。

例如在行业发展产生了众多ISV生态合作伙伴的情况下，ASRC调整了工作计划，针对ISV生态合作伙伴的安全进行了大量调研，并开展生态合作伙伴众测活动，防止因生态合作伙伴的问题导致的集团信息泄露等安全事件发生，保障企业和用户的安全。

4.3 保持中立

SRC是企业与外部安全专家沟通的桥梁，涉及到利益问题较为敏感，因此在工作中应具有中立性，用理论和事实依据说话，以用户安全为最终目标，对内说服同事对外说服上报者，这样才能让人感到公平公正，树立良好形象，避免沟通中产生的各类风险。

对外ASRC是外部安全专家的伙伴，对于漏洞的理解会站在外部上报者的提交角度去思考并且与内部业务团队充分沟通；对内ASRC又会从业务实际考虑出发，不夸大漏洞的危害，结合各类业务场景来更准确地衡量问题影响。

4.4 提升知名度，成为联络门户

SRC的收集工作具有广泛性，需要更多的人持续地为SRC提供企业的安全隐患，才能实现SRC的价值，因此SRC需要树立一定的知名度，让更多的人能在有企业相关安全问题时想到特定的SRC，而不是不知道该联系谁。

从去年开始，ASRC在商家、开发者和志愿者等团队开展线上活动，依托专业的群体社区去为我们发声，让更多人知道我们。在推广活动之后，陆续有商家将碰到的安全事件报告给我们，我们从事件中反向调查，发现了许多恶意行为，对改善集团安全、保障客户利益有很大的帮助，我们也非常感谢为我们上报情报的商家，他们的行为是在为上亿用户的安全保驾护航。

在线下方面，ASRC也开展了雷峰互联网安全系列沙龙，从2014年年底起在全国各地举办安全沙龙聚会，与多家大型互联网公司和地区安全团队一起，邀请当地行业安全专家共话网络安全，形成行业影响和地区传播，让网络安全深入人心，提升大众的安全意识。

另外，对于部门繁多的大型企业来说，外部安全人员很难了解企业内部的不同分支部门，因此发现问题无法准确找到最直接的相关人。这时候最好建立统一的对外联络门户，把复杂的内部协调工作留给企业自己，会达到更好的效果。

4.5 业务瓶颈的突破

今天的互联网安全和当初发生了很大变化，许多传统SRC的工作范围其实覆盖的面很小，而实际上企业面临的一切外部安全问题，都是SRC可以涵盖和做出贡献的。例如ASRC正在做的安全品牌风险、生态伙伴安全隐患、安全威胁情报收集、安全研究合作、安全活动协同共办等都是SRC可以考虑的。传统SRC应更多地考虑如何发挥优势提高自己为企业带来的价值。

5 SRC的合作与升级

安全的广泛性决定了独立研究是难以覆盖安全所有领域的，形成合作的安全生态才能整体把握企业的安全态势。另一方面，外部安全人员的思路大多可以拓展到其他企业，在资源充足的情况下企业SRC应形成良好的沟通，共享资源，让安全专家的问题发现思路帮助更多的企业解决同类安全问题。再者SRC之间也需要互相借力来让更广泛的人群知道SRC的概念。

随着人才兴起、语音智能、交通便利，大型互联网企业的发展必然走向国际，加上安全技术具有无国界性，因此SRC需要逐渐把控国际安全风险，国际安全专家社区的形成也是一种趋势。

SRC可以覆盖更多的企业安全需求，对外的属性决定了类似企业合作伙伴生态安全问题、企业间的安全研究、安全业务交流合作都可以依托SRC进行。ASRC正在积极探索突破现有运营模式，进入丰富、协同、国际化的SRC 2.0时代，也欢迎广大用户随时向我们反馈意见、交流心得、寻求合作。我们的平台是https：//security.alibaba.com/