文章摘要: 很考驗安全Leader的業務理解、大型團隊管理能力、資源投放能力從業務自身能力、安全風險管控能力、安全監督審計能力的縱深
常常被問到幾個類似的問題「為什麼國內很少聽到真正CSO、CISO的職位與人員」、「如何做好一個企業的安全負責人」「一個企業安全負責人應該具備什麼樣的能力要素」等等。
首先CSO、CISO在很多企業裡還沒有上升到一個正式的職位,現在見的比較多的其實是「公司資訊保安第一負責人」,這個理解起來容易,這裏談到的「如何做好首席安全官」也是這個概念,另外就是討論的範圍僅限於甲方公司,也就是「企業安全」領域。首席安全官的十二個基本能力要素。
第一條:業務理解與賦能
業務、作為高階別安全人員,應該對自己企業、所處行業的業務有足夠的認識與理解,業務模式是什麼?靠什麼賺錢?錢是怎麼花出去的?業務的架構是什麼樣子?核心的業務能力是什麼?支援這些業務開展的業務核心流程是哪些?支援性的業務流程與職能有哪些?業務職責分工?關鍵業務人員、團隊?支撐核心業務的系統有哪些?技術團隊關鍵人員?等等問題,這些獲取資訊、瞭解清楚並不難,即使在大型網際網路公司、大型集團,以核心業務為切入點,也是完全可以上手的,時間也在可接受的範圍。有了這些資訊的積累,資訊保安工作可以做的更實在更貼合業務,資訊保安的價值更容易體現。當業務對資訊保安團隊有了信心與信任,那麼一起並肩作戰、賦能的日子也就不遠了。相反,安全人員把自己關在辦公室,悶頭想方案,業務有哪些部門、那些團隊、在做什麼事情都說不清,指望他們去為業務護航保駕,你信嗎?
第二條:安全治理與戰略規劃
說到安全治理,除了一般提到的組織保障、資源投入等方面以外,更多在以下五個方面考慮:
1.戰略一致性,資訊保安的戰略與重點應該與業務的戰略、佈局、拓展等能力需求保持一直,這個聽起來簡單,做起來並不容易,尤其在快速發展與變革的組織中,很考驗安全Leader的業務理解、大型團隊管理能力、資源投放能力。如果做不到,後果常見為安全團隊變成救火隊員、業務「裸奔「、領導們逐步對安全喪失信心等。
2.價值實現,資訊保安是有價值的!這個做不做安全的人都不會反對,但如何體現出現來呢?也就是如何實現呢?企業資訊保安絕不應該僅僅是安全產品與安全技術,酒香也怕巷子深,不能讓業務認可並最終產生應用效果的安全技術都是資訊保安部門在「耍流氓「式的自娛自樂。不管是前瞻性的研究還是實用性的落地技術與產品,資訊保安部門的成本投入如何轉化成生產力、產品技術壁壘、商業競爭優勢、業務保障能力都是考驗CSO們的能力。
3.風險優化,「影響目標實現的不確定性因素「(定義來自,尼古拉斯·西蒙·吳,極簡化理解僅供參考)。在那些可能影響現在、未來業務生存與發展的地方,在可能導致公司歸零的領域,優化風險管理能力、優化資訊保安戰場態勢、變被動為主動能力,是資訊保安風險的關鍵優化要求。以業務與風險為導向,以威脅為驅動手段,從管理、技術、人的縱深;從業務自身能力、安全風險管控能力、安全監督審計能力的縱深;從業務外延領域、虛擬邊界領域、核心能力領域的縱深,進行全面安全風險整合優化,提升感知、管控、處置、迭代能力。
4.資源投放效率,安全治理中需要解決安全資源投放效率的問題,安全人員總數有限,招聘難度大,內部團隊規模有限,資金支援也是在一定的預算範圍內,能不能把資源合理使用,最大化發揮價值,不管是用ROI(投資回報)測算還是ALE(年預期損失)與管控成本差等方法,需要管理技巧對資源進行合理投放,但這方面安全團隊的管理成熟度與對安全全面理解與把控能力上面臨很大的挑戰。
5.度量評價,安全的效果衡量,資源使用的度量評價,是安全治理中結果呈現環節的核心,無法衡量的價值可以作為一句漂亮的PR語句,但如果試圖用這個說法找高層要資源、談業績,那麼結果可能不一定漂亮。安全的指標體系、評價方法可以參考的內容不多,但金融行業風險管理與指標度量方法、ISO2700中的資訊保安測量方法可以借鑑,但實踐中能夠落到實處的基本還是根據企業實際業務情況結合安全體系所構建的針對性測評指標更容易發揮作用,如建設類的具體能力點的覆蓋率、準確率、召回率、穩定性等,運營類的平均事件響應時間、平均漏洞修復時間等。
這五個方面是安全治理中比較關鍵的問題,也是考驗管理能力、全域性視野能力與掌控能力的關鍵成功要素,另外提到的安全戰略規劃,建議有需求的人員看看EA(企業架構)方法,前提是你需要有很強的安全能力背景。
第三條:安全風險管理
以風險為導向的資訊保安,很多人聽說過概念,但實際系統化做過的其實業內並不多。傳統的安全風險評估,從資產、威脅、脆弱性入手,以ISO13335為主要參考方法,大部分乙方安全公司都是這個套路,好處是方法論成熟、參考依據充分、通用性強,但也有一些明顯的短板,如資產是以傳統資產為主,如伺服器、裝置、信息系統,以資產清單為出發點,在大型企業、快速發展的企業、重資料資產的情況下,會出現方法過重、收益不明確、變更困難、重點不突出等問題,導致風險評估結果與實際情況有較大出入,另外就是與業務場景的契合度較低,好像風險評估團隊在自說自話。
傳統的企業風險管理方法中,是以業務為核心視角,通過企業核心業務價值鏈 –> 業務流程 –> 業務風險 –> 風險管控措施 –> 風險評價審計等環節,把企業風險管理進行逐步落地,同時通過風險治理、風險容忍度偏好等,約束與修正風險管控行為與資源投入。參考的方法包括企業全面風險管理、COSO-ERM、ISO31000等國內外最佳時間要求。這些方法的好處是方法通用,尤其是上市公司資本市場合規要求、企業治理要求等方面得到很好遵從,風險體系框架全面,分解層級環環相扣,短板是在引入安全風險管理的要求後,體系化結構中缺少安全視角的分析過程、對應的解決方案落地能力以及對安全技術、安全管理等主流安全管控要求的對接,能不能實現預定的效果預期,完全看實施團隊中是否具備全面風險管理與紮實安全能力的人員了。
於是安全風險管理的方法,可以在兩種流派中取長補短,在業務風險之後不急於對接管控措施,而是將業務風險中資訊保安相關場景識別出來,分解技術方案與管理措施落地。
企業核心業務價值鏈 =》業務流程 =》業務風險=》安全風險 =》安全管控 =》安全方案 =》企業安全落地實踐。
業務風險與安全風險之間通過安全威脅、技術架構、安全場景進行銜接,確保安全與業務的契合,同時基於目前安全技術實現能力,持續自適應風險與信任評估(CARTA)是完全有可能落地的。本著安全風險以終為始(Begin with the end in mind)的目標,總結了五大常見安全風險目標分類,僅供參考:
核心資產
持續業務能力
資金相關
合規、歸零
聲譽、商譽、品牌
第四條:安全技術與架構
安全技術不是漏洞,安全體系不是27001,安全架構不是叢集部署,很簡單的概念與區別,但安全人員往往自己都混為一談。安全技術與架構是企業安全的基礎工作,技術方案的執行其實是安全管理理念的延伸與落地,能用技術解決的問題就不要完全靠人和制度要求來控制,道理很簡單不浪費文字了。安全技術與架構強調了企業安全的縱深防護能力,以縮短自由攻擊時間視窗為目標的分析感知能力,以降低平均檢測時間與平均響應時間為目標的安全技術運營能力。縱深防護的概念已經有十幾年的歷史了,但放到現在企業安全領域仍然不過時,從業務外延環境、邏輯邊界與安全域到核心元件區域的層層感知、管控能力,動態防禦與檢測機制、離線分析能力等的建設與運營,構建了事前、事中、事後的技術機制縱深,從而為攻防對抗提供了更加豐富的手段與場景。說到企業安全的技術架構,可以從水平與垂直兩個角度看,水平方向簡單羅列一下可以分為產品區域、生產區域、內網區域、合作區域四個方面,其中:
1.產品區域是指公司的產品投放出去後的不可控環境,如App、IoT產品等,這個區域的特點是攻擊方可以在不受防守方干擾的情況下進行各種嘗試,如破解、除錯、逆向、拆解、改裝等。防守方可以採取產品側加固、破解除錯對抗、程式碼混淆、心跳存活打點、數字簽名等多種方式,這個區域可以放任也可以強對抗,取決於公司的資源與防禦邊界選擇。
2.生產區域是指公司核心的生產網路、裝置、系統、資料的部署區域,邊界安全、流量分析、WAF、主機防護、網路安全、區域隔離、橫向導控、日誌分析、應用系統安全、漏洞管理、堡壘機、許可權控制等是這個區域的一些關鍵技術與產品。
3.內網區域是指公司辦公與職場環境下的安全場景,包括辦公網路安全、邊界防禦、流量分析控制、辦公服務主機安全、應用安全(如OA、ERP、財務等內部管理系統)、WAF、安全域、終端管理、DLP、BYOD、IAM、VPN等是這一區域的常見技術與產品,同時物理安全的智慧攝像頭、門禁、監控閉路、紅外探測、強弱電控制等也是這個區域所關注的。由於內網區域的環境複雜,涉及範圍廣,管理起來既有可能比生產區域更復雜與多樣。目前來看,對內網區域的滲透、APT(高階持續性威脅)從技術上來說入門門檻較低,成功機率更高,從商業價值來說可能更大。對於商業間諜類的技術滲透也往往集中在這個區域。當然,現在也有一些公司宣稱「無內網」,這個是建立在完善的感知能力、監控能力、管控體系支撐的基礎之上,以國內大部分公司的情況,短期內還很難突破。
4.統一服務型閘道器,也許更加適用。
5.合作區域是指與公司有關係、有連線、有互動介面的一類區域的統稱,包括如外包集中辦公區、合作伙伴系統連線區域、供應商系統連線區域、業務上下游組織的連線區域等,總之不在公司的強管控範圍內但又有系統、資料、裝置等元件部署、對接的區域。這類區域的安全,不僅要考慮公司自身的安全能力與防護實現,還需要關注業務延伸後合作方的能力與防護邊界拓展問題,除了生產、內網中提到的安全技術與產品以外,常常通過設定安全緩衝區、虛擬邊界、外部持續監控平臺等技術產品,對合作區域中延伸、銜接部分進行防護,並通過持續的運營能力提供及時、有效的檢測與響應處置。
6.垂直方向的技術架構可以參考技術棧的方式,分為物理層、網路層、主機層、資料層、應用層、管理層的防護,不同層級分別部署對應能力,多層級間資訊聯動與協防。
第五條:安全管理
曾經江湖傳聞安全有各種流派,其中有一門為管理標準派,獨門祕笈為「BS7799、ISO17799、ISO27001「(特別備註:談管理就把這幾個數字掛在嘴邊的同學,有一部分可能對BS和ISO的概念還搞不清楚呢)。甲方安全管理、諮詢公司、乙方安全服務團隊中常有身影出現,由於這個方向業界根深蒂固的印象,以為安全管理就是一些」體系「」標準「的拼接甚至囫圇吞棗式的生搬硬套(事實上很多人也確實是這麼做的,所以如此印象也不能怪別人)。
安全管理是企業安全中非常重要的組成部分,為資訊保安工作提供管理抓手、制度依據、和流程保障。法制社會常常提到「有法可依、有法必依、執法必嚴、違法必究」,安全管理就是實現公司內「法制環境」一個最為重要的能力,能做什麼、不能做什麼、怎麼做、如果違反有什麼後果、權責分配、文化環境的基調等等都是通過各種制度、規範、流程、檔案加以約定,安全技術的運用在某種意義上也是管理理念的延伸與具體化實現。拉回到具體工作,安全管理不簡單等同於體系標準,根據公司的情況與管理風格,一個公司安全管理規範可能能夠覆蓋大部分常見的場景,這樣就沒有必要馬上弄一個文件制度體系。即使是需要構建管理體系,在各個方向上的發力點也是不同的,可以從幾個最急迫、最痛的管理訴求開始,如公司賬號、許可權管理要求、資料保密制度等等,在業務運作與安全管控之間構建一個合適的平衡體系,這個非常考驗安全負責人的管理智慧。「兵無常態,水無常勢」,無相無形但並不代表可以「亂「,安全管理做成常態救火就是管理的悲哀了。安全管理是一種藝術與技術的結合,作為CSO在安全管理這個領域,比較高的境界格局需要做到心有體系、落地無痕。
第六條:業務安全與風控
業務安全目前在網際網路公司、金融行業做的比較深入,團隊規模、技術能力都具有一定的積累。作弊、薅羊毛、刷單刷卷、黑名單黑裝置、封號、外掛等等是這個領域常見的關鍵詞,尤其是屬於網際網路業務的關鍵詞,但如果我們把視角放得更大一點,行業廣度更寬一些,業務安全與風控的內容與關鍵詞會更準確與合理。
業務安全與風控常涉及的領域包括以下幾個:
1.業務安全,包括反作弊、防刷單、黑產對抗、賬號體系安全、資金交易安全等等,基於業務場景的實時與離線方式下的查殺能力與對抗體系。這個也是狹義上我們常見的業務安全。
2.業務風控,由於業務本身的活動與環境造成的各種風險的應對與管控。包括企業與個人的信用體系的建設與應用;銀行業的巴塞爾資本協議(Basel I&II&III)中對資本充足率的要求以及信用風險、市場風險、操作風險的計量與管理;保險業的最低償付標準(Solvency I&II)等,金融行業的業務本質就是在經營風險,因此業務是圍繞著對風險的合理運營並最大化風險收益而進行的,安全風控的主體也是圍繞著這些概念在進行的。
3.內部控制,這個概念較早出現在財務領域,由各種財務舞弊醜聞觸發下資本監管市場提出了加強內部控制、提高財務報表準確性要求,上市公司紛紛進行內部控制建設,相應的理論與最佳實踐框架也在外部審計師、企業內部控制人員以及資本市場監管機構的共同推動與組織下逐步成熟。代表性的如COSO、COSO-ERM、Sarbanes-Oxley法案(尤其302、404、906、409等條款,其中最為著名的404條款,就是我們常見的Sox-404關於內部控制方面的要求)、中國五部委聯合釋出的企業內部控制基本規範等。隨著風險管理方面的深入,內部控制也從最初的財務領域向業務領域擴充套件,從最新的COSO與ERM中就可以看到整個視角的變化。
第七條:安全運營
前面提到的幾個方向比較多的介紹了方法、框架、常用的技術與理論,可以理解為視角集中在建設,當然不管是感知能力、分析能力、防護能力等等能力的獲取(不管是自行開發、外部採購、合作分享等)都可以籠統的歸結在建設這個維度,也就是各種能力不會是憑空來的,是需要通過必要的途徑才能獲得,而獲得的成本不僅僅是資金、人力,對於企業安全來說,時間成本往往很可能大於其他成本,所以合理途徑與方式也是考驗CSO的執政理念了。回到運營這個話題,重建設輕運營是很多公司的通病,國內外那些聽名字就讓人仰止的公司也沒好多少,在諮詢公司的職業生涯中有幸可以在全球範圍內提供服務的同時深入這些公司實實在在的去」望聞問切,治病救人「,情況遠比想象更精彩。安全裝置、系統、產品的堆砌並不難,難的是運用起來,有人管有人看,能用會用方可發揮價值,安全的價值如何體現?安全運營領域的價值可以做的很實在、很接地氣。在合適的地方部署適當的能力,這個看重的是覆蓋率、準確率和召回率,處於建設期的更應該側重這類的指標與能力,那麼處於運營期,MTTD(平均檢測時間)、MTTR(平均響應時間)就比較重要了,這兩個指標反映了感知發現能力與管控處置能力。不同時期指標與側重點是不一樣的,這是個容易走彎路的地方。另外,在運營態下,線上、離線能力的運用、串並聯方式的合理佈局以及」查「「殺」手段的使用也是非常關鍵的地方。通過線上能力進行防禦性處置、通過離線能力進行查缺補漏與驗證以及優化線上場景規則要求;通過序列方式的同步干預處置能力、通過並行方式的非同步全量驗證能力可以滿足更加複雜的業務環境要求;通過上帝視角的「查「的能力、通過判官視角的」殺「的能力可以滿足即時對抗與體系化通盤佈局對抗的選擇要求。
第八條:本地政府、監管理解與法律法規合規
資訊保安很多時候可以看做是最接近武俠小說中「江湖「的概念,但」江湖「從來不是法外之地,知法、懂法、尊法、用法是最基本的要求。隨著國際化的不斷深入,中國企業走出去、國外企業走進來都離不開法律法規的遵循與合理運用,更進一步來說一些業界最佳實踐、國際標準、行業指南不應該僅僅是簡單的符合要求,更能成為企業基本能力的公允說明、重視程度的態度表達和溝通協作的統一」語言介面「。
在國內開展資訊保安相關工作,一些基本要求需要得到有效關注與落實,如2017年6月1日實施的《網路安全法》以及配套的系列法規要求;刑法285、286條款以配套司法解釋;信息系統等級保護相關的系列;《個人資訊保安保護規範》;各行業主管機構的相關要求。全球開展業務中,資料與隱私保護會是面臨的主要挑戰,如GDPR(歐盟通用資料保護方案)、HIPAA(Health Insurance Portability and Accountability Act)等最為代表。另外,在網際網路、金融、能源、資源型等行業,各國對基礎設施方面的保護法案與要求也面臨規範與日趨嚴厲。
另外,國際標準組織(ISO)的資訊保安相關標準、NIST SP-800最佳實踐、行業性實踐要求如ISAE3402、雲端計算相關的安全認證如CSA-Star、支付卡組織的PCI-DSS及ADSS等也是開展業務不可缺少的要求。
從這方面的工作來說,實施難度與複雜度並不僅僅在於技術方案,而在於這是一個與人強相關的內容(雖然資訊保安很多工作都是與人強相關的,但合規方面很容易因為溝通不到位、理解不準確等原因小事變大、主動被被動)。主動與監管部門溝通不要試圖遊離於法規邊界,主動參與影響規則制定過程而不是被動等待甚至隱瞞欺詐,更加開放的心態來看待安全合規,更加主動的行為來擁抱變化,安全合規也能變成企業安全能力的倍增器與推動力。
第九條:安全審計
安全審計可以理解為「安全「+」審計「兩個關鍵詞,目標是和安全有關的技術、管理、人員以及這些要素所產生的環境與能力,手段是審計,如何做呢?可以分為兩個維度:
1.方法,也就是解決如何做,可以結合傳統「IT審計「的理念,分為」審計準備「與」審計執行「兩個階段,其中審計準備包括環境理解,也就是審計目的、目標的充分理解以及涉及的環境、技術、系統、流程、業務等內容的調研分析過程;確定審計重點,也就是根據審計目的與風險理解,確定重點內容;編制審計計劃,根據時間、資源、重點等要素完成工作計劃準備以及必要的工具、模板、技術環境準備。審計執行包括審計計劃實施,也就是實際去做審計,包括通知(也可以不通知,如涉密類審計、抽查突擊類審計等)審計計劃、審計手段運用(一些安全評估常用的手段在這個環節基本都能用到,同時一些審計特有的工具與方法,如抽樣資料測試、穿行測試、監督環境下流程重放等)最後得出審計結果;溝通審計結果,由於時間限制、資源限制,審計結果有可能存在疑點,同時除保密需要以外,實施團隊應與被審計部門與團隊通過會議的方式進行結果確認與去偽存真;持續優化改進,審計的目的不僅是發現問題,更重要的是實現問題的改進,所以一般會進行審計結果跟進、解決方案跟進甚至進行結果複測,以驗證審計與後續優化的效果。
2.內容,資訊保安有自身的特點與規律,技術、管理、人員、文化等都可能存在風險與威脅點,因此從某種意義上說,目前能見到的安全技術、產品、理念都可以作為審計的內容,同樣也可以作為審計的工具,這方面能認知到這個層面的人員在業內著實不多。很多安全創業公司在安全產品、技術的紅海中力拼,其實稍微換個角度就是一片藍海。
在企業內安全審計可以作為三道防線(自行搜尋風險管理的三道防線概念,國內提出較早,國外認可度也非常高)的最後一個環節提供保障作用,同時也可以作為兜底的手段確保安全方案的落實,合理運用的話威力無窮。
第十條:危機管理、安全事件調查與取證
企業安全做的再好,建設的再完善,能力再強,團隊盡職盡責,也一樣沒有100%的安全,何況還做不到如此高的要求呢。所以必須為可能的外部攻擊、內部洩露、商業間諜、員工無意等等各種情況做好準備,尤其是極端情況下的準備工作,萬一出現不至於手忙腳亂或者應對不合理、及時,導致事態擴大。危機管理預案需要提前準備好,資訊流轉機制、危機管理團隊、必要的技術與工具、預案處置流程等等內容需要清晰、快速、準確,同時需要進行演練,使內容深入人心,一旦出現極端情況,各部門的處置可以形成合力。另外需要強調的是,危機管理是爲了應對極端情況,而非一般安全事件,因此預案強調的是有限的場景(結合業務場景確定)下的應對能力,危機應對啟動也需要嚴苛的控制。一般性的安全事件可以通過事件調查、應急響應去處理,當然這方面也需要提前準備好,如事件分級、響應流程、恢復過程、調查機制、協調組織、事後覆盤機制等等,如果應對不好,安全事件也可能上升爲危機,因此不管是實體還是虛擬的安全事件響應與調查組織、足夠的事件響應調查技術與資料儲備、必要的演練與覆盤機制都是基本要求。內部的安全事件調查需要把海量資料進行積累、清洗、關聯,最終還原攻擊路徑與事件發生的時間軸,所以資料是非常重要的基礎性工作,資料的完整度、穩定性、質量要求都很高。常常出現的問題是資料貌似都在,但可能由於格式不同、記錄欄位不同甚至細微的型別差異都可能導致資料無法進行歸集、串聯,最終變成一個個的資料片段,導致整個證據鏈的斷裂缺失,從而無法勾勒出事件的本來面目,也就談不上有效的處置與根源問題覆盤改進。
提到證據鏈這個概念,上升到司法調查層面時,內部調查的方法還可以用,但過程控制、規範要求則要嚴苛很多,對證據鏈的固定、可信度要求、電子證據的採集均有法庭採信的規則限制,如在調查中我們可以實際去硬碟、儲存空間、各種系統上去分析,找出蛛絲馬跡,但在需要提供呈堂證供的情況下,任何調查分析動作不能破壞原始狀態與屬性,這時需要使用專業工具,如Encase、FK等進行只讀環境下的操作。國內已經有很多鑑定中心、調查機構可以完成上述工作,配套的技術能力也算是比較健全,如取證工作箱、針對手機、智慧裝置的取證系統與平臺,限於內容的敏感性就不展開介紹了,總之司法調查取證需要嚴苛的證據鏈、取證環境、方法動作等,方可作為證據去接受質疑、去偽存真。
第十一條:組織架構、安全意識與內部安全品牌建設
前面大部分內容討論的是各項管理、技術能力的建設,能不能落地,很大程度上依賴與團隊與人,合理的組織架構可以最大化的發揮人的價值,反過來有可能極大的削弱與限制,這個道理大部分領導者都懂,但是不是能實際做到就是另外一回事了,環境限制、時機甚至個人決斷力都是容易打折的因素。
組織架構的設定可以從幾個方面考慮:
1.戰場佈局方式,「戰區主戰、軍種主建、軍委管總「。戰區主戰,安全團隊與能力應該融入業務與技術環境的一線,不應該是自娛自樂的閉門造車,安全能力能不能前出到這裏,考驗的是團隊中綜合能力人員的配比,能談技術、能懂業務、能搞安全,這類人可以部署在戰區,也就是業務與技術實際環境中,融入業務與技術戰場,快速聯動,貼身肉搏。能把業務線、技術線的發展規劃、訴求、對接能力要求等戰場態勢實時回傳到後續支援防線,同時把安全能力、管控要求投放到業務實際中。軍種主建,各安全業務方向,如資訊保安、資料安全、業務安全等等,應做好各自的工具、系統、平臺,構建各種方法、框架、體系,全面提升所屬方向的作戰實力,為前線提供彈藥、裝備、情報,同時協調資源,完成戰役級的指揮、綜合保障以及跨兵種協同等,提供大中後臺的整合作戰能力。軍委管總,戰略規劃能力、資源投放協調能力、風險優化能力等等考驗格局與」大國「戰略視角,一個公司的資訊保安能不能發揮出價值,能不能體現出來業務的安全感,往往需要從全域性觀上發揮作用,」不怒而威、剛柔並濟「。
2.能力佈局方式,不是所有公司都需要龐大、分工明確的安全組織,根據公司的實際情況,選擇合適的技術棧能力進行佈局也是一種合理方式。從簡單到複雜的層次關係可以大致這樣羅列,基礎防護能力、檢測發現能力、對比分析能力、SLA支援的自動化能力、產品化輸出能力。團隊小、投入不大,工作重點優先考慮在實現基礎的防護,如防火牆部署、IDS/IPS、網路准入、終端安全等,可以抵禦一般的內外部攻擊。規模大一些、資金也充裕一點可以考慮側重在檢測能力建設與使用,日誌收集分析、不同量級的SOC與SIEM等可以把原有的防護能力進行整合,一般的病毒、偶然的攻擊行為可以有效發現與應對。規模再大一些,重視程度更高一些,單一環節與產品技術的支援就顯得不夠了,每個產品、技術都有自己的優劣勢和擅長領域,總有可以繞過的方式與漏網的行為,通過提高單一產品技術的準確率、召回率ROI逐步降低,那麼可以考慮進行比對能力的建設,可以是不同型別產品的比對,可以是線上、離線方式的比對,也可以是部署方式如終端側、網路側的比對,總之戰略性縱深開始形成(對應於如果把多個產品技術不同區域佈防稱為戰術縱深的話)。SLA支援的自動化能力,是在滿足業務、安全的功能性與時效性要求的前提下,通過系統、平臺自動化完成聯動,如攻擊、漏洞自動化觸發規則,基於使用者行為的賬號許可權自動化處理機制等。產品化輸出能力,不是說大公司一定要把安全團隊做成盈利中心,雖然很多公司有這個想法也實際是在這麼做,而更多強調在實現穩定預期的情況下快速投放能力。有兩個關鍵詞,「穩定預期「就是大家潛移默化的達成一致的對安全的要求與實現程度;」快速投放「就是實現時間成本效益最大化,「天下武功唯快不破」,不敢提安全引領業務,也至少不能拖業務後腿,不然就只能被各種「吊打」。當安全團隊完美的打造了「大殺器」以後,回頭發現業務已經屍橫遍野,那麼安全團隊最好的方式就是拿自己祭「大殺器」吧。
安全意識就不多說了,人是最薄弱的一環,喊了好多年了,這個確實需要實實在在抓起來,再好的技術能不能發揮作用靠的是人,在理想的設計遇到人這個環節都可能被各種繞過,「不怕神一樣的對手就怕豬一樣的隊友」,人肉滲透遠比APT快得多,道理都懂,看行動效果吧。
安全不能閉門造車,公司內部能不能信任、業務能不能與安全協調配合,大家願不願意為安全成本(不只是直接成本,也包括因為安全而放棄的一些便利性等間接成本)埋單,取決於能不能建立「安全感」以及對安全價值的正確認知下的品牌效應。當業務要衝鋒陷陣的時候,安全是在旁邊拍拍業務兄弟的肩膀,告訴他「一切別怕,我和你一起」,還是用「千里傳音」之術躲得遠遠的說「我們有最先進的技術、最好的產品,你放心去吧」,當然有時連傳音這個事情都省了,安全何在、價值何在?品牌樹立很難,信任崩塌很快,且行且珍惜。
第十二條:資源管理與使用效率控制
最後一章了,要寫的東西還有很多,這裏先談談資源管理和使用效率吧,稍微有些管理經驗的都知道,團隊應該有層級,為什麼呢,不只是說團隊發展的梯隊需要,也有資源限制的實際需要。比如50人的團隊,全部招高階的,看似很厲害但這個不現實,可能沒這麼高階可以招,資金預算也不允許,因此CSO們要合理規劃團隊層級,可以基於工作技能集的分佈,也可以基於考慮資金限制後的職級測算等很多方法,所以推薦CSO們稍微懂一些財務知識,能看得懂基本的財務報表與預算規劃,無限資源那是在遊戲人生中開掛以後。集中優勢兵力、快速見效,做事有輕重緩急算是最基本的要求。同時多個專案的併發是不可避免的,控制質量與數量,做好資源池管理,PMO的多專案管理還是值得參考與借鑑的。還是50人的團隊,同時做60個專案與產品,後果是什麼自己腦補吧。如果換作是你,怎麼帶領這50人的團隊,如何合理規劃資源,如何分輕重緩急,如何做到風險可控沒有明顯短板?一個是好鋼使在刀刃上,另一個就是「讓子彈飛一會兒」別急急火火的有點風吹草動就亂,團隊不能變成救火隊這是Leader的責任與擔當。
也許有人看到以上這十二個能力要素會覺得「有這樣的人嗎?」答案肯定是有,只是每個人有一些側重,不太可能各個領域都是滿分。另外,這類「全才式」(全棧式都不足以形容了)的人員,往往都不是或至少現在已經不是技術研究領域的頂級大牛,也不太可能是攻防領域或者白帽子名人,所以在目前資訊保安的大環境下,很少有人能夠進入媒體的聚光燈與收穫粉絲的追捧,但這類人確實存在。
有興趣的可以用雷達圖對標一下自己的知識體系,看看擅長領域與短板。
COS能力要素雷達圖
這十二個要素,可以說是CSO的能力集,其實也極有可能是一個企業安全能力的對映集,往往CSO的能力決定了企業安全的能力天花板,如同一個企業創始人的風格會變成一個企業的風格。
說完了能力集,在企業中實際如何落地這些能力建設呢?這個話題太大,不過可以說幾點思路:
1.企業安全的切入點
在企業安全中,最為重要和基礎的其實可以分為兩個部分,IAM與資料,也就是如果在一個企業裡安全想快速做一些正確的事情,沒有必要拉開陣勢進行全面安全風險評估,時間上來不及,效果和價值也不容易體現出來,可以先期從IAM與資料安全作為切入點,IAM包括了賬號、許可權以及配套的准入、控制分析系統等,資料安全包括了資料的使用場景、高危情況以及感知與管控要求。這幾個工作如果沒有做好,其他安全工作、安全產品都會出現問題。從另一個角度,一個公司非安全人員能夠感知安全能力的介面也基本在賬號、許可權、資料這三個地方,眾口成川,企業安全的生存與發展空間也是動態的。
2.基礎能力建設
能深入業務、給業務帶來價值的安全不一定是最新、最炫酷的技術與產品,認認真真的把基礎能力建設起來,讓公司有信心、業務有保障、員工有安全感,實用、夠用、好用是基本目標和要求。實實在在的把感知能力、防護能力、處置能力落到實處,可以分階段、分重點、分場景的有選擇性的佈局,自研、外採結合,風險敞口與時間成本綜合考慮。在正確的時間做正確的事,很難,但是是必須的!
3.高優業務場景應用
除了為企業實際開展的業務保駕護航以外,基於價值鏈分析的方法與戰略一致性要求可以使安全更為主動的佈局與準備,這裏不多說了。在一些特定的場景下做好準備也可以發揮安全的價值,為公司實現業務目標貢獻安全能量。
企業併購、收購、重組等往往是安全風險較高,安全威脅頻發的階段,如何做好安全盡職調查、系統如何對接,資料如何整合、人員如何管控等等各方面的問題比在業務穩定期要複雜很多,資訊保安能否做好準備?
業務彈性與業務連續性管理要求,在網際網路、金融、政府都諸多行業與業務場景下,對業務的持續與穩定提出了很高的要求,由於資訊保安問題導致的業務中斷、資料洩露等情況後果非常嚴重,基於風險導向的安全管理工作,應該把BCM與DRP納入管控範圍,防範歸零風險,同時BCM、DRP各個環節中資訊保安保障機制也是重點。
專案交付生命週期中的資訊保安(SMP,Security Management in Processes),企業安全不是一成不變的,隨著業務、信息系統、基礎架構甚至組織結構的變化,資訊保安也是在變化,以前沒有問題、低風險的地方可能突然被業務擠壓扭曲,以前有防護產品、安全技術部署的領域可能被新的業務與技術架構打通旁路通道被繞過甚至完全失效,因此在企業安全中安全能否融入業務與技術生命週期,顯得尤為重要,我們常說的SDL(安全開發生命週期)就是最為常見的SMP一種形式,當然還有各種與產品開發無關的內容,如資料交換、業務流程改變等,安全能否前置性分析、伴隨性監督、查缺補漏性處置會是安全的動態性最好的體現。
法務、人力管理中的資訊保安,涉及人員管理這個環節,簡單的安全技術與管理要求很難閉環,應該與法務、人力進行聯動,打通人員入離職、合同條款、保密協議等環節,通過安全的技術優勢與全域性效能力把人員的安全意識、管理訴求落地實現。
外包、供應商、供應鏈安全,外包的管理一直是資訊保安較為薄弱的一個領域,簽署必要的安全協議、保密條款、SLA承諾很有必要,對外包人員、供應商的定期評估與事件追查機制也很重要,由於技術產品與管控力度的部署無法全量全層面覆蓋,外包與供應商是人員攻防的主戰場之一,黑產、惡意對手、商業間諜第一攻擊物件往往是高許可權的外包與供應商。另外,隨著產業分工協作的深入,供應鏈不再由某一個公司完全自建或控制(從成本方面沒有必要,從精細化運營方面邊際效益不高),而是由一個完整的分工、配套、協作機制銜接的產業供應叢集進行資源整合,達到收益最大化要求,那麼這種情況下如何確保供應鏈安全變成非常有挑戰的事情。攻擊面被放大到誇張的程度、安全能力水平能夠產生年代級的差異、重視程度也可以用代溝來形容,處於供應鏈的主導地位的公司需要對資訊保安有全新的認識與建設佈局。
新技術環境下的安全,如雲計算運用下端管雲安全、IoT裝置的系統與硬體級安全、工業控制系統安全等等,由於篇幅的限制這次就不展開了,但這些技術本質上的區別有可能會顛覆安全原有的體系、框架與技術。
4.安全價值實現,「合」字訣。
業務融合、感控結合、縱深整合,三個「合」字算是對企業安全的一個基本總結吧。業務融合,安全能夠實現價值的基本途徑;感控結合,安全能夠實現價值的基本方法;縱深整合,安全能夠實現價值的基本手段。
安全是管理者意志的延伸,技術是管理理念的延伸,細思共勉。
*本文作者good1205,轉載請註明來自FreeBuf.COM