如何做好一个企业的安全负责人?
摘要: 最近和圈子里的朋友聊天,常常被问到几个类似的问题,比如:“为什么国内很少听到真正CSO、CISO的职位与人员”、“如何做好一个企业的安全负责人”、“一个企业安全负责人应该具备什么样的能力要素”等等,加上前两 ...
首先CSO、CISO在很多企业里还没有上升到一个正式的职位,现在见的比较多的其实是“公司信息安全第一负责人”,这个理解起来容易,这里谈到的“如何做好首席安全官”也是这个概念,另外就是讨论的范围仅限于甲方公司,也就是“企业安全”领域。 嗦了很多铺垫,进入正题,首席安全官的十二个基本能力要素。
第一条:业务理解与赋能业务、业务、业务,重要的事情说三遍!
作为高级别安全人员,应该对自己的企业、所处行业的业务,有足够的认识与理解,比如:业务模式是什么?靠什么赚钱?钱是怎么花出去的?业务的架构是什么样子?核心的业务能力是什么?支持这些业务开展的业务核心流程是哪些?支持性的业务流程与职能有哪些?业务职责分工?关键业务人员、团队?支撑核心业务的系统有哪些?技术团队关键人员?等等问题,多问自己几个为什么。
了解获取这些信息并不难,即使在大型互联网公司、大型集团,以核心业务为切入点,也是完全可以上手的,时间也在可接受的范围。有了这些信息的积累,信息安全工作可以做的更实在更贴合业务,信息安全的价值更容易体现。当业务对信息安全团队有了信心与信任,那么一起并肩作战、互相背书、赋能的日子也就不远了。看到太多例子,安全人员把自己关在办公室,闷头想方案、撸代码,业务有哪些部门、那些团队、在做什么事情都说不清,指望他们去为业务护航保驾,你信吗?
第二条:安全治理与战略规划说到安全治理,很多做体系的朋友第一反应是“成立公司级别的信息安全委员会“,这个呢,怎么说呢,有当然好了,有通道和话语权能到高层领导,但没有的话信息安全工作就不干了?
没法开展了?显然不是。这里说的安全治理除了一般提到的组织保障、资源投入等方面以外,更多在以下五个方面考虑:
1)战略一致性,信息安全的战略与重点应该与业务的战略、布局、拓展等能力需求保持一直,这个听起来简单,做起来并不容易,尤其在快速发展与变革的组织中,很考验安全Leader的业务理解、大型团队管理能力、资源投放能力。如果做不到,后果常见为安全团队变成救火队员、业务“裸奔“、领导们逐步对安全丧失信心等,意味着什么?不浪费文字了。
2)价值实现,信息安全是有价值的!这个做不做安全的人都不会反对,但如何体现出现来呢?也就是如何实现呢?企业信息安全绝不应该仅仅是安全产品与安全技术,酒香也怕巷子深,不能让业务认可并最终产生应用效果的安全技术都是信息安全部门在“耍流氓“式的自娱自乐。不管是前瞻性的研究还是实用性的落地技术与产品,信息安全部门的成本投入如何转化成生产力、产品技术壁垒、商业竞争优势、业务保障能力都是考验CSO们的能力。
3)风险优化,“影响目标实现的不确定性因素“(定义来自,尼古拉斯・西蒙・吴,极简化理解仅供参考)。信息安全工作从来不是无的放矢,更不应该成为能力喜好、偏好的试金石,工作重点在哪?在那些可能影响现在、未来业务生存与发展的地方,在可能导致公司归零的领域,优化风险管理能力、优化信息安全战场态势、变被动为主动能力,是信息安全风险的关键优化要求。以业务与风险为导向,以威胁为驱动手段,从管理、技术、人的纵深;从业务自身能力、安全风险管控能力、安全监督审计能力的纵深;从业务外延领域、虚拟边界领域、核心能力领域的纵深,进行全面安全风险整合优化,提升感知、管控、处置、迭代能力。
4)资源投放效率,山不在高,有仙则名,人不在多,会用则行。安全治理中需要解决安全资源投放效率的问题,安全人员总数有限,招聘难度大,内部团队规模有限,资金支持也是在一定的预算范围内,能不能把资源合理使用,较大化发挥价值,不管是用ROI(投资回报)测算还是ALE(年预期损失)与管控成本差等方法,需要管理技巧对资源进行合理投放,“好钢用在刀刃上”,但这方面安全团队的管理成熟度与对安全全面理解与把控能力上面临很大的挑战。
5)度量评价,安全的效果衡量,资源使用的度量评价,是安全治理中结果呈现环节的核心,无法衡量的价值可以作为一句漂亮的PR语句,但如果试图用这个说法找高层要资源、谈业绩,那么结果可能不一定漂亮。安全的指标体系、评价方法可以参考的内容不多,但金融行业风险管理与指标度量方法、ISO27004中的信息安全测量方法可以借鉴,但实践中能够落到实处的基本还是根据企业实际业务情况结合安全体系所构建的针对性测评指标更容易发挥作用,如建设类的具体能力点的覆盖率、准确率、召回率、稳定性等,运营类的平均事件响应时间、平均漏洞修复时间等。
这五个方面是安全治理中比较关键的问题,也是考验管理能力、全局视野能力与掌控能力的关键成功要素,另外提到的安全战略规划,建议有需求的人员看看EA(企业架构)方法,前提是你需要有很强的安全能力背景。
第三条:安全风险管理以风险为导向的信息安全,很多人听说过概念,但实际系统化做过的其实业内并不多。传统的安全风险评估,从资产、威胁、脆弱性入手,以ISO13335为主要参考方法,大部分乙方安全公司都是这个套路,好处是方法论成熟、参考依据充分、通用性强,但也有一些明显的短板,如资产是以传统资产为主,如服务器、设备、信息系统,以资产清单为出发点,在大型企业、快速发展的企业、重数据资产的情况下,会出现方法过重、收益不明确、变更困难、重点不突出等问题,导致风险评估结果与实际情况有较大出入,另外就是与业务场景的契合度较低,好像风险评估团队在自说自话。
传统的企业风险管理方法中,是以业务为核心视角,通过企业核心业务价值链 > 业务流程 > 业务风险 > 风险管控措施 > 风险评价审计等环节,把企业风险管理进行逐步落地,同时通过风险治理、风险容忍度偏好等,约束与修正风险管控行为与资源投入。参考的方法包括企业全面风险管理、COSO-ERM、ISO31000等国内外较佳实践要求。这些方法的好处是方法通用,尤其是上市公司资本市场合规要求、企业治理要求等方面得到很好遵从,风险体系框架全面,分解层级环环相扣,短板是在引入安全风险管理的要求后,体系化结构中缺少安全视角的分析过程、对应的解决方案落地能力以及对安全技术、安全管理等主流安全管控要求的对接,能不能实现预定的效果预期,完全看实施团队中是否具备全面风险管理与扎实安全能力的人员了。
于是安全风险管理的方法,可以在两种流派中取长补短,在业务风险之后不急于对接管控措施,而是将业务风险中信息安全相关场景识别出来,分解技术方案与管理措施落地。
企业核心业务价值链 > 业务流程 > 业务风险 > 安全风险 > 安全管控 > 安全方案 > 企业安全落地实践
业务风险与安全风险之间通过安全威胁、技术架构、安全场景进行衔接,确保安全与业务的契合,同时基于目前安全技术实现能力,持续自适应风险与信任评估(CARTA)是完全有可能落地的。
本着安全风险以终为始(Begin with the end in mind)的目标,总结了五大常见安全风险目标分类,仅供参考。
核心资产持续业务能力资金相关合规、归零声誉、商誉、品牌
第四条:安全技术与架构安全技术不是漏洞,安全体系不是27001,安全架构不是集群部署,很简单的概念与区别,但安全人员往往自己都混为一谈。安全技术与架构是企业安全的基础工作,技术方案的执行其实是安全管理理念的延伸与落地,能用技术解决的问题就不要完全靠人和制度要求来控制,道理很简单不浪费文字了。安全技术与架构强调了企业安全的纵深防护能力,以缩短自由攻击时间窗口为目标的分析感知能力,以降低平均检测时间与平均响应时间为目标的安全技术运营能力。纵深防护的概念已经有十几年的历史了,但放到现在企业安全领域仍然不过时,从业务外延环境、逻辑边界与安全域到核心组件区域的层层感知、管控能力,动态防御与检测机制、离线分析能力等的建设与运营,构建了事前、事中、事后的技术机制纵深,从而为攻防对抗提供了更加丰富的手段与场景。
说到企业安全的技术架构,可以从水平与垂直两个角度看,水平方向简单罗列一下可以分为产品区域、生产区域、内网区域、合作区域四个方面,其中:
产品区域是指公司的产品投放出去后的不可控环境,如App、IoT产品等,这个区域的特点是攻击方可以在不受防守方干扰的情况下进行各种尝试,如破解、调试、逆向、拆解、改装等。防守方可以采取产品侧加固、破解调试对抗、代码混淆、心跳存活打点、数字签名等多种方式,这个区域可以放任也可以强对抗,取决于公司的资源与防御边界选择。生产区域是指公司核心的生产网络、设备、系统、数据的部署区域,边界安全、流量分析、WAF、主机防护、网络安全、区域隔离、横向导控、日志分析、应用系统安全、漏洞管理、堡垒机、权限控制等是这个区域的一些关键技术与产品。内网区域是指公司办公与职场环境下的安全场景,包括办公网络安全、边界防御、流量分析控制、办公服务主机安全、应用安全(如OA、ERP、财务等内部管理系统)、WAF、安全域、终端管理、DLP、BYOD、IAM、VPN等是这一区域的常见技术与产品,同时物理安全的智能摄像头、门禁、监控闭路、红外探测、强弱电控制等也是这个区域所关注的。由于内网区域的环境复杂,涉及范围广,管理起来既有可能比生产区域更复杂与多样。目前来看,对内网区域的渗透、APT(高级持续性威胁)从技术上来说入门门槛较低,成功几率更高,从商业价值来说可能更大。对于商业间谍类的技术渗透也往往集中在这个区域。当然,现在也有一些公司宣称“无内网”,这个是建立在完善的感知能力、监控能力、管控体系支撑的基础之上,以国内大部分公司的情况,短期内还很难突破。统一服务型网关,也许更加适用。合作区域是指与公司有关系、有连接、有交互界面的一类区域的统称,包括如外包集中办公区、合作伙伴系统连接区域、供应商系统连接区域、业务上下游组织的连接区域等,总之不在公司的强管控范围内但又有系统、数据、设备等组件部署、对接的区域。这类区域的安全,不仅要考虑公司自身的安全能力与防护实现,还需要关注业务延伸后合作方的能力与防护边界拓展问题,除了生产、内网中提到的安全技术与产品以外,常常通过设置安全缓冲区、虚拟边界、外部持续监控平台等技术产品,对合作区域中延伸、衔接部分进行防护,并通过持续的运营能力提供及时、有效的检测与响应处置。
垂直方向的技术架构可以参考技术栈的方式,分为物理层、网络层、主机层、数据层、应用层、管理层的防护,不同层级分别部署对应能力,多层级间信息联动与协防。
第五条:安全管理曾经江湖传闻安全有各种流派,其中有一门为管理标准派,独门秘笈为“BS7799、ISO17799、ISO27001“(特别备注:谈管理就把这几个数字挂在嘴边的同学,有一部分可能对BS和ISO的概念还搞不清楚呢)。甲方安全管理、咨询公司、乙方安全服务团队中常有身影出现,由于这个方向业界根深蒂固的印象,以为安全管理就是一些”体系“”标准“的拼接甚至囫囵吞枣式的生搬硬套(事实上很多人也确实是这么做的,所以如此印象也不能怪别人)。
安全管理是企业安全中非常重要的组成部分,为信息安全工作提供管理抓手、制度依据、和流程保障。法制社会常常提到“有法可依、有法必依、执法必严、违法必究”,安全管理就是实现公司内“法制环境”一个更为重要的能力,能做什么、不能做什么、怎么做、如果违反有什么后果、权责分配、文化环境的基调等等都是通过各种制度、规范、流程、文件加以约定,安全技术的运用在某种意义上也是管理理念的延伸与具体化实现。
拉回到具体工作,安全管理不简单等同于体系标准,根据公司的情况与管理风格,一个公司安全管理规范可能能够覆盖大部分常见的场景,这样就没有必要马上弄一个文档制度体系。即使是需要构建管理体系,在各个方向上的发力点也是不同的,可以从几个最急迫、最痛的管理诉求开始,如公司账号、权限管理要求、数据保密制度等等,在业务运作与安全管控之间构建一个合适的平衡体系,这个非常考验安全负责人的管理智慧。“兵无常态,水无常势”,无相无形但并不代表可以“乱“,安全管理做成常态救火就是管理的悲哀了。安全管理是一种艺术与技术的结合,作为CSO在安全管理这个领域,比较高的境界格局需要做到心有体系、落地无痕。
第六条:业务安全与风控业务安全目前在互联网公司、金融行业做的比较深入,团队规模、技术能力都具有一定的积累。作弊、薅羊毛、刷 单刷卷、黑名单黑设备、封号、外挂等等是这个领域常见的关键词,尤其是属于互联网业务的关键词,但如果我们把视角放得更大一点,行业广度更宽一些,业务安全与风控的内容与关键词会更准确与合理。
业务安全与风控常涉及的领域包括以下几个:业务安全,包括反作弊、防刷 单、黑产对抗、账号体系安全、资金交易安全等等,基于业务场景的实时与离线方式下的查杀能力与对抗体系。这个也是狭义上我们常见的业务安全。业务风控,由于业务本身的活动与环境造成的各种风险的应对与管控。包括企业与个人的信用体系的建设与应用;银行业的巴塞尔资本协议(Basel I&II&III)中对资本充足率的要求以及信用风险、市场风险、操作风险的计量与管理;保险业的较低偿付标准(Solvency I&II)等,金融行业的业务本质就是在经营风险,因此业务是围绕着对风险的合理运营并较大化风险收益而进行的,安全风控的主体也是围绕着这些概念在进行的。内部控制,这个概念较早出现在财务领域,由各种财务舞弊丑闻触发下资本监管市场提出了加强内部控制、提高财务报表准确性要求,上市公司纷纷进行内部控制建设,相应的理论与较佳实践框架也在外部审计师、企业内部控制人员以及资本市场监管机构的共同推动与组织下逐步成熟。代表性的如COSO、COSO-ERM、Sarbanes-Oxley法案(尤其302、404、906、409等条款,其中更为著名的404条款,就是我们常见的Sox-404关于内部控制方面的要求)、中国五部委联合发布的企业内部控制基本规范等。随着风险管理方面的深入,内部控制也从最初的财务领域向业务领域扩展,从的COSO与ERM中就可以看到整个视角的变化。
第七条:安全运营前面提到的几个方向比较多的介绍了方法、框架、常用的技术与理论,可以理解为视角集中在建设,当然不管是感知能力、分析能力、防护能力等等能力的获取(不管是自行开发、外部采购、合作分享等)都可以笼统的归结在建设这个维度,也就是各种能力不会是凭空来的,是需要通过必要的途径才能获得,而获得的成本不仅仅是资金、人力,对于企业安全来说,时间成本往往很可能大于其他成本,所以合理途径与方式也是考验CSO们的执政理念了。
回到运营这个话题,重建设轻运营是很多公司的通病,国内外那些听名字就让人仰止的公司也没好多少,在咨询公司的职业生涯中有幸可以在全球范围内提供服务的同时深入这些公司实实在在的去”望闻问切,治病救人“,情况远比想象更精彩。安全设备、系统、产品的堆砌并不难,难的是运用起来,有人管有人看,能用会用方可发挥价值,安全的价值如何体现?安全运营领域的价值可以做的很实在、很接地气。在合适的地方部署适当的能力,这个看重的是覆盖率、准确率和召回率,处于建设期的更应该侧重这类的指标与能力,那么处于运营期,MTTD(平均检测时间)、MTTR(平均响应时间)就比较重要了,这两个指标反映了感知发现能力与管控处置能力。不同时期指标与侧重点是不一样的,这是个容易走弯路的地方。另外,在运营态下,在线、离线能力的运用、串并联方式的合理布局以及”查““杀”手段的使用也是非常关键的地方。通过在线能力进行防御性处置、通过离线能力进行查缺补漏与验证以及优化在线场景规则要求;通过串行方式的同步干预处置能力、通过并行方式的异步全量验证能力可以满足更加复杂的业务环境要求;通过上帝视角的“查“的能力、通过判官视角的”杀“的能力可以满足即时对抗与体系化通盘布局对抗的选择要求。
第八条:本地政府、监管理解与法律法规合规信息安全很多时候可以看做是最接近武侠小说中“江湖“的概念,但”江湖“从来不是法外之地,知法、懂法、尊法、用法是最基本的要求。随着国际化的不断深入,中国企业走出去、国外企业走进来都离不开法律法规的遵循与合理运用,更进一步来说一些业界较佳实践、国际标准、行业指南不应该仅仅是简单的符合要求,更能成为企业基本能力的公允说明、重视程度的态度表达和沟通协作的统一”语言界面“。
在国内开展信息安全相关工作,一些基本要求需要得到有效关注与落实,如2017年6月1日实施的《网络安全法》以及配套的系列法规要求;刑法285、286条款以配套司法解释;信息系统等级保护相关的系列;《个人信息安全保护规范》;各行业主管机构的相关要求。全球开展业务中,数据与隐私保护会是面临的主要挑战,如GDPR(欧盟通用数据保护方案)、HIPAA(Health Insurance Portability and Accountability Act)等更为代表。另外,在互联网、金融、能源、资源型等行业,各国对基础设施方面的保护法案与要求也面临规范与日趋严厉。
另外,国际标准组织(ISO)的信息安全相关标准、NIST SP-800较佳实践、行业性实践要求如ISAE3402、云计算相关的安全认证如CSA-Star、支付卡组织的PCI-DSS及ADSS等也是开展业务不可缺少的要求。
从这方面的工作来说,实施难度与复杂度并不仅仅在于技术方案,而在于这是一个与人强相关的内容(虽然信息安全很多工作都是与人强相关的,但合规方面很容易因为沟通不到位、理解不准确等原因小事变大、主动被被动)。主动与监管部门沟通不要试图游离于法规边界,主动参与影响规则制定过程而不是被动等待甚至隐瞒欺诈,更加开放的心态来看待安全合规,更加主动的行为来拥抱变化,安全合规也能变成企业安全能力的倍增器与推动力。
第九条:安全审计安全审计可以理解为“安全“+”审计“两个关键词,目标是和安全有关的技术、管理、人员以及这些要素所产生的环境与能力,手段是审计,如何做呢?可以分为两个维度:
方法,也就是解决如何做,可以结合传统“IT审计“的理念,分为”审计准备“与”审计执行“两个阶段,其中审计准备包括环境理解,也就是审计目的、目标的充分理解以及涉及的环境、技术、系统、流程、业务等内容的调研分析过程;确定审计重点,也就是根据审计目的与风险理解,确定重点内容;编制审计计划,根据时间、资源、重点等要素完成工作计划准备以及必要的工具、模板、技术环境准备。审计执行包括审计计划实施,也就是实际去做审计,包括通知(也可以不通知,如涉密类审计、抽查突击类审计等)审计计划、审计手段运用(一些安全评估常用的手段在这个环节基本都能用到,同时一些审计特有的工具与方法,如抽样数据测试、穿行测试、监督环境下流程重放等)最后得出审计结果;沟通审计结果,由于时间限制、资源限制,审计结果有可能存在疑点,同时除保密需要以外,实施团队应与被审计部门与团队通过会议的方式进行结果确认与去伪存真;持续优化改进,审计的目的不仅是发现问题,更重要的是实现问题的改进,所以一般会进行审计结果跟进、解决方案跟进甚至进行结果复测,以验证审计与后续优化的效果。内容,信息安全有自身的特点与规律,技术、管理、人员、文化等都可能存在风险与威胁点,因此从某种意义上说,目前能见到的安全技术、产品、理念都可以作为审计的内容,同样也可以作为审计的工具,这方面能认知到这个层面的人员在业内着实不多。很多安全创业公司在安全产品、技术的红海中力拼,其实稍微换个角度就是一片蓝海。
在企业内安全审计可以作为三道防线(自行搜索风险管理的三道防线概念,国内提出较早,国外认可度也非常高)的最后一个环节提供保障作用,同时也可以作为兜底的手段确保安全方案的落实,合理运用的话威力无穷。
第十条:危机管理、安全事件调查与取证企业安全做的再好,建设的再完善,能力再强,团队尽职尽责,也一样没有100%的安全,何况还做不到如此高的要求呢。所以必须为可能的外部攻击、内部泄露、商业间谍、员工无意等等各种情况做好准备,尤其是极端情况下的准备工作,万一出现不至于手忙脚乱或者应对不合理、及时,导致事态扩大。危机管理预案需要提前准备好,信息流转机制、危机管理团队、必要的技术与工具、预案处置流程等等内容需要清晰、快速、准确,同时需要进行演练,使内容深入人心,一旦出现极端情况,各部门的处置可以形成合力。
另外需要强调的是,危机管理是为了应对极端情况,而非一般安全事件,因此预案强调的是有限的场景(结合业务场景确定)下的应对能力,危机应对启动也需要严苛的控制。一般性的安全事件可以通过事件调查、应急响应去处理,当然这方面也需要提前准备好,如事件分级、响应流程、恢复过程、调查机制、协调组织、事后复盘机制等等,如果应对不好,安全事件也可能上升为危机,因此不管是实体还是虚拟的安全事件响应与调查组织、足够的事件响应调查技术与数据储备、必要的演练与复盘机制都是基本要求。内部的安全事件调查需要把海量数据进行积累、清洗、关联,最终还原攻击路径与事件发生的时间轴,所以数据是非常重要的基础性工作,数据的完整度、稳定性、质量要求都很高。常常出现的问题是数据貌似都在,但可能由于格式不同、记录字段不同甚至细微的类型差异都可能导致数据无法进行归集、串联,最终变成一个个的数据片段,导致整个证据链的断裂缺失,从而无法勾勒出事件的本来面目,也就谈不上有效的处置与根源问题复盘改进。
提到证据链这个概念,上升到司法调查层面时,内部调查的方法还可以用,但过程控制、规范要求则要严苛很多,对证据链的固定、可信度要求、电子证据的采集均有法庭采信的规则限制,如在调查中我们可以实际去硬盘、存储空间、各种系统上去分析,找出蛛丝马迹,但在需要提供呈堂证供的情况下,任何调查分析动作不能破坏原始状态与属性,这时需要使用专业工具,如Encase、FK等进行只读环境下的操作。国内已经有很多鉴定中心、调查机构可以完成上述工作,配套的技术能力也算是比较健全,如取证工作箱、针对手机、智能设备的取证系统与平台,限于内容的敏感性就不展开介绍了,总之司法调查取证需要严苛的证据链、取证环境、方法动作等,方可作为证据去接受质疑、去伪存真。
第十一条:组织架构、安全意识与内部安全品牌建设前面大部分内容讨论的是各项管理、技术能力的建设,能不能落地,很大程度上依赖与团队与人,合理的组织架构可以较大化的发挥人的价值,反过来有可能极大的削弱与限制,这个道理大部分领导者都懂,但是不是能实际做到就是另外一回事了,环境限制、时机甚至个人决断力都是容易打折的因素。
组织架构的设置可以从几个方面考虑:战场布局方式,“战区主战、军种主建、军委管总“。战区主战,安全团队与能力应该融入业务与技术环境的一线,不应该是自娱自乐的闭门造车,安全能力能不能前出到这里,考验的是团队中综合能力人员的配比,能谈技术、能懂业务、能搞安全,这类人可以部署在战区,也就是业务与技术实际环境中,融入业务与技术战场,快速联动,贴身肉搏。能把业务线、技术线的发展规划、诉求、对接能力要求等战场态势实时回传到后续支持防线,同时把安全能力、管控要求投放到业务实际中。军种主建,各安全业务方向,如信息安全、数据安全、业务安全等等,应做好各自的工具、系统、平台,构建各种方法、框架、体系,全面提升所属方向的作战实力,为前线提供弹药、装备、情报,同时协调资源,完成战役级的指挥、综合保障以及跨兵种协同等,提供大中后台的整合作战能力。军委管总,战略规划能力、资源投放协调能力、风险优化能力等等考验格局与”大国“战略视角,一个公司的信息安全能不能发挥出价值,能不能体现出来业务的安全感,往往需要从全局观上发挥作用,”不怒而威、刚柔并济“。能力布局方式,不是所有公司都需要庞大、分工明确的安全组织,根据公司的实际情况,选择合适的技术栈能力进行布局也是一种合理方式。从简单到复杂的层次关系可以大致这样罗列,基础防护能力、检测发现能力、对比分析能力、SLA支持的自动化能力、产品化输出能力。团队小、投入不大,工作重点优先考虑在实现基础的防护,如防火墙部署、IDS/IPS、网络准入、终端安全等,可以抵御一般的内外部攻击。规模大一些、资金也充裕一点可以考虑侧重在检测能力建设与使用,日志收集分析、不同量级的SOC与SIEM等可以把原有的防护能力进行整合,一般的病毒、偶然的攻击行为可以有效发现与应对。规模再大一些,重视程度更高一些,单一环节与产品技术的支持就显得不够了,每个产品、技术都有自己的优劣势和擅长领域,总有可以绕过的方式与漏网的行为,通过提高单一产品技术的准确率、召回率ROI逐步降低,那么可以考虑进行比对能力的建设,可以是不同类型产品的比对,可以是在线、离线方式的比对,也可以是部署方式如终端侧、网络侧的比对,总之战略性纵深开始形成(对应于如果把多个产品技术不同区域布防称为战术纵深的话)。SLA支持的自动化能力,是在满足业务、安全的功能性与时效性要求的前提下,通过系统、平台自动化完成联动,如攻击、漏洞自动化触发规则,基于用户行为的账号权限自动化处理机制等。产品化输出能力,不是说大公司一定要把安全团队做成盈利中心,虽然很多公司有这个想法也实际是在这么做,而更多强调在实现稳定预期的情况下快速投放能力。有两个关键词,“稳定预期“就是大家潜移默化的达成一致的对安全的要求与实现程度;”快速投放“就是实现时间成本效益较大化,“天下武功唯快不破”,不敢提安全引领业务,也至少不能拖业务后腿,不然就只能被各种“吊打”。当安全团队完美的打造了“大杀器”以后,回头发现业务已经尸横遍野,那么安全团队较好的方式就是拿自己祭“大杀器”吧。
突然发现没控制好字码,写的有点多了,安全意识就不多说了,人是最薄弱的一环,喊了好多年了,这个确实需要实实在在抓起来,再好的技术能不能发挥作用靠的是人,在理想的设计遇到人这个环节都可能被各种绕过,“不怕神一样的对手就怕猪一样的队友”,人肉渗透远比APT快得多,道理都懂,看行动效果吧。
安全不能闭门造车,再强调几遍也不算过分,公司内部能不能信任、业务能不能与安全协调配合,大家愿不愿意为安全成本(不只是直接成本,也包括因为安全而放弃的一些便利性等间接成本)埋单,取决于能不能建立“安全感”以及对安全价值的正确认知下的品牌效应。当业务要冲锋陷阵的时候,安全是在旁边拍拍业务兄弟的肩膀,告诉他“一切别怕,我和你一起”,还是用“千里传音”之术躲得远远的说“我们有较先进的技术、较好的产品,你放心去吧”,当然有时连传音这个事情都省了,安全何在、价值何在?品牌树立很难,信任崩塌很快,且行且珍惜。
第十二条:资源管理与使用效率控制最后一章了,要写的东西还有很多,这里先谈谈资源管理和使用效率吧,稍微有些管理经验的都知道,团队应该有层级,为什么呢,不只是说团队发展的梯队需要,也有资源限制的实际需要。比如50人的团队,全部招高阶的,看似很厉害但这个不现实,可能没这么高阶可以招,资金预算也不允许,因此CSO们要合理规划团队层级,可以基于工作技能集的分布,也可以基于考虑资金限制后的职级测算等很多方法,所以推荐CSO们稍微懂一些财务知识,能看得懂基本的财务报表与预算规划,无限资源那是在游戏人生中开挂以后。集中优势兵力、快速见效,做事有轻重缓急算是最基本的要求。同时多个项目的并发是不可避免的,控制质量与数量,做好资源池管理,PMO的多项目管理还是值得参考与借鉴的。还是50人的团队,同时做60个项目与产品,后果是什么自己脑补吧。如果换作是你,怎么带领这50人的团队,如何合理规划资源,如何分轻重缓急,如何做到风险可控没有明显短板?一个是好钢使在刀刃上,另一个就是“让子弹飞一会儿”别急急火火的有点风吹草动就乱,团队不能变成救火队这是Leader的责任与担当。
也许有人看到以上这十二个能力要素会觉得“有这样的人吗?”答案肯定是有,只是每个人有一些侧重,不太可能各个领域都是满分。另外,这类“全才式”(全栈式都不足以形容了)的人员,往往都不是或至少现在已经不是技术研究领域的较高级大牛,也不太可能是攻防领域或者白帽子名人,所以在目前信息安全的大环境下,很少有人能够进入媒体的聚光灯与收获粉丝的追捧,但这类人确实存在。
有兴趣的可以用雷达图对标一下自己的知识体系,看看擅长领域与短板。
CSO 能力要素雷达图
这十二个要素,可以说是CSO的能力集,其实也极有可能是一个企业安全能力的映射集,往往CSO的能力决定了企业安全的能力天花板,如同一个企业创始人的风格会变成一个企业的风格。
说完了能力集,在企业中实际如何落地这些能力建设呢?这个话题太大,内容没办法全部展开说,不过可以说几点思路。
1)企业安全的切入点在企业安全中,更为重要和基础的其实可以分为两个部分,IAM与数据,也就是如果在一个企业里安全想快速做一些正确的事情,没有必要拉开阵势进行全面安全风险评估,时间上来不及,效果和价值也不容易体现出来,可以先期从IAM与数据安全作为切入点,IAM包括了账号、权限以及配套的准入、控制分析系统等,数据安全包括了数据的使用场景、高危情况以及感知与管控要求。这几个工作如果没有做好,其他安全工作、安全产品都会出现问题。从另一个角度,一个公司非安全人员能够感知安全能力的界面也基本在账号、权限、数据这三个地方,众口成川,企业安全的生存与发展空间也是动态的。
2)基础能力建设能深入业务、给业务带来价值的安全不一定是、最炫酷的技术与产品,认认真真的把基础能力建设起来,让公司有信心、业务有保障、员工有安全感,实用、够用、好用是基本目标和要求。实实在在的把感知能力、防护能力、处置能力落到实处,可以分阶段、分重点、分场景的有选择性的布局,自研、外采结合,风险敞口与时间成本综合考虑。在正确的时间做正确的事,很难,但是是必须的!
3)高优业务场景应用除了为企业实际开展的业务保驾护航以外,基于价值链分析的方法与战略一致性要求可以使安全更为主动的布局与准备,这里不多说了。在一些特定的场景下做好准备也可以发挥安全的价值,为公司实现业务目标贡献安全能量。
企业并购、收购、重组等往往是安全风险较高,安全威胁频发的阶段,如何做好安全尽职调查、系统如何对接,数据如何整合、人员如何管控等等各方面的问题比在业务稳定期要复杂很多,信息安全能否做好准备?
业务弹性与业务连续性管理要求,在互联网、金融、政府都诸多行业与业务场景下,对业务的持续与稳定提出了很高的要求,由于信息安全问题导致的业务中断、数据泄露等情况后果非常严重,基于风险导向的安全管理工作,应该把BCM与DRP纳入管控范围,防范归零风险,同时BCM、DRP各个环节中信息安全保障机制也是重点。
项目交付生命周期中的信息安全(SMP,Security Management in Processes),企业安全不是一成不变的,随着业务、信息系统、基础架构甚至组织结构的变化,信息安全也是在变化,以前没有问题、低风险的地方可能突然被业务挤压扭曲,以前有防护产品、安全技术部署的领域可能被新的业务与技术架构打通旁路通道被绕过甚至完全失效,因此在企业安全中安全能否融入业务与技术生命周期,显得尤为重要,我们常说的SDL(安全开发生命周期)就是更为常见的SMP一种形式,当然还有各种与产品开发无关的内容,如数据交换、业务流程改变等,安全能否前置性分析、伴随性监督、查缺补漏性处置会是安全的动态性较好的体现。
法务、人力管理中的信息安全,涉及人员管理这个环节,简单的安全技术与管理要求很难闭环,应该与法务、人力进行联动,打通人员入离职、合同条款、保密协议等环节,通过安全的技术优势与全局性能力把人员的安全意识、管理诉求落地实现。
外包、供应商、供应链安全,外包的管理一直是信息安全较为薄弱的一个领域,签署必要的安全协议、保密条款、SLA承诺很有必要,对外包人员、供应商的定期评估与事件追查机制也很重要,由于技术产品与管控力度的部署无法全量全层面覆盖,外包与供应商是人员攻防的主战场之一,黑产、恶意对手、商业间谍第一攻击对象往往是高权限的外包与供应商。另外,随着产业分工协作的深入,供应链不再由某一个公司完全自建或控制(从成本方面没有必要,从精细化运营方面边际效益不高),而是由一个完整的分工、配套、协作机制衔接的产业供应集群进行资源整合,达到收益较大化要求,那么这种情况下如何确保供应链安全变成非常有挑战的事情。攻击面被放大到夸张的程度、安全能力水平能够产生年代级的差异、重视程度也可以用代沟来形容,处于供应链的主导地位的公司需要对信息安全有全新的认识与建设布局。
新技术环境下的安全,如云计算运用下端管云安全、IoT设备的系统与硬件级安全、工业控制系统安全等等,由于篇幅的限制这次就不展开了,但这些技术本质上的区别有可能会颠覆安全原有的体系、框架与技术。
4)安全价值实现,“合”字诀。业务融合、感控结合、纵深整合,三个“合”字算是对企业安全的一个基本总结吧。业务融合,安全能够实现价值的基本途径;感控结合,安全能够实现价值的基本方法;纵深整合,安全能够实现价值的基本手段。
安全是管理者意志的延伸,技术是管理理念的延伸,细思共勉。
写在最后,这篇《如何做好首席安全官 企业安全体系与架构实践》热身篇,基本上是一气呵成,所以内部逻辑上其实有一些瑕疵,有感而发没有过多润笔,这次也不打算再修改完善了,但非常欢迎有兴趣的朋友交流多提宝贵意见。由于篇幅限制和时间压力,里面所有的内容都没有展开,既没有图表化的凝练总结也没有任何技术方面的细节探讨,甚至很多地方提出问题而没有给出解决建议,如果大家有这方面的困惑,很正常,热身嘛多理解吧。把这些内容展开来说,更多经验与解决方案分享留到以后吧,或者通过Sec-Un不断更新文章一点点把各个章节内容展现完整,或者通过成书的方式一次性发布,都在准备,相信不远将来会有交代。
另外,本文所有内容仅代表个人观点也没有涉及之前工作的经验与内容,说的更多是通用性的情况,切勿对号入座,更没有必要理解为公司与团队的发声,我就是我。
管理 网络 基础 安全 架构
最近和圈子里的朋友聊天,常常被问到几个类似的问题,比如:“为什么国内很少听到真正CSO、CISO的职位与人员”、“如何做好一个企业的安全负责人”、“一个企业安全负责人应该具备什么样的能力要素”等等,加上前两周几个媒体记者对网络安全话题比较感兴趣,想搜集些素材,出几个安全方面的稿子,有些基本概念不太理解找我讨论,如“安全就是挖漏洞吧?”、“企业安全团队是不是每天工作就是抓黑客”,感觉很有必要写点东西,力所能及的发一些声音出来,无所谓正确与否,权当是闲谈参考吧。首先CSO、CISO在很多企业里还没有上升到一个正式的职位,现在见的比较多的其实是“公司信息安全第一负责人”,这个理解起来容易,这里谈到的“如何做好首席安全官”也是这个概念,另外就是讨论的范围仅限于甲方公司,也就是“企业安全”领域。 嗦了很多铺垫,进入正题,首席安全官的十二个基本能力要素。
第一条:业务理解与赋能业务、业务、业务,重要的事情说三遍!
作为高级别安全人员,应该对自己的企业、所处行业的业务,有足够的认识与理解,比如:业务模式是什么?靠什么赚钱?钱是怎么花出去的?业务的架构是什么样子?核心的业务能力是什么?支持这些业务开展的业务核心流程是哪些?支持性的业务流程与职能有哪些?业务职责分工?关键业务人员、团队?支撑核心业务的系统有哪些?技术团队关键人员?等等问题,多问自己几个为什么。
了解获取这些信息并不难,即使在大型互联网公司、大型集团,以核心业务为切入点,也是完全可以上手的,时间也在可接受的范围。有了这些信息的积累,信息安全工作可以做的更实在更贴合业务,信息安全的价值更容易体现。当业务对信息安全团队有了信心与信任,那么一起并肩作战、互相背书、赋能的日子也就不远了。看到太多例子,安全人员把自己关在办公室,闷头想方案、撸代码,业务有哪些部门、那些团队、在做什么事情都说不清,指望他们去为业务护航保驾,你信吗?
第二条:安全治理与战略规划说到安全治理,很多做体系的朋友第一反应是“成立公司级别的信息安全委员会“,这个呢,怎么说呢,有当然好了,有通道和话语权能到高层领导,但没有的话信息安全工作就不干了?
没法开展了?显然不是。这里说的安全治理除了一般提到的组织保障、资源投入等方面以外,更多在以下五个方面考虑:
1)战略一致性,信息安全的战略与重点应该与业务的战略、布局、拓展等能力需求保持一直,这个听起来简单,做起来并不容易,尤其在快速发展与变革的组织中,很考验安全Leader的业务理解、大型团队管理能力、资源投放能力。如果做不到,后果常见为安全团队变成救火队员、业务“裸奔“、领导们逐步对安全丧失信心等,意味着什么?不浪费文字了。
2)价值实现,信息安全是有价值的!这个做不做安全的人都不会反对,但如何体现出现来呢?也就是如何实现呢?企业信息安全绝不应该仅仅是安全产品与安全技术,酒香也怕巷子深,不能让业务认可并最终产生应用效果的安全技术都是信息安全部门在“耍流氓“式的自娱自乐。不管是前瞻性的研究还是实用性的落地技术与产品,信息安全部门的成本投入如何转化成生产力、产品技术壁垒、商业竞争优势、业务保障能力都是考验CSO们的能力。
3)风险优化,“影响目标实现的不确定性因素“(定义来自,尼古拉斯・西蒙・吴,极简化理解仅供参考)。信息安全工作从来不是无的放矢,更不应该成为能力喜好、偏好的试金石,工作重点在哪?在那些可能影响现在、未来业务生存与发展的地方,在可能导致公司归零的领域,优化风险管理能力、优化信息安全战场态势、变被动为主动能力,是信息安全风险的关键优化要求。以业务与风险为导向,以威胁为驱动手段,从管理、技术、人的纵深;从业务自身能力、安全风险管控能力、安全监督审计能力的纵深;从业务外延领域、虚拟边界领域、核心能力领域的纵深,进行全面安全风险整合优化,提升感知、管控、处置、迭代能力。
4)资源投放效率,山不在高,有仙则名,人不在多,会用则行。安全治理中需要解决安全资源投放效率的问题,安全人员总数有限,招聘难度大,内部团队规模有限,资金支持也是在一定的预算范围内,能不能把资源合理使用,较大化发挥价值,不管是用ROI(投资回报)测算还是ALE(年预期损失)与管控成本差等方法,需要管理技巧对资源进行合理投放,“好钢用在刀刃上”,但这方面安全团队的管理成熟度与对安全全面理解与把控能力上面临很大的挑战。
5)度量评价,安全的效果衡量,资源使用的度量评价,是安全治理中结果呈现环节的核心,无法衡量的价值可以作为一句漂亮的PR语句,但如果试图用这个说法找高层要资源、谈业绩,那么结果可能不一定漂亮。安全的指标体系、评价方法可以参考的内容不多,但金融行业风险管理与指标度量方法、ISO27004中的信息安全测量方法可以借鉴,但实践中能够落到实处的基本还是根据企业实际业务情况结合安全体系所构建的针对性测评指标更容易发挥作用,如建设类的具体能力点的覆盖率、准确率、召回率、稳定性等,运营类的平均事件响应时间、平均漏洞修复时间等。
这五个方面是安全治理中比较关键的问题,也是考验管理能力、全局视野能力与掌控能力的关键成功要素,另外提到的安全战略规划,建议有需求的人员看看EA(企业架构)方法,前提是你需要有很强的安全能力背景。
第三条:安全风险管理以风险为导向的信息安全,很多人听说过概念,但实际系统化做过的其实业内并不多。传统的安全风险评估,从资产、威胁、脆弱性入手,以ISO13335为主要参考方法,大部分乙方安全公司都是这个套路,好处是方法论成熟、参考依据充分、通用性强,但也有一些明显的短板,如资产是以传统资产为主,如服务器、设备、信息系统,以资产清单为出发点,在大型企业、快速发展的企业、重数据资产的情况下,会出现方法过重、收益不明确、变更困难、重点不突出等问题,导致风险评估结果与实际情况有较大出入,另外就是与业务场景的契合度较低,好像风险评估团队在自说自话。
传统的企业风险管理方法中,是以业务为核心视角,通过企业核心业务价值链 > 业务流程 > 业务风险 > 风险管控措施 > 风险评价审计等环节,把企业风险管理进行逐步落地,同时通过风险治理、风险容忍度偏好等,约束与修正风险管控行为与资源投入。参考的方法包括企业全面风险管理、COSO-ERM、ISO31000等国内外较佳实践要求。这些方法的好处是方法通用,尤其是上市公司资本市场合规要求、企业治理要求等方面得到很好遵从,风险体系框架全面,分解层级环环相扣,短板是在引入安全风险管理的要求后,体系化结构中缺少安全视角的分析过程、对应的解决方案落地能力以及对安全技术、安全管理等主流安全管控要求的对接,能不能实现预定的效果预期,完全看实施团队中是否具备全面风险管理与扎实安全能力的人员了。
于是安全风险管理的方法,可以在两种流派中取长补短,在业务风险之后不急于对接管控措施,而是将业务风险中信息安全相关场景识别出来,分解技术方案与管理措施落地。
企业核心业务价值链 > 业务流程 > 业务风险 > 安全风险 > 安全管控 > 安全方案 > 企业安全落地实践
业务风险与安全风险之间通过安全威胁、技术架构、安全场景进行衔接,确保安全与业务的契合,同时基于目前安全技术实现能力,持续自适应风险与信任评估(CARTA)是完全有可能落地的。
本着安全风险以终为始(Begin with the end in mind)的目标,总结了五大常见安全风险目标分类,仅供参考。
核心资产持续业务能力资金相关合规、归零声誉、商誉、品牌
第四条:安全技术与架构安全技术不是漏洞,安全体系不是27001,安全架构不是集群部署,很简单的概念与区别,但安全人员往往自己都混为一谈。安全技术与架构是企业安全的基础工作,技术方案的执行其实是安全管理理念的延伸与落地,能用技术解决的问题就不要完全靠人和制度要求来控制,道理很简单不浪费文字了。安全技术与架构强调了企业安全的纵深防护能力,以缩短自由攻击时间窗口为目标的分析感知能力,以降低平均检测时间与平均响应时间为目标的安全技术运营能力。纵深防护的概念已经有十几年的历史了,但放到现在企业安全领域仍然不过时,从业务外延环境、逻辑边界与安全域到核心组件区域的层层感知、管控能力,动态防御与检测机制、离线分析能力等的建设与运营,构建了事前、事中、事后的技术机制纵深,从而为攻防对抗提供了更加丰富的手段与场景。
说到企业安全的技术架构,可以从水平与垂直两个角度看,水平方向简单罗列一下可以分为产品区域、生产区域、内网区域、合作区域四个方面,其中:
产品区域是指公司的产品投放出去后的不可控环境,如App、IoT产品等,这个区域的特点是攻击方可以在不受防守方干扰的情况下进行各种尝试,如破解、调试、逆向、拆解、改装等。防守方可以采取产品侧加固、破解调试对抗、代码混淆、心跳存活打点、数字签名等多种方式,这个区域可以放任也可以强对抗,取决于公司的资源与防御边界选择。生产区域是指公司核心的生产网络、设备、系统、数据的部署区域,边界安全、流量分析、WAF、主机防护、网络安全、区域隔离、横向导控、日志分析、应用系统安全、漏洞管理、堡垒机、权限控制等是这个区域的一些关键技术与产品。内网区域是指公司办公与职场环境下的安全场景,包括办公网络安全、边界防御、流量分析控制、办公服务主机安全、应用安全(如OA、ERP、财务等内部管理系统)、WAF、安全域、终端管理、DLP、BYOD、IAM、VPN等是这一区域的常见技术与产品,同时物理安全的智能摄像头、门禁、监控闭路、红外探测、强弱电控制等也是这个区域所关注的。由于内网区域的环境复杂,涉及范围广,管理起来既有可能比生产区域更复杂与多样。目前来看,对内网区域的渗透、APT(高级持续性威胁)从技术上来说入门门槛较低,成功几率更高,从商业价值来说可能更大。对于商业间谍类的技术渗透也往往集中在这个区域。当然,现在也有一些公司宣称“无内网”,这个是建立在完善的感知能力、监控能力、管控体系支撑的基础之上,以国内大部分公司的情况,短期内还很难突破。统一服务型网关,也许更加适用。合作区域是指与公司有关系、有连接、有交互界面的一类区域的统称,包括如外包集中办公区、合作伙伴系统连接区域、供应商系统连接区域、业务上下游组织的连接区域等,总之不在公司的强管控范围内但又有系统、数据、设备等组件部署、对接的区域。这类区域的安全,不仅要考虑公司自身的安全能力与防护实现,还需要关注业务延伸后合作方的能力与防护边界拓展问题,除了生产、内网中提到的安全技术与产品以外,常常通过设置安全缓冲区、虚拟边界、外部持续监控平台等技术产品,对合作区域中延伸、衔接部分进行防护,并通过持续的运营能力提供及时、有效的检测与响应处置。
垂直方向的技术架构可以参考技术栈的方式,分为物理层、网络层、主机层、数据层、应用层、管理层的防护,不同层级分别部署对应能力,多层级间信息联动与协防。
第五条:安全管理曾经江湖传闻安全有各种流派,其中有一门为管理标准派,独门秘笈为“BS7799、ISO17799、ISO27001“(特别备注:谈管理就把这几个数字挂在嘴边的同学,有一部分可能对BS和ISO的概念还搞不清楚呢)。甲方安全管理、咨询公司、乙方安全服务团队中常有身影出现,由于这个方向业界根深蒂固的印象,以为安全管理就是一些”体系“”标准“的拼接甚至囫囵吞枣式的生搬硬套(事实上很多人也确实是这么做的,所以如此印象也不能怪别人)。
安全管理是企业安全中非常重要的组成部分,为信息安全工作提供管理抓手、制度依据、和流程保障。法制社会常常提到“有法可依、有法必依、执法必严、违法必究”,安全管理就是实现公司内“法制环境”一个更为重要的能力,能做什么、不能做什么、怎么做、如果违反有什么后果、权责分配、文化环境的基调等等都是通过各种制度、规范、流程、文件加以约定,安全技术的运用在某种意义上也是管理理念的延伸与具体化实现。
拉回到具体工作,安全管理不简单等同于体系标准,根据公司的情况与管理风格,一个公司安全管理规范可能能够覆盖大部分常见的场景,这样就没有必要马上弄一个文档制度体系。即使是需要构建管理体系,在各个方向上的发力点也是不同的,可以从几个最急迫、最痛的管理诉求开始,如公司账号、权限管理要求、数据保密制度等等,在业务运作与安全管控之间构建一个合适的平衡体系,这个非常考验安全负责人的管理智慧。“兵无常态,水无常势”,无相无形但并不代表可以“乱“,安全管理做成常态救火就是管理的悲哀了。安全管理是一种艺术与技术的结合,作为CSO在安全管理这个领域,比较高的境界格局需要做到心有体系、落地无痕。
第六条:业务安全与风控业务安全目前在互联网公司、金融行业做的比较深入,团队规模、技术能力都具有一定的积累。作弊、薅羊毛、刷 单刷卷、黑名单黑设备、封号、外挂等等是这个领域常见的关键词,尤其是属于互联网业务的关键词,但如果我们把视角放得更大一点,行业广度更宽一些,业务安全与风控的内容与关键词会更准确与合理。
业务安全与风控常涉及的领域包括以下几个:业务安全,包括反作弊、防刷 单、黑产对抗、账号体系安全、资金交易安全等等,基于业务场景的实时与离线方式下的查杀能力与对抗体系。这个也是狭义上我们常见的业务安全。业务风控,由于业务本身的活动与环境造成的各种风险的应对与管控。包括企业与个人的信用体系的建设与应用;银行业的巴塞尔资本协议(Basel I&II&III)中对资本充足率的要求以及信用风险、市场风险、操作风险的计量与管理;保险业的较低偿付标准(Solvency I&II)等,金融行业的业务本质就是在经营风险,因此业务是围绕着对风险的合理运营并较大化风险收益而进行的,安全风控的主体也是围绕着这些概念在进行的。内部控制,这个概念较早出现在财务领域,由各种财务舞弊丑闻触发下资本监管市场提出了加强内部控制、提高财务报表准确性要求,上市公司纷纷进行内部控制建设,相应的理论与较佳实践框架也在外部审计师、企业内部控制人员以及资本市场监管机构的共同推动与组织下逐步成熟。代表性的如COSO、COSO-ERM、Sarbanes-Oxley法案(尤其302、404、906、409等条款,其中更为著名的404条款,就是我们常见的Sox-404关于内部控制方面的要求)、中国五部委联合发布的企业内部控制基本规范等。随着风险管理方面的深入,内部控制也从最初的财务领域向业务领域扩展,从的COSO与ERM中就可以看到整个视角的变化。
第七条:安全运营前面提到的几个方向比较多的介绍了方法、框架、常用的技术与理论,可以理解为视角集中在建设,当然不管是感知能力、分析能力、防护能力等等能力的获取(不管是自行开发、外部采购、合作分享等)都可以笼统的归结在建设这个维度,也就是各种能力不会是凭空来的,是需要通过必要的途径才能获得,而获得的成本不仅仅是资金、人力,对于企业安全来说,时间成本往往很可能大于其他成本,所以合理途径与方式也是考验CSO们的执政理念了。
回到运营这个话题,重建设轻运营是很多公司的通病,国内外那些听名字就让人仰止的公司也没好多少,在咨询公司的职业生涯中有幸可以在全球范围内提供服务的同时深入这些公司实实在在的去”望闻问切,治病救人“,情况远比想象更精彩。安全设备、系统、产品的堆砌并不难,难的是运用起来,有人管有人看,能用会用方可发挥价值,安全的价值如何体现?安全运营领域的价值可以做的很实在、很接地气。在合适的地方部署适当的能力,这个看重的是覆盖率、准确率和召回率,处于建设期的更应该侧重这类的指标与能力,那么处于运营期,MTTD(平均检测时间)、MTTR(平均响应时间)就比较重要了,这两个指标反映了感知发现能力与管控处置能力。不同时期指标与侧重点是不一样的,这是个容易走弯路的地方。另外,在运营态下,在线、离线能力的运用、串并联方式的合理布局以及”查““杀”手段的使用也是非常关键的地方。通过在线能力进行防御性处置、通过离线能力进行查缺补漏与验证以及优化在线场景规则要求;通过串行方式的同步干预处置能力、通过并行方式的异步全量验证能力可以满足更加复杂的业务环境要求;通过上帝视角的“查“的能力、通过判官视角的”杀“的能力可以满足即时对抗与体系化通盘布局对抗的选择要求。
第八条:本地政府、监管理解与法律法规合规信息安全很多时候可以看做是最接近武侠小说中“江湖“的概念,但”江湖“从来不是法外之地,知法、懂法、尊法、用法是最基本的要求。随着国际化的不断深入,中国企业走出去、国外企业走进来都离不开法律法规的遵循与合理运用,更进一步来说一些业界较佳实践、国际标准、行业指南不应该仅仅是简单的符合要求,更能成为企业基本能力的公允说明、重视程度的态度表达和沟通协作的统一”语言界面“。
在国内开展信息安全相关工作,一些基本要求需要得到有效关注与落实,如2017年6月1日实施的《网络安全法》以及配套的系列法规要求;刑法285、286条款以配套司法解释;信息系统等级保护相关的系列;《个人信息安全保护规范》;各行业主管机构的相关要求。全球开展业务中,数据与隐私保护会是面临的主要挑战,如GDPR(欧盟通用数据保护方案)、HIPAA(Health Insurance Portability and Accountability Act)等更为代表。另外,在互联网、金融、能源、资源型等行业,各国对基础设施方面的保护法案与要求也面临规范与日趋严厉。
另外,国际标准组织(ISO)的信息安全相关标准、NIST SP-800较佳实践、行业性实践要求如ISAE3402、云计算相关的安全认证如CSA-Star、支付卡组织的PCI-DSS及ADSS等也是开展业务不可缺少的要求。
从这方面的工作来说,实施难度与复杂度并不仅仅在于技术方案,而在于这是一个与人强相关的内容(虽然信息安全很多工作都是与人强相关的,但合规方面很容易因为沟通不到位、理解不准确等原因小事变大、主动被被动)。主动与监管部门沟通不要试图游离于法规边界,主动参与影响规则制定过程而不是被动等待甚至隐瞒欺诈,更加开放的心态来看待安全合规,更加主动的行为来拥抱变化,安全合规也能变成企业安全能力的倍增器与推动力。
第九条:安全审计安全审计可以理解为“安全“+”审计“两个关键词,目标是和安全有关的技术、管理、人员以及这些要素所产生的环境与能力,手段是审计,如何做呢?可以分为两个维度:
方法,也就是解决如何做,可以结合传统“IT审计“的理念,分为”审计准备“与”审计执行“两个阶段,其中审计准备包括环境理解,也就是审计目的、目标的充分理解以及涉及的环境、技术、系统、流程、业务等内容的调研分析过程;确定审计重点,也就是根据审计目的与风险理解,确定重点内容;编制审计计划,根据时间、资源、重点等要素完成工作计划准备以及必要的工具、模板、技术环境准备。审计执行包括审计计划实施,也就是实际去做审计,包括通知(也可以不通知,如涉密类审计、抽查突击类审计等)审计计划、审计手段运用(一些安全评估常用的手段在这个环节基本都能用到,同时一些审计特有的工具与方法,如抽样数据测试、穿行测试、监督环境下流程重放等)最后得出审计结果;沟通审计结果,由于时间限制、资源限制,审计结果有可能存在疑点,同时除保密需要以外,实施团队应与被审计部门与团队通过会议的方式进行结果确认与去伪存真;持续优化改进,审计的目的不仅是发现问题,更重要的是实现问题的改进,所以一般会进行审计结果跟进、解决方案跟进甚至进行结果复测,以验证审计与后续优化的效果。内容,信息安全有自身的特点与规律,技术、管理、人员、文化等都可能存在风险与威胁点,因此从某种意义上说,目前能见到的安全技术、产品、理念都可以作为审计的内容,同样也可以作为审计的工具,这方面能认知到这个层面的人员在业内着实不多。很多安全创业公司在安全产品、技术的红海中力拼,其实稍微换个角度就是一片蓝海。
在企业内安全审计可以作为三道防线(自行搜索风险管理的三道防线概念,国内提出较早,国外认可度也非常高)的最后一个环节提供保障作用,同时也可以作为兜底的手段确保安全方案的落实,合理运用的话威力无穷。
第十条:危机管理、安全事件调查与取证企业安全做的再好,建设的再完善,能力再强,团队尽职尽责,也一样没有100%的安全,何况还做不到如此高的要求呢。所以必须为可能的外部攻击、内部泄露、商业间谍、员工无意等等各种情况做好准备,尤其是极端情况下的准备工作,万一出现不至于手忙脚乱或者应对不合理、及时,导致事态扩大。危机管理预案需要提前准备好,信息流转机制、危机管理团队、必要的技术与工具、预案处置流程等等内容需要清晰、快速、准确,同时需要进行演练,使内容深入人心,一旦出现极端情况,各部门的处置可以形成合力。
另外需要强调的是,危机管理是为了应对极端情况,而非一般安全事件,因此预案强调的是有限的场景(结合业务场景确定)下的应对能力,危机应对启动也需要严苛的控制。一般性的安全事件可以通过事件调查、应急响应去处理,当然这方面也需要提前准备好,如事件分级、响应流程、恢复过程、调查机制、协调组织、事后复盘机制等等,如果应对不好,安全事件也可能上升为危机,因此不管是实体还是虚拟的安全事件响应与调查组织、足够的事件响应调查技术与数据储备、必要的演练与复盘机制都是基本要求。内部的安全事件调查需要把海量数据进行积累、清洗、关联,最终还原攻击路径与事件发生的时间轴,所以数据是非常重要的基础性工作,数据的完整度、稳定性、质量要求都很高。常常出现的问题是数据貌似都在,但可能由于格式不同、记录字段不同甚至细微的类型差异都可能导致数据无法进行归集、串联,最终变成一个个的数据片段,导致整个证据链的断裂缺失,从而无法勾勒出事件的本来面目,也就谈不上有效的处置与根源问题复盘改进。
提到证据链这个概念,上升到司法调查层面时,内部调查的方法还可以用,但过程控制、规范要求则要严苛很多,对证据链的固定、可信度要求、电子证据的采集均有法庭采信的规则限制,如在调查中我们可以实际去硬盘、存储空间、各种系统上去分析,找出蛛丝马迹,但在需要提供呈堂证供的情况下,任何调查分析动作不能破坏原始状态与属性,这时需要使用专业工具,如Encase、FK等进行只读环境下的操作。国内已经有很多鉴定中心、调查机构可以完成上述工作,配套的技术能力也算是比较健全,如取证工作箱、针对手机、智能设备的取证系统与平台,限于内容的敏感性就不展开介绍了,总之司法调查取证需要严苛的证据链、取证环境、方法动作等,方可作为证据去接受质疑、去伪存真。
第十一条:组织架构、安全意识与内部安全品牌建设前面大部分内容讨论的是各项管理、技术能力的建设,能不能落地,很大程度上依赖与团队与人,合理的组织架构可以较大化的发挥人的价值,反过来有可能极大的削弱与限制,这个道理大部分领导者都懂,但是不是能实际做到就是另外一回事了,环境限制、时机甚至个人决断力都是容易打折的因素。
组织架构的设置可以从几个方面考虑:战场布局方式,“战区主战、军种主建、军委管总“。战区主战,安全团队与能力应该融入业务与技术环境的一线,不应该是自娱自乐的闭门造车,安全能力能不能前出到这里,考验的是团队中综合能力人员的配比,能谈技术、能懂业务、能搞安全,这类人可以部署在战区,也就是业务与技术实际环境中,融入业务与技术战场,快速联动,贴身肉搏。能把业务线、技术线的发展规划、诉求、对接能力要求等战场态势实时回传到后续支持防线,同时把安全能力、管控要求投放到业务实际中。军种主建,各安全业务方向,如信息安全、数据安全、业务安全等等,应做好各自的工具、系统、平台,构建各种方法、框架、体系,全面提升所属方向的作战实力,为前线提供弹药、装备、情报,同时协调资源,完成战役级的指挥、综合保障以及跨兵种协同等,提供大中后台的整合作战能力。军委管总,战略规划能力、资源投放协调能力、风险优化能力等等考验格局与”大国“战略视角,一个公司的信息安全能不能发挥出价值,能不能体现出来业务的安全感,往往需要从全局观上发挥作用,”不怒而威、刚柔并济“。能力布局方式,不是所有公司都需要庞大、分工明确的安全组织,根据公司的实际情况,选择合适的技术栈能力进行布局也是一种合理方式。从简单到复杂的层次关系可以大致这样罗列,基础防护能力、检测发现能力、对比分析能力、SLA支持的自动化能力、产品化输出能力。团队小、投入不大,工作重点优先考虑在实现基础的防护,如防火墙部署、IDS/IPS、网络准入、终端安全等,可以抵御一般的内外部攻击。规模大一些、资金也充裕一点可以考虑侧重在检测能力建设与使用,日志收集分析、不同量级的SOC与SIEM等可以把原有的防护能力进行整合,一般的病毒、偶然的攻击行为可以有效发现与应对。规模再大一些,重视程度更高一些,单一环节与产品技术的支持就显得不够了,每个产品、技术都有自己的优劣势和擅长领域,总有可以绕过的方式与漏网的行为,通过提高单一产品技术的准确率、召回率ROI逐步降低,那么可以考虑进行比对能力的建设,可以是不同类型产品的比对,可以是在线、离线方式的比对,也可以是部署方式如终端侧、网络侧的比对,总之战略性纵深开始形成(对应于如果把多个产品技术不同区域布防称为战术纵深的话)。SLA支持的自动化能力,是在满足业务、安全的功能性与时效性要求的前提下,通过系统、平台自动化完成联动,如攻击、漏洞自动化触发规则,基于用户行为的账号权限自动化处理机制等。产品化输出能力,不是说大公司一定要把安全团队做成盈利中心,虽然很多公司有这个想法也实际是在这么做,而更多强调在实现稳定预期的情况下快速投放能力。有两个关键词,“稳定预期“就是大家潜移默化的达成一致的对安全的要求与实现程度;”快速投放“就是实现时间成本效益较大化,“天下武功唯快不破”,不敢提安全引领业务,也至少不能拖业务后腿,不然就只能被各种“吊打”。当安全团队完美的打造了“大杀器”以后,回头发现业务已经尸横遍野,那么安全团队较好的方式就是拿自己祭“大杀器”吧。
突然发现没控制好字码,写的有点多了,安全意识就不多说了,人是最薄弱的一环,喊了好多年了,这个确实需要实实在在抓起来,再好的技术能不能发挥作用靠的是人,在理想的设计遇到人这个环节都可能被各种绕过,“不怕神一样的对手就怕猪一样的队友”,人肉渗透远比APT快得多,道理都懂,看行动效果吧。
安全不能闭门造车,再强调几遍也不算过分,公司内部能不能信任、业务能不能与安全协调配合,大家愿不愿意为安全成本(不只是直接成本,也包括因为安全而放弃的一些便利性等间接成本)埋单,取决于能不能建立“安全感”以及对安全价值的正确认知下的品牌效应。当业务要冲锋陷阵的时候,安全是在旁边拍拍业务兄弟的肩膀,告诉他“一切别怕,我和你一起”,还是用“千里传音”之术躲得远远的说“我们有较先进的技术、较好的产品,你放心去吧”,当然有时连传音这个事情都省了,安全何在、价值何在?品牌树立很难,信任崩塌很快,且行且珍惜。
第十二条:资源管理与使用效率控制最后一章了,要写的东西还有很多,这里先谈谈资源管理和使用效率吧,稍微有些管理经验的都知道,团队应该有层级,为什么呢,不只是说团队发展的梯队需要,也有资源限制的实际需要。比如50人的团队,全部招高阶的,看似很厉害但这个不现实,可能没这么高阶可以招,资金预算也不允许,因此CSO们要合理规划团队层级,可以基于工作技能集的分布,也可以基于考虑资金限制后的职级测算等很多方法,所以推荐CSO们稍微懂一些财务知识,能看得懂基本的财务报表与预算规划,无限资源那是在游戏人生中开挂以后。集中优势兵力、快速见效,做事有轻重缓急算是最基本的要求。同时多个项目的并发是不可避免的,控制质量与数量,做好资源池管理,PMO的多项目管理还是值得参考与借鉴的。还是50人的团队,同时做60个项目与产品,后果是什么自己脑补吧。如果换作是你,怎么带领这50人的团队,如何合理规划资源,如何分轻重缓急,如何做到风险可控没有明显短板?一个是好钢使在刀刃上,另一个就是“让子弹飞一会儿”别急急火火的有点风吹草动就乱,团队不能变成救火队这是Leader的责任与担当。
也许有人看到以上这十二个能力要素会觉得“有这样的人吗?”答案肯定是有,只是每个人有一些侧重,不太可能各个领域都是满分。另外,这类“全才式”(全栈式都不足以形容了)的人员,往往都不是或至少现在已经不是技术研究领域的较高级大牛,也不太可能是攻防领域或者白帽子名人,所以在目前信息安全的大环境下,很少有人能够进入媒体的聚光灯与收获粉丝的追捧,但这类人确实存在。
有兴趣的可以用雷达图对标一下自己的知识体系,看看擅长领域与短板。
CSO 能力要素雷达图
这十二个要素,可以说是CSO的能力集,其实也极有可能是一个企业安全能力的映射集,往往CSO的能力决定了企业安全的能力天花板,如同一个企业创始人的风格会变成一个企业的风格。
说完了能力集,在企业中实际如何落地这些能力建设呢?这个话题太大,内容没办法全部展开说,不过可以说几点思路。
1)企业安全的切入点在企业安全中,更为重要和基础的其实可以分为两个部分,IAM与数据,也就是如果在一个企业里安全想快速做一些正确的事情,没有必要拉开阵势进行全面安全风险评估,时间上来不及,效果和价值也不容易体现出来,可以先期从IAM与数据安全作为切入点,IAM包括了账号、权限以及配套的准入、控制分析系统等,数据安全包括了数据的使用场景、高危情况以及感知与管控要求。这几个工作如果没有做好,其他安全工作、安全产品都会出现问题。从另一个角度,一个公司非安全人员能够感知安全能力的界面也基本在账号、权限、数据这三个地方,众口成川,企业安全的生存与发展空间也是动态的。
2)基础能力建设能深入业务、给业务带来价值的安全不一定是、最炫酷的技术与产品,认认真真的把基础能力建设起来,让公司有信心、业务有保障、员工有安全感,实用、够用、好用是基本目标和要求。实实在在的把感知能力、防护能力、处置能力落到实处,可以分阶段、分重点、分场景的有选择性的布局,自研、外采结合,风险敞口与时间成本综合考虑。在正确的时间做正确的事,很难,但是是必须的!
3)高优业务场景应用除了为企业实际开展的业务保驾护航以外,基于价值链分析的方法与战略一致性要求可以使安全更为主动的布局与准备,这里不多说了。在一些特定的场景下做好准备也可以发挥安全的价值,为公司实现业务目标贡献安全能量。
企业并购、收购、重组等往往是安全风险较高,安全威胁频发的阶段,如何做好安全尽职调查、系统如何对接,数据如何整合、人员如何管控等等各方面的问题比在业务稳定期要复杂很多,信息安全能否做好准备?
业务弹性与业务连续性管理要求,在互联网、金融、政府都诸多行业与业务场景下,对业务的持续与稳定提出了很高的要求,由于信息安全问题导致的业务中断、数据泄露等情况后果非常严重,基于风险导向的安全管理工作,应该把BCM与DRP纳入管控范围,防范归零风险,同时BCM、DRP各个环节中信息安全保障机制也是重点。
项目交付生命周期中的信息安全(SMP,Security Management in Processes),企业安全不是一成不变的,随着业务、信息系统、基础架构甚至组织结构的变化,信息安全也是在变化,以前没有问题、低风险的地方可能突然被业务挤压扭曲,以前有防护产品、安全技术部署的领域可能被新的业务与技术架构打通旁路通道被绕过甚至完全失效,因此在企业安全中安全能否融入业务与技术生命周期,显得尤为重要,我们常说的SDL(安全开发生命周期)就是更为常见的SMP一种形式,当然还有各种与产品开发无关的内容,如数据交换、业务流程改变等,安全能否前置性分析、伴随性监督、查缺补漏性处置会是安全的动态性较好的体现。
法务、人力管理中的信息安全,涉及人员管理这个环节,简单的安全技术与管理要求很难闭环,应该与法务、人力进行联动,打通人员入离职、合同条款、保密协议等环节,通过安全的技术优势与全局性能力把人员的安全意识、管理诉求落地实现。
外包、供应商、供应链安全,外包的管理一直是信息安全较为薄弱的一个领域,签署必要的安全协议、保密条款、SLA承诺很有必要,对外包人员、供应商的定期评估与事件追查机制也很重要,由于技术产品与管控力度的部署无法全量全层面覆盖,外包与供应商是人员攻防的主战场之一,黑产、恶意对手、商业间谍第一攻击对象往往是高权限的外包与供应商。另外,随着产业分工协作的深入,供应链不再由某一个公司完全自建或控制(从成本方面没有必要,从精细化运营方面边际效益不高),而是由一个完整的分工、配套、协作机制衔接的产业供应集群进行资源整合,达到收益较大化要求,那么这种情况下如何确保供应链安全变成非常有挑战的事情。攻击面被放大到夸张的程度、安全能力水平能够产生年代级的差异、重视程度也可以用代沟来形容,处于供应链的主导地位的公司需要对信息安全有全新的认识与建设布局。
新技术环境下的安全,如云计算运用下端管云安全、IoT设备的系统与硬件级安全、工业控制系统安全等等,由于篇幅的限制这次就不展开了,但这些技术本质上的区别有可能会颠覆安全原有的体系、框架与技术。
4)安全价值实现,“合”字诀。业务融合、感控结合、纵深整合,三个“合”字算是对企业安全的一个基本总结吧。业务融合,安全能够实现价值的基本途径;感控结合,安全能够实现价值的基本方法;纵深整合,安全能够实现价值的基本手段。
安全是管理者意志的延伸,技术是管理理念的延伸,细思共勉。
写在最后,这篇《如何做好首席安全官 企业安全体系与架构实践》热身篇,基本上是一气呵成,所以内部逻辑上其实有一些瑕疵,有感而发没有过多润笔,这次也不打算再修改完善了,但非常欢迎有兴趣的朋友交流多提宝贵意见。由于篇幅限制和时间压力,里面所有的内容都没有展开,既没有图表化的凝练总结也没有任何技术方面的细节探讨,甚至很多地方提出问题而没有给出解决建议,如果大家有这方面的困惑,很正常,热身嘛多理解吧。把这些内容展开来说,更多经验与解决方案分享留到以后吧,或者通过Sec-Un不断更新文章一点点把各个章节内容展现完整,或者通过成书的方式一次性发布,都在准备,相信不远将来会有交代。
另外,本文所有内容仅代表个人观点也没有涉及之前工作的经验与内容,说的更多是通用性的情况,切勿对号入座,更没有必要理解为公司与团队的发声,我就是我。
大数据培训、人工智能培训、Python培训、大数据培训机构、大数据培训班、数据分析培训、大数据可视化培训,就选光环大数据!光环大数据,聘请专业的大数据领域知名讲师,确保教学的整体质量与教学水准。讲师团及时掌握时代潮流技术,将前沿技能融入教学中,确保学生所学知识顺应时代所需。通过深入浅出、通俗易懂的教学方式,指导学生更快的掌握技能知识,成就上万个高薪就业学子。 更多问题咨询,欢迎点击------>>>>在线客服!