经过 lake2 大佬推荐,上周订阅人数突然增加了1000+
我想,表达感谢的最好方式,应该是拿一篇干货出来,让读者朋友感觉“嗯,lake2 诚不欺我”
废话少说,今天分享关于编写信息安全规划实操的内容。希望对于安全从业人员,以及编写技术工作规划的朋友有些帮助。
0x0 信息安全的四大驱动力
0x1 合规驱动要下笨功夫
0x2 事件驱动要抓住机会
0x3 业务驱动要拓宽视野
0x4 自我驱动要量力而行
Egg 公众号介绍及送书活动
在甲方企业,信息安全是成本部门。
或者更严格的说法,信息安全是非创收部门。
作为非创收部门,其存在的价值是什么?
是为了应付合规检查吗?
是为了防止黑客入侵吗?
还是为了帮领导背锅?
如果信息安全连ROI(return of investment,投资回报率)都说不清楚,还想得到领导资源倾斜,显然是天方夜谈。
关于信息安全价值的论述,我在担任 InsecWorld2021 的“CSO论坛”出品人时,邀请雾帜智能CTO付奎先生分享过《信息安全风险的量化》议题。
群友们也有很多讨论,甚至分出了学院派和实战派。
关于领导为什么买单这个问题,有个很好玩的段子:
钱是领导自己的,通常能不花就不花(民营企业)
钱不是领导自己的,合规合法的基本都花(国企,央企的职业经理人)。
花自己的钱办自己的事,既讲节约又讲效果;
花自己的钱办别人的事,只讲节约不讲效果;
花别人的钱办自己的事,不讲节约只讲效果;
花别人的钱办别人的事,不讲节约不讲效果。
这种讨论,看着好玩,实际没多大价值。结论往往是同一句话:
不同行业、不同企业、不同阶段、不同安全负责人,情况都不一样,不可一概而论
为此,不妨换个角度。
先看看你的领导,已经为什么买了单
这里的买单不局限于资金投入,还有人员的人天投入
比如我在接手安全团队的时候,大致梳理了手头已经在开展的工作,这些默认是领导已知、且认可的工作:
ISO27001认证、等保认证,以及认证时“整改项”要求必须开展的安全建设
WEB 应用上线前漏洞扫描、渗透测试、众测、安全事件应急响应
新业务需求,对应技术方案的安全评审;以及,针对新业务场景编写安全规范、制定安全解决方案
给领导写PPT,将安全作为单位信息化建设的一部分对外宣讲
每年组织公司网络安全宣传周活动,期间搞有奖征文、钓鱼演练、安全知识讲座
每年定期向党委汇报网络安全工作
大量的安全系统建设,调研、技术交流、PoC、采购
组织全员参加行业、央企CTF比赛
这里的 1-8 都是具体的工作项,所谓“工作点”,如果还往下写,还有更多。所以,需要进一步抽象,形成“工作线”。经过反复琢磨,我把这四条线概括为 -- 合规驱动、事件驱动、业务驱动和自我驱动。
这里的“工作线”,就是领导安排工作的逻辑。“站在领导的角度思考”,再举一反三,就会找出更多工作点。
拿着这些工作点,制定系统的解决方案,再去和领导要资源,相信大概率是领导关心的,愿意投入资源的。不需要费一堆力气和领导解释“为什么做?”,而是收获更多的“建议你这么做,会更好”。
但是,以上只解决了做什么的问题,却没解决“优先级”问题。领导马上会问,如果资源有限,以上工作该如何取舍?
解决办法是,给出逻辑结构。最开始我是这么画的:
后来几经迭代,在领导指导下,演变为这个版本:
新版本有几层含义:
合规是下限,自我驱动是上限。下限是告诉领导,必须得做,没得商量。上限是一种“心理战术”,高层领导,更多是在追求马斯洛模型的“自我实现”,两者契合起来,更利于工作开展。
业务和事件是双擎,互为备份。如果没有安全事件,安全部门要多讲业务故事,多和架构团队紧密合作。最近几年护网轰轰烈烈,事件驱动真正进入高层视野,安全工作的价值也更容易体现。
规划是面向未来的工作,而四大驱动力是静态的。
因此,还需要加上时间的维度,分析清楚“我们在哪儿,将去何方”。
在IT领域,开发有CMMI 1-5级,运维有ITIL 0-4级,那么信息安全呢?
目前看到比较公认的,是 SANS(美国系统网络安全协会)的 Robert M. Lee于2015年发表的,即网络安全滑动标尺模型。
基于该模型,将企业当前的安全建设能力套进去,就能自评出所处的阶段,得出类似下面的结论:
网络安全防御是一个动态迭代的过程,XXX正处于,并将长期处于“主动防御与智能化迭代”阶段
总结出四大驱动力和其逻辑关系,以及企业所处阶段后,剩下的就是“反复宣导”。
高层领导分管的业务纷繁复杂,长篇大论往往是大忌。安全工作好不容易有次汇报机会,一定要不断总结、抽象、再总结,让领导记住你的工作核心(比如驱动力十六字+主动防御和智能化迭代),很多工作就会显得有章法,更容易获得支持。
以上,可以称为所谓的“向上管理”。
但是“向上管理”不是目的,领导也不傻,再漂亮的蓝图也要抓结果。
所以,对齐思路之后,接下来,就是实战落地,做进一步拆解。
合规是一种泛指。更全面的说法,应该是“合法合理合规”:
合法。自2017年6月1日《网络安全法》出台之后,整个网络安全行业有了上位法。我在《2021中国网络安全产业分析报告解读》一文分析过,法律法规层面,十四五第一年,干了过去五年的事情,还不止。
合规。是指行业规范,上级监管部门的规范性文件。
合理。指内部安全规范,要符合实际情况。在公司内部,便利性和安全性往往是对立的,需要做一些取舍。比如规范里面,定性要求的条款,可松可紧,要根据企业实际情况进行灵活处理,切不可一根筋,照本宣科,最终结果要么是被投诉,要么是被人阳奉阴违。
合规是及格线,不需要巧劲,需要的是笨功夫。
初级方法,可以安排专岗(从成本考虑,也可以让咨询机构协助),将所有相关的合规条款(一般遵守行业的规范即可,因为会逐层向上对齐)用 excel 维护起来,按照类似等保的章节目录,逐个进行审计。
中级方法,将合规要求整理为通用部分+业务部分,更新到公司内部的安全规范中,和开发、运维的规范做融合。在各类项目创建时,能根据项目配置信息自动生成安全需求。例如针对web、andorid、iOS分别生成用户注册、登录、日志审计等场景的安全要求。
高级方法,在安全需求自动化生成基础上,将安全审计工作自动化。全部自动化是显然不可能的,不过可以不断提高自动化水平,例如通过 DevSecOps 解决“安全建设管理”类问题,通过BAS解决“通信网络、区域边界、计算环境”的有效性验证问题。
有机会,抓住机会。没有机会,创造机会。说的就是事件驱动。
很多攻防背景的安全负责人,接手安全团队后,常用的一个方法就是组织一次众测。
借助内外力量,发现一堆漏洞,然后告诉领导,你看,风险很大,赶紧投入资源,不然指不定哪天数据被盗、首页被篡改,企业随时被关停下线,领导还要被请去喝茶。
本质上,这是在讲“安全是企业生命线”的故事。
这几年,随着护网从国家到地方的全覆盖,以及《党委(党组)网络安全工作责任制实施办法》的解密,甲方安全从业人员已经进入了春天 -- 不再需要事件驱动,就可以获得安全投入。更不用担心发生安全事件,自己被干掉,为接任者做嫁衣了。
“一鼓作气,再而衰,三而竭”,安全事件也有保鲜期。即便强如护网,受重视程度也是在慢慢变化的,所以,从业者务必抓住时间窗口,该大干快上的,不要拖拖拉拉。
当年,笔者一朋友狗哥,按照护网暴露出的问题,以及等级保护2.0审计出的“不符合项”,在护网结束后的一个月,火速拿出了差距分析,然后制订了三期建设规划(近中远),顺利拿到了安全预算。
这里举两个例子。
案例一、某金融企业的远程办公场景
场景介绍:企业网络划分为办公外网和办公内网,员工远程办公通过云桌面登陆。但是存在多个痛点:
远程办公无法访问公司文件交换系统,无法将文件导出,无法满足信息外发的场景。
为了满足远程办公需要,邮箱暴露在互联网,存在账号被爆破锁定、0day攻击风险
云桌面登录界面必须暴露,容易遭受DDoS攻击,存在无法办公的风险
云桌面存在接入速度问题,在部分地区、部分运营商线路接入延时太高,用户体验不好
员工经常忘记云桌面、邮箱登录地址
这些问题,是应该办公团队解决,还是安全团队解决?
笔者认为,应该成立联合团队来解决。远程办公本质上还是办公,安全是其优先级很高的需求,在改造时涉及到大量办公系统适配,所以一定要联合起来。
在网络架构层面,可以按照上图进行重构:
采用零信任解决方案,终端准入后,自动弹出外网门户。
邮箱、文件交换、云桌面等应用放在零信任网关后,在网关做应用控制和审计。
取消以上应用在互联网的暴露,收敛到零信任系统。零信任网关最好采用反向连接的方式,不主动对外暴露接口。
零信任网络可以考虑SASE方案,解决网络接入时延问题。
这种场景,在疫情常态化的背景下,是很强烈的业务诉求。安全团队应该抓住这个机会,改造现有网络架构,不要把加分项变成了失分项。
案例二、海外网络访问
某单位领导要求业务部门在境外社交媒体创建账号,宣传公司动态。
业务部门找到网络部门,寻找解决方案。
网络部门说,GFW 这是国家建设的,这不是网络问题,是安全合规问题,要不你们问问安全团队?
安全团队怎么回答?
对不起,国家禁止,臣妾做不到?
业务部门问,那为什么其他公司都能做到?你看人民日报、新x社、xx企业都有海外FB账号。
既然别人能做到,那就换个命题 -- “我要如何做到?”
动用人脉,和同行交流一番,大致就能得到通用方案:
申请需求方至海外子公司的跨境专线,连接到需求方专用的终端,在技术架构上等同于将海外子公司的外网通过跨境专线延伸到需求方。
然后拉上法律部门,一起评估风险。
一番分析得出结论:
工信 32 号文规定运营商不允许提供翻墙业务,企业不允许使用没有运营资质企业提供的跨境网络服务。技术方案通过运营商专线,建立与境外子公司的内部连接,是合规的。境外子公司通过境外运营商接入互联网也是合规的。两者通过网络串接联通国际网络的行为,并无过往处罚案例。因此,该方案可行。
小结。业务需求往往是零散的、隐式的。需要安全负责人主动去发掘。
在组织里,业务和 IT 通常是不同的分管领导,IT支持业务,安全支持IT,这会导致业务需求在安全团队往往优先级并不高,反应迟滞。但是安全想要破圈,更多更快的支持业务,其实是不可或缺的。
按照马思路需求层次模型,人类的需求依次是生理需求、安全需求、社交需求、尊重需求和自我实现需求。需求之间并不是逐级递升的,可以跳跃。
IT 行业高速发展了20年。金融行业高速发展了40年。
在中国飞速发展的大背景下,很多领导已经进入了“尊重需求”和“自我实现”的阶段。对于工作,已经不单纯关注收入,更多是成就感、名声和地位。
遇到这样的领导,其实是一件好事。因为你和领导目标是一致的,都希望能够做出成绩。
此时,安全规划里面就要围绕“自我驱动”设定一些工作项,例如:
打造生态。创建行业平台、制定行业标准、举办行业大会等等。
获取奖项。网鼎杯CTF比赛、央企CTF比赛、护网排名、行业创新评比等等,级别越高越好。
专业形象。专利和论文、对外技术演讲等等。
以上工作,很难强求,也很容易产生动作变形(如找枪手打比赛、找供应商水论文和专利),建议不忘初心量力而行。
最后,有了规划,还要有相应的组织来支撑。在组织不健全的情况下,要学会聚焦,对工作内容按照优先级,做一些裁剪。
公众号名为 SecOps 急行军,创办于笔者即将从某金融单位离职进入互联网公司期间。这里的 SecOps 不是安全运营,而是安全运维。因为过去的工作经历让我意识到,很多安全问题,从运维的角度来解决,其实能事半功倍,两者需要进一步融合。进入互联网公司后,我负责了运维开发团队(SRE),进一步坚定了这个观点。
本公众号致力于:
总结过去在甲方担任安全负责人的经验
从运维的视角来反思如何优化安全建设
将复杂的问题和概念简单化,让更多人能看懂
未来可能会拓展更多主题
-----------------------------------------------
上篇文章提到,打赏收入将会作为公众号的购书基金,反馈给读者。从本期开始,每篇文章最后都会送出笔者近期读过的好书。
下面是一个抽奖链接按钮,3.24 晚上19点开奖,送出 5本 BEN Horowitz著《创业维艰》。
感谢大家一直以来的阅读、再看和转发,点我参与抽奖!点我参与抽奖!