导语:
尊敬的老板:
安全,是一项必须常抓不懈的工作。我们投入大量资金建立起的防护体系一旦出现漏洞,后果不堪设想。但讽刺的是,当我们做得足够好、事故越来越少时,有人却会问:为什么在没出事的情况下还要花那么多钱?这种想法如果占了上风,就会酿成大祸。
这篇文章直击安全管理中一个尖锐而普遍的问题:在没有重大事故的情况下,安全投入常常被视为理所当然,逐步被削减,直到"亡羊补牢"的地步。这种安全投入和收益的不对称性,是每一位CEO都必须警惕和应对的潜在危机。
显而易见,让网络安全跟上企业发展的步伐,不能只靠安全团队一己之力,必须举全公司之力。作为CEO的您,更是要把网络安全视为公司基业长青的头等大事,给予持续而坚定的重视与支持。只有这样,网络安全才不会沦为"裸泳",更不会在"裸泳"中猝然惊醒。
安全领域有许多看似自相矛盾的地方,比如说,当你投入了足够的资金(有时要花大笔钱),事故越来越少时,过了一阵子总有人会问:"咱都没出什么事,干嘛还要在安全上花那么多钱?"
如果大伙都这么想,那砍预算就在所难免,该升级的、该维护的得不到足够的钱,该防范新风险的投入也落不到实处。接下来会怎样?你心里有数,裂缝慢慢出现,控制措施逐渐失效。然后,要么"轰"的一声,要么像凌迟般缓慢地S去,事故频发。
还有一种不那么轰轰烈烈、但可能更加隐蔽的套路是这样的:
通过评估风险或其他流程发现了一个安全隐患。
为"修复"该隐患筹到了钱,调动了资源。
大伙儿通力合作,把问题整改到位了。
一切风平浪静了一段时间,或几个季度,更可能是好几年,有时甚至长达十年。
人们渐渐淡忘了曾经还出现过那样的问题。
资源开始一点一点被抽走。那些知道控制措施为啥必要的人或许会提防着"切斯特顿栅栏",但功夫不负有心人,维护控制的团队还是一个接一个地被抽调,或是身兼数职。
注:切斯特顿栅栏,出自英国作家切斯特顿的一个故事。大意是说,你要是看见一道栅栏,可又不知道它有啥用,那也别轻易把它拆了。比喻不要贸然废除一项你不甚了解的制度或习俗。
就这样不知不觉地,原本有个10来号人、什么都懂一些的团队,现在就剩俩新人在那儿撑着了。谁也没真下决心要把10个人砍到2个,但一连串动作小、甚至都没明说的决定叠加起来,结果就是这样。
然后,乐子就来了。要是控制措施是你的纵深防御的关键一环,甚至是唯一的防线,那你走到临界点,溃败来得可能出乎意料的快。
更要命的是,在某些尤为不利的情况下,这些因素会以一种相当要命的方式混搭在一起:安全投入稍微一降,控制效果就直线坠毁。反过来说,哪怕是一点点持续的"通胀式"增加投入,甚至只是保持投入别降,都能保证风险在可控范围内。即便只是安全工作不前进也需要投入(虽然可能不用逐年加码),因为周边环境不断变化,风险也水涨船高。这就是所谓的不对称性。
那么,为啥会这样呢?说白了,就是因为很多公司压根就没建立应对这种趋势的制度。分布式的公司就更难了,安全人员分散在各业务部门、工程团队,或是若干供应商那里。但即便是安全团队自身的资源,也不能幸免。这恰恰印证了安全领域一条基本定律:熵(卷)才是王道。
那咱们该咋办,才能建立起维系安全的反制力量呢?
1. 公司健康体检
大多数公司都会定期开展风险和控制评估,判断风险有没查出来,在公司愿意接受的风险范围内有没得到妥善的缓释——主要就是看控制措施到位了没有,管没管用。这类工作可以通过RCSA(风险与控制自评)等程序来做,也可以通过连续性的控制检测和定量风险分析等更系统的办法。
有的公司还会以差不多的目的来给自己"把把脉"——看公司有没有投入该投的资源(人力、钱),而且投得是不是地方。最简单的法子是先定个型,规定公司里应该有啥样的联合/内嵌式安全团队、啥岗位、负啥责任,然后看看实际情况是不是跟商定的模型一致。再高一档的做法,是连这些团队和岗位的素质也考虑进去,比如资历(职级、工龄或其他指标)和技能的分布。这样不仅能保证人数对路,还能兼顾技能和经验的搭配。
系统地定义如何以某种建模方式配置中央安全团队的资源,这一点也很重要。资源的规模可能取决于一系列运营因素。比如,检测和应急团队可以根据监测覆盖面和威胁状况来定编制;渗透测试团队的规模可以跟公司的数字攻击面成比例。用商业化、供需导向的思路去做这个事儿就妙了,这样你就能表明你不是想让编制随着任务线性膨胀,而是要用钱去强化自动化,从而提高效率,让团队增员慢于业务量的增长。
这事儿没那么神,你觉得该有的人没配齐,跟实际情况有出入,那就得"光明正大"地说出来,领导层跟董事会也能欣然接受。我就见过,采用这一套"先定个模型,再看看执行的情况是否吻合"法子的公司,在讨论需要啥资源的时候就务实得多。
2. 零基预算
"零基预算"这词儿一出口,多少公司都有点儿怵。非得假设预算为零,然后通过重新论证资源需求来重建预算,这一折腾预算不削减才怪。不过据我观察,大多数搞零基预算的安全团队如果够硬气,一个预算周期下来还是能保住增长的。我还见过个别公司在这种审查中能大幅增长(超过30%)。
3. 创造和传播渐进式效益
要不断寻求推行那些安全和其他收益齐头并进的控制措施。就算这些收益不那么显而易见,也要想办法凸显控制措施带来的哪怕是一点儿一点儿的好处。要让提供安全的资源(人、硬件、软件、服务)被视为——不只是避免损失、防范事故那么简单,还有商业价值。说白了就是,反客为主,颠覆激励机制。
4. 争取支持者/拥护者
要想方设法让所有的领导都重视安全,嘴上也得捧捧安全的价值。上面重视不等于下面就给资源,但肯定有帮助。
5. 把资源紧缺摆到明面上
通常,资源紧张、供不应求等压力一时看不出问题。因为安全团队或其他嵌入式人员在超负荷工作,渐渐把自己掏空了。如果你唯一看的就是结果,那你的拼命三郎很可能被当成理所应当,而不是值得嘉奖。相反,要想办法把资源紧缺这个事儿摆到明面上,尝试给各项工作争取放低一些的服务水平目标(SLO),用这个引出关于资源限制的建设性讨论。
总而言之,安全工作所需的资源会慢慢萎缩,除非你主动去对抗这个趋势。更要命的是,实际效用下降的速度会远快于资源流失的速度。从良好到糟糕,再到"轰"的一声全线崩溃,可能快得出乎你的预料。
推荐阅读
闲谈
**
威胁情报**
1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链
**
APT**
**
入侵分析与红队攻防**
**
天御智库**
