CSO说安全 | 黄乐:对企业安全运营的思考
由安在新媒体策划并主办的首届超级CSO研修班,于2021年1月圆满结营。18位CSO学员,历时5个月,完成16节次课程的研修学习,经历名企参访、课堂作业和私董会,更有期末3000字/每篇的毕业论文,最终,都以优异的成绩冲刺达标,获得由CCRC和安在新媒体联合颁发的结业证书。
首届超级CSO研修班学员分布广泛,包括银行、证券、保险、运营商、能源、传媒、物联网、咨询服务等多个领域,在导师引领和课程启发下,其所完成的毕业论文,也都极具代表性,是各自相关领域网络安全建设、实践与思考的精华之作。本着分享交流之精神,我们特别精选几篇,以连载的方式呈现公众。
超级CSO研修班不仅是一届课程,更是契机和起点,希望借“CSO说安全”,让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。
对企业安全运营的思考
曾任央视网网络安全部副总监
《企业信息安全建设之道》作者
清流派企业安全沙龙创始人
公众号企业安全工作实录主理人
工作内容主要包括攻防对抗技术研究、安全检测及防御体系建设、安全播出管理平台建设、漏洞治理平台研发、威胁感知平台研发、应急响应系统研发等工作。
同时,提出了“重检测,轻防御”的安全架构设计理念,并通过“快速及格、逐步迭代”的思路快速落地了安全播出管理平台。2018年起组织清流派企业安全沙龙,是企业安全行业的闭门沙龙,每月邀请各企业安全部门负责人从多个方面探讨企业安全建设及管理的思路和经验。
近年来“安全运营”这四个字被提及的越来越多,虽然大方向上都还算一致,但一直没有统一的定义,也很难找到相关的最佳实践。本文将从企业面临的安全问题入手,阐述企业安全运营工作应该关注的关键点,并思考未来安全运营的发展方向。
对于IT基础设施有一定规模的企业来说,信息安全建设可以说是必选项。但与IT基础设施建设不同,信息安全建设要根据企业的情况,不同程度地考虑与人的对抗性。所以就算完成了基础安全能力的建设仍然不能保证安全体系是有效的,也就出现了安全事件不能随着安全建设的推进而减少的情况。具体来说,对于已经完成了基础安全建设的企业来说,仍然可能遇到如下问题:
目前,市场上有大量的安全产品和服务可供企业选择,绝大多数产品或服务都是碎片化的。这些产品可以很好地、定向地解决一个具体问题,但很难形成合力,帮助企业解决一些根本的问题。如黄承总所说,这些松散的安全产品组成的安全体系就像没有弥合缝隙的木桶一样。长板没办法帮助木桶盛放更多的水,这种松散的安全体系无法帮助企业达成安全目标。
企业安全团队大部分精力都放在对威胁的处置上,因为威胁看起来是如此的真实,并有可能影响在线系统。处置威胁是安全人员的第一反应,但过分重视对威胁的处置,很容易被对手牵制。《孙子兵法》中有一句很核心的话:先胜而后求战。毛泽东也经常讲:你打你的,我打我的。出色的战略家不会被眼前的威胁迷惑,更多的是看到全局,而非局部对手的动作。
对很多人来说,信息安全几乎等同于黑客技术。而黑客技术又好像是玄而又玄的事。相比基线检查,很多安全团队更热衷于机器学习,挖0day这类“高大上”的工作。但笔者认为,对于大部分企业来说,做好基线检查的价值远大于挖0day。
其实,上文讲的“挖0day”代表着技术人员对上限的追求,这本无可厚非。但是从企业利益的角度来说,安全团队不应该忽略“基线检查”这类保障安全底线的工作。
很多安全团队都会有一个或几个“核心员工”,这些员工对企业情况非常了解,处置安全事件的能力较强,而这些“核心员工”发生变化(包括但不限于:生病、休假、离职等),会直接导致安全团队整体安全能力下降。
笔者认为,网络安全行业人才紧缺的现状会持续相当一段时间,大部分企业没有办法确定性地留住自己的核心人才,所以企业安全团队难免会出现变化。
所以,安全处置能力存储在人脑中的情况下,企业很难保证安全能力的稳定性。
本文试图用安全运营工作来解决上述问题。所以,首先要厘清安全运营的定义,笔者认为运营的定义应该是:通过一系列的干预手段,让一个系统发生可持续的良性运转。安全运营工作的目的就是要通过一系列的工作,让企业信息系统持续地向更加良性的方向发展。其核心关注点是“一系列”和“持续”。
一系列:企业信息安全工作是涉及到大量不同领域的工作,所以安全运营并非一项工作。
持续:安全运营工作不能一蹴而就,是一个长期性的工作。
对于企业安全运营工作,可以从如下四个维度去展开:
对于信息安全工作的评价有很多定性的成分,所以一般来说大家并不习惯客观描述安全工作。这导致了对安全工作的评价变成了“以成败论英雄”,安全工作做的好不好仅取决于是否发生安全事件,这对安全运维团队来说是非常不公平的。
本文认为,安全工作应该被一系列逻辑自洽的指标来客观评价,这些指标综合起来可以评价一个企业被攻击成功的难度。可以采用覆盖率、准确率、召回率、复发率、时效性这五个指标来综合 评价常规安全工作,具体计算方法如下:
对运营指标的计算,部分参数是需要估算的,对于估算的参数需要有估算标准,如对于未知资产比例的估算可以参考如下几个标准:
① 企业有否资产管理系统;
② 企业有否自动化资产发现工具;
③ 近1个月企业是否发现过未知资产。根据这三个标准可以帮助企业估算可能存在的未知资产的大致数量。
安全运营指标的估算一方面可以让企业更客观地认识到自身安全工作的成果,另一方面可以通过约定未来一段时间指标的提升,来指导安全能力的建设方向。
如1.4所述,企业知识完全存储在人脑中,将面临很大的不确定性。而传统的知识库由大量的非结构化文档组成。这类文档一方面很难保证员工可以认证阅读和学习,另一方面在应急事件发生时,应急处置人员又无法从这些文档中快速汲取需要的知识。所以,笔者认为能够实际使用起来的知识才是有价值的。由此可见,安全知识落地对企业来说非常重要,可以通过如下方法实现知识的落地:
落地到流程中:无论是日常安全事件的排查,还是重大事故的处置,安全团队应该有能力将自身经验落地的一系列的标准处置流程中,这些流程一方面要结合企业实际情况和团队的知识,而非标准的处理方法;另一方面应该由一些流程系统(甚至自动化处置系统)推动,而非流程文档。
落地到策略中:对于威胁分析类的工作,应在威胁检测产品输出结果的基础上,将人工分析的策略进一步工具化。通过这种方式,一方面可以在分析人员出现变动时保证基础的分析能力;另一方面可以将本来5*8的工作扩展到7*24。
落地到模型中:对于有能力做模型训练的团队来说,应该尽量收集日常安全工作的相关数据,并利用算法分析这些数据,为日后工作提供决策基础。为了有利于支撑决策,应尽量选择解释性好的模型。
安全运营是一个讲究持续性的工作,再大投入的安全体系都不能一劳永逸的解决所有问题。笔者认为,安全体系的建设要逐步进行,这个“逐步”可以从如下三个层面展开:
资源层面,需要逐步完成建设。一般来说,任何团队都无法拿到全部所需的资源,安全运营体系建设也不例外,在资源有限的情况下,需要合理分阶段建设。
时间层面,需要逐步积累并落地知识。通过持续不断进行知识落地工作,让安全运营体系越来越符合企业的需要,真正做到每战愈强。
对抗层面,需要紧盯外界,逐步调整策略。运营策略需要根据外部安全形势随时调整,就算安全运营体系完成了所有建设目标,也要根据外界形势实时修正。
曾国藩讲:“结硬寨,打呆仗”。《孙子兵法》也提出:“善战者,利于不败,而后求胜”。在古代战争中,大师级人物都不约而同的提出了防守的重要性。
很多企业的网络安全工作在“不知攻焉知防”的思想指导下非常重视对“攻”的研究。不可否认,防守方一定要对攻击手段有比较深入的了解,但这并不意味着了解“攻”就可以做好“防”的工作。
所有安全从业者都了解防守的难度,攻击者只需要找到一条入侵路线就可以完成自己的工作,而防守方则要应对无穷无尽的问题。但这并不能成为防守失败的借口,相反,防守方要在认识到自己的难点的同时,充分利用自身的优势,以扭转在攻防对抗中的劣势。笔者认为,防守方可以通过如下手段增加自身在对抗中的优势:
法律法规:各类法律法规是给企业非常大的保护,企业安全团队要善于利用法律法规保护自身的利益;
标准/规范:无论是通用的标准还是行业规范,企业善于结合标准和规范建设自身安全体系,既有利于安全体系建设的完整性,又是安全团队对内申请资源的“尚方宝剑”;
技术手段(大数据、自动化):与古代守城不同,IT设施的安全保障可以充分的结合自动化运维手段减缓防御面过大的问题,同时利用大数据工具,可以有效分析海量数据,避免防守方人力不足导致的遗漏。
目前,安全运营的概念方兴未艾,但笔者认为一轮应该在企业,而非安全厂商。对于企业来说,未来可以想象的安全运营体系应该是可持续演进的。但这并不意味着企业需要不停地调整安全组织架构,安全运营工作无法一劳永逸,但可以通过打造一套标准的方法论来保证安全组织演进的效率和质量。这个目标是非常值得期待的,而为了达成这个目标需要企业打造一个“水一样的组织”,《孙子兵法》讲“兵形象水”,也就是让自己的团队更有“柔性”,过于“刚性”的组织很难应对外界的变化。而要打造这种柔性,需要团队管理者充分调动每个成员的积极性,核心需要做到三点:
让每个成员都知道大方向:由于安全团队时刻可能面临着高强度的对抗,所以安全团队的每个成员都应该做好随时应对挑战的准备。这需要团队中每个人都对如何实现团队和企业的利益最大化有充分的认识,团队管理者要反复强调这些认识,让每个成员都知道决策的大方向。
充分授权:当然,仅仅知道方向是不够的,安全团队的每个成员不应该是仅仅是执行者的角色,更应该在自己的任务中充当决策者的决策,这需要团队管理者对基层员工充分授权。
领导者需要“无智名,无勇功”:领导者要充分体现“成人之美”的作用,不与团队成员争利,这是调动团队积极性的基础。
安全运营工作的开展是企业完成基础安全建设后必须面临的挑战,这个过程中需要克服很多困难,笔者认为最大的挑战是各企业的安全团队都在独自摸索,企业间无法形成合力。如果能通过一些组织形成安全运营工作的工作小组,相信能够帮助企业安全团队找到一个“大家庭”。
首届超级CSO研修班已圆满结营,第二届超级CSO研修班正在筹备,按照计划,2021年中会正式开营。如果你是企业或机构的CSO/CISO/信息安全总监/信息安全主管,如果你想进一步拓展知识、提升眼界、广结人脉、突破自我,想更好地胜任CSO职位并探索更高阶职业发展,那么,超级CSO研修班绝对是你不二之选!
早报道早抢位,有意向者,请洽
椰子
推荐阅读
CSO说安全 | 秦峰:基于商业组织的网络安全合规风险管理构建和实践
齐心抗疫 与你同在 
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注KnowSafe微信公众号随时掌握互联网精彩
