企业安全建设之如何获得业务方和管理层支持(2017-02-20)

2021-02-25 15:45:23 浏览数 (2)

前言

企业安全部门是公司的成本部门,本文结合我这几年甲方安全经历和大家探讨下企业安全建设如何基于业务驱动获得管理层的支持,主要是以互联网公司角度思考的。

从组织架构说起

企业安全最难做的就是互联网公司,党政军还有华为联想这种公司,不是讨论安全做不做而是如何做的问题。大多数互联网公司其实很多时候还真是考虑做不做的问题,相信大家都有类似感受,出事觉得安全人员没用,不出事觉得你多余。言归正传,企业安全部门通常在组织上有这样几种架构:

  • 挂在运维下面
  • 与运维平级

还有的挂在IT部门下面,情况类似就不赘述。在这样的组织架构下,管理层看待安全就是一个技术属性强的成本部门,是个成本中心不是盈利中心,ROI(投资回报比)考核就是绕不开的。做过甲方安全的同学估计在申请HC或者预算的时候,经常会被问到一句话也就是收益。很多人的回答是可以检测XSS,webshell之类,这个是管理层级别难以理解的语言,因为技术结果不是收益。于是预算不批,HC不批就是经常遇到的事,才会有一个人的安全部这一说,其实这还算好的,很多就是一个人的安全组了。

如何沟通

我个人的理解,管理层能理解的价值或者说收益,最终是落到下面三个方面:

  • 业务
  • 数据
  • 管理

我们的收益也要尽量可以落到上面几个方面,其中管理收益比较隐晦,数据收益往往最终体现在业务上,所以我们以业务收益展开。

通用的业务收益

保障业务连续性

DDoS

业务连续性是CTO首先需要保障的,相关SLA经常都作为技术体系对业务运营体系的重要承诺。业务连续性是个很复杂的话题,但是与安全团队最相关的莫过于DDoS。黑客通过僵尸网络可以组织起几十G,数百G甚至上T的攻击流量,造成被害网站完全无法访问,为了最大化攻击收益,重大市场活动、新产品发布、业务高峰器都是DDoS攻击不期而至的时候。

2015年8月,锤子手机新品牌坚果第一款手机公布,发布会意外延迟引发网络“黑色半小时”大讨论。多种猜测在网络疯传,罗老师在微博上证实官方网站遭受DDoS攻击。据了解,锤子官网遭到高达数十G的流量攻击,一度面临全面瘫痪风险。

2016年年4月,Lizard Squad组织对暴雪公司战网服务器发起DDoS攻击,包括《星际争霸2》、《魔兽世界》、《暗黑破坏神3》在内的重要游戏作品离线宕机,玩家无法登陆。

所以,如果你们公司的业务开展离不开在线服务,换句话说网站打不开,运营的比你还着急,那么做防DDoS攻击就是对公司业务连续性很好的保障。说具体点,至少以下公司属于这种情况:

  • 电商
  • o2o
  • 互联网金融
  • 游戏
  • 直播

业务断一个小时,运营的都可以算出来损失多少PV多少流水,这个你上抗D的价值就很好和老板解释,真碰上一次攻击,都可以折算出给公司避免了多少损失。

CC&刷接口

除了流量型攻击这种动静极大的攻击意外,还有针对应用层的"流量攻击",常见的形式就是刷接口或者刷一些特别费系统资源的页面,直接影响就是带宽消耗不大,但是用户没法登录、没法支持、没法检索、没法下单等。

邮件安全

这个基本是通用了,只要你们公司有企业邮箱,基本都会有这个问题,一旦企业邮箱被盗,尤其是管理层和业务方的被盗,影响特别大。gartner排名的邮件安全网关可以解决一部分问题,但是针对撞库还是比较困难,本篇不是讲邮件安全的,所以点到为止。

防拖库

2015年1月,就在机锋科技二度易主仅半月后,机锋科技旗下机锋论坛被曝出存在高危漏洞,多达2300万用户的信息遭遇安全威胁。这也成为2015年国内第一起网络信息泄露事件。据知情人士称,机锋论坛泄露的2300万用户数据包括用户名、注册邮箱、加密后的密码等信息。

2016年9月23日,雅虎在新闻稿中说,至少5亿用户账户信息被黑客盗取,而这场史上最疯狂的数据泄露事件发生于2014年,除了电邮、出生日期等常规信息外,密保问题的答案,乃至一些个人专门开设的,毫无规律可循的二次加密密码也被盗取。而更不幸的是,该事件公布的时间与Verizon 拟48.3亿美元收购雅虎的时间相重合,因此引发了Verizon方面的不满。

如果你们的数据库记录了用户个人信息,家庭住址或者交易数据之类,部署WAF,WEB-IDS或者数据库审计就顺理成章了。你做这些事情的收益就是,一旦被拖库,数据被泄露流入黑产:

  • 业务层面,竞争对手可以针对性挖你客户,恶意PR宣传你们被拖库,造成商誉重大损失,尤其是电商和互联网金融怕这个,比如某电商大型促销活动前被爆密码泄漏,造成损失是不言而喻的。
  • 数据层面,用户数据,交易数据流入黑产,潜在损失是被电信欺诈利用,对你们公司的客户定向诈骗,这个是间接损失。某电商就因此在2014年底、2015年初接到大量客户反映信息被泄露、遭遇电话诈骗的投诉,虽然后来定位是内鬼所为,但是从损失上讲也是比较大的。

个性化的业务收益

除了上面几个通用的,这个列几个比较个性化例子吧:

  • 招聘类网站保护简历不被大量窃取
  • o2o网站做风控,提高刷单成本,鏖战羊毛党
  • 制造类网站做数据防泄漏DLP,检测内鬼偷图纸
  • 资讯类网站防止竞争对手恶意爬取

感受分享

刚到一个公司接手安全,大家总是想打干一场,甚至有人拿出等保/27001之类的方法论给老板一顿教育,从物理安全,web安全聊到业务安全,讲的比安全公司售前都好,PPT没几十页打不住,动机很好,但是很有可能讲到第十页就开始有人玩微信,讲到一半就有人开始打瞌睡了。一点建议,还是要结合公司情况,把想做的安全工作和公司核心价值挂钩,得到管理层和业务方的支持。

0 人点赞