我的安全经验没有最佳实践,因为如果没有实践,我不能确定是最佳方案。
建设为什么需要规划
在企业的信息安全建设方面,真正进行安全规划的企业并不多,大多数仍属于“事件驱动”和“项目驱动”型建设。发生信息安全事件后才进行信息安全的资源投入建设,在建设时又由于项目目标需求明确和事件急迫,仓促上马,而忽略对体系化的针对性考虑和设计。抑或是无战略目标规划,依靠接受外部市场引导,盲目进行项目化建设,单单以信息安全产品、服务进行堆砌,见火扑火,一叶障目缺少全局观。最终导致信息安全无法对业务、风险合规等提供有效支撑,在企业中仅仅成为救火部门,难以体现其价值,而信息安全建设各自独立分散,无法形成体系化。
安全需求评估的挑战
合规压力依然突出
国家出台法律法规越来越完善,企业面对的监管要求越来越严格、处罚力度越来越大。需满足的合规条款较多,致使合规基线清单臃肿;且重复项较多,彼此难以互认。
合规监管要求的条款存在普遍概括性,没有具体的落地实施细则,或者难以统一管理。
法务人员对法律合规理解透彻,却难以将法规条款翻译成技术措施和业务需求;而普通信息安全技术人员面对法律监管风险的识别能力薄弱。
企业合规自查能力较弱,严重依赖外部测评机构或服务供应商公司,而外部机构只认标准条款,不理解业务无法准确判断规避风险措施的有效性,导致合规测评有效性则见仁见智。
综合安全架构能力薄弱
企业不管是自行规划建设还是利用市场成熟的技术方案,现状是某项单一技术突出(比如体现在渗透测试或安全运维),顶层综合架构能力薄弱。体现情况之一便是信息安全人才缺乏,特别是信息安全领域顶层架构级专家人才缺失,或者人力成本太高,很难进入普通企业。但相信随着行业见好,这种情况会慢慢缓解,会出现更多安全技术专家。
安全需求不断增级
业务迭代速度提升,导致安全需求增加,系统不断推陈出新,引入大量新的业务,云计算、隐私计算、多方计算、区块链等新技术应用,又对信息和数据安全提出更高要求。
受攻击面收敛速度放缓
业务系统逐渐复杂,不断拆解组件,自建或利用开源项目增加,对外开放业务接口的生命周期管理不善,都导致受攻击面不断扩大,风险点更难以快速有效收敛。
针对其中人性的判断难以掌控,互联网造就了太多暴富神话,“杀头的事情都有人做”,利欲熏心的黑灰产渗透,难免有些人难以可控。
实践的矛盾认知
盲目开展建设最佳实践
灵魂疑问就是要不要“摸着葫芦画瓢”采用同行业经过实践的安全架构体系?
安全规划建设最理想的借鉴来源是同行业企业,有着共性需求和实践。因此,企业安全体系初创之期,不排除是一种省脑省力的方法。但也不见得可以一以贯之,拿着别家良好实践后而提炼的企业安全架构全景图,照本宣科,反而引入无法掌控的风险,导致建设浮于表面。能以此为模板进行创新,结合内部战略规划设定安全目标,才是最终之道。
管理体系适用所有企业
体系化管理流程必须要根据企业发展进程的实际情况,对高速发展而安全人员缺乏的企业,可能需要相当的人力物力资源。任何新视角的安全体系(数据安全治理、零信任等),引入内部进行应用时,都不应该再新建一套标准,或推翻现有长久以来形成的管理模式,而应该是融合。
一些主流的企业架构,自己也承认同其他企业管理体系框架,包括战略和业务规划、运营管理、项目管理、IT开发等有区别,又具有互操作性。
捆绑市场化解决方案
市场上安全厂商的解决方案都具有其专业性特点,是企业体系化规划建设的有力支撑。如果公司发展情况允许,预算可争取情况下,尽量采用市场成熟产品可快速提升某些方面安全能力。但同时需要避免“鸡蛋放在一个篮子里”,这种形式的一揽子全家桶方案,虽然可以保证设备之间联动性,形成比较全面的防护能力,同时后期也会被捆绑,失去灵活性。需要具备一定的技术方案识别能力,部分厂商有时以自我为中心,建立生态,而给建设方进行填鸭式强灌需求,以寻求“我有药,尔必须有病”的激进推广方式,不排除有些技术人员被疯狂洗脑而荒于思考忽视真实需求。
明眼识别前沿技术和新概念
终端防护、身份鉴别与权限认证这些概念,通过IT建设以及外包服务,对企业已经普及教育多年,有些人可能认为没有新意。不排除服务公司基于某种目的,旧瓶装新酒,整出些稀奇古怪的新概念,其核心技术并未有革新,在企业内除了混淆视听、增加实施难度外,有百害而无一利。因此更需要我们及时跟紧前沿技术发展,不断学习,去其糟粕取其精华,引入对企业市场发展有利的新技术。
巨人之所以成为巨人,因为他脚下有另一个巨人。有时技术至上的大脑里有一个”小”人,告诉你-我要写出更好的工具。保持开放性建设思维,外面的工具和实现都已经非常成熟,经过前任的打磨,并经历过无数的研究、测试,而你自己的工具很大概率是没有经验积累的,除非是不涉及知识产权的工具达人。对于一般的公司,一定不要自研重复造轮子。
人是安全刚需
自动化和工具化程度变高,产品通用性几乎可以解决大部分安全运营工作,解放双手,快速预警响应或致于溯源反制。工具化趋势迅猛并不代表能够代替人类的分析和判断(虽然AI技术发展迅速但不至于像杀毒软件一样普及,更何况行业现状是不排除有的人工智能也仅仅只是“人工 智能”而已)。
企业安全架构层面,工程师的丰富经验、人脑的洞察力和判断力,工具依然无法替代。
运营处置需要依赖平台化系统、工程师的技术分析和经验的结合,其中工程师仍然至关重要。例如安全运营应急响应处置,虽然我们有应急预案,甚至频繁开展应急演练,墨菲定律告诉我们,事故的依然会发生,依然状况千变万化。应急预案难以覆盖全面,快速更新迭代的系统和架构,更新频率让应急预案也难以招架。
信息安全才是一切
为了避免安全团队的事业发展喧宾夺主,安全建设的方案设计需要考虑业务生产的实际需要。毕竟,安全还是为业务发展服务的。但安全注定要提高成本。然而好的安全性架构设计,以及应用适当的技术策略,是能够有效降低这种成本(也希望业务方达成如此共识),体现安全人员的价值。所以,安全要有助于业务,但不是完全为业务让路不作为。
安全特性能否成就更好的业务,比如隐私保护、数据安全治理,本是为用户提供信息安全保护,展示安全保障能力,让用户更具有“安全感”。要想安全建设落地做到适用性,安全人员要充分理解业务和业务所采用的技术,不断学习,与时俱进。这让安全本身这个职业非常具有挑战性,但也让安全人员更具有价值和不可替代性。
信息安全规划Y模型
企业信息安全规划是根据企业自身现状和实际发展需求,对企业战略目标进行分析,由信息化建设框架拆解,着眼于长远战略、全盘考虑、业务方向,形成指导一定时期内企业生存发展的、动态保障自身安全能力的可执行方案。
规划与计划不同,规划更具战略性、全面性,是未来信息安全工作开展的指导路线;而计划侧重短期性,是具体的落地执行。
信息安全规划漏斗Y模型,可以有分解路线、上升目标和自我沉淀三个维度视角。
下行分解路线是拆分战略规划,形成目标路线,制定建设计划的发散过程。拙见以为好的公司的企业发展战略,应该是全员宣贯、意义明确、随时可查。信息安全的总体建设一般来自于信息科技规划,而信息科技规划是跟着企业发展战略前行的,所以对信息安全的规划设计需要从理解企业发展战略开始,同时在信息科技规划范围内,充分分析发展现状和内外部安全需求,形成信息安全总体目标,最后根据目标规划技术路线,形成安全建设计划。
上升目标是以企业发展为灯塔,着眼于具体的安全管理和技术策略,在完成建设计划任务过程中,不断完善单一安全管理层面,形成全面的架构体系,最终目的是支撑实现企业的业务发展目标。
自我沉淀过程,也是追求良好实践形成的过程,是企业在整体安全建设实践中,通过持续摸索、试错和验证(不一定要试错但一定要验证),总结归纳,提炼形成标准化,最终形成自己特色的安全架构体系。
参考资料:《信息安全规划方法及案例》、《全栈网络空间安全》、Freebuf甲方交流社群