如何做好首席安全官 – 企业安全体系与架构实现

转载 小牛  2018-03-20 13:33 

最近和圈子里的朋友聊天,常常被问到几个类似的问题“为什么国内很少听到真正CSO、CISO的职位与人员”、“如何做好一个企业的安全负责人”“一个企业安全负责人应该具备什么样的能力要素”等等,加上前两周几个媒体记者对网络安全话题比较感兴趣,想搜集些素材,出几个安全方面的稿子,有些基本概念不太理解找我讨论,如“安全就是挖漏洞吧?”,“企业安全团队是不是每天工作就是抓黑客”,感觉很有必要写点东西,力所能及的发一些声音出来,无所谓正确与否,权当是闲谈参考吧。

首先CSO、CISO在很多企业里还没有上升到一个正式的职位,现在见的比较多的其实是“公司信息安全第一负责人”,这个理解起来容易,这里谈到的“如何做好首席安全官”也是这个概念,另外就是讨论的范围仅限于甲方公司,也就是“企业安全”领域。啰嗦了很多铺垫,进入正题,首席安全官的十二个基本能力要素。

第一条:业务理解与赋能

业务、业务、业务,重要的事情说三遍!作为高级别安全人员,应该对自己企业、所处行业的业务有足够的认识与理解,业务模式是什么?靠什么赚钱?钱是怎么花出去的?业务的架构是什么样子?核心的业务能力是什么?支持这些业务开展的业务核心流程是哪些?支持性的业务流程与职能有哪些?业务职责分工?关键业务人员、团队?支撑核心业务的系统有哪些?技术团队关键人员?等等问题,多问自己几个为什么,这些获取信息、了解清楚并不难,即使在大型互联网公司、大型集团,以核心业务为切入点,也是完全可以上手的,时间也在可接受的范围。有了这些信息的积累,信息安全工作可以做的更实在更贴合业务,信息安全的价值更容易体现。当业务对信息安全团队有了信心与信任,那么一起并肩作战、互相背书、赋能的日子也就不远了。看到太多例子,安全人员把自己关在办公室,闷头想方案、撸代码,业务有哪些部门、那些团队、在做什么事情都说不清,指望他们去为业务护航保驾,你信吗?

第二条:安全治理与战略规划

说到安全治理,很多做体系的朋友第一反应是“成立公司级别的信息安全委员会“,这个呢,怎么说呢,有当然好了,有通道和话语权能到高层领导,但没有的话信息安全工作就不干了?
没法开展了?显然不是。这里说的安全治理除了一般提到的组织保障、资源投入等方面以外,更多在以下五个方面考虑:

1)战略一致性,信息安全的战略与重点应该与业务的战略、布局、拓展等能力需求保持一直,这个听起来简单,做起来并不容易,尤其在快速发展与变革的组织中,很考验安全Leader的业务理解、大型团队管理能力、资源投放能力。如果做不到,后果常见为安全团队变成救火队员、业务“裸奔“、领导们逐步对安全丧失信心等,意味着什么?不浪费文字了。

2)价值实现,信息安全是有价值的!这个做不做安全的人都不会反对,但如何体现出现来呢?也就是如何实现呢?企业信息安全绝不应该仅仅是安全产品与安全技术,酒香也怕巷子深,不能让业务认可并最终产生应用效果的安全技术都是信息安全部门在“耍流氓“式的自娱自乐。不管是前瞻性的研究还是实用性的落地技术与产品,信息安全部门的成本投入如何转化成生产力、产品技术壁垒、商业竞争优势、业务保障能力都是考验CSO们的能力。

3)风险优化,“影响目标实现的不确定性因素“(定义来自,尼古拉斯·西蒙·吴,极简化理解仅供参考)。信息安全工作从来不是无的放矢,更不应该成为能力喜好、偏好的试金石,工作重点在哪?在那些可能影响现在、未来业务生存与发展的地方,在可能导致公司归零的领域,优化风险管理能力、优化信息安全战场态势、变被动为主动能力,是信息安全风险的关键优化要求。以业务与风险为导向,以威胁为驱动手段,从管理、技术、人的纵深;从业务自身能力、安全风险管控能力、安全监督审计能力的纵深;从业务外延领域、虚拟边界领域、核心能力领域的纵深,进行全面安全风险整合优化,提升感知、管控、处置、迭代能力。

4)资源投放效率,山不在高,有仙则名,人不在多,会用则行。安全治理中需要解决安全资源投放效率的问题,安全人员总数有限,招聘难度大,内部团队规模有限,资金支持也是在一定的预算范围内,能不能把资源合理使用,最大化发挥价值,不管是用ROI(投资回报)测算还是ALE(年预期损失)与管控成本差等方法,需要管理技巧对资源进行合理投放,“好钢用在刀刃上”,但这方面安全团队的管理成熟度与对安全全面理解与把控能力上面临很大的挑战。

5)度量评价,安全的效果衡量,资源使用的度量评价,是安全治理中结果呈现环节的核心,无法衡量的价值可以作为一句漂亮的PR语句,但如果试图用这个说法找高层要资源、谈业绩,那么结果可能不一定漂亮。安全的指标体系、评价方法可以参考的内容不多,但金融行业风险管理与指标度量方法、ISO27004中的信息安全测量方法可以借鉴,但实践中能够落到实处的基本还是根据企业实际业务情况结合安全体系所构建的针对性测评指标更容易发挥作用,如建设类的具体能力点的覆盖率、准确率、召回率、稳定性等,运营类的平均事件响应时间、平均漏洞修复时间等。

这五个方面是安全治理中比较关键的问题,也是考验管理能力、全局视野能力与掌控能力的关键成功要素,另外提到的安全战略规划,建议有需求的人员看看EA(企业架构)方法,前提是你需要有很强的安全能力背景。

第三条:安全风险管理

以风险为导向的信息安全,很多人听说过概念,但实际系统化做过的其实业内并不多。传统的安全风险评估,从资产、威胁、脆弱性入手,以ISO13335为主要参考方法,大部分乙方安全公司都是这个套路,好处是方法论成熟、参考依据充分、通用性强,但也有一些明显的短板,如资产是以传统资产为主,如服务器、设备、信息系统,以资产清单为出发点,在大型企业、快速发展的企业、重数据资产的情况下,会出现方法过重、收益不明确、变更困难、重点不突出等问题,导致风险评估结果与实际情况有较大出入,另外就是与业务场景的契合度较低,好像风险评估团队在自说自话。

传统的企业风险管理方法中,是以业务为核心视角,通过企业核心业务价值链 –> 业务流程 –> 业务风险 –> 风险管控措施 –> 风险评价审计等环节,把企业风险管理进行逐步落地,同时通过风险治理、风险容忍度偏好等,约束与修正风险管控行为与资源投入。参考的方法包括企业全面风险管理、COSO-ERM、ISO31000等国内外最佳实践要求。这些方法的好处是方法通用,尤其是上市公司资本市场合规要求、企业治理要求等方面得到很好遵从,风险体系框架全面,分解层级环环相扣,短板是在引入安全风险管理的要求后,体系化结构中缺少安全视角的分析过程、对应的解决方案落地能力以及对安全技术、安全管理等主流安全管控要求的对接,能不能实现预定的效果预期,完全看实施团队中是否具备全面风险管理与扎实安全能力的人员了。

于是安全风险管理的方法,可以在两种流派中取长补短,在业务风险之后不急于对接管控措施,而是将业务风险中信息安全相关场景识别出来,分解技术方案与管理措施落地。

企业核心业务价值链 =》业务流程 =》业务风险=》安全风险 =》安全管控 =》安全方案 =》企业安全落地实践

业务风险与安全风险之间通过安全威胁、技术架构、安全场景进行衔接,确保安全与业务的契合,同时基于目前安全技术实现能力,持续自适应风险与信任评估(CARTA)是完全有可能落地的。

本着安全风险以终为始(Begin with the end in mind)的目标,总结了五大常见安全风险目标分类,仅供参考。

  • 核心资产
  • 持续业务能力
  • 资金相关
  • 合规、归零
  • 声誉、商誉、品牌

第四条:安全技术与架构

安全技术不是漏洞,安全体系不是27001,安全架构不是集群部署,很简单的概念与区别,但安全人员往往自己都混为一谈。安全技术与架构是企业安全的基础工作,技术方案的执行其实是安全管理理念的延伸与落地,能用技术解决的问题就不要完全靠人和制度要求来控制,道理很简单不浪费文字了。安全技术与架构强调了企业安全的纵深防护能力,以缩短自由攻击时间窗口为目标的分析感知能力,以降低平均检测时间与平均响应时间为目标的安全技术运营能力。纵深防护的概念已经有十几年的历史了,但放到现在企业安全领域仍然不过时,从业务外延环境、逻辑边界与安全域到核心组件区域的层层感知、管控能力,动态防御与检测机制、离线分析能力等的建设与运营,构建了事前、事中、事后的技术机制纵深,从而为攻防对抗提供了更加丰富的手段与场景。说到企业安全的技术架构,可以从水平与垂直两个角度看,水平方向简单罗列一下可以分为产品区域、生产区域、内网区域、合作区域四个方面,其中,

  • 产品区域是指公司的产品投放出去后的不可控环境,如App、IoT产品等,这个区域的特点是攻击方可以在不受防守方干扰的情况下进行各种尝试,如破解、调试、逆向、拆解、改装等。防守方可以采取产品侧加固、破解调试对抗、代码混淆、心跳存活打点、数字签名等多种方式,这个区域可以放任也可以强对抗,取决于公司的资源与防御边界选择。
  • 生产区域是指公司核心的生产网络、设备、系统、数据的部署区域,边界安全、流量分析、WAF、主机防护、网络安全、区域隔离、横向导控、日志分析、应用系统安全、漏洞管理、堡垒机、权限控制等是这个区域的一些关键技术与产品。
  • 内网区域是指公司办公与职场环境下的安全场景,包括办公网络安全、边界防御、流量分析控制、办公服务主机安全、应用安全(如OA、ERP、财务等内部管理系统)、WAF、安全域、终端管理、DLP、BYOD、IAM、VPN等是这一区域的常见技术与产品,同时物理安全的智能摄像头、门禁、监控闭路、红外探测、强弱电控制等也是这个区域所关注的。由于内网区域的环境复杂,涉及范围广,管理起来既有可能比生产区域更复杂与多样。目前来看,对内网区域的渗透、APT(高级持续性威胁)从技术上来说入门门槛较低,成功几率更高,从商业价值来说可能更大。对于商业间谍类的技术渗透也往往集中在这个区域。当然,现在也有一些公司宣称“无内网”,这个是建立在完善的感知能力、监控能力、管控体系支撑的基础之上,以国内大部分公司的情况,短期内还很难突破。
    统一服务型网关,也许更加适用。
  • 合作区域是指与公司有关系、有连接、有交互界面的一类区域的统称,包括如外包集中办公区、合作伙伴系统连接区域、供应商系统连接区域、业务上下游组织的连接区域等,总之不在公司的强管控范围内但又有系统、数据、设备等组件部署、对接的区域。这类区域的安全,不仅要考虑公司自身的安全能力与防护实现,还需要关注业务延伸后合作方的能力与防护边界拓展问题,除了生产、内网中提到的安全技术与产品以外,常常通过设置安全缓冲区、虚拟边界、外部持续监控平台等技术产品,对合作区域中延伸、衔接部分进行防护,并通过持续的运营能力提供及时、有效的检测与响应处置。
垂直方向的技术架构可以参考技术栈的方式,分为物理层、网络层、主机层、数据层、应用层、管理层的防护,不同层级分别部署对应能力,多层级间信息联动与协防。

第五条:安全管理

曾经江湖传闻安全有各种流派,其中有一门为管理标准派,独门秘笈为“BS7799、ISO17799、ISO27001“(特别备注:谈管理就把这几个数字挂在嘴边的同学,有一部分可能对BS和ISO的概念还搞不清楚呢)。甲方安全管理、咨询公司、乙方安全服务团队中常有身影出现,由于这个方向业界根深蒂固的印象,以为安全管理就是一些”体系“”标准“的拼接甚至囫囵吞枣式的生搬硬套(事实上很多人也确实是这么做的,所以如此印象也不能怪别人)。

安全管理是企业安全中非常重要的组成部分,为信息安全工作提供管理抓手、制度依据、和流程保障。法制社会常常提到“有法可依、有法必依、执法必严、违法必究”,安全管理就是实现公司内“法制环境”一个最为重要的能力,能做什么、不能做什么、怎么做、如果违反有什么后果、权责分配、文化环境的基调等等都是通过各种制度、规范、流程、文件加以约定,安全技术的运用在某种意义上也是管理理念的延伸与具体化实现。拉回到具体工作,安全管理不简单等同于体系标准,根据公司的情况与管理风格,一个公司安全管理规范可能能够覆盖大部分常见的场景,这样就没有必要马上弄一个文档制度体系。即使是需要构建管理体系,在各个方向上的发力点也是不同的,可以从几个最急迫、最痛的管理诉求开始,如公司账号、权限管理要求、数据保密制度等等,在业务运作与安全管控之间构建一个合适的平衡体系,这个非常考验安全负责人的管理智慧。“兵无常态,水无常势”,无相无形但并不代表可以“乱“,安全管理做成常态救火就是管理的悲哀了。安全管理是一种艺术与技术的结合,作为CSO在安全管理这个领域,比较高的境界格局需要做到心有体系、落地无痕。

第六条:业务安全与风控

业务安全目前在互联网公司、金融行业做的比较深入,团队规模、技术能力都具有一定的积累。作弊、薅羊毛、刷单刷卷、黑名单黑设备、封号、外挂等等是这个领域常见的关键词,尤其是属于互联网业务的关键词,但如果我们把视角放得更大一点,行业广度更宽一些,业务安全与风控的内容与关键词会更准确与合理。

业务安全与风控常涉及的领域包括以下几个:

  • 业务安全,包括反作弊、防刷单、黑产对抗、账号体系安全、资金交易安全等等,基于业务场景的实时与离线方式下的查杀能力与对抗体系。这个也是狭义上我们常见的业务安全。
  • 业务风控,由于业务本身的活动与环境造成的各种风险的应对与管控。包括企业与个人的信用体系的建设与应用;银行业的巴塞尔资本协议(Basel I&II&III)中对资本充足率的要求以及信用风险、市场风险、操作风险的计量与管理;保险业的最低偿付标准(Solvency I&II)等,金融行业的业务本质就是在经营风险,因此业务是围绕着对风险的合理运营并最大化风险收益而进行的,安全风控的主体也是围绕着这些概念在进行的。
  • 内部控制,这个概念较早出现在财务领域,由各种财务舞弊丑闻触发下资本监管市场提出了加强内部控制、提高财务报表准确性要求,上市公司纷纷进行内部控制建设,相应的理论与最佳实践框架也在外部审计师、企业内部控制人员以及资本市场监管机构的共同推动与组织下逐步成熟。代表性的如COSO、COSO-ERM、Sarbanes-Oxley法案(尤其302、404、906、409等条款,其中最为著名的404条款,就是我们常见的Sox-404关于内部控制方面的要求)、中国五部委联合发布的企业内部控制基本规范等。随着风险管理方面的深入,内部控制也从最初的财务领域向业务领域扩展,从最新的COSO与ERM中就可以看到整个视角的变化。

第七条:安全运营

前面提到的几个方向比较多的介绍了方法、框架、常用的技术与理论,可以理解为视角集中在建设,当然不管是感知能力、分析能力、防护能力等等能力的获取(不管是自行开发、外部采购、合作分享等)都可以笼统的归结在建设这个维度,也就是各种能力不会是凭空来的,是需要通过必要的途径才能获得,而获得的成本不仅仅是资金、人力,对于企业安全来说,时间成本往往很可能大于其他成本,所以合理途径与方式也是考验CSO们的执政理念了。回到运营这个话题,重建设轻运营是很多公司的通病,国内外那些听名字就让人仰止的公司也没好多少,在咨询公司的职业生涯中有幸可以在全球范围内提供服务的同时深入这些公司实实在在的去”望闻问切,治病救人“,情况远比想象更精彩。安全设备、系统、产品的堆砌并不难,难的是运用起来,有人管有人看,能用会用方可发挥价值,安全的价值如何体现?安全运营领域的价值可以做的很实在、很接地气。在合适的地方部署适当的能力,这个看重的是覆盖率、准确率和召回率,处于建设期的更应该侧重这类的指标与能力,那么处于运营期,MTTD(平均检测时间)、MTTR(平均响应时间)就比较重要了,这两个指标反映了感知发现能力与管控处置能力。不同时期指标与侧重点是不一样的,这是个容易走弯路的地方。另外,在运营态下,在线、离线能力的运用、串并联方式的合理布局以及”查““杀”手段的使用也是非常关键的地方。通过在线能力进行防御性处置、通过离线能力进行查缺补漏与验证以及优化在线场景规则要求;通过串行方式的同步干预处置能力、通过并行方式的异步全量验证能力可以满足更加复杂的业务环境要求;通过上帝视角的“查“的能力、通过判官视角的”杀“的能力可以满足即时对抗与体系化通盘布局对抗的选择要求。

第八条:本地政府、监管理解与法律法规合规

信息安全很多时候可以看做是最接近武侠小说中“江湖“的概念,但”江湖“从来不是法外之地,知法、懂法、尊法、用法是最基本的要求。随着国际化的不断深入,中国企业走出去、国外企业走进来都离不开法律法规的遵循与合理运用,更进一步来说一些业界最佳实践、国际标准、行业指南不应该仅仅是简单的符合要求,更能成为企业基本能力的公允说明、重视程度的态度表达和沟通协作的统一”语言界面“。

在国内开展信息安全相关工作,一些基本要求需要得到有效关注与落实,如2017年6月1日实施的《网络安全法》以及配套的系列法规要求;刑法285、286条款以配套司法解释;信息系统等级保护相关的系列;《个人信息安全保护规范》;各行业主管机构的相关要求。全球开展业务中,数据与隐私保护会是面临的主要挑战,如GDPR(欧盟通用数据保护方案)、HIPAA(Health Insurance Portability and Accountability Act)等最为代表。另外,在互联网、金融、能源、资源型等行业,各国对基础设施方面的保护法案与要求也面临规范与日趋严厉。

另外,国际标准组织(ISO)的信息安全相关标准、NIST SP-800最佳实践、行业性实践要求如ISAE3402、云计算相关的安全认证如CSA-Star、支付卡组织的PCI-DSS及ADSS等也是开展业务不可缺少的要求。

从这方面的工作来说,实施难度与复杂度并不仅仅在于技术方案,而在于这是一个与人强相关的内容(虽然信息安全很多工作都是与人强相关的,但合规方面很容易因为沟通不到位、理解不准确等原因小事变大、主动被被动)。主动与监管部门沟通不要试图游离于法规边界,主动参与影响规则制定过程而不是被动等待甚至隐瞒欺诈,更加开放的心态来看待安全合规,更加主动的行为来拥抱变化,安全合规也能变成