企業安全建設的體系思考與落地實踐

2019-06-17 +10 144940人圍觀 ,發現 6 個不明物體 企業安全

前言

企業安全建設是一個老生常談的問題,由于每個人的工作經驗和心得體會的不同,因此看法和實踐通常也不一樣。

此文僅是筆者最近一段時間關于企業安全建設的體系思考和落地實踐的一些個人看法,提供一種思考和分析問題的方式,僅代表筆者當前階段的認知以及個人的階段性總結。切記,“盡信書則不如無書”!

畫板 2.png

什么是體系思考

所謂體系思考,就是通過自身的知識和經驗的積累,結合企業的現狀,對存在的安全問題進行分類和整理,并總結出一套適合的安全建設體系的思考方式。有了這樣的思考能力,就可以幫助我們形成合適的安全方法論來快速解決安全建設過程中的種種問題,做到目標明確,思路清晰,步步為營。

一談到體系思考,相信很多人的第一感覺肯定是覺得很虛,認為只有不懂技術的人喜歡拿這種東西來裝x,并喜歡以此來掩蓋自己技術上的不足。實際上,筆者在很長一段時間內也是存在這種觀點,然而隨著工作經驗的慢慢積累,越發覺得這種觀點的片面性和不可靠性。

不可否認,安全行業或者說所有行業里都或多或少存在以此為噱頭的“磚家”,但是這并不能否定掉體系思考的價值和重要性。從某種程度上來說,體系思考可能比具體的技術實踐更加重要。舉個例子,筆者經常看到一些一個人安全部的文章,寫的很詳實,建立各種系統,解決各種當前存在的安全問題,當讀第一遍的時候你可能會覺得寫的不錯,可是當你仔細讀完之后,你會慢慢發現似乎缺少了一個貫穿始末的中心線,而這個中心線就是“體系思考”。

設想,如果我們在做企業安全建設時進行了很好的體系化思考,明確知道當前所處的階段,當前階段的目標與困境,實現目標和解決困境的思路,落地實踐的計劃,那么我們就可以更加清楚地明白我們為什么建設這些系統且哪些安全問題需要被優先解決而不至于陷入“跟風”或者“人云亦云”的窘境,這時我們解決的就不在是一個個的表面問題而是一類的根本問題。

如何進行體系思考

明確體系思考的重要性是進行企業安全體系化建設的重要前提。根據筆者的個人經驗,培養體系思考能力一般需要如下過程:

積累:知識的積累是進行體系思考的前提和基礎,需要了解和見識足夠多的行業最佳實踐,各種落地實踐中面臨的難點,解決難點的思路和方法。

分類:有了一定的知識積累,需要對這些知識進行很好的整理,分類和總結。

思考:當零散的知識點被整理和分類后,需要通過5W1H+Not的方式對這些知識分類進行思考,例如:什么樣的角色(who)在什么樣的企業(where)在什么樣的時間節點(when)出于什么樣的的目的(why)以什么樣的方式(how)做什么樣的事情(what),以及不這么做又會如何(Not)。

實踐:通過思考一般可以在大腦中形成初步的體系,但仍舊是“紙上談兵”,這時就需要透過實踐來檢測思考的結果,并及時修正一些由于當前思考的局限性造成的誤解或者盲點,作為下一輪的知識積累,并如此往復。

如何從體系思考到落地實踐

前面寫了這么多“廢話”,相信能夠堅持看到這里的某些同學肯定要噴我了,“你扯了這么多大家都懂的道理,你到底有哪些體系思考的結果呢?Talk is cheap, show me the code”。本節筆者將嘗試從具體的企業安全建設來闡述一下我的一些個人看法。

第一步,企業安全建設相關知識的積累,我個人的做法是:

1)學習國內外知名企業(如:國外的FAANG,國內的BAT等)的安全建設的思路和做法,最快捷的方式當然是入職這樣的企業,或者也可以通過這些公司公開的blog,paper或者其他安全相關的資料來學習,如:

Facebook:

https://code.fb.com/category/security/

https://github.com/facebook

Google:

https://ai.google/research/pubs/?area=SecurityPrivacyandAbusePrevention

https://github.com/google

Amazon: https://aws.amazon.com/blogs/security/

Microsoft: https://www.microsoft.com/security/blog/

Cisco: https://blogs.cisco.com/tag/ios-security

百度: https://github.com/baidu-security

阿里: https://www.alibabacloud.com/blog

騰訊: https://security.tencent.com/index.php/blog

2)學習公開的網絡安全標準和最佳實踐,如:

NIST: https://www.nist.gov/topics/cybersecurity

MITRE: https://www.mitre.org/publications/all/

第二步,企業安全建設的分類,這里我分享兩種不同的分類方法:

1)基于企業資產保護的安全建設分類。該分類的核心思想是安全建設圍繞著資產的保護,比如,我們一般可以把一個企業的資產大致分為以下幾類:

基礎設施資產:包括網絡資產,設備資產,物理資產等;

業務資產:包括應用資產,數據資產等。

2)基于企業數據生命周期的安全建設分類。例如:阿里推出的DSMM (數據安全能力成熟度模型)就是一個比較典型的以數據生命周期安全為核心思想的分類方法:

數據安全過程緯度:包括數據生命周期安全(數據的采集,傳輸,存儲,處理,交換,銷毀)和通用安全。

能力成熟度等級緯度:基于統一的分級標準,細化組織機構在各數據安全過程域的五個級別的能力成熟度分級要求。

安全能力緯度:明確組織機構在各數據安全領域所需要具備的能力維度,明確為組織建設、制度流程、技術工具和人員能力四個關鍵能力的維度。

第三步,企業安全建設的體系思考。

根據第二步中提到的兩種不同的分類,我們可以分別從不同角度思考如何進行體系建設。

1)針對基于企業資產保護的安全建設分類,我們首先明確我們的核心思想是資產保護,那么所有的安全建設的思路就需要圍繞著這個核心來進行。因此,至少需要組建如下的團隊來做支撐:

對于基礎設施資產,則需要基礎架構安全團隊來解決企業基礎網絡安全架構的安全風險和威脅,安全運營中心(SOC)團隊來保證安全的持續運營、改進和交付。

對于業務資產,則需要應用安全團隊來保證業務程序、軟件、系統和服務的安全開發以及業務數據在整個生命周期中的保護,安全合規團隊來保證業務數據使用的合法與合規,風控團隊來確保業務的連續性和風險的可控性等。

按照上述的思考方式,我們可以根據資產的細化對上述的團隊進行更加細致的劃分,并最終形成一個完整的安全建設體系。

2)針對企業數據生命周期的安全建設分類,這里的核心思想是數據在整個生命周期中的安全保護,那么當我們在思考安全建設體系時考慮的就應該是怎么通過具體的措施來逐步提升數據在每個階段的保護措施。比如DSMM就可以按照人類常見的思考和解決問題的思路來理解,即:

過程分割:將數據保護按照生命周期分割成若干個階段,如:采集,傳輸,存儲,處理,交換,銷毀;

列出關鍵點:針對每個階段列出所有的關鍵點PA(過程域);

評估當前水平:對于每個關鍵點PA評估當前所處的成熟度的等級水平;

細化操作要求:結合當前所處的成熟度等級的對每個關鍵點PA細化具體的操作要求BP(基本實踐);

執行落地操作:根據具體的操作要求BP來進行安全建設和改進。

根據上面的思考過程,我們也可以初步形成一個較為完整的安全建設體系。

第四步,企業安全建設體系的落地實踐。我們還是以上面兩種基于不同角度思考得出的安全體系來做例子。

1)針對以資產保護為核心的安全體系,落地實踐的重點強調的是對于各個細化資產的安全保護。比如,

網絡設備的保護:防火墻 (Juniper FW),IPS/IDS (Suricata/Snort),DPI (Bro),堡壘機,Web代理網關(IronPort),郵件網關(FireEye/IronPort),DNS RPZ,VPN,WiFi等;

網絡架構的保護:NAC,SDN,ZeroTrust (類似于Google的BeyondCorp),VPC等;

服務器/辦公電腦的保護:反病毒,EDR,HIDS/HIPS等;

移動終端的保護:MDM (VMware AirWatch)等;

物理門禁的保護:異常警報,訪問日志,監控攝像頭等;

業務系統和服務的保護:SDLC (包括安全開發規范以及相關的自動化工具、流程、平臺的建設),VRP (漏洞賞金計劃)等;

業務數據的保護:數據分類標準,數據處理標準 (傳輸和存儲),數據共享要求,合規管理要求,業務風控體系,通用安全系統和組件(KMS, 統一認證和授權平臺,AAA)等;

當具備了以上這些用于保護各種資產的安全系統或者規范后,我們就可以做更多的系統分析和互相聯動,具體可以參見筆者之前寫的幾篇文章《談一談如何建設體系化的安全運營中心(SOC)》,《甲方安全建設的一些思路和思考》,《Red Team從0到1的實踐與思考》。

2)針對以數據生命周期安全為核心的安全體系的落地實踐,DSMM已經表述的很詳細了,具體參見http://www.hackliu.com/wp-content/uploads/file/20180326/1522063004775728.pdf,這里就不在贅述了。

此外,有了這些具體的實踐措施,如何做到順利的落地呢?筆者提供以下兩種不同的思路供大家參考和探討:

一,從上而下的思路,此方法適用于大型或者安全成熟度較高的企業。

通常情況下,這類企業由于安全建設已經相對完善,安全的目標也相對明確,針對此種情況的落地通常可以從上層設置目標開始,逐步制定短中長期計劃,建立相應的支撐項目,最后落地實踐。

二,從下而上的思路,此方法適用于中小型或者安全成熟度較低的企業。

這類企業由于安全建設的不完善,通常比較難在短時間內找到明確的目標來指導實踐的落地。這時,反向操作的效果可能會更好點,比如:先評估當前企業面臨的真實威脅、風險和外部要求(如合規和政策需求,第三方合作需求),然后評估優先級,接著建立不同項目來解決問題,隨后根據項目的成果來指定短中長期計劃,最后利用這些計劃和已知的數據來設定目標(即所謂的數據驅動安全),隨著安全體系建設的逐步成熟便可以采用從上而下的思路來繼續完善和持續改進。

后記

引用一段《中國超越》這本書的作者張維為教授曾經在其書中提到的一段話:

鄧小平說過,一個聽過槍聲的士兵和沒有聽過槍聲的士兵就是不一樣,實地考察過一個地方和沒有考察過也是不一樣的。

筆者認為這句話同樣適用于這篇文章的主題,如果沒有親身參與過體系化的安全建設或進行過體系化的安全思考,那么本文所提到的內容可能并不能使您感同身受或者有所收益,但期望這篇拙劣的文章可以給您帶來一絲思考和啟發。

最后,在此深深地感謝平時在工作學習中給予我幫助和指導的行業前輩們以及來自于“基于量子透明計算的可信自主可控區塊鏈式擬態安全態勢感知的威脅情報聯盟微信交流群”的群友們,讓筆者深知學習、思考、分享和交流的重要性。

參考

https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf

http://www.hackliu.com/wp-content/uploads/file/20180326/1522063004775728.pdf

https://en.wikipedia.org/wiki/AAA_(computer_security)

https://dnsrpz.info/

http://avfisher.win/archives/984

http://avfisher.win/archives/1064

http://avfisher.win/archives/1081

*本文作者:安全小飛俠,轉載請注明來自FreeBuf.COM

這些評論亮了

  • 吞龍 (2級) 回復
    個人認為 ,企業信息安全管理實踐中只有一個問題,無法回避,也是最難解決的,就是溝通和協調!!!
    無論你的框架做的如何卓越,在落地時,無可避免的要面對層層溝通,層層匯報,層層交付的問題,這才是企業信息安全管理部門面對的主要工作。
    )24( 亮了
發表評論

已有 6 條評論

取消
Loading...

特別推薦

推薦關注

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 重庆百变王牌走势图