数字化转型下的信息安全
-
企业数字化转型要求
-
资产、客户、市场、数据端下的业务转型
-
管理要求:所见即所做
-
安全应该如何适应转型趋势
-
工作成果数字化
-
提供高质量的常态化输入
-
安全运营的数字化
-
根据管理层的偏好选取展示指标
-
被动型数据
-
入侵检测告警时间数统计
-
e'e攻击拦截次数
-
攻击来源分布
-
主动型数据
-
漏洞扫描系统.次
-
渗透测试次数
-
弱口令整改情况
-
项目安全评审数量
-
安全风险治理的数字化思路
-
聚焦问题
-
同各国数字化看板将问题放在台面上
-
以推动管理层参与风险治理为核心
-
明确风险责任主体
-
评分主体以业务部门为单位,将风险后果与业务部门自身的目标挂钩
-
整体思路
-
建立一条与公司管理层思路相适应的,与业务目标挂钩的,信息安全风险展示路径。为公司管理层参与信息安全风险治理提供抓手。
-
安全风险治理的数字化实现
-
实现思路
-
指定风险值的构成因素和算法。
-
获取业务系统的基本信息。
-
明确“风险对业务影响”的描述规则。
-
总体风险值 = (各业务风险值*各业务权重)求和
-
风险值构成
-
漏洞扫描结果
-
高危漏洞主机数
-
漏洞修复率
-
渗透测试
-
高风险漏洞数
-
残余风险
-
频繁出漏洞的框架、中间件
-
过时的操作系统和应用
-
无开发人员维护的系统
-
未修复的重点漏洞
-
安全机制上存在缺陷的系统
-
已被业务方接受的 风险
-
数据管控问题或合规风险
-
产品角度的优化和细节
-
视图:管理者习惯与何种呈现方式,更关注整体情况还是风险值最高的系统?
-
工作流:是否希望通过数字化展示的系统直接下发工作流任务?系统中是否要纳入业务对风险的反馈和跟踪?
-
上下文:是否需要同时展示业务系统的相关信息,如系统责任人、开发方等。
-
数据质量:风险治理数字化的输入,最关键的部分来自其它系统,IP与系统的对应关系、漏洞扫描结果的准确性、系统与责任人的对应关系。
-
参与感:可以给管理者提供一个关注按钮,被关注的风险自动分配给系统/业务负责人进行跟踪
安全运营思考及实践
-
思路上改变:安全运营“四化”
-
体系化建设
-
系统性设计、整体性协同 如:安全生命周期管理体系
-
平台化运营
-
集中整合、综合分析、整体感知、调度协同 如:安全态势感知平台、SOC
-
工程化实施
-
规范化、标准化、自动化
-
如:SOAR安全自动化编排技术、安全分析师式场景化分析
-
全面化覆盖
-
全覆盖、无死角
-
如:安装率、覆盖面、有效性
-
安全运营体系:一个平台、三种能力
-
-
-
安全检测与响应矩阵
-
