在《基于主动防御能力,建设安全运营体系的一点思考》文章中,提到了在下一代安全体系建设中的两个主要目标,一个是提高主动安全防御能力,另外一个是提高整体安全运营的能力。
从技术角度来看,这两个安全体系建设的目标,的确是与当前的发展趋势是相符的。但这几天我突然在想,这样描述是不是太技术化了?企业高级管理层能听得懂吗?他们认为这样的安全建设会有效果,并且会提供全力支持吗?
带着这一系列的问题,我们不妨可以换位思考一下,假如换做是自己处在一个企业高管的位置,依据屁股决定脑袋的原则,我们会期望怎样的安全目标呢?又会关注哪些安全问题呢?
一、保持业务持续与稳定,检测业务欺诈行为
企业高级管理层可能不懂信息化、不懂网络安全,但是一定是深入理解并关心企业业务运营的。任何管理都是趋利避害的,最能够引起管理层关注的,首先就是那些会影响业务正常运行的安全风险。
影响业务正常运行的安全风险,最基础的便是系统可用性与持续性两个方面。可用性关注正常情况下,系统的性能指标、运行状态、负载容量等健康状态;持续性关注在异常或灾难情况下,是否能够保证丢失数据最少(RPO),系统是否能在指定时间内恢复运行(RTO)。
除了系统可用性与持续性问题,企业高级管理层还会关注业务欺诈的问题,因为业务欺诈问题是会直接影响企业业务健康运行,并可能会造成企业大量资金损失的。具体来说,管理层一是关心是否会因为系统应用带来新的业务欺诈问题,如果有如何快速检测、整改;二是关心如何运用新技术(如大数据、用户行为分析)来检测以前无法检测的业务欺诈问题。
二、保证数据安全、可控,防止敏感信息泄露
未来,每个企业都会变成数据公司。企业高级管理层当然知道,核心业务数据在企业中的战略地位,越来越多的管理层也逐渐开始明白,泄露数据对企业造成的损失,以及可能会因此面临的监管处罚。
企业敏感信息泄露途径大致可以分为三种,第一种是被动泄密,即内部人员无保密意识,将敏感信息无控制的进行扩散;第二种是主动泄密,即存在内鬼在偷取敏感信息,大多数是利用控制措施的缺失,或绕过安全控制实现的;第三种是系统漏洞造成信息泄露,通常是系统存在某方面(如非授权访问)的漏洞,导致敏感信息被窃取。
在这三大类型泄密风险中,第一类内部人员无意识的被动泄密防范起来相对还容易一些,第二类、第三类泄密风险防范起来相对就困难多了。防范内鬼偷取信息,可以在加强基础性信息防泄密控制的基础上,采用用户行为分析技术来发现异常内部用户;而防范通过系统漏洞窃取信息,则需要在加强开发安全控制的基础上,采用网络流量分析等技术来发现应用请求异常等问题。
三、能够抵御安全威胁与攻击,具备对抗能力
安全威胁与攻击,这么技术性的问题,本来不是管理层会直接关心的,而且在上面的两个方面中也应该包含了安全威胁与攻击的内容,毕竟安全威胁与攻击只是手段,只是目的多是奔着业务或数据去的。
既然不是管理层关心的,那为什么还列上来了呢?主要是因为,管理层可能不关心具体的威胁是什么,也不关心攻击原理和防范措施,但管理层通常还是会关心防御安全威胁与攻击的结果的,还是希望了解安全队伍是否具备一定的对抗能力。
为了好理解,列举几个领导关心场景吧,比如在网安部门渗透测试时,是否能够及时发现并妥善应对?比如很多企业中招了WannaCry勒索软件,是否成功避免了由此造成的损失?比如同行业单位发现了核心敏感信息泄露事件,这种事件如果在自己单位是否能有效检测、防御?等等。
四、安全能力能够输出,为企业创造经济效益
国家领导人在2015年的第二届世界互联网大会开幕式上,明确表示「安全和发展是一体之两翼、驱动之双轮」。这句话怎么理解?未来安全将不再只是成本部门,安全做得好是可以带来经济效益的,是可以引领业务发展的。
安全能力输出最直接的方式,是将安全作为业务的一种标签,利用自身的安全优势吸引并留住客户。简单点讲,如果一个客户准备将业务系统托管在云上,云服务商的安全能力就是一项重要考量;如果开展面向大众的互联网+业务,安全做得好也会赢得广大用户的青睐。
安全能力输出还有一种模式,就是利用现有安全资源对外提供服务,将安全职能由成本部门转为利润部门。这些服务可以与基础性信息化服务打包在一起,也可以单独提供专业性安全服务。这种安全能力输出的模式,目前在一些大型传统企业、互联网公司都已经得到了验证。
五、最后
以前安全建设,我们强调预防性,推崇体系化,希望做到面面俱到、滴水不漏。但这种参照最佳实践的安全建设,在安全建设初期的从无到有的过程,是非常有效的。但在体系建成后,过渡到网络安全2.0时代,这种思路就出现了很多问题。
其中最大的问题就是容易导致,每个企业的安全建设都是一个模式,安全团队为了安全建设而建设,反而不再多想安全工作的本质是什么,忘了思考下业务发展到底需要什么样的安全,忽略了管理层到底关注哪些安全关键点。
当安全体系有了一定基础后,安全建设不应再过度考虑预防性和全面性了,反而应该重点关注现有业务模式和网络环境下,应该提高哪几个关键安全能力,关键安全能力提升了反而会起到事半功倍的功效。
以前做安全咨询,经常讲「扁鹊三兄弟」的故事,现在这个故事不再合适了,更应该推广「程咬金三板斧」的故事,下次有机会聊聊这个有趣的话题。