近年来,各行各业都在如火如荼开展数字化转型建设,上到国家层面,十四五规划明确提出要“加快数字化发展,建设数字中国”,下到企事业单位如华为、美的等等..数字化能力建设都已明确作为企业核心战略投入,在这股数字化浪潮中安全部门不可能独善其身,必须紧跟业务数字化建设,一方面做好融入、支撑、保障,另一方面也需要将数字化转型的思维引入到企业安全建设工作中,在本文中,我将结合我的实践经历以及个人思考给大家分享我对企业安全数字化建设的理解。
企业信息安全建设我理解分为三个阶段:
第一阶段:建体系、导工具、做审计,围绕27001构建企业信息安全管理体系,针对重要风险点导入信息安全技术工具,并开展例行安全审计工作;
第二阶段:搭平台、起步安全运营,引入SIEM平台汇聚各类安全告警,解决告警处置难、不及时等问题,同时通过SOC平台实现核心业务(资产数据、告警处置、SDL等)流程在线,并定义关键业务KPI指标(覆盖率、准确率、漏报率、风险关闭率等等),起步安全运营工作,优化提升各业务运作效率;
第三阶段:全面数字化、实战对抗,在前期信息化建设基础上,全面实现信息安全业务的在线、可度量,安全由定性评价走向定量评价,同时通过参与护网、引入外部攻击队来进行实战对抗,检验企业信息安全实战防护能力,从我目前看到的情况而言,国内大部分企业还处于第一、二阶段,能做到第三阶段全面数字化的企业凤毛麟角,我所在的企业也仅实现了部分领域的安全数字化建设,离全面数字化尚有一段距离,那么要实现安全的全面数字化,我们究竟要怎么做?这里我将围绕三个问题:“什么是数字化?”、“为什么要做安全数字化?”、“怎么做安全数字化建设?”来分享。
什么是数字化?
关于数字化在网络上有很多不同的定义,现实中大家的理解也各不相同,如果团队上下不能统一对数字化的认知理解,那么最终的安全数字化建设很可能会变形、失败;早期我们团队对数字化的理解更多是“数据化”,在信息化的基础上,提炼关键数据指标,用数据来衡量评估安全业务状态、存在的问题等,来做针对性的改善;现在随着数字化在越来越多场景下潜力的释放,我们对数字化的理解也产生了变化:数据化只是基础,数字化更强调的是利用数字能力于对业务流程、商业模式的“改变”,来实现降本增效、用户体验提升以及新的商业机会点挖掘等,以数字化转型较为成功的美的为例,美的过往产销模式是“以产定销”模式,凭经验定产销计划,进行渠道分销,在实现研产销业务全面数字化后,现在是“以销定产”模式,由消费者数据驱动企业的经营生产,没有渠道库存,没有提前预备式的生产,这就是一个典型的利用数字能力改造传统业务模式的案例。
为什么要做安全数字化?
沿用传统的方式,做做体系认证、搞搞风险评估、审计、导导工具可不可以?安全数字化究竟能带来什么价值?要回答这个问题,我们得回到安全业务的本质、痛点以及趋势来回答;在我理解而言,安全工作的本质就是风险管理,老板花钱请你就是让你帮他解决企业经营过程中潜在的信息安全风险,保障业务正常开展,但这块工作会面临两个难题:
1、风险涉及面太广,从业务合规到IT各类基础设施安全,光安全团队管不过来,只能被动响应
这两个问题用传统的安全管控方式是解决不了的,这就衍生出行业两个新的趋势:
以前传统的做法是:多层审批,抽样审计,上级主管审一道、权限负责人审一道、安全有时也要参与审核,审核通过后权限具体使用情况无人监督,更多是通过例行抽样审计来发现问题,这样做的弊端很明显:审批工作量大、权限开通效率低下,缺乏对权限使用过程的安全管理、回收不及时;那么现在的做法是: 简化审批、重心放在权限管理平台与运营机制的建设,通过4A集中权限管理,实现人/岗位/部门不同维度的权限可视化、定期推送权限风险报表至业务安全责任人,标识敏感权限开通情况及高风险使用行为,监督业务部门进行自查、反馈;这就是一个典型的利用数字化技术手段及管理思维解决业务高危风险的例子。简而言之,面对越来越复杂的业务场景,我们越来越依赖于安全的数字化管理、技术能力来提供解决方案,从而实现以下价值:1.让业务安全状态对内、外更加透明,帮助业务更好的感知、控制、响应风险 2.平衡安全与效率的冲突。
怎么来做安全数字化呢?
这里我总结了三个方法:
-
“转”人,从管理者到到执行人员需要转变思维与认知,具备数字化思维能力。这里推荐几本书给大家:《华为数字化转型》、《华为数据之道》、《赋能》,另外有些数字化能力不是思维转变就可以立即获得的,安全数字化建设既需要懂IT研发、机器学习、大数据分析相关的技术人员,也需要懂业务、具备产品思维的产品/项目经理,这些都需要通过内、外聘来补充团队人员能力,安全数字化建设没有一定的投入是很难开展的。 -
聚焦重要场景切入,安全数字化建设切忌眉毛胡子一把抓,避免本来就不多的安全资源浪费在不重要的工作上,需要从外部监管、企业管理层、员工等视角从外往内看,哪些领域是当前业务最大痛点、需求,是产品安全?还是隐私保护?通过站在外部视角来分析排定场景优先级,抓住企业当前最痛的点,聚焦团队资源切入,利用数字化能力对传统的安全管控方式进行优化改造,在业务风险控制与体验等问题上尽快做出一些亮点,增强管理层/业务团队对安全团队的信任与认可,便于后续投入更多资源配合安全团队工作开展;重要场景优先级评定除了从外往内看,还有一点很重要,那就是业务成熟度,如果一块业务领域的流程、规则、数据质量都不具备,那么安全数字化建设是缺乏土壤的,面对这类业务,在优先级排定的时候一定要注意。 -
统一数字化建设方法论,这里建议参考业务数字化建设方法论:1)流程、规则的梳理 2)数据的拉通、数据标准的定义 3)IT技术落地实现,这其中1、2步是可以并行开展的,第3步IT落地需要等前2步理清楚了再开展,避免无谓返工;以防攻击、防泄密告警处置场景为例,首先需要做的是梳理清楚日志源、日志、告警数据标准以及处置流程,以笔者所在公司告警处置流程为例,共分为3级:L1负责告警的初筛、L2负责事件溯源、调查取证、L3负责告警规则优化;其次需要定义好流程的KPI数据指标(平均响应时长、准确率等),想好未来要实现的效果,这两件事做好了以后才是IT的实施落地工作;好的安全技术架构对于数字化落地是十分重要的,笔者所在公司目前是基于下图1+1+N技术架构来支撑安全数字化建设落地,N是指网络、终端、主机、应用、数据安全各领域安全产品,主要用于解决对应领域安全风险同时提供大量的日志数据给到上层SIEM平台分析,SIEM平台可基于ATTCK框架、数据泄露防护框架等进行风险建模,建模后产生的告警上报至SOC告警事件处理流程中进行处置,SOC可以根据近期告警处置结果,反向优化SIEM平台告警规则以及动态调整终端、网络等安全产品策略;在SOC平台中,除了包含告警流程,其它如资产、风险、策略、审计、应用安全、业务安全等业务都可以用数字化的思维建设集成至SOC中,最终实现安全业务的全在线、连接、智能分析,这也就是我所理解的安全业务全面数字化。
最后简单总结下,数字化建设不是简单的数据化,而是强调运用数字化思维与能力对传统业务流程、商业模式进行改变;对于安全团队而言,传统的安全管控方式已经远远滞后于业务需要,安全数字化建设是一条必经之路,只有通过安全数字化建设,才能更好的控制业务安全风险、平衡安全与效率冲突。以上就是我想分享的所有内容,所有观点仅代表个人,与公司无关,希望能给大家带来一些启发。
作者介绍
RECOMMEND
往期回顾
研发型企业信息安全管控的4个难点|科技创新型企业专刊·安全村
关于 安全村文集·科技创新型企业专刊
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:[email protected]
原文始发于微信公众号(SecUN安全村):安全数字化建设|科技创新型企业专刊·安全村
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论