国内安全行业相比于其他技术领域起步较晚,很多安全团队在很长一段时间在企业内是以虚拟组织存在,而安全团队人员的组成也多是“半路出家”。随着专职安全团队越来越成为企业组织架构实践的趋势,大量各有所专的人才逐步涌入这个新兴行业。社会面对安全的普遍热,却给企业提出了如何冷静看待真正面临的个性化安全风险,如何有体系、有计划地开展安全工作的命题。同时,延续数年的全球新冠疫情大流行,地缘政治紧张局势下的军事行动,都加速了安全行业的新一轮重大变革。传统网络安全架构已然面临更多新风险的挑战,例如数据泄露事件、APT攻击事件、供应链安全事件等此类在原有企业应急演练中并未纳入的安全场景。与之对应,是否建立具备日益体系化、常态化趋势下实战攻防能力的安全团队,将成为验证企业安全建设实效首当其冲的一项必要项。
本文尝试以一个亲历者的视角讲述一段中等规模券商安全团队的演进之路。
“忧患意识”一词如今出现频率之高,令人感叹。放眼国家层面,十九大报告中明确:“统筹发展和安全,增强忧患意识,做到居安思危,是我们党治国理政的一个重大原则”。“十四五”规划和2035年远景目标建议起草阶段,总书记亲自设置专章对统筹发展和安全作出了战略部署,其中指出:“我们越来越深刻地认识到,安全是发展的前提,发展是安全的保障。”将安全作为与发展同等并论的首要地位,无疑是在当今世界百年未有之大变局的共识下,把握了解决矛盾风险的先机。
回到企业安全,尤其是身处金融资本市场大浪之中的券商,也是同样如此。安全建设是数字化建设的前提,前提的概念就说明两者密不可分,是一个保障的关系。但对于不同的企业来说,数字化转型其实很复杂。一个企业的数字化转型要取得成功,不仅依赖于企业本身,更多也依赖于上下游的生态关系。所以对安全来说,它在整个数字化转型过程中,要根据企业数字化转型的战略去动态制定并调整安全的战略。就证券行业来说,可能和互联网领域C端企业的安全角度不同,我们更多偏向于强合规、重风险、自动化智能化的安全管理理念,安全与企业数字化转型一定需要相辅相成在一个战略平面上。当能以风险的角度切入,去看待信息安全究竟应该怎么做,就是正向对待企业面临的外忧内患,并着手实施应对的开始。
这里需要说明的是,有了战略先行,有了一定的体系和标准也并非一定有用。核心仍是安全方面的资源投入,尤其是人员投入。如跟不上,只有体系和标准往往会演变成责任模糊和扯皮甩锅的工具。当企业在安全上只有虚拟组织,仅以满足合规要求为原则,只给责任,不给予相应的权力和资源,就无疑是难见实效的假重视了。
专职安全团队,作为这个忧患意识盛行时代下企业发展的一支护航队,报到,实现了。
安全的领域中,创新层出不穷。不管是开发安全、数据安全、业务安全、云安全,传统边界安全向可信安全架构发展的安全技术与管理创新,已深刻反映于企业的安全规划与实施重点中。此处,主要聚焦于安全团队组建过程中的创新。
前面提到大多数安全人员都经历了“半路出家”,除了信息安全专业科班毕业的应届生作为白纸加入安全团队之外,每一个“半路出家”的安全人或多或少都要经历在新领域中从零开始,向外习得业界方法和实践,向内做安全规划落地,逐步从被动转向主动,遵照PDCA模型去调优自身安全能力的过程。这就让打破原有绝大多数的安全人员要么来自安全专业毕业生,要么来自于网络运维的相对固化思维,不拘一格纳人才成为了可能。
以我们团队为例,核心成员构成多元化、职责分工明确。管理与技术,开发与运营,审计与验证,充分互补,互为支撑。特别值得一提的是开发部门通过实战培养了安全人员,创新地将研发背景人员吸纳入了专职安全团队,实现了更多安全上的自主研发能力,也为下一步SDL的体系化和代码安全在公司的开展,奠定了夯实的专业能力基础。
有了创新的组织,更需要适宜创新的土壤和文化。大致体现在以下几方面:
-
-
-
传统金融企业的三道防线是清晰的,安全传统意义上是第一道防线,但最新版本的COSO框架也把安全定位成了二道防线的支撑部门。在实际工作中,二道防线评估一道防线的风险策略和风险水平,一道防线实际执行控制工作,但其实联系与合作非常紧密,都是风险的实际分析和控制,实际工作中可灵活运用。
经得起全面评估,无论是技术创新,业务创新,还是管理创新,都会得到的是更平稳地推进。
成立一词,立往往在先,成果、成就则在后。引至安全团队建设的语境中,当能为业务和技术部门所用的安全解决方案多了,也就自然而然地先树立了安全团队在企业安全工作中的威信和话语权。
安全是IT治理层面中顶层领域之一,以IT治理阶梯式的阶段来看,绝大多数的企业均处于第二到第三阶段之间。所谓第二阶段就是已经有了较明确的分工,但是对于整体安全体系,还是在一个较为初级的阶段。这个阶段有监管驱动或称合规驱动,现在情况对于整个安全运营体系来说,又有了一个立足于攻防的纯粹的安全驱动力。这能促进企业更踏实、更稳地去向第三、第四个阶段发展。
具体来说,在安全工作逐步转型实战攻防为主要驱动力过程中,无论是安全预算、组织架构以及事件响应协同上都发生了明显的变化。预算方面,越来越多的行业头部券商会划分出专门的用于安全攻防的预算,在实战演练期间保障内外部资源的调拨。除了预算方面,更多体现在公司整体安全文化的演进。原有对安全的认知可能仅仅只是漏洞扫描、杀毒等局限在某一个局部范围内。但经过实战攻防之后,大家认识到安全其实有很多不同的领域,又具备很多不确定因素,可说是一项复杂性科学定义的“极端复杂问题”。在这个解决问题的组织里头,有许多不同细分领域的人分别在协同处理。以安全事件响应为例,形成了监控组、研判组、处置组等协同单位,无论是技术条线还是业务条线都会依据实际安全场景共同参与其中。
另一方面,对于公司全员安全意识上的提升明显。以前的安全意识培训相对来说比较浅,而现在以参加过一次攻防活动的切入点来培训教育,提取在攻防当中哪一个点是面向哪些岗位员工需要注意的安全意识,如果没有做到会形成怎样结果。对此类非技术漏洞类型的管理漏洞,如忽视常是重大安全事件的起因甚至决定性因素,安全团队可运用自建靶场,针对性地开展和统计分析攻击链上相关风险点的防范情况,以测带练,使得这样一种意识培训比原来常见的书面做题接受度和感性认识都更强,有效促养成在防御钓鱼及社工攻击方面的正确工作习惯。
比较有意思的一个问题是,如果当公司有不理解安全工作的声音时,是否也能促进安全工作的开展和推进,答案是肯定的。例如对重保期制定的特殊安全措施,分析全员反馈,态度当中有配合的,也有误解、不理解的,但是至少不管任何态度,都能够感受到比原来更重视安全。从两个角度来说,有一些可能从正向的意识培训上能意识到安全越来越重要,各个方面更愿意配合安全工作;另外一种同样也是很好的促进了安全工作。因为原来并不认为安全有那么的重要,甚至觉得安全在限制业务,并认为重保时期的一些特殊措施会牺牲了一定的便利性。但这个时候也是一个很好的契机,给安全团队可以通过一些实际发生的事件案例让他体会到过去的观点或需要转变。其实不管是正面还是负面的声音都能让整个公司对安全的重视度得到明显的提高,也会让公司的各级人员接触更多的安全概念,并且能理解安全到底给我们企业带来了什么。
最终希望逐步让安全成为一种可度量的企业绩效,使安全工作的价值不再只局限于传统操作风险或系统风险的范畴,而具有更深远意义的业务属性。
但凡真实,皆为力量的来源。放眼当下与未来,梳理以下五项较能全面体现安全团队真实价值的方面:
人是量体裁衣才最合身,对于企业来说,一定也和当前的规模、行业、业务的特点有关系。对于大型企业,它有更多的资源投入,也有更多试错的成本,但对于规模相对中等的企业来说,不妨以内部展开或是借力外部第三方来组织做攻防对抗,找到真实存在的薄弱点、管理漏洞,以这个角度来分析与排序企业目前最需要投入的安全。这样既不会让一次性的安全投入规模非常大,又能起到快速见效的作用。当然最终还是在公司整体的安全框架体系之下,既兼顾了快速见效,又关联到全局建设。这个过程也是重视实战攻防的价值。因为实战攻防在整个管理闭环中起到了很关键的检验的效果,没有这部分检验,前面的安全建设有可能成为“断头路”,不知道要调整什么,而当安全产品在没有经过充分poc检验的前提下,还会存在工具没有人用或是用的并不好的情况,这就形成了资源的浪费。
很多时候,做加法是本能,做减法才是智慧。善做减法这点,对于甲方的安全团队尤为关键,可以说是一项立生之本的能力。安全作为一个新兴不久又正值蓬勃发展的行业,各种新概念、新模式,乃至包装形成的解决方案如雨后春笋般层出不穷。越是当外界信息爆炸不停,各种声音也一起渐欲迷人眼时,更要具备独立思考和研判分析的能力,表象之下的本质才是我们需要挖掘和做一切决策的依据。另一个角度,自动化智能化是未来安全的唯一出路,这是因为只有在做了对可固化场景人工干预尽可能交给自动化智能化去做之后,甲方的安全人员才有可能去关注系统安全研究,ATT&CK各战术检测规则落地,应急工具编写,提升MTTR、MTTD安全运营指标等诸如此类需要深度思考才能完成的任务。减法思维也是对企业安全管理者的一大考验,既考验对发展趋势的敏锐,更考验对引进、落地、优化、以及各种覆盖率,安全联动的全面把控能力。要做好平衡在于取舍,说不易,行更难。大道至简,谋定而后动,方可行稳致远。
建立有效的预防机制。扁鹊三兄弟的大哥最善于治未病,做到了防范于未然,虽然默默无闻在乡间,但却是三兄弟中真正最有名医价值的。不管是未病先防、既病防变、愈后防复,如此三种“治未病”境界,都值得安全团队将此类比到企业安全工作的事前防范、风险降低、整改复测中去。在安全开发、安全运维领域中扎实建立起安全事件预防机制。治病与治理的共通之处在于不仅一般都有成熟可信的方法论,也有防范风险于未然的目标。
从业务角度进行风险评估,这个在ISO27005的附录里面有具体的说明,可做适当参考。围绕业务的评估肯定是单点,这就使后续需要安全团队对评估结果进行整合梳理,这也是独特价值体现。因为业务往往只能看到一个点,科技能看到的是科技的体系,聚焦业务角度展开的风险评估将使安全的价值大大增加。
这里的输出指的是安全团队经过总结与复盘之后,将内部安全能力可输出部分进行对外输出,内容可以是自建系统平台的使用、安全攻防服务等,也可以是在经过一段时间企业落地实践后的经验教训分享等。而只有定期有了这样的输出,才能够更深切地接纳常有输入的可贵,珍惜每一分能为同行者、后来者避免踩坑,共建安全行业互助文化和清朗生态的决心和行动。
如何更好地体现安全团队的价值,值得持续投入深度思考和实践。安全运营体系能够持续有效,离不开PDCA,而其中的C(check)是至关重要的促进管理闭环和管理持续提升的一环。每年至少一审,思路也是每次有侧重,合规驱动、事件驱动,也可根据全面风险改革匹配的信息科技风险指标体系开展等等。这就必然要求安全团队内需有各自专长的分工,审计知识和总结能力是基础,有资深的运维、开发背景成员,可避免运维和开发部门把真实的问题掩盖起来,从而影响安全运营体系的提升。能发现问题,根据根本原因的分析提出解决问题的方案,也是最能体现安全团队价值的所在。
托尔斯泰有一句并不十分流传很广的话是这样说的:“即使是世界上最伟大的作家也只能写出关联他自身经历的一面。”推演之,一个有战斗力且各项能力平衡持久的安全团队,最核心的因素取决于团队中每一个成员能否将精练自身与互为学习取经相结合。“图之于未萌,虑之于未有”,安全将始终处于不断稳固,又不断历经突破的持续演进道路上。
蒋琼,中银证券,安全主管。安全行业也需要女性柔软坚定的力量。民主建国会信息工委委员,既有理工科专业人的严谨理性,也有善于总结思考,坚持推动发展的理想主义情怀。果敢、勇气、执着、从容,从业以来致力于金融证券行业IT 治理与安全管理体系的建设与持续提升。
证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案,为大家分享一线安全规划、运营、建设的心得和实践经验。
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
原文始发于微信公众号(SecUN安全村):实战演练下安全团队能力演进|证券行业专刊·安全村
评论