由安在新媒体策划并主办的首届超级CSO研修班,于2021年1月圆满结营。18位CSO学员,历时5个月,完成16节次课程的研修学习,经历名企参访、课堂作业和私董会,更有期末3000字/每篇的毕业论文,最终,都以优异的成绩冲刺达标,获得由CCRC和安在新媒体联合颁发的结业证书。
首届超级CSO研修班学员分布广泛,包括银行、证券、保险、运营商、能源、传媒、物联网、咨询服务等多个领域,在导师引领和课程启发下,其所完成的毕业论文,也都极具代表性,是各自相关领域网络安全建设、实践与思考的精华之作。本着分享交流之精神,我们特别精选几篇,以连载的方式呈现公众。
超级CSO研修班不仅是一届课程,更是契机和起点,希望借“CSO说安全”,让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。
CSO说安全:信息安全建设思考
随着近年来网络安全生态治理的不断完善,网络安全法、个人隐私保护等相关法律法规的逐步出台,监管部门对于企业安全治理重视的逐步深入,相信很多人都能感受到,企业信息安全已经从以前的“合规层面”逐步向“实用层面”过渡,除了大型企业在不断完善自身安全体系建设之外,中小型企业也在不断开始系统化的对待“信息安全”这个严肃的话题。
加上近年来国家层面组织的大型真人攻防实战演练活动的开展,无疑是在整个安全圈发起的一波又一波强震,持续将企业的安全建设往“高标准、实战化”的方向上推进。不论在金融还是非金融,“一个人的安全部”局面会渐渐成为历史,有组织、有体系的信息安全建设局面已经到来。
与此同时,在网络和信息安全领域,人才的匮乏,尤其是具备高格局、能建体系、能带队伍的人才的匮乏,几乎是整个行业最大的痛点。真正有丰富安全建设和实战经验的安全管理人员凤毛麟角,现阶段具备 CSO 水平的大佬们,几乎都集中在一些头部或者巨头公司中,而对于广大的“长尾”部分的企业,几乎都只能招到工程师级别的安全人员,这些人员中,有的偏攻防实战,有的偏风险合规,但却很少有具备全面体系建设和团队建设的综合型安全管理人员,即使偶然碰到一两个,他们的薪水也远超出了一般企业所能承受的范围。
当然,有人会提出,安全体系建设可以找专业的网络安全公司,但安全有一个特点是“工作可以外包,但责任不能外包”,正是这个原因,很多网络安全公司在为客户做规划建设的时候更多的是考虑商业利益最大化,而非解决客户实际需求,最终导致很多的安全体系建设沦为一纸空文和无用的产品堆叠。
正是基于以上背景,更多的企业只能选择从现有的“工程师”中进行培养。对于广大奋斗在一线的“工程师们”来说,这是一个难得的历史契机。如何把握好这个历史的机遇,最终从广大的同业中脱颖而出,是大家职业生涯中面临的最大挑战。那么要成为甲方的信息安全管理者,到底要具备哪些硬实力?有没有行业最佳实践?安全管理者最终的价值在哪里?
这些无疑是我们当前最需要回答的问题。笔者作为一家中等保险公司的安全从业者,多年来不断地摸爬滚打,不断地试错总结,不断地从优秀的前辈和同行中学习,从基层人员做起,到目前成为一个中小型安全团队的管理者,也算小有所得。借着这个机会,将多年来的经验和思考进行总结,与各位同行们分享,希望能抛砖引玉,有不足之处还请各位同仁不吝赐教。
以下的总结仅针对中型规模的金融企业,安全团队规模在 20-40 人左右,头部大行和大型集团(安全团队人数超过 100 人)或者非金融行业可能会有很多不同,这些实践可能不能完全覆盖,特此说明。
安全建设要始终秉持“为业务赋能”的核心理念,分三步走的建设思路,安全管理者在不同阶段应具备层次化的能力。
安全部门在企业内部的作用要像“互联网+”一样,为各种业务场景进行“Security+”赋能。安全管理者一定要时刻牢记,安全团队存在的价值一定是为了让业务更安全,而不是与业务对抗。企业任何团队都要服务于组织,为组织带来价值。财务、人事、行政任何一个部门无论如何强势,都不能伤害到业务,这是底线。安全也是一样,安全人员要理解一潭死水是没有价值的,数据要加工、要流动、要交换才能给企业创造价值,所以安全治理一定是宜疏不宜堵。
但是在很多时候我们容易陷入一个误区,尤其是新晋的安全管理者,喜欢滥用手上的一票否决权,导致兄弟部门对安全团队的评价很低。经过不断地踩坑,我逐步意识到,否决权否决的是方案的不合理部分,而不是否决需求或者业务本身,安全这个时候应该内化为该业务的一种属性,与业务、开发和运维一起给出更安全的解决方案。当我们关上一扇门的时候,一定要为业务打开一扇安全的窗。
如果我们现在到一个新的企业就任安全官的角色,从零开始开展安全工作,我们该用一种什么建设思路呢?我个人的总结是分成三个阶段,第一阶段是快速止血期,第二阶段是持续运营期,第三个阶段是业务共生期。
如果一家企业的安全工作是从零开始,那么我们面临的肯定是到处漏风、四处流血的环境。这个时候快速止血是第一要务。一家企业如果真的意识到了信息安全的重要性,愿意雇用专业的安全人员来开展安全治理工作,原因要么是合规驱动,要么是事件驱动。如果是合规驱动,我们应该首先要快速满足监管合规需求,建立完整的制度规定,配备相应的安全设备等,当然,有时候为了应急,甚至可以采取租用等保一体机的方式。如果是事件驱动,那我们首先要做的事情包括外部风险暴露面的梳理和收敛、内部数据泄漏点的管控、纵深防御体系的搭建、系统增量漏洞的控制以及安全红线的建立。只有做到了这五点,新到任的安全管理者才能摆脱“救火员”的角色,真正主动的开展安全工作。这里有几个指标可以衡量快速止血阶段的成效,第一个指标是外部第三方平台或者监管单位对我方漏洞的通报情况,例如补天、漏洞盒子以及早些年的乌云等平台,或者是监管单位周期性的通报情况等。
第二个指标是外部公共平台关于我方非公开数据的留存情况,例如百度文库、GitHub 等平台是否有仍有新增的运维文档、源代码信息等。第三个指标是内部员工触碰安全红线的次数,这个可以通过 DLP、上网行为等工具来统计。如果止血效果好,这些指标应该是逐步趋近于零。这一阶段在上层支持、个人执行力强的前提下,预计需要 1 到 2 年的时间才能到达预期的效果。
在这个阶段,这个阶段团队人数不会太多,通常是在 5 人以内,所以还没有系统化、条线化的分工。团队管理的大致做法是根据实际工作量和员工的技能进行分工,更多时候需要一人兼多岗。例如,一个岗位既要对接监管,又要维护设备;另一个岗位既要进行漏洞扫描,又要负责 DLP 管理。
在完成止血之后,接下来要考虑的就是怎么将在第一阶段建立起来的安全防御工具和人员按照模型进行标准化运营。这里包括几个重要工作,安全设备的有效运营,安全对 IT 内部变更和研发流程的覆盖度,监管要求(如有)的实际落地情况以及安全团队的有效管理。
安全设备的有效运营,最重要的两个指标是覆盖率和更新率,其次是对所有的安全告警能做到闭环管理。到这个阶段,就应该考虑进行 SOC 或者是态势感知平台的建设了。对变更和研发流程的覆盖度,体现的是 SDL 的建设情况,一端管研发,一端管运维。监管要求的实际落地情况,指的是企业真正能把监管的各项要求指标内到为自己日常运维工作中,而不用去“造”数据,例如安全检测的次数、安全培训的覆盖人数、软件正版化率等指标,均要体现在日常的安全运营工作中。安全团队的有效管理,包括了团队成员的合理分工、考核以及能力提升等方面,到了这个阶段,团队作战的效能需要充分的发挥,尤其是在重保期间,考验的就是团队协同高效作战的能力。也只有到了这个阶段,才能扛得住大型的专业的实战演习。
到了这个阶段,团队规模人数达到 20 人以上之后,就要考虑条线化的进行分工了。根据我个人的经验和对业内的考察评估,一般可以分为监管合规(10%)、安全运营(40%)、应用安全(25%)、数据安全(25%)及业务安全(如有)。其中安全运营团队的职能包括:
安全事件的应急处理、SOC 平台建设、安全设备运维、安全演习的开展等;应用安全团队的只能主要是 SDL 建设和安全攻防,之所以将安全攻防放到应用安全团队,是因为应用安全团队是需要要懂代码的,对系统较为了解,所以天然就具备了安全攻防的优势;数据安全团队的职能包括技术工具的建设和维护(脱敏、DLP、加密工具等)、数据保护(包括跟业务部门对接)、数据安全事件调查等。关于分工,我个人有一个强烈的体会,不能进行水平分工,而是要进行垂直分工。具体来说,不能让部分人员只做物理设备的维护,而不让他负责设备内部策略的运营,能力强的甚至可以介入事件调查。
例如 DLP 的运维,我的建议是放到数据安全组,数据安全组的人员既要懂事件调查,又要懂策略运营,还要负责设备的物理性能维护。这种分工的好处是员工可以单独负责一个领域,而技能不会被限制在某一个层面,员工的发展是立体的。当然,如果团队规模到了 100 人以上,公司可以专门设置安全基础设备运维岗(技能要求较低、流动性高),这个规模的团队分工要另当别论。
第三个阶段之所以叫业务共生期,是因为安全到了这个阶段,已经完全内化为业务的一个属性了。这个阶段最明显的特征就是安全深度与业务绑定,高效地为业务赋能。这里的“业务”有“小业务”和“大业务”的区别,小业务是指 IT 内部的开发和运营,大业务是指企业整体的业务。在第二个阶段的时候,安全就已经开始 SDL 的建设了,也就是开始涉足“小业务”,到了第三个阶段,与小业务的绑定关系会更紧密,体现在 DevSecOps 上,也就是安全要全面对接研发运营的流水线,在每一个环节给开发和运维赋能,主要手段包括自动化的工具、人工的安全检测,开发运维的能力培训,安全中台建设等。在“大业务”方面,第一个好的抓手就是数据安全治理,对业务数据、客户数据和其他机密数据进行体系化的分级分类管控,给业务部门他们想要的方案,安全团队才会成为业务部门主动想要合作的搭档。第二个好的抓手是业务规则安全,包括业务规则的漏洞分析(例如怎么防止“薅羊毛”、怎么防止盗号和恶意注册等),上下游合作伙伴的安全治理等。第三个好的抓手是安全跟业务质量绑定,无论是公司的业务系统还是产品服务,都要把安全当成质量的要素之一,也唯有如此,安全与业务才能共生。
这个阶段,业务安全和数据安全团队的人数要有所提升,具体的数量要根据各家公司具体的线上业务情况。线上业务较多、合作伙伴较多的公司,业务安全团队和数据安全团队甚至要融入业务部门日常运营中,与业务部门一起开展工作。
一些互联网大厂、头部金融集团甚至研发了自己的业务安全和数据安全中台,将业务安全和数据安全评估作为一种能力,直接输出到业务运营流程中。
在这个部分,我会介绍以上三个不同的阶段所需要的不同的能力,也算是给各位同仁们一点参考。下图是笔者根据过往经验总结的企业安全管理者的能力图谱:
企业信息安全管理者能力图谱
在这张能力图谱里,外层的能力包含了内层的能力,也就是说,当安全建设到了第二阶段之后,同样需要第一阶段的能力,同理,第三阶段也需要第二阶段和第一阶段的能力。这张图本身已经清晰地说明了各个阶段对应的各种能力,但是有一些值得注意的点,我需要特别加以说明。
首先要补充说明的是应用安全,应用安全可以分为狭义的和广义的。狭义的应用安全是指通过额外的补偿措施,给应用系统赋予安全的能力,主要的补偿措施包括主机安全检测、企业信息安全管理者能力图谱数据库安全管理、网页防篡改、WAF、APP 加固等。广义的应用安全是指,通过为开发和运维赋能,让应用系统提升自身的安全性和健壮性,包括了 DevSecOps 和 SDL、安全攻防以及运维安全等方面。通过这个说明可以看出,在第一阶段指的应用安全是狭义的应用安全,而到了第三阶段就是指广义的应用安全了。
第二个要补充说明的是数据保护,同样也分为狭义的和广义的。狭义的数据保护是指信息安全人员通过技术手段(例如 DLP、文档加密等)对办公电脑、邮件系统和业务系统中的数据进行监测、审计、拦截等。广义的数据保护即数据安全治理,是根据 ISO 38505 或者DSG 等通用标准在全公司、全集团进行数据安全的分级分类治理。同样,在第一阶段指的数据保护是狭义的数据保护,而第三阶段的指的是广义的数据保护。
第三个补充说明的能力是持续学习的能力,之所以将这个通用能力列在这里,是因为持续学习对于安全人员来说太重要了,安全是伴随技术和应用而生,只要有新技术出现,有了新的业务应用,就会产生新的安全问题,所以我们除了学习各类新概念、新技术、新法规之外,还要学习伴随这些新技术新应用而生的安全问题以及解决之道。只有持续学习,我们的能力图谱才会不断地迭代更新,也许以后我会总结出安全建设的第四第五阶段。
有效沟通也属于一个通用能力,之所以上榜,是因为这个能力的作用跟持续学习不相上下。安全是要以理解你要管理的对象为基础的,所以当你准备实施数据库审计的时候,你一定要充分的弄清楚 DBA 和监管单位分别担心的风险是什么;在你准备将 WAF 串行接入互联网出口的时候,也一定要弄清楚业务和运维最担心的点在哪里,只有将关联方的担心都沟通清楚之后,我们才会进一步去优化安全方案,例如哪些数据库可以采用流量的方式进行审计,在什么环境下可以采取路由注入的方式旁路部署 WAF。
了解产业、产业洞察和生态思维我打算放到一起进行说明。这里的产业是指网络安全产业,或者信息安全产业。在第一阶段,我们要做到对市场上主流的厂商有深入的了解,不同厂商之间的主打产品,服务的口碑,风格等要有所认识,才不会在项目选型的时候入坑。而到了第三阶段就要用产业洞察和生态思维来刻画安全管理者的能力了。我们要知道整个产业的生态格局,甲方最核心的需求在哪里,最新的解决方案在哪里,未来在哪些方面可能会诞生独角兽型的安全公司。作为有一定规模的甲方安全团队负责人,我们能为整个安全生态贡献什么,是贡献核心需求、解决方案、或者直接开源一个自研的平台等,都是在第三阶段需要具备的能力。因为 CSO 最终下海创业也是一个不错的选择,业内这种例子比比皆是。
技术布道和意识布道我也放到一起说明,之所以用“布道”,而不用“培训”,是因为我们作为安全管理者,在进行安全培训的时候,一定要有布道者的诚心和毅力。这种诚心和毅力的程度,是一个培训者或者讲师远远达不到的。技术布道是指不同的应用场景,我们要能给出不同的安全方案,同时要让关联方充分认可我们的方案;意识布道是指针对企业的每一个人,不论技术还是业务人员,我们都是一面写着“信息安全”的旗帜,对他们来说,我们就是一种信息安全文化,这种文化可以体现在各种具体的培训中,也可以体现在各类宣传邮件、屏保、海报中。
流程运营及SOP,是指对安全告警和事件的标准化流程化处理。这里简单说一下我对态势感知平台能力的理解,从流程化运营层面来说,态势感知平台要能对接威胁情报、CMDB、各类安全设备和工单系统,一是态势感知平台要能实时发现威胁并关联内部资产;二是发现告警之后要能与安全设备联动,最好能做到不同场景脚本化,也就是现在流行的 SOAR;三是所有事件和告警都能工单化,做到闭环。而安全事件的类别、级别,处置和上报流程,每一步,都要有 SOP。
实战保障能力包括了协调各方资源、综合运用流程运营及 SOP 的能力,这就要求安全管理者对内能动员相关部门共同值守,对外能协调厂商资源,并且能与相关单位一起联动。
这里所说的相关单位是指,网络上有数据交互,但是安全管理水平参差不齐的外部单位,包括了上下游供应商,合作机构等,在重保期间也要有能力协调这些单位一起动起来。
第三方管理和第三方治理最大的区别在于前者是通过硬性的合同规定、定期的安全检查对合作方进行安全管理,这种方式其实只能在形式上做到安全管理,而实质上对方远远达不到我方的安全水平;后者是指通过唤起对方的安全责任意识,共同提升上下游整个业务生态的安全水平。能力强的甲方,可以通过能力输出,平台共建等方式与对方进行安全的数据交换,例如现在流行的联邦计算、差分计算等能力的输出,可能是上下游隐私保护的一个方向。
SDL 和 DevSecOps,二者都是软件生命周期管理方法论,前者侧重于将安全管理要求融入研发过程各环节,致力于减少软件中漏洞数量,属于点状式的安全管理方法。后者侧重于安全检测工具与流水线的集成,构建一套稳定的、可落地的、安全的、自动化的工具集和能力集,嵌入 CI/CD 的流水线体系,提升管控的自动化水平和有效性,属于链状式的安全管理。
平台研发能力,对于不同人数规模的团队要求不一样,在中等规模的团队,至少需要有1 到 2 名开发水平优秀的人员,因为市场上的产品解决不了甲方所有的需求,尤其是一些小需求和不同系统之间衔接、调用、自动化的需求,如果自身具备一定的开发能力,这类需求就非常好解决。例如各类统计报表、代码报告的自动化审计、不同环境下的弱口令检查工具等,这类小型工具都是自己人员开发的话效率会提高很多。到了 80 人以上的团队,就要考虑部分安全平台的自研问题了,有条件的可以自建一些实验室,包括基础武器的储备、身份验证平台、加密平台以及部分防御工具等。
决心和魄力,是一个 CSO 必备的能力。企业安全建设到了第三阶段之后,一定是与业务深度绑定的,不论是“小业务”还是“大业务”,这都属于安全建设的深水区,因为我们一定会动到业务方的内核,甚至是他们最敏感的部分。例如,当我们要进行威胁建模的时候,一定要开发人员深刻理解每种威胁的原理和防范措施,要将威胁建模的步骤插入研发流程,这当中的阻力可想而知。
再比如,为了防止“脱库”,我们要进行数据库加密,这势必要改变应用和数据库的交互方式,也会影响到系统的性能,如何协调开发、运维和业务一起来完成这个改造,这当中的阻力何其大。
再比如,要推动强势的业务部门跟我们一起进行数据安全治理,要唤起业务方作为属主部门的数据保护意识,要他们专门出人出力来跟我们一起把数据管好,而且这还有可能会以降低他们沟通的效率为代价,这其中的阻力又何其大。在这三个例子中,只有 CSO 才会有最强的动力去推动这些改造工作,而 CIO 或者 CTO 都没有这种动力。整个过程我们不能有一丝的退却,因为这些工作是必然要做的,并且是做了就没有回头路的工作,没有决心和魄力,怎么可能完成,每一个成功的 CSO 都一定要有干不好就走人的准备,唯有如此,才能把这些硬骨头一个个啃下来。当然,这当中也有一些要注意的点,也是某位前辈给我的经验,总结起来叫“两不一择”,即“不懈怠”、“不冒进”,“选择性的与相关部门协作”。
我们在推进安全建设的过程中,不能有丝毫的懈怠,也不能操之过急,导致因为安全变更而发生的生产事故,或是搞得“民怨沸腾”;在选择合作伙伴的时候,也要有选择、有步骤地发展合作伙伴,团结一切可以团结的力量是安全工作至始至终的准则。
以上是对需要特别说明的能力进行补充,其他没有特别说明的能力(例如密码学基础、攻防基础、网络安全等)之所以没有提及,不是因为不重要,而是笔者认为这些能力属于基础硬知识,已经有很多系统化的学习资料,或者说参加专业安全考试也能掌握,例如CISP/CISSP/CISA 等,都有这些能力的详细指引。而上面总结的,完全是笔者亲身经历的实战总结,希望能给各位同仁带来一些借鉴和思考。
我们正处于一个高速变革的时代,正如习主席说的,当今世界正遭遇百年未有之大变局,在这样一个时代,到处充满了挑战,也处处都是机会。而“信息安全”是伴随信息而生,正如上文所说,只要有新的技术、新的应用出现,就会产生新的安全问题。所以,在安全这个领域里,永远不会失业。当然,我们的追求远不止于此。对于广大的安全从业者而言,甲方的 CSO 无疑是职业生涯的高阶选择,而国内目前的 CSO 文化尚处于萌芽期,未来会不会迎来爆发期,很多前辈有不同的观点,而我是持乐观态度的。中国目前发展太快,可以说是强敌环伺,作为企业方,在一个越来越开放的网络空间环境中,信息安全问题势必是影响企业生存越来越重要的因素。
笔者从业这些年以来,经历或是亲手处理的安全事件不计其数(绝大多数并非我就职的公司,而是作为外部专家身份去处理),规律是每当有安全事件发生之后,企业管理者就会严肃考虑是否应该雇佣专业的信息安全人员这个问题,这个属于事件驱动。而是否能从公司层面进行全方位的安全治理,将安全事件发生的概率降到最低,这绝不是 CIO 能完成的,而是需要多个部门通力配合,要发动公司全员一起完成的目标,并且作为 CIO 来说,没有非常大的动力去推动非技术类的安全措施的落地。在这种情况下,企业考虑设立与 CIO 评级的CSO 是一个较优的方案。
还有一个重要因素来自于监管层面,类似于监管单位要求保险机构设立 CIO、GDPR 要求企业设立 DPO 的情况,随着监管体系对信息安全要求的逐步完善,从监管层面要求企业设立CSO,也存在这个可能。
最后一个因素来自于我们自己,也就是广大安全领域的从业者,我们是否有能力、有智慧给组织输出匹配 C 级别管理人员的价值,如何将安全与业务绑定,让安全成为与业务互利共生的伙伴,在这方面我也持乐观态度,因为安全领域有一群极具智慧和闯劲的人,就像十年前一帮 IT 部门的人将“科技”独立成公司,为组织进行科技赋能的先例一样,我也相信我们有能力将“安全”的地位进一步的提升,不用达到公司的级别,但超出传统 IT 的束缚,不是没有可能。
首届超级CSO研修班已圆满结营,第二届超级CSO研修班正在筹备,按照计划,2021年中会正式开营。如果你是企业或机构的CSO/CISO/信息安全总监/信息安全主管,如果你想进一步拓展知识、提升眼界、广结人脉、突破自我,想更好地胜任CSO职位并探索更高阶职业发展,那么,超级CSO研修班绝对是你不二之选!
早报道早抢位,有意向者,请洽
椰子
推荐阅读
齐心抗疫 与你同在 
本文始发于微信公众号(安在):CSO说安全 | 郑太海:中小型金融机构 CSO 修炼指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论