0x1 本周话题TOP2
话题1:上海首份《企业数据合规指引》建议数据合规由企业合规部来管,大家啥看法?
A1:一般在银行,法务和合规都是一个部门的居多。不过其他行业,法务和合规分开的情况也很常见。至于企业合规部来管,我理解的是做什么,怎么做这个层面。数据合规有很强的技术、法务、业务因素,目前需要数据安全、技术合规、法务、大数据等多个部门密切配合,特别是很多技术问题挑战很大。
A2:认识一些法务,现在都在学技术,法务学技术、技术学法务都是趋势,不过专业性相差是很大的。
A3:由企业合规部来管,可能法务或者合规是第一责任人,起审计、监督的作用,技术还是归安全相关部门来负责。
Q:审计监督的部门不应该是第一责任人,审计监督一般作为第三道防线,大家觉得谁牵头管理比较合适?
A1:二道防线合规牵头或者专门的数据部门牵头管理要合适一些。直觉是放到信息安全部,很难搞。或者法务部?最终是否合规,比如用户协议,都是法务部审核。
A2:法律问题一般都是法务牵头,但是法律问题可能牵涉到公司的各个部门,所以不一定非要一道防线来担任第一负责人。而合规离业务近,但数据就是业务的核心,这个是与技术紧密绑在一起的。数据的资产、血缘、权限、使用方式、匿名化处理,现在都是强技术问题。法律问题是表象,还是应该合规或者数据管理部门负责。
A3:数字化经营下,技术是底层基座了。如果一个公司有安全部、数据管理部、合规部、法务部,数据管理部作为中间层,做第一责任人可能是最好的。
A4:中台标签怎么做?圈人营销怎么做?这个要合规来做,只能都砍掉。但是能不能匿名化、资产的标准化处置,都是业务部门主导。我们行的个人金融信息安全牵头管理部门是我们零售业务管理部门。所以业务部门第一责任,合规算二道防线。拿最简单的前端脱敏来说,能不能脱,还是业务说了算。
A5:业务是第一防线,安全合规法务是第二防线。但业务部门的专业性是不足的,业务部门做决定,往往会忽视风险。
但换个角度,业务上有法务,下有技术部门,也算中间层。有了责任,就会有专业的了,责任导向反而会促进他们更多思考合规问题。个人感觉合规,安全需要左移介入评估,但是最终决策还是在业务部门。
A6:如果是非显式风险,那么决策权在业务部门,如果是对品牌有显式风险或者是有了实际攻击者从风险变成了威胁,那么决策权就要收回到安全部门或者上升,否则就等着暴雷吧。
业务部门做决策,最大的问题就是两个:不会顾及整体品牌风险,另外就是缺乏安全合规专业性。
A7:这里有个问题,其实归根到底,不是业务部门还是法务部门做决策,而是领导层给的导向,到底是往左还是往右。比如一个业务,存在一定对客户的隐私侵犯,评估下来可以赚1个亿,但是会被监管部门罚1000万,做还是不做?不同的行业,不同的合规风险导向,可能会有不同的结果。我相信放互联网行业就做了,放在某些大行,就是合规第一。
A8:传统的金融三道防线:一线岗位监督、部门岗位制衡以及监督部门监控,合规和审计是三道防线。但现在合规压力山大,需要往前移了。另外指引感觉说的问题是数据的第三道防线缺位的事情。
A10:数据的合规三线,业务是一线,法务+安全是二线,三线并没有。同时第三线需要向董事会汇报。这个职责如果公司有数据安全委员会,一般还是委员会承接。但给委员会干活的管理工作组主要还是安全+法务,其实和二道线是重合的。委员会就是二道防线的统管部门,二道防线已经不是某一个专业线的事情了。
二道线要下沉,帮助一道线做数据和隐私左移设计,搭架子,建框架,整体降低风险。同时要扮演三道线,上浮揭示风险。工作量很大,公司整体风险角度类似一个CRO角色,以及他所属的组织架构。
Q:安全+法务应该从监督业务的角度向“帮助业务做设计”的角度靠拢?你不让业务用某些数据,他可能就死了,要设计一个合规使用的框架?
A1:可以给业务做风险揭示,风险决策业务自己做。不过给业务做风险提示也不容易,你做了风险提示可能就上不了线,到最后变成要你设计如何去缓解风险,一堆麻烦。还有现在很多风险没有明确的规定,不同的人,立场不一样,解读的结果也不一样,如何把控风险,在不同环境下,难度也不一样。
A2:这个就是平衡后期炸雷的风险,另外如果不麻烦其他部门顺手做了,那也不需要你了。不得不说,二道防线的确越来越贴近一道防线,但上升风险不是三道防线的独有能力,二道防线和业务部门意见不一致时,如果觉得风险要失控应该立刻上升。
这是个平衡的艺术,首先不要让雷在安全和数据合规手上雷了,然后能多做点就多做点吧,谁让安全是后台部门的后台团队呢。
A3:其实安全部门是后台部门里的业务部门,这点是能够而且应该让公司各部门认知到的,特别在金融行业。
A4:数据合规部门,有合规两个字那就是合规部门的活,只要没安全两个字,落不到安全部门的头上,但是其实安全部门不支持,哪里搞得定。理想情况是“数据治理-风险部门、数据安全-IT部门、数据合规-合规部门”,齐活了,但现实往往很残酷,明明是全公司的事,非要设部门墙,最后有抓手、习惯了不出事是正常、业务话语权不足的IT部门一定是最弱势的。这个东西,想着「哪一个」部门来做,从一开始就输了,甚至不如主动牵头,但是要形成领导小组协作拿资源。光靠某一个部门的本职工作,根本干不好这个事。
A5:可以看下《数据安全复合治理与实践白皮书》,里面有个组织设定的参考,还有“战略要位、实战牵引、全员参与、技术破局”特点总结。如下是我们总结的一些看到的痛点:
A6:我感觉鼓励公司成立数据合规部门不如参考这个白皮书形成一个调查表让各个公司对标对表摸摸底,一是掌握下情况(但不管分过死),二是侧面给予引导。
同时安全需要学习下转化业务语言,避免领导听不懂,找业务影响,多数有领导授权干,现在都已经强制一把手工程了。数据,那不管说啥都是老板最关心的业务语言,随便一动就是业务战略,随便一个需求点就需要安全整个成果来支撑,这不一把手工程实在说不过去。
Q:战略高度和战术细节都有所指引,对小安全甲方帮助很大,但安全的业绩怎么体现?一般年底总结单位的IT领导介绍安全这块业务都是安全零事故一句就带过了。
A1:可以看下我们安全度量那个环节,量化打分和基线打通。做复杂点有点类似用算法算出的芝麻分,做简单点用电子表格算也行。量化的目的是不出事也能看出你的贡献,尤其补做了治理工作后。
A2:主要安全哪些指标在部门层面可以说,但以部门为单位的总结,在以业绩效益为导向的情况下,还真难向其他部门说的明白。所以换个思路不说求听者知其所以然。基于图标形式,依托科学算法展现安全指标量化结果,给其他部门看安全业绩,达到知其然。
A3:以效益为导向的总结,很多“应该的”工作就上不了台面了,这就是为啥很多互联网公司的安全会去抢业务风控,用风控赚来的“威信”去养基础安全,但你也可以看风险、审计是怎么汇报工作的,如果是高层会议这种主要说战略方向战术问题的,那确实上不了台面,否则结果有了,也一定可以呈现过程。而在绩效汇报中,很多企业里安全在it的绩效汇报里也不是特别好汇报,可以考虑长期一个模式来评估汇报,这样可以形成一个宣贯和认知的过程。
Q:指引中还有要求不得使用风险不可控的开源软件,感觉这个只具有理论上的意义,在log4漏洞出来前谁知道这玩意有大问题。
A:别用老外的,用国内大厂的开源,出问题可以甩锅就行。
话题二:《关于如何更好地呈现红蓝对抗价值的思考》一文中,红队攻击时,需要考虑TTPs的覆盖面吗?
A1:可能解释不对,尝试按照我的理解说一下,华为AV钓鱼总是覆盖TTPs。
这样数据化之后,很容易知道蓝军的攻击短板在哪里,然后可以针对性地增强攻击手法和覆盖度,并且最终实现红军的检测能力提升。
A2:思路很好。但需要考虑到,能做到这种数据化的甲方,需要有雄厚的财力物力和较长时间积累,才能攒到这些数据。在这个积累数据的过程中,我会先把“防守短板”展现为“重复犯错的点”,重点修复、逐步推进。
再比如钓鱼,c2通道这些手法,基本属于防不胜防,无药可治,我会将已知手法列出。如果这些没防住,我就是重复犯错,如果新手法没防住,属于可接受,如果新手法挡住了,属于加分项。本质上,还是避免重复犯错。
另外我也琢磨这么好的方法论,怎么在投入没那么大的甲方能落地?
A3:一般能去做红蓝对抗这种“内耗”的公司,一定是觉得自己很重要、漏洞扫描不够深、不想再听“发现n个漏洞”、想知道“然后呢”、想要体系的方法论、常态化地独立检验安全水平到底怎么样,才会投入资源去做蓝军。
投入没那么大的就别搞红蓝对抗了,真心话。效果远远远远不如参与国家级攻防演练。头三次蓝军也许还能发现不足,后面就沦为做背书了,虽然也不是不行,但得到的结果一定会和目的相悖。毕竟,只嘴上说,不投入资源,属于在外面听了些吹牛,我们也想要,但是不知道代价,最后只能被打脸或者被市场教育。
A4:鸟哥的理解就是我想表达的。这一套分析量化方法论我已经在内部实践并运作了快两年了,效果还是很不错的,既能较具体的呈现比较深入的问题,也可以为蓝军的技术发展指明成长的方向。想要建成这一套体系,有几点非常重要,一是红蓝对抗的报告的专业性和标准化;二是内部攻击ttps矩阵的建立;三是持续的量化分析流程的建立,也就是红蓝对抗中蓝军数据分析和运营。如果这三点要求能满足,还是可以构建起初步的量化分析能力,有了这个量化数据,不管是差缺补漏还是技术发展,亦或是价值呈现都可以随之产生,而且比较有说服力,不是拍脑袋决策的。
A5:牛,有了这套指标不仅仅可以增强蓝军的技能和TTPs分布,不断提升自己的覆盖度和短板,知道自己蓝军的未来提升方向还沉淀了数据,同时又能给红军指引防御覆盖,估计你们内部有一套框架了,堪比ATT&CK、Cyber Kill Chains的,估计你们的云攻击矩阵也很完善了。期待公开的那一天。
Q:补充提问,当钓鱼、web漏洞总能拿出成果时,凭据管理还在建设,或者一年半载解决不了未授权访问问题时,还需要追求覆盖TTPs吗?看文章感觉对ATT&CK做了适当裁剪,而我的疑惑的本质是“分母是什么”?PDCA能解决怎么办?
A:可以当作牵引方向而非考核指标,attck在这里只是充当一个根因分析的模型,如果你内部有自己的攻击知识库也可以采用,不用拘泥于attck本身。文中的飞轮也可看作PDCA,万物皆PDCA。
0x2 本周精粹
休刊
0x3 2022年第5周运营数据
金融业企业安全建设实践群 | 第133期
本周群里共有 256 位群友参与讨论,群发言率为59.95%,群发言消息数为 1821 条,人均发言数为 7.11 条。
企业安全建设实践群 | 第58期
本周群里共有 149 位群友参与讨论,群发言率为32.18%,群发言消息数为 264 条,人均发言数为 1.77 条。
0x4 群友分享
【漏洞情报】
【安全资讯】
--------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
员工被公司盗号邮箱钓鱼后的个人经济损失处理、员工行为风险预警合法性暨交易数据加密存储解决方案探讨 | 总第132周
红蓝对抗服务之攻击队约束条款、业务首次上云避坑讨论暨sudo账户管理问题 | 总第131周
从CMDB到SCMDB,安全资产管理的实践探讨以及向上管理艺术之如何有效争取资源 | 总第130周
网商银行安全可信纵深防御框架实践落地,爬虫违法与否,数据泄露应急预案编制及Web应用网络安全架构设计探讨 | 总第129周
如何进群?
如何下载群周报完整版?
请见下图:
原文始发于微信公众号(君哥的体历):关于上海首份《企业数据合规指引》建议企业数据合规由合规部管理的探讨暨红蓝对抗价值呈现的思考 | 总第133周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论