肖寒
80后信息安全从业人员,现职于某上市制造企业,信息安全及IT掌门人,负责企业IT及信息安全的建设、运维和管理工作。对信息安全、安全大数据分析、项目管理、运维管理、数据治理、零信任、新技术开发等领域有深刻理解及丰富的落地经验。
“初来乍到”
对于做过信息安全负责人,也做到了信息化负责人的我来说,最让我记忆犹新的事情,却是每次换工作后,刚入职时候的忐忑与兴奋,以及怀揣压力和挑战的起步阶段(的事情)。
两次从零开始的信息安全建设工作,让我收获了更多的经验(10年)。
目前,公司的信息安全刚刚起步,各项工作还是要靠大家。你们前面的池子很大,鱼很多,挑战也很大。还望各位做好准备,拿好网子,开始捞鱼。这个过程没有人能够帮助你们,都需要你们自己一步一步走出来。
”
包含着领导的要求、建议和期望的话语,时至今日依然环绕耳畔。时刻提醒我:
我们入职的初衷是什么?
扪心自问信息安全建设过程中遇到的挑战与问题都解决了么?
老板的要求/公司的目标都实现了么?
……
“捞鱼”
是一个需要技巧的过程
相信,很多同仁曾与我有同样的经历,陌生的环境,一切从零开始。除了知道自己工作的工位与厕所的距离外,其他事情一时间还不知道从何入手。但是很快领导就关切地慰问:
——“最近你都在忙啥?!”
——“…………”
说说我也走过的弯路:
例如:“努力”想了解公司网络、服务器、域名等资产情况。
第一步,找网络负责人要个拓扑图;
第二步,再找服务器管理员,要一下服务器相关资料,顺便Nmap一下;
第三步,再找业务部门要一些资料;
第四步,自行扫描走起。
——心态:“交差指日可待!”
——OR——
我负责安全,所以:
第一步,先找个乙方,做个渗透(资产梳理+发现漏洞);
第二步,发现问题,解决问题,修复漏洞,加强整改(或 成本投入);
第三步,………………
经验告诉我,除了得到标准答案:“你说的资料我们没有!”,或者得到的另一个结果就是“树敌无数”。
现在回想,其实道理很简单——【没有免费的午餐】。我们不能一上来就像个巨婴一样的只会索取,应该切身处地的想清楚,首先我们当下能给各部门及同事提供哪些支持与帮助。
技巧01
可以先从了解公司组织结构做起
了解当前企业的组织结构是很有必要的。拿IT部门来说,一定会有做网络运维的同事、做数据+服务器管理的DBA、做应用及业务开发的同学、做业务分析的BP、做项目管理PMP 等等。
a)先了解哪些部门跟自己的工作紧密度高,了解他们的日常工作都是如何开展的;
b)部门核心数据(业务数据)有哪些,在哪里存储,在哪里被使用,又是如何进行的传递,等等。
c)了解各个岗位对于信息安全的理解及需求程度如何。例如,通过访谈,或配合处理问题,理解对方的工作内容、工作方法和安全意识。
PS:如果有领导带着你,那就事半功倍了!
感悟
依照我多年的工作经验来看,其实大家(工作/合作伙伴)对于信息安全的理解能力和认知真的都很多不错的。反而对于我们这些“新人”来说,去理解企业特有的“土办法”(安全管理状态),是“初来乍到”的第一课。
虽然我来之前企业没有信息安全经理,也没有完善的信息安全类管理制度,但是大家还是可以按照基本素质,低风险的处理数据和汇报工作。
例如,机房环境简陋,甚至没有门禁,但是管理员进出机房依然会按要求填写日常运维小本本;系统管理员的安全意识也很高,密码复杂度很高,开发虽然没有受过安全的专业训练,但也知道一些基础的符号检验机制,也落实了部分数据传输加密机制和存储加密工作。
所以,沉下来少说多做,先了解对方的实际情况,再结合相关的安全场景,基于我们能够提供的技术或者制度予以帮助,这也是获取彼此信任的最好方法。
技巧02
主动了解网络结构
了解机房在哪里;我们用了哪些服务器;都是什么样的操作系统(是Windows多,还是Linux多);有哪些网络设备及安全设备,及是如何分布的;有哪些特殊场景或需求,如 SSLVPN 的外部访问需求、IPSEC VPN组网需求、混合云的数据访问需求等等。
比较直接的方式是,打开FW配置,看看比如:网络总体架构及区域划分情况;网络IP地址分配情况;是否开启了7层安全防护;不同区域的访问关系;一些核心业务系统的前后台结构 等等。
还是那句话,少问多看。当我们自己能够画出一整套“模糊”的拓扑图的时候,咱就可以开始忙活了。
比如,申请一个(any to any的)IP,用Nmap扫描下看看,公司需要保护的那些可爱资产的具体情况;或沉下来,想尽一切办法,一遍遍的丰富自己的拓扑图、服务器列表、各业务系统之间的访问关系、访问控制逻辑颗粒度 等等。或许这时候,已经有一些敏感数据来到你的面前了,比如:AD在哪,445端口开放情况,3389和22端口情况,80和443端口多不多,甚至Tomcat、Apache、Struts2、Oracle、MySQL等都让你捞到了。
当然这些信息的获取,没什么沾沾自喜的,因为其实除了我们之外,其实运维人员、网络人员,甚至我们的领导心里其实都是有数的。这个过程只是我们快速需要弥补的内容,说白了我们做安全的到此时还没啥价值体现呢!
技巧03
账号梳理+业务结构图
除了上面工作的积累,实际上我们还应该更努力的去理解业务。因为,业务离不开系统,更离不开账号管理,先弄明白哪些账号是我们自己公司内部的,哪些是对外提供服务的,账号+系统+人的关系。还要去了解,这些账号又是被如何管理和使用的。
笔者经历如下:
还记得刚入某公司时,刚好账号管理的工作变更后放到信息安全这里,于是乎查我们内部【简单】做了一下AD账号管理,也顺便看看公司(当前及离职)账号的管理现状。这一看不要紧,居然发现有离职人员未及时关闭的账号;有弱口令账号;甚至有还能登录SSL VPN的离职账号,OR 有能登录一些业务系统的离职账号……
所以,IT快速相应——【及时发现,及时处理】。经过半个月的努力,消灭僵尸账号XXXX个,一下子收获了领导信任,也算走出了第一步。
顺带着,在获取了一些基础业务系统信息的同时,就可以开始尝试手工测试一下我们相关业务系统的强壮程度问题。比如:有没有密码尝试次数锁定机制;有没有启动HTTPS访问加密或明文传输问题;有没有日志(例如:登录类、操作类) 等等。
总之,在被授权并最小尝试次数范围内,我们依然可以通过自身的硬实力去逐步了解每个业务系统的安全现状,顺便(条件允许的话)也可以去问问相关开发人员在某些代码方面的安全防护配置和实现逻辑。
技巧04
了解企业当前安全类管理制度发布和执行情况
其实很多企业,都有包含信息安全要求的基础制度,比如人力发布的奖惩类制度、行政发布的电脑管理办法、IT发布的IT管理办法等等。只不过全面性+完整性远没有达到认证或者落地的要求。
所以,笔者建议,大家不要随意的把自己手里的“干货”直接拿出来试运行。风险很高的。很多部门会问”你了解我们行业么?" "了解公司实际业务情况么?" "这些文件通用性太强,很难落地!" “我们没有这些XX技术手段,这些制度怎么落地” ……
而且,当我们认真阅读足够量的历史制度后,我们会发现,其实很多企业的制度内容虽然不全,但是落地性还都不错。
所以,大家想做好制度管理工作,其实与我们自己懂不懂等级保护、懂不懂ISO27001、懂不懂各类法规内容,没啥关系。公司对我们的要求,一直都是,制度应该【落地】【落地】【落地】。
笔者建议:大家想启动制度类工作的话,应该先从阅读做起。了解当前公司的制度(尤其是IT管理、信息安全类的)内容及落实情况,日常管理工作中的薄弱环节,以及找到当前工作执行方面的痛点问题。
比如:信息分级分类管理工作执行的怎么样?资产管理工作执行的怎么样?服务器维护管理工作(采购、基线、杀毒 ……)的执行情况?等等。
找到突破口,立项、撰写制度、执行、整改、落地。同时,我们的内心也要做好准备,因为各种制度评审(挑毛病)的事情肯定少不了,甚至还需要我们与各干系人(尤其是领导)不断的解释+编辑整改(被咬文嚼字+吹毛求疵)。这类工作难度系数颇大,笔者有认识的同学,就因为搞不定这个事情,最后感觉憋屈,离职了。
所以,一定要认识到,很多工作都是双刃剑,处理不好关系和成果,我们的 “捞鱼”工作,就会胎死腹中。
【首篇文章】就先写道这里,感谢大家的阅读、支持与分享。我们下篇文章接着聊。
原文始发于微信公众号(火线Zone):企业信息安全建设实践之路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论