2020安全工作展望

一、回顾2019，网络安全方面有几件事值得记录：

1、HW行动。讲千遍不如打一遍，HW行动解决了安全工作很难做&长期存在的两个问题：

• 安全是隐性，而非显性。安全是隐性表现在：被攻击了不一定自己知道，数据被窃取攻击方不会到处宣扬。安全性不像可用性一样即时获得损失结果。

• 安全是低频，而非高频。即时在金融机构一两年内也很难发现一起有组织，持续时间较长，且针对特定目标的攻击（更不要说是高级手法），无差别攻击、漫无目的扫描等除外。

HW行动有效的将安全从隐性变成显性，低频变成高频。

聂君

备注：

• 任何事物有利有弊，谈了HW带给企业的收益，不意味着HW没有后遗症。
  

• 这里说的低频高频，不是指金融机构遭受的安全攻击全量，只是指被发现的攻击，谈水面之上的安全攻击才能让高层感知和重视，水面之下的安全攻击由于未掌握信息太多而无法形成有效的案例材料。

2、伴随等保2.0、两高《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（法释【2019】15号）的出台，将2019年一系列法律法规监管规章推向高潮。2019年包括数据安全、APP治理在内的一系列监管层的动作，颠覆了我们传统的安全合规的认知。传统认知里，安全合规、安全流程、安全审计是面子，是底线（底线的本意是最低要求，但实际执行中变成优先级最底层），过得去就行。但现在不行了，“拒不履行信息网络安全管理义务罪”、“非法利用信息网络罪”、“帮助信息网络犯罪活动罪”，主观明知可推定，不是你说不知道就可以免罪，让你逃无可逃。

过去的安全检查，基本上是来几个人，看看制度，查查执行记录，上几台机器验证一下，合规成本可控。即使是号称专业的四大的年度内控审计，基本套路也是检查制度和流程、执行记录，然后抽检式穿行测试，发现问题基本靠运气，而且貌似他们比你更不希望发现问题。

现在的安全检查，监管机构越来越实战化，非现场监管直接对接系统取数分析，上来就看事件管理平台和漏洞管理平台，邀请国家队远程渗透...

可以预见，安全合规成本将进一步大幅上涨。

参考材料：两高《解释》令互联网江湖闻风丧胆，如果读不懂这个新规，一不小心就犯罪了

二、过去的一年，也看到一些有意思的变化

第一个是领导重视了。受益于多方的共同努力促进，甲方企业高管们开始真正重视网络安全了，无论是主动还是被动。之前似乎很多人都喜欢把“安全”挂在嘴边，但很多时候，却没有把这份所谓的重视，落实到具体的工作任务、流程和人的身上。更多的企业是：说起来重要，做起来次要，忙起来不要。但最近趋势越来越明显，领导真的重视了，体现在给人、给预算、给政策支持，甚至和安全团队一起制定规划，督促执行。

领导的重视是一把双刃剑，真正重视了，工作好开展了，但要配合公司的战略、科技规划，确定未来三到五年安全工作目标，制定配套的整体安全规划，确定重点项目和关键动作，找到合适的团队成员，配上资源，拿出强有力的执行力去推进落实。领导真重视了，不能和领导在一个节奏上，拿不出好的规划，不能有效的落地，那领导的重视就是巨大的压力。

第二个是实战化了。不论是HW、红蓝对抗，还是安全运营，哪怕是安全意识培训都在谈实战化。最近几个甲方邀请我去评估他们三年规划时，明显看到了实战化安全项目增多，这也是头部之外的甲方安全企业开始转向真正务实的安全工作风向标。

三、2020年展望之甲方安全关注技术点

1、安全运营

现在无论甲方还是乙方，不谈点安全运营，好像都不好意思说自己是搞安全的。Gartner有个技术炒作曲线能够很好的解释这类群体艺术行为，目前安全运营还没到炒作高峰期。显然，很多连安全运营的定义、目标、工具、SOP、有效性验证、复盘标准、矩阵式监控、度量指标等等一系列安全运营关键内容都没想清楚弄明白，只是把原来的安全建设维护工作往安全运营概念里装，未免有些指鹿为马。

关于安全运营的整体建设思路，参见2016年文章：金融行业企业安全运营之路

关于矩阵式监控确保安全有效性思路，参见2017年文章：企业安全建设之矩阵式监控提升安全有效性实践

关于漏洞扫描运营的思路，参加文章：漏洞扫描的一些运营常识

更多安全运营具体内容，本号后续会陆续推出。

判断甲乙方谈安全运营是否在线，一是看是否关注覆盖率、正常率两个指标。很多安全措施，离开这两个指标谈效果都是比较扯的。

我判断一家企业甲方安全是否务实，就是看安全措施的覆盖率和正常率，有没有到一个比较高的水位。随着企业安全运营整体水位的不断上升，安全运营度量指标会不断增加和提升；二是看是否有验证思路，即能否在一定时间内主动发现安全措施失效。这是决定一家企业安全运营水平的关键点，目前看大家研究的不多，可能大家还没有发现它的价值，或者说还没考虑到这方面。

目前企业做安全运营，普遍还在：

i、建设安全大数据平台上（换个名字叫SOC、态势感知都可以）。这个平台要解决两类需求：一是实时计算和规则匹配的易用性问题；二是历史数据查询和模型计算的性能问题。很少有同一套安全大数据平台能将两个需求完美解决的。

ii、异常检测规则（UseCase）。无论叫检测规则，还是安全场景，大家在这方面都还处于积累经验阶段。特别是根据一些新兴实战化检测技术的发展（如EDR、东西向流量检测），研究出可运营的检测规则。另外对于检测规则的制定和上线流程标准化、可运营标准化等的研究也是热点方向。

目前制约安全运营发展的最大因素有两点，一是没有特别好的商业化工具，能够结合企业内部的流程和人员，提高安全运营效率。二是一万个安全负责人心中有一万个安全运营，打法思路各异，没有形成统一的安全运营标准。

我和几个朋友正在准备《企业安全运营建设之路》一书，2020年出版，希望能给安全运营贡献绵薄之力，敬请期待。

聂君

2、安全资产管理

经过HW的被动教育，很多企业开始重视安全资产管理（S-CMDB）。运维团队有CMDB，设计之初最主要目的是做变更影响分析，因此安全属性的管理并不在CMDB的核心功能之列，所以越来越多的企业会建设S-CMDB来加强安全资产管理。其数据来自于五部分：

i.CMDB。基础信息如IP、所属系统、负责人等需要从CMDB中同步过来，但要注意这些数据可能不全、不准、更新不及时。

ii.主机上数据。比如HIDS就是很重要的安全数据来源，可以让安全团队很快的获得服务器资产上安装的软件、中间件和版本、补丁安装情况等。当出现1day进行漏洞应急时，这部分数据就特别有用，能让安全团队的响应和排查时间缩短在分钟级别。

iii.流量。通过流量监听，能否发现很多安全资产属性信息，比如未登记的IP、管理后台等。

iv.扫描。通过扫描，能发现未登记的资产信息，以及资产的漏洞信息等。

v.人工添加。比如每次应急时，将发现的未知资产和资产属性信息不准确的人工更新到S-CMDB中。

需要重点关注哪些安全资产信息？

a.按资产所属纬度梳理

互联网资产、分支机构资产、子公司资产、外联公司资产、公有云资产、开发商、外包商。

容易忽视的有：

• 公有云资产。因为有的业务部门和分支机构公有云申请都不经过IT部门，上面却放了大量业务数据。

• 开发商/外包商的资产。开发商/外包商一般给甲方外包开发信息系统，开发商/外包商公司内部也会自建Git/SVN等源代码管理服务器，存有已经交付给甲方的信息系统源码，而开发商/外包商的源码系统管理安全能力和甲方相比可能就差几个量级了。后果就是：通过获得的源码，发现系统应用0day，从而控制甲方已上线信息系统。
  

b.按资产属性梳理

特别关注资产的安全属性：中间件或框架（版本）、开放在公网API接口（特别是未下线的老接口、有用户名和密码认证的接口、有敏感信息的接口）、管理后台开放在公网、高危功能（文件上传点、短信验证码、重置密码、文件下载）、远程接入点（VPN）、特权账户（应用管理特权账户、应用连接账户、系统管理特权账户、可以修改账户权限的账户、备份账户、高管层账户）、网页回显信息含内部IP地址或敏感信息等。

c.资产梳理中容易忽视的点

   1、所有内部文档服务器上（含OA、邮件系统、jira、wiki、知识库等）敏感信息清理或限制访问权限，不要有：网络拓扑、安全防护方案和部署位置、各类密码；

     2、资产管理平台上，蜜罐不要叫蜜罐、安全设备IP要隐藏；

     3、各类口令：弱口令、默认口令、已泄露口令。

3、其他关注点

甲方安全关注的其他技术点还包括：数据安全、终端安全、SDL、服务器安全、邮件安全、上云风险和控制、API接口管控等。每个技术点都值得展开细细讲，留在以后的交流分享中。

四、2020年展望之关注“人”的需求

有两个值得关注的点：

1、2019年各类安全培训开始热起来，特别是针对甲方安全从业人员的红队攻防，根因在于之前的安全是合规驱动，所以大部分培训讲的是CISSP、CISA、ISO27001等认证培训，现在是实战化安全，大部分甲方安全从业人员很多攻击方法没有见过，再学习攻击成本和能力有限，那么通过付费培训是最好的路径，培训效果因人而异，大部分培训过了就忘。2020年应该会出现更多针对各类攻击如何进行基础防御、安全检测的安全培训。

推荐一下OSCP这个认证。

2、塔基的安全从业人员奇缺

安全归根结底还是体力活。懂攻击，能提炼异常特征，工程化防护和检测，并有效进行运营的人才是甲方安全人才的塔尖，注定不会太多。塔基的安全从业人员，具备一定的安全基础知识，1-2两个领域安全专业知识，有安全运营的基础理念，具备往更资深安全专家方向发展的从业人员非常欠缺。我所知道的几家银行和一些传统企业，大领导重视安全后，动不动就给30、50甚至过百的安全编制，甲方安全负责人不可能从市场上同时招聘到这么多人，那么招一些应届生，或安全工作经验不足2年的人，然后送这部分人接受甲方安全建设实践培训，快速提升安全从业知识和实践技能，会是不错的选择。

五、2020年展望之行业

1、甲方安全团队组织架构会发生剧烈变化，安全团队能否承受变化。

大行、股份制银行会设置安全处和风险处负责安全。最近欣闻某大行成立安全运营中心（二级部），负责人为一级部门副总或总助级别，安全人员编制也大幅度增加。去年某股份制银行也成立了安全运营中心（二级部），不少股份制银行纷纷扩大安全人员编制，一次性增加30、50甚至过百的安全编制。这种剧烈变化，是企业为适应整个网络安全大环境变化下的主动变化，未来越来越多的银行，以及其他企业跟进。

这种变化体现了企业高级管理层为解决传统安全问题，选择从组织架构入手，牵一发而动全身，抓住首要关键问题的高瞻远瞩。但在成立了安全运营中心，人员迅速扩编后，原有安全团队能力和视野格局等，能否承受变化，迅速响应高级管理层需求，从而在剧烈变化中站稳脚跟，需要早做准备的。

2、甲乙方相处之道。

甲方50%工作都不是技术，和乙方没太多关联。很多乙方会有一种感觉：甲方在瞎忙。甲方会有一种感觉：乙方懂啥。乙方尽量协助甲方完成：

• 安全推动：产品设计提供更多免费的胡萝卜

• 安全总结和汇报：增强安全团队业绩、提升安全团队地位

• 团队管理：如何设置合理的安全团队组织架构

• 人员招聘：帮助甲方招聘到合适的人选

• 厂商管理：尊重甲方的安全要求，产品尽量没有安全漏洞

• 产品选型：差异点和亮点，安可，替代

• 知识更新：开展培训，培养拥趸

• 安全审计：低成本合规

• 安全预算和费用：投资和费用，两者条件下可转换

• 公共关系管理：共同维护

• 甲方安全观念需要行业一起促进

不同阶段的甲方，对乙方的需求也不同：

1、行业头部：自身能力建设很强，和乙方合作，名为主。包括：专利、软著、代码开源、课题研究、联合申报奖项。

2、中部：向头部看齐。将头部的成熟案例复制。

3、尾部：标品，不追求最好最新，要求稳定。出事对内能赔礼道歉、对外和相关机构保持沟通畅通。

安全运营很重要，一旦建立优势，将成为壁垒。安全卡位也很重要，很多领域已经分配好了。

老板们关心被监管约谈、关心被公安抓，关心财务损失、关心公司奖金被扣，关心业务不能做。

某公司CSO

本质上，成交是基于真实价值的等价交换。

以下都可能是乙方价值点：

• 解决问题，带来价值；

• 比的是投入度，小厂商未必输

• 单一来源的集中情况

• 好的销售和售前（写文档、调动资源）

• 各自的专业，相互成就，最好的商业关系

甲方反对什么？

• 到处乱吹

• 产品问题、用户买单

      一锤子买卖（并列第二）

• 风险：不合规、不解决问题、

• 低价策略

• 低级错误（文档、标案）

• 全盘接受需求（但又实现不了）

• 内部不同声音

• 其他（只走上层路线，不管底下技术人员）

3、安全黑天鹅事件越来越多

不论你怎么做一个详细的安全规划，日常安全运营做了多少工作，尽心尽力，还是难以避免安全事件发生。安全往往是事件性的，很可能你什么都不做，但一年都不出问题；也可能你花了很大力气，花了很多钱，却还是问题频出。所以我们很难用单一的事件性指标来衡量安全做的好还是不好，到最后就变成了拼运气。

讲个真实的段子。2010年1月12日，百度域名DNS解析被篡改，导致百度长时间无法访问。事件发生后，我在银行时的团队也评估了自己的DNS域名解析被篡改的风险并上报领导，领导大吃一惊，原来科技部门拥有唯一可以瞬间让全行所有业务中断不可用的能力（风险），赶紧让安全团队想办法解决。这是我作为安全人，第一次认识到可能发生的安全黑天鹅事件。

安全黑天鹅事件将越来越多，同时也要防范灰犀牛风险。

最后，2020年即将到来，衷心祝愿全体安全人：

1、保重身体，多运动，保持好情绪。归根结底是要自律。

2、更加进取，少做无用功，多做有价值事情。

附注：

• 聂君，信息安全从业人员，十余年金融行业信息安全从业经历，默默无闻。好读书，不求甚解。性格开朗，爱好足球。

• 本订阅号文章是个人对工作生活的一些体验和经历分享，站在不同角度和立场解读会有偏差，见仁见智，不求正确统一，但求真、善、美。