注:本文以问答的形式来形成这份“中小企业及创业公司信息安全建设指南”,文中探讨了信息安全之于公司发展前期、团队建设、安全运营阶段及安全价值的各方面问题,助力企业做好信息安全建设。
一、公司发展前期
- 一家公司从什么时候起,应该研究建立信息安全部门?
几乎所有的大公司都经历过从弱小到强大的过程。在存活阶段,只有先活下去才是最重要的,信息安全什么的实在不应该奢望。但对于老板而言,到底应该在公司发展到什么阶段时,研究建立专门的信息安全部门呢?我觉得可以考虑如下几点:①已经有了实际的攻击事件;②公司已经进入了监管视线,会接收到监管指令;③公司在对应领域的市场份额快速增大;④通过IT策略来进行安全隔离和能力部署已经到了瓶颈;⑤已经有了比较明显的竞争对手;⑥内部员工增多,人员素质开始难以把控,且随着团队的增加,出现了部门墙;⑦公司已经基本度过了存活期,或者相对来说比较有钱。
当然,在建立专业的信息安全部门之前,一家初创公司也不见得什么安全能力都不存在,一般来说可以先让IT部门来承担一定的信息安全工作职责,譬如:员工权限管理、内外网的环境隔离、办公-开发-生产等环境的隔离、防火墙杀软的基本配置、运营与管理、一些基本的安全设备或软件的常态化安全运营工作,甚至对于部分业务复杂度低的公司,还可以招募1到2名渗透工程师到IT团队,来承担一定的产品渗透测试和网络渗透测试工作。
- 一家处于存活阶段的公司,要考虑信息安全吗?
答案是肯定的。越是弱小的公司越经不起大风大浪,很可能一次较大的信息安全事件就把公司干倒闭了。譬如Kaspersky发布的《勒索软件报告》中有提到:40% 的小型企业表示,如果遭遇勒索攻击而无法恢复数据,可能会导致其难以继续运营。
但小公司可能连盈利都达不到,是养不起专业信息安全团队的。所以最好的方式就是:向安全乙方厂商购买安全产品和服务。一般来说,定期的渗透测试是必须的,这个时间周期可以根据产品迭代的频次而动态调整,但一般建议最长不要大于1年,按季度为宜,按月亦可。而且建议跟购买安全服务的乙方工程师搞好关系,因为他对你公司使用的技术栈、组件、中间件、服务等都很了解,以便及时获悉零日漏洞资讯,或者干脆花点小钱来购买相关威胁情报服务。当然,自身的IT员工来关注所使用组件和系统的漏洞资讯亦可,这些资讯在各组件的官方网站或下载渠道都会公布。此外,终端安全防护和边界安全防护也有必要性,应按需采购。
我这里随意列一些安全乙方出来,可供安全服务和能力采购时参考:奇安信、深信服、天融信、绿盟科技、启明星辰、360、安恒、长亭、知道创宇、华顺信安、亚信科技、北信源。排名不分先后,而且也不保证齐全,不过这些公司的安全能力、产品和服务都是很好的,对付小公司是游刃有余。当然,联系到安全销售时,他总是想把各种各样的东西卖给你,你有一万的预算就能花掉你一万,你有一个亿的预算他也能花掉你一个亿。所以,选择适合自己的最重要,不要追求所谓的极致的安全。极致的安全是不存在的,只要能大体上控制好资产暴露面的安全风险就好。
- 安全就是为了防黑客吗?
安全的防御目标之一的确是黑客,但却不仅仅是黑客。更准确地说,安全是为了防御影响公司正常运营的“威胁行为者”。而威胁行为者不仅仅只有黑客一种,还至少有如下几种:①企业的客户,譬如对于电商型企业,买家有0元购、薅羊毛、自动化抢购等,卖家有违规商品、虚假交易等,对于游戏行业玩家有使用外挂、非法交易、利用bug等;②合作伙伴,有广告欺诈、数据泄露等;③供应链,有商密、舆情、外包等风险;④内部员工,如违规操作、贪腐、内外勾结、安全意识不足、恶意破坏等;⑤黑灰产,如虚假注册、经营数据爬取;⑥监管机构,如等保、关保、数据出境、合规风险等(更多参见:break.jd.army,BREAK业务风险枚举与规避知识框架)
所以,企业并不是终端安装了杀软、云端上了防火墙就万事大吉,要做的安全防护还有很多很多。不过,这些事情也并不需要在第一时间全部防护到位。对于企业而言,应重点关注“灰犀牛”事件,待此类事件防护得差不多时,再去研究解决“黑天鹅”事件。
在面对信息安全时,不要有侥幸心理。问题不在于信息安全事件会不会发生,而在于什么时候会发生。这个时间其实也是能够猜测一二的:一般来说,当企业业绩突飞猛进,营收或市场份额大幅增加,老板、合伙人和投资人都挺开心时,那么离信息安全事件发生就不会太远了。
二、团队建设阶段
- 信息安全团队怎么来建?
首先肯定是要去找一个很有经验的人,这个人不见得就是某个公司的信息安全一把手,但一定是有很见识的,即便没吃过猪肉,但也见过猪跑的那种。可以依葫芦画瓢地参照着之前的经验把公司的信息安全能力建立起来。
非常不建议直接招大厂的一把手、二把手这样的角色,一是这部分人实在是太贵了,二是也非常地能花钱,可能已经不记得该怎么精打细算,当然对于“暴发户”公司除外。此外有部分此类人也存在眼高手低、金玉其外等情况,虽然可以把事情说得头头是道,但这也是在大公司的典型的向上管理技巧,很可能本身的落地能力极差或所讲的事儿根本就虚无缥缈、缺乏落地能力。
最好招那种还没有完全脱离安全生产,具备实际上手能力的人来做一把手。面试时可以问问:你除了管理之外,还编码吗?或还做渗透测试吗?或还做实际安全运营吗?以此来评估上手能力。
在选择有限的情况下,招募安全乙方的一些渗透测试工程师,也是一种比较务实的选择。虽然有可能这类人因见识有限,未必会有非常高的安全视野和格局,但对于初创公司来说,应付个一两年还是游刃有余。而对于优秀的人来说,一到两年也应该有了较大的成长和格局提升。如果实在是资质差,到时再招个能力更强的负责人也不迟。
- 如何评价安全负责人的能力?
我认为,安全负责人的第一能力是:能跟不懂安全的老板把安全给讲清楚讲明白,可以辅助老板进行安全方面的相关决策。所以,但凡每天跟领导拽名词、拽英文、拽英文缩写、拽方法论的,把老板搞得晕头转向、云里雾里的,那么不妨换个人也罢,何必招个爷来天天难为自己?
当然,作为公司的老板,也一定要有一个客观的认知:安全不是银弹,解决不了所有问题。能解决燃眉的头等大事就行了,而且未必能保证100%解决。在信息安全领域,要记住:不要讲绝对。因为信息安全领域根本就没有绝对,也因此应该保有更大的宽容和理解。要允许信息安全出事和犯错,尤其是出小事,犯小错。但不应该允许同样根因的事情,三番五次,一犯再犯。这就不是客观的问题,而是能力或态度的问题了。
- 安全能力建设更应该系统化建设还是“头痛医头、脚痛医脚”?
如果“系统化安全能力建设”和“头痛医头、脚痛医脚”只能任选其一的话,我是倾向于头痛医头、脚痛医脚的。老话讲:远水解不了近渴,皮之不存毛将焉附?等信息安全按照系统化的方式建立起来时,可能公司都早已经死掉了。
如果安全负责人没有将公司和业务现阶段面临的问题作为工作重点,而是大谈特谈安全发展、安全体系、安全系统和安全规划,那么就是一个十足的空想家,是完全不称职的表现。不过,也不能只是“头痛医头、脚痛医脚”,一名合格的安全负责人应能够深谋远虑,具有长远的规划能力,可以走一步、看两步、想三步。能够在充分解决现有问题的同时,进行一些安全能力布局和铺垫。有这种能力的人,会在安全建设和运营过程中,将对业务的打扰及业务反感度降到最低,安全的路是越走越顺的。反之,会激化安全和业务之间的矛盾,安全能力和运营的推进会步履维艰。安全不是在助力业务,而是在束缚业务发展。
- 在有了信息安全团队后,安全能力都需要自研吗?
答案必然是否定的。即便对于目前的国内大厂,也不是所有的安全能力都是自建的。一般来说,更贴近于业务化的、个性化的、涉及业务敏感性、随着公司拓展会严重增加采购成本的安全能力,从效率更高、成本更低、更适应业务需求等方面来考虑,可以自研为主。而通用性的、需要大量人力物力进行长期维护和信息采集的、需要常态化能力运营、分析和对抗的,譬如杀软、NIDS特征库、威胁情报库,则采购安全乙方的产品更佳。
此外,一些严重依赖对抗性来实现安全防护的能力,譬如:代码加固、图形验证码等,会存在一家攻破、处处沦陷的情况。则应在对应业务发展起来后,从安全能力采购转换为自研,以防止城门失火、殃及池鱼。
- 安全到底应该养多少人才够?
安全人员从整体上来看,应分为“安全能力开发”和“安全能力运营”两种岗位。安全能力开发又分“能力研发”和“能力集成”两方面,安全能力运营又分为“事件运营”和“能力覆盖运营”两方面。安全到底要养多少人,要从成本结合必要性的角度来衡量。对于大部分公司来说,最开始是不需要能力研发的,但能力集成是需要的;事件运营可以采取乙方代运营的方式,但能力覆盖运营是需要的。
所以从招人的角度可以按照:能力集成、能力覆盖运营、事件运营、能力研发这么个优先级来考虑。
此外,任何公司都会将“降本增效”作为一个重要的商业运营策略。如果自建能力更能实现降本,或更能实现增效,则就有自建的必要性。否则,应该从成本、效率和安全性之间进行必要的权衡。
- 安全就是修漏洞吗?
这个问题跟上面“安全就是为了防黑客吗?”是一类问题。修漏洞肯定是信息安全要解决的重要问题之一,但仅仅修漏洞肯定不能保证企业安全。一般来说,企业还应关注:风险控制(风控)、商密保护、数据保护、合规经营、内部审计、员工安全意识、依法打击等多个方面。
从实际的企业信息安全的组成结构来看,既有把这些安全因素放到信息安全部门中的,也有把这些安全因素剥离出来成为独立部门的。这里面并没有什么约定俗成的规定。作为公司的老板,只要你觉得合适,你就可以把风控和信安放一起,或把内审从信安中独立出来。有时这可能跟业务的重要性有关,有时跟信安负责人的能力水平有关,有时跟团队人数有关,有时跟企业架构层级有关。业务的隔离可以降低互相间的耦合,让专业的更加专业,也会增加沟通成本,让协同更加困难。这跟玩扑克时,“2”这张牌到底应该单出还是配着出是一个道理。
- 信息安全应该由哪些部门组成?
狭义来看,信息安全团队主要为了解决:漏洞、数据安全、信息安全合规、员工安全意识、业务经营安全等方面问题。为了解决漏洞问题,有的公司会成立一个团队去解决,有的公司会成立多个团队来解决,主要看业务和网络的规模而定,其中主要涉及:应用安全、网络安全、系统安全(基础设施安全)、安全运营、安全响应中心、漏洞管理与渗透测试、身份与访问管理等。数据安全主要解决数据合规和用户隐私保护等问题,通常是一个独立的部门,通过数据分类分级、数据加密、数据脱敏、数据水印、数据血缘分析等方式来解决,有些公司可能会把数据密态计算也放在这个团队。信息安全合规和员工安全意识一般并不需要太多人,所以单独成为一个大团队的概率不大,可以将他们放在跟解决漏洞问题相关的团队之中,也可以单独出来成为一个团队。
业务经营安全主要通过风控团队来解决,在有的公司是放在信息安全团队中的,有的公司则放在了业务相关的团队。这两种放法各有利弊,放在信息安全团队,那么团队的安全属性会更重一些,所以风控的能力会更强一些。不过,因为很多风控策略和能力是要跟业务深度耦合的,也需要对业务加深了解,所以跨部门合作会是一个大问题。所以有的公司会采取前期放在信息安全部门,然后在团队具备一定的安全专业性后,再整体转移到业务相关的部门。还有的公司会选择在信息安全部门和业务部门同时放置风控能力,以类似于中台和前台的方式来运营。
除了上面提到的,在一些公司发展到一定阶段,可能会选择成立高级安全研究团队和蓝军(红队)团队,前者的意义在于,可以提供更深度的风险洞察能力和创新性的安全防护技术,同时也可在企业商誉维护、影响力建设和人才培养和储备上贡献力量;后者的意义在于,可以从攻击者的视角对企业安全防护能力水平进行客观的评估和度量,一方面有助于企业发现自身安全防护上的短板,另一方面也有利于防止防护团队自我感觉良好和自说自话,降低黑天鹅事件发生概率。
三、安全运营阶段
- 安全什么漏洞都要修吗?
这个问题也可以换种方式来问:修复漏洞时都要考虑什么?
简单来说,考虑如下三点就够了:①漏洞杀伤评估;②漏洞修复难度;③漏洞利用难度。然后可以参照如下表格来定一个优先级,从优先级高的来修复。
漏洞杀伤评估 |
漏洞修复难度 |
漏洞利用难度 |
是否修复 |
大 |
大 |
大 |
可不修 |
大 |
大 |
小 |
应该修 |
大 |
小 |
大 |
可修 |
大 |
小 |
小 |
修 |
小 |
大 |
大 |
不修 |
小 |
大 |
小 |
可不修 |
小 |
小 |
大 |
可不修 |
小 |
小 |
小 |
可修 |
- 安全指标如何设定?
很多人觉得,给安全定指标可能会是一个老大难的问题。譬如,若以响应事件数量为指标,那没有那么多事件发生怎么办?以发现漏洞数量,那这个数如何确定?是多了还是少了?
我倒是建议可以以:事件发生率、成本、效率做为指标来综合评估信息安全的建设水平。安全的最终目的一定是为了降低坏事件发生数量或概率,那么这个就是最核心的指标,也是安全团队存在的意义所在。对于一支刚成立的信息安全团队,要求所有事件完全不发生是不现实的,可以以红色事件不能超过几次,橙色事件不能超过几次等来进行衡量。在此基础上,我们考量成本和效率,如果给安全无限的投入,让业务无限度的配合,那一定是更安全的,但也是最不可能的。所以,如何保持较高的人效比,如何更少的打扰业务就可以作为一个重要的衡量指标。譬如副指标1可以是维持安全人数与员工总数的占比不变,维持安全花销的占比不变等,副指标2可以是将对业务的打扰比值(业务投入在安全上的时间/业务投入在生产上的时间)降低等。
- 如何客观衡量企业安全能力水位,防止安全自说自话?
其实上面“信息安全应该由哪些部门组成?”中有提到,引入蓝军(红队)是一种很好的、客观衡量企业安全能力水位,磨练防护能力,发现防护短板,防止防护自说自话的手段。不过这个角色在信息安全团队发展的早期阶段不一定需要自己建立,完全可以从安全乙方公司来采购服务。
随着企业的发展,涉密的事情越来越多,安全团队逐渐壮大,根据实际需求,可以考虑建立专业的蓝军团队。一般来说,蓝军团队保持跟信息安全团队大概1/20的人员配比就好。这个团队建设起来后,不单单可以进行黑客的模拟(一般乙方服务只包括这部分),还可以进行黑灰产、内鬼、坏用户、坏供应商等多种威胁角色的模拟。而且除了模拟威胁行为者,还可以采用红蓝对抗演练的方式,针对红军的某项能力进行针对性对抗,以发现能力上的风险和不足。在企业发展到一定阶段时,建设蓝军团队很有必要性。
不过,蓝军在开展工作时,也会有问题。譬如,蓝军每次都打穿,那么红军的能力水平到底有没有提升?在这点上,我曾经开源了一个“红蓝对抗评分系统”(rtass.jd.army,红蓝对抗演练评分系统”开源框架、如何开展蓝军工作与量化评估),旨通过系统化的能力评价来解决这个问题。
- 安全的整体防御原则是什么?
安全业内人士经常吐槽行业的一句话是:安全界最多的是名词缩写和理论框架。名词缩写成千上万,安全人员自己也记不住、认不全,理论框架找出百八十个也不成问题。对于老板而言,只要知道安全防护阶段分成:事前、事中和事后,能力建设分成:防护、监测和响应即可。然后在安全防护的各阶段去部署对应的安全能力就好了。譬如:提前修复漏洞就是一个事前的工作,攻击事件的实时识别和阻断就是一个事中的工作,在事件发生后及时发现、恢复业务、消除影响、修复漏洞就是一个事后的工作。
至于到底用什么框架,其实更多讲的是:如何进行信息安全系统化、体系化建设。主要是为了让安全的各项能力充分联动,形成全方位、多层次、立体化的防护阵列,充分降低风险的同时,提升响应效率;强化统一管理和持续性改进的能力,满足监管合规要求和行业标准所需要的。
- 安全仅仅是安全部门的事儿吗?
安全是一家企业所有人都要努力的事儿。因为任何人在安全问题上都可能捅娄子,也都可能成为被攻击和利用的目标。安全上的所有漏洞和问题都是人类犯下的。提升每一个人的安全意识,是提升一家企业整体安全水位的重要保障。但安全工作本身是“反人性”的,因为它限制了人员的自由和便利性、增加了人员的心理压力。所以安全必然是一个自上而下的“老板工程”,应该让公司的每条业务线的Top级别领导去背负安全指标,否则安全的落实将存在很大的业务挑战和困难。至于是否应该让每一名基层员工来背负安全指标,反而不是最重要的,有也可,没有也行。一般来说,从安全的规章制度上来制定针对全员的奖惩措施并能落地,以及落实合理的安全通报机制即可。
四、安全价值
- 安全价值如何体现?
曾听说有一家公司的老板在某个管理会上,问他的安全负责人:“你们今年给公司止损、挽损了多少”,然后安全负责人说了一个数,老板说:“你知不知道,我养你们这一年都不止这么多”。从老板的这个认知来说,这名安全负责人是完全不称职的,因为他都没把安全的重要性跟老板讲清楚。
我们换一个例子来看,如果我们去衡量一个人身体中抗体的价值,那么会简单的把它标识了多少病毒作为指标吗?这不跟“扁鹊三兄弟的故事”一个道理吗?良医治未病。安全做得越好,就越能防患于未然,能够止损和挽损的必然越少。安全使得公司健健康康的存在和发展,这就是它的最大价值。如果公司没有了安全,就等于人身体中没有抗体,那么人……就死了,还谈个屁的标识了多少病毒?还谈个屁的止损挽损?你是否还记得为了得到抗体,我们从小到大需要打多少针吗?这些“疼痛”成本才换来我们的免疫。同样,安全也需要一些看不到水花的投入才能充分降低各种“坏事”发生的概率。
要以目的性的指标去衡量安全的价值,而不是过程性的指标,更不应该背离团队建设初衷,去过多考虑和追求非目的性的事。
- 安全与业务是一对儿天然的矛盾吗?
有人的地方就会有江湖。一家公司的两个兄弟部门,通常会互相看不顺眼。而这种情况在职能和业务部门之间则更加严重。
从下面SDL和DevSecOps这两幅图我们能看到,安全在力争渗透到开发流程的各个阶段。从需求设计、到开发测试,再到上线运营,哪个阶段都少不了。每个阶段耽误业务一点点,整体加一起耽误的时间就长了。业务就像戴着一副枷锁在干活,慢慢吞吞、束手束脚。他们眼中的安全就是指手画脚、凸显存在、没事找事、哪有事哪到。在这种情况下,安全与业务之间没有矛盾就怪了。
DevSecOps的安全介入业务流程
但为什么业务会有这种认知呢?说白了,还是KPI导向决定的。业务的KPI是快速完成产品,安全的KPI是不要出事。KPI是矛盾的,那么这两种角色之间就必然是矛盾的。所以,要想解决这个矛盾还得从根因出发,譬如让业务的KPI中带有安全的属性,让安全的KPI中带有提效的属性。这样不需要老板在之间拉架或断案,两种角色也能协同得亲密无间。这就是我说的:安全是一个老板工程,自上而下比自下而上更重要。
- 安全是成本部门还是利润部门?
在绝大部分人的认知中,安全是一个成本部门,而不是利润部门。然而事无绝对,如果信安的工作使得公司止损、挽损了,那可不可以算作利润?如何信安参与到业务的生产建设中去,赋能于业务,使得业务利润增加了呢?如果信安发展到了后期,不单单服务于自身安全,还可以服务于外部客户赚取收益呢?
我提这些例子是想说:不能将安全当做一个普通的成本部门来看待,它其实也有很多潜在的发展性的。我更喜欢用“搂草打兔子”来形容这件事:搂草是我们的本职工作和核心目标,是不应该变化的;但只要做好筹备并把握住机会,则打到兔子更是一件好上加好的事情。
在信息安全这个职能部门的发展前期,是不应该把利润考虑放在第一位的。因为容易好高骛远,导致团队走样。但当企业信息安全建设发展到一定阶段,在保证自身安全的同时,也是可以孵化出安全业务团队的,像阿里云的安全产品、腾讯iOA的安全能力嵌入等也都做出了很好的表率。
最后
本文内容全部来自于本人20余年对信息安全的认知、从业经验与沉淀,希望能够给中小企业和创业公司在开展信息安全能力建设中提供思路。本文非比武擂台,所以也不接受挑战,有不足之处,还望海涵。不过如果你有更多问题或具体案例需要探讨,随时欢迎交流!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论