诸子笔会 | 安全自动化对组织数字化转型的战略意义浅析

自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

安全自动化对组织数字化转型的战略意义浅析

文 | 刘志诚

刘志诚

乐信集团信息安全中心总监

  安全背景

数字化转型是目前热点话题之一，数字化转型的基础在于业务数字化，依赖于创新技术的广泛应用，在安全数字化转型话题中，对这个主题进行了深入探讨，以安全为例，探讨了数字化技术对安全的影响。以此为例，可以总结出数字化转型的基本特征，打破物理与虚拟的边界（CPS），实现信息驱动物理世界的业务逻辑；软件定义的业务逻辑，全面覆盖业务的流程，步骤和操作与行为；信息与自动化结合，实时动态的决策与执行提升运作效率。

技术导向的数字化转型，不仅涉及到通常意义上的万物互联的物联网传感的神经末梢的感知器与驱动器能力，海量规则和非规则数据的实时清洗，转换，筛选和处置大数据能力，机器学习，深度学习，神经网络对未知规则无监督自动学习建模的人工智能能力，逻辑隔离切片，大容量设备接入，低延迟高带宽的5G通信能力，支持分布式去中心化节点，智能合约自动执行的区块链能力，整合感知，决策，执行的机器人能力。还包括ICT基本技术适应业务快速变革的组织管理能力，基础设施建设和运营与敏捷开发持续集成的工程交付能力。这些能力是技术与管理的交界，是组织架构变革适应数字化转型的软性能力，专注于基础设计即代码的容器云支持微服务与源自于精益生产和敏捷的DevOps共同构建了数字化新的生产模式。

数字化转型的需求与ICT基础设施技术的发展，以及数字化转型的组织结构变革，组织的安全风险的治理，同样面临着巨大的挑战和机遇，安全自身的数字化是一方面，基于安全数字化提升安全风险治理的效率，降低安全治理的成本是组织安全团队面对的一个课题，自动化未必是唯一的良方，但一定对风险治理降本增效起到重大促进作用。本文尝试从三个角度浅谈安全自动化的背景，实现于影响。

  一、 风险管理的自动化

图1 风险管理自动化

在一个安全圈的微信群里看到一个关于风险评估的争论，质疑风险评估对信息安全治理的价值，只是做了旁观，并未下场参与论战，因为知识结构，认知模式，行业经验不同，在没有上下文环境支持，没有清晰的术语定义下，仅从个人认知观点的立场出发，已经不是有意义的辩论，而是一种意气用事的文字游戏。但也可以从中可以看到对一个基本命题的理解存在的误解之深。

风险管理作为组织治理的基本框架模型，是经过无数证实与考验的基本方法论，安全作为风险驱动的关键治理领域，风险评估毫无疑问是当之无愧的基本价值所在。

当然，至于风险评估的方法，工具以及流程，是可持续改进和优化的，这也毫无异议。相对于ISO27001的体系2005版传统的基于资产，脆弱性，威胁，可能性，影响的定性与定量分析模式，2013版已经强调了宏观的内外部环境和影响分析的模式在风险评估中的作用，来避免风险评估陷入到技术细节的定量分析。

这其实也是其环境决定的，当资产的定义和识别难于数字化，或基于不全面，静态的数字化时，难以准确的定义准确的业务风险状态。

安全数字化转型为风险评估的自动化奠定了基础，资产的实时发现，识别，管理能力，具备了完善的资产库，基于实时威胁情报与内部SIEM和SOC的机制，使脆弱性和威胁的识别自动化提供了输入的规则基础，有了充足的数据源为输入的准确性提供依据，仍需要有准确的决策引擎实现风险的自动计算，完成评估的机制。这就需要借助人工智能的关联分析实现风险的自动计算，实现风险评估的自动化。

风险评估的自动化为基于风险的安全决策提供了依据，风险治理策略的自动化，从目前而言尚是一个挑战，要根据组织决策层的风险偏好，以及对残留风险的接受程度，制定风险的处理策略，接受，转移，降低，消灭，每个策略可能涉及到工程项目的新建，涉及到外部合作的落实，尚不能完全脱离人工掌控的范围，当然，针对具体措施和规则的调整和优化，以及授权范围内，规则范围内结合SOAR的自动执行，来实现部分风险策略的自动化是可行的，这和组织安全基础设施的建设水平密切相关。

从目前来看，业界对风险评估的重视程度受制于风险评估对实际风险的反映程度和对实际安全工作的指导价值和意义，静态的，阶段性的，不能准确反应资产，脆弱性，影响和可能性的风险评估显然难以反映真实的风险状况。

从组织沟通层面而言，高层管理者对安全的决策主要依赖于风险判断，不准确或逻辑不清晰的风险评估与治理策略难以说服高层管理者的资源投入，难以指导安全工作的具体落实，是安全风险治理尴尬局面的主因，而风险评估的自动化是安全自动化扭转被动局面的第一步。

  二、 研发安全的自动化

图2 DevSecOps研发安全自动化

研发作为数字化转型技术实现的核心节点，研发组织的运作模式需要适应业务运作的特点和节奏，在信息化时代，商业软件（COTS）是组织实现支撑体系信息化的主要手段，按照标准化的组织模式，适应最佳实践的组织支撑管理模式，削足适履，这是组织信息化必经的阵痛之路，当然，对缺乏管理规范化，标准化，信息化的企业而言，也是一个管理上台阶的晋升之路。

这个时期，商业软件厂商，需要做的是信息系统的打磨，复杂的配置，适应不同业务模式和情景的配置，带来了复杂性，也带来不同商业软件之间的隔离。为了提升商业软件的安全性，S_SDLC（安全开发生命周期管理）的模式盛行，通过规范化，标准化的流程，实现在需求，设计，测试，集成阶段的安全管理，这个阶段主要依赖于规范，制度以及分工的工具体系建设，版本的优化以年度为时间单位。

当然，组织采购的商业软件在组织内的部署，需要考虑物理，网络，系统环境，部署相应的安全措施，做运营环境的安全检测，以及安全的监控和事件处置，遇到安全的漏洞，只能等待商业软件补丁或者通过临时的补偿措施解决，带来大量的基础运维与应用运维的安全策略的复杂性。

数字化转型概念之前，消费互联网其实是传统业务数字化的试点，电商可以看作是消费行业的数字化转型，互联网在业务运作过程中遇到的典型问题，就是需要解决业务过程信息化或数字化的适配问题，在互联网崛起之后，新的信息化工程模式不断出现创新与探索，基于制造业精益生产的理念，跨越开发与部署的鸿沟，实现持续持续开发，持续集成，从涉及到开发一个节点的敏捷模式，逐渐成熟了DevOps开发运维一体化的模式。

DevOps强调对技术负债的降低，强调试错模式，强调持续集成，提高业务数字化的实现效率，这一切，依赖于研发过程的自动化带来的价值。安全界流行DevSecOps的说法，其实DevOps在诞生时谈的就是DevSecOps安全是DevOps的核心，如果没有真实性，完整性，可用性的安全保障，适应业务的数字化系统显然是无稽之谈。只不过是因为在简写过程中略去了Sec，而这个五无意的忽略，在传播过程中却被有些不明就里的人群真的忽略了Sec，其实挺事与愿违的。

DevOps的自动化必然需要安全的自动化，在这个层面主要体现在工具链的建设，需求阶段的风险分析，威胁建模，设计阶段的安全能力集成，编码阶段的SAST静态代码分析白盒测试，集成阶段的DAST动态分析，发布阶段的IAST交互式安全分析灰盒测试，部署阶段的RASP应用运行时保护和渗透测试，构成了研发安全的自动化工具链建设。当然，现阶段的IAST，RASP仍是在高速成长阶段，其自动化的能力和水平有待进一步的提高。

DevOps作为数字化转型的研发支撑模式的趋势势不可挡，对组织架构，组织研发能力组织和运作会带来巨大的冲击和影响，其工程落实着力于自动化，同样，组织安全从商业化软件时代关注的运维安全需要左移关注研发安全。从投入产出比（ROI）的角度来看，研发阶段的安全投入效益远高于运维阶段，这同样带来组织安全的任务中心，组织模式和团队知识结构的重大变革，同样也是一种对安全团队在组织结构中地位的挑战，需要纳入组织数字化转型组织架构战略设计中统一思考与调整。

  三、 运营自动化

图3 SOC、SIEM、SOAR安全3S

这个是谈及安全自动化大家最容易理解的话题，毕竟即使在传统的企业架构和技术体系中，运维工作的日常性，事务性，复杂性，资源紧缺性已经带来了自动化的思考，Chef等自动化编排工具提升运维效率已经比较普及。同样，基础设施的安全保障体系建设中，在不同细分领域的安全产品同样面对着整合，统一运营界面，统一处理规则的需求。

安全运营中心（SOC）在20年前已经有了前赴后继的尝试，随着技术框架的演进，概念也在不断的变迁，其实，安全人心中始终有一个一统江湖的梦想，SIEM（安全事件管理），态势感知，安全弹性架构，自适应安全架构，始终，从理念到落地面对着各种各样的挑战，打通商业化安全产品信息自由流动的边界，实现交互已经困难，实现指令集的互通，实现策略的执行，这涉及到产品核心竞争力和安全责任的界定，安全产品的权限控制导致的不安全同样是一场噩梦。

在DevOps改变着研发运维一体化的基础环境时，基础设施的建设，也在不断的升级换代，从物理机时代，虚拟化时代，在逐步朝容器云时代发展，涉及到业务核心竞争力和数据安全的核心命题，混合云，边缘云，容器云估计是未来数字化转型的主要基础设施架构。适应微服务和业务API化的容器云与DevOps的持续集成理念结合实现了基础设施的持续集成，带来的是容器云流量治理的风险，eBPF，cilio对底层网路流量的处理技术变革，改变了iptables一统江湖的微隔离模式，enovy，lstio实现4-7层流量的可见，实现了业务数据与管理数据的隔离，让微服务与API的内部治理，基于全流量的安全分析成为可能。

而安全自动化编排（SOAR）适逢其时，信息化的自动化从支撑体系的工作流模式希望实现流程的自动化，脱胎于运维自动化的安全自动化编排，希望通过剧本的概念实现安全工具的信息交互和指令交互，在不同设备间起到中介和翻译作用，落实自动化。当然，从目前的组织需求角度出发和解决组织实际安全难点而言，这确实是一个快速落地的路径，当然面临的挑战同样是巨大的。当SOAR面对的仍然是信息化安全时，其实无论从解决的问题上和实施成本上都可能得不偿失。其真正的发挥空间是解决数字化转型的安全运营问题，介入到DevOps流程中，实现运营分析的现代化。

SIEM，SOC，SOAR运营阶段的3S面对的是基础设施的快速变化和安全底层架构的变化，其上层的数据分析处理，决策执行引擎可能不变，但是其基础的数据采集和指令通信面对不小的技术变革，百花争鸣的背景下，谁能率先跑出来，将面对不一样的市场空间。

安全自动化的话题可以探讨的维度丰富多彩，面对的环境千遍万化，受制于篇幅，仅做抛砖引玉，以供参考。