前移安全能力建设|绿盟科技提出安全咨询服务五大主张
网络安全建设除通过安全产品作为建设支撑,还需要配合安全服务进行顶层设计和持续运营,这几乎已成为业界共识。网络安全服务会根据不同业务场景和建设阶段衍生出不同的服务内容;但毋庸置疑的是,安全咨询作为其中重要的识别核心安全需求的服务方式,越来越受到网络安全公司和客户的重视。
随着数字化产业的快速发展和新兴科技在企业的快速运用,绿盟科技顺应企业新的技术所面临的安全风险问题,对安全服务能力优势和咨询设计经验积累等内容迭代更新,推出适配企业的新兴安全服务业务,快速解决企业在数字化转型过程中所面临的监管趋严、网络安全、数据安全等等亟待解决的风险问题。
绿盟科技基于安全服务驱动力理解和绿盟安全服务理念,以解决企业信息和技术风险为核心,通过安全服务能力和安全服务解决方案为落地,从规划设计、开发管控、能力共建和培训教育不同建设阶段提供安全服务,切实帮助企业实施对风险的有效管理。
一
绿盟科技安全咨询服务主张
主张1:以服务发挥并实现安全产品能效最大化,以规划设计能力前移安全能力建设
早期安全服务常作为验证手段,检验企业安全建设的功能和效果,呈现出“哪儿漏补哪儿”的局面,使企业始终处于被动性响应的状态。而安全服务相较于安全产品,更应是要覆盖安全建设全周期的,涉及规划、建设和运行各阶段。在企业安全建设初期,引入安全规划设计能力,通过服务指导安全建设,融入安全服务建设思路,前移企业安全保障能力,更加精准的运用安全产品,使其能效最大化;同时,注入整体规划、运营维度的视角,整体促进企业安全建设发展。
主张2:安全的本质是攻防,服务的本质是融合,从安全能力的融合,已扩展到与业务场景的融合
随着数据化概念的不断深入、IT、DT、OT和CT的融合已是获得行业认同,成为业务的主旋律,尤其在安全行业,技术融合、服务场景融合和业务融合已开始显现,安全已是同业务同等重要的属性,在融合的过程中逐渐发挥自己的能效,对服务提出了更高的要求;现有客户对安全的期望也在不断的变化,他们不仅要通过技术来满足业务的安全需求,更对交付过程,交付形式、及后续运行维护提出了更高的要求,更需要安全厂商提供整体的、能落地的安全服务方案。
主张3:新技术变革带动服务,安全需求场景细分,安全服务链正在重构,安全服务能力及技术手段需更加精细
现有安全产业里,安全厂商提供服务给客户,依然是甲乙双方的角色。但是,伴随着5G、数据跨境等新时期的安全产业新形态,安全厂商、设备厂商、行业用户及上下游的供应商,安全服务链条变得更长,现有的安全业务范围也变得更加宽泛。安全不但要考虑技术与业务的融合,也扩展到与供应商、合作伙伴与第三方的协同交付问题。对于不同场景的安全需求更加细化,因而要逐步提升安全服务的精细化、形式多样化,拓展安全服务手段,增强安全服务能力,使得安全服务更加完善。
主张4:在满足合规的安全服务建设基础上,探索业务模式创新,打造服务核心竞争力
随着5G、物联网、工业互联网、云计算、大数据等新一代信息技术的逐步应用,对新技术、新业务的风险监测也已纳入网络安全等级保护和关键信息基础设施安全保护的防控体系。虚拟数字空间与物理实体空间、社会交互空间无缝衔接,网络空间边界进一步延伸,面对组织化、专业化、流程化、商业化的新型攻击手段,让传统的安全防护体系已无法针对新技术应用场景进行有效防护。在风险与合规的双向驱动下,新技术场景势必会是网络安全关注点,安全服务需要在对新技术领域的不断探索中,帮助客户识别并规避新技术的应用风险,不断积累经验,为后续的产品化提供核心技术输入。“安全服务+产品”的模式改变以及安全服务的业务创新,势必会打造成“新基建”大潮下的核心竞争力。
主张5:安全能力具备的核心要素是人才建设,细化安全专业的岗位职能,夯实安全服务的人才培养
网络安全形势日益严峻,发挥安全能力建设的着手点还需围绕“人”的建设,以“人”为核心。高等院校人才的培养和输送,往往是理论多于实践,而安全服务厂商更擅长对于专业技能和实践的应用。随着安全行业的发展趋势在不断向知识化、智能化和实战化演进,尤其对于不同专业岗位领域的技能识别和知识传递互通,需要建设安全服务的知识协同管理机制,这对于安全服务人员的培养以及专业人员的边际成本降低是至关重要的,从而实现人才、流程和工具的有机联动,保障安全服务的效率和质量。
二
绿盟科技安全咨询服务介绍
2020年,绿盟科技在安全产品、解决方案、安全服务各个领域持续创新。重点领域,包括数据安全,安全管理,云安全,仿真技术,以及新基建领域的安全,比如5G安全、工业物联网、车联网等。在数据安全、网络安全保险、安全开发管控、结合CII的红蓝对抗能力、个人信息保护这几个新安全服务领域都已突飞猛进。
数据安全
绿盟科技面向全体用户提供综合服务、产品、平台能力的数据安全解决方案,基于数据全生命周期的安全特性,提出了“知、识、控、察、行”的数据安全建设路径,帮助客户达到合法采集、合理利用、静态可知、动态可控的防护目标。其中数据安全服务解决方案紧抓数据的特性,提出以数据为中心的数据安全风险识别、分析、管控方法,深入分析企业的数据构成,梳理企业的数据流转情况,通过对“数据行为”的评估与控制,实现数据全生命周期的风险管理。同时通过与绿盟科技数据安全运营平台的高度联动,将服务成果紧密融入企业安全管控框架,在进企业日常风险管理工作中充分确保数据安全管控措施的执行。
网络安全保险
绿盟科技网络安全保险服务,作为提升网络安全风险治理能力和完善网络安全保护机制的新途径,以风险货币化的方式,为企业实现网络安全风险转移,增强事后恢复能力,特别是针对中小企业,通过与传统安全服务能力的结合,协助企业形成风险闭环管理的运营机制。绿盟科技与前海财险于2018年签订战略合作协议,双方联合发布“网络安全综合保险”,共同探索网络安全保险业务模式,形成“保险+安全服务”的服务机制,并已在客户侧进行实践落地;2020年基于原保险产品,对保险保障内容和配套技术服务进行了升级优化,引入更多绿盟科技安全服务能力,在提升保险服务客户体验的同时,积极推动“保险+风险管控+服务”模式的尝试。
安全开发管控
企业应用系统全生命周期的安全已经成为安全建设的聚焦点,绿盟科技从早期的安全开发生命周期管控服务开始一直深耕这个领域,随着项目经验积累及工具平台化成熟度的提升,形成了安全开发运营服务产品。面对企业安全开发体系无法有效落地的问题,安全开发运营服务产品成为破局之道。利用专家级知识库和平台工具自动化完成关键安全活动,让初级工程师可以完成专家级别的技术工作,打破技术壁垒,摒弃人海工作模式。同时以应用系统开发流程为主线,适配于各种软件开发模式,依托于安全开发管控平台,基于丰富专业的安全开发知识图谱,自动生成可定制化的安全需求、安全设计文档以及安全测试文档等标准化文档,真正将安全融入到软件开发体系。
结合CII的红蓝对抗
绿盟科技总结多年参加关键信息基础设施网络攻防演习的经验,以及在能源、运营商、金融等20余个关键领域行业常年安全服务经验,结合国际先进的Kill Chain杀伤链战术、ATT&CK攻击对抗战术以及技术知识库,整合公司服务和产品能力,针对我国CII提出了以攻促防的红蓝对抗服务,从攻击者视角验证防护体系建设,实现网络威胁可视化。绿盟科技红队根据不同客户场景定制化网络安全防护体系,按照风险管理方法开展安全评估;蓝队按照攻击技战术验证防护体系的健壮性,建立攻击者生命周期的高级抽象模型,形成TTPs。CII红蓝对抗服务成果为客户安全防护体系建设提供重要依据,通过常年服务和建设闭环,为我国关键信息基础设施保驾护航。
个人信息保护
2020年11月,GB/T39335-2020《个人信息安全影响评估指南》正式发布,绿盟科技率先进行解读和项目实践并面向全行业推出个人信息安全影响评估服务方案,对于个人,切实保障用户合法权益;对于企业,提前识别个人信息安全风险,采取适当控制措施;对于国家或监管部门,加快落实个人信息安全工作。
三
绿盟科技安全咨询服务案例
数据安全服务咨询方案
项目名称:XX银行数据安全管理体系建设项目
所属行业:金融行业
项目简介:
XX银行客户数据安全建设处于起步阶段,仅有部分流程,相关工作要求不明确,职责划分不清,需要通过管理体系建设提升数据安全管理水平。本项目需求为明确各部门数据安全职责、第三方数据管理要求、梳理内部数据、明确数据全生命周期管理要求、制定数据泄漏事件应急预案。
本项目通过对银行组织架构、管理现状、业务与数据情况调研,分析企业数据安全管理弱点,综合企业安全需求,构建了符合客户管理方针与业务需要的数据安全管理体系,包括:数据安全管理组织建设、数据分类分级标准与数据资产管理机制构建、数据安全生命周期管理、第三方外接数据安全管理、数据泄漏应急响应机制等制度与流程方法。
项目成效:
本项目通过数据安全管理体系的构建,确保客户数据安全管理组织职责划分清晰,数据安全管理职责明确,可有效指导数据安全管理工作的开展。客户在本项目中获取了数据安全合规、掌握数据资产、以及保护个人信息等收益。
网络安全保险
项目名称:某房地产客户网络安全保险服务项目
所属行业:房地产
项目简介:
某客户为促进网络安全环境的完善和建设,保障业务的稳定开展与高速发展,引入第三方安全服务,包括渗透测试、日志分析、应急响应等日常安全运维工作和网络安全保险服务,为企业信息系统在安全管控、系统上线前检测、事后复原等多方面提供安全服务能力。
本项目中网络安全保险服务情况如下:在投保前期,基于风险调研为客户提供核保体检服务,帮助企业了解自身安全现状,及时查漏补缺;同时,辅助保险公司设计适配于客户的保险保障内容,协助客户完成投保工作。在承保过程中,针对投保系统实施风险监控;当客户突发网络安全事件时,第一时间启动应急响应,为企业抑制事件影响范围,同时,分析事件发生原因,收集事件相关截图和证据,形成事故调查报告,为保险定损提供技术支持。
项目成效:
通过风险调研,分析与量化企业安全风险,形成贴合客户风险场景的网络安全保险保单,保障7项责任场景,包括第一方损失类的数据恢复费用、鉴定服务费用、勒索损失、法律费用和第三方责任类的数据泄密责任、外包商数据责任、数据安全责任。此外结合日常安全运维服务内容,持续监控企业安全态势。
通过网络安全保险服务的引入,以金融服务手段实现了企业安全风险的第三方转移,降低企业运营财务压力,增强企业事后复原力;同时,网络安全保险成为企业风险管理的网络安全保障手段之一,通过与安全服务结合作用,为企业形成了“事前识别与降低、事中监控与发现、事后响应与补偿”的动态且闭环的风险管理机制。
安全开发管控服务咨询方案
项目名称:XX银行DevSecOps开发安全管控服务落地实践
所属行业:金融行业
项目简介:
随着金融行业监管的精细化和趋严化以及业务的扩大,为了应对业务系统频繁变更以及新系统迭代开发,DevOps敏捷开发逐渐被企业所接受,据统计国内80%企业在DevOps实践中初见成效, “1天N次部署”、从代码到上线只需数十分钟甚至几分钟已经成为现实,软件交付速度不断提升,但是却忽略了软件系统安全性,由于传统安全工作无法自动化、敏捷化,并且缺乏相应的技术手段和工具对软件系统全生命周期安全状况进行跟踪检验,导致上线后出现类似SQL注入、安全功能缺失等漏洞而遭受攻击,会直接影响正常业务运行,甚至造成经济和名誉的损失。
项目实施过程如下:为加强敏捷开发下软件开发项目全生命周期安全管理,不再使安全工作减慢部署速度、影响上线时间,需要在DevOps的协作模式中整合安全团队工作,建立统一开发、安全、运维三方团队的软件开发项目安全管理制度及流程、技术规范标准,通过在软件开发流程中每个阶段集成安全能力(自动化工具和知识库)来协助达成安全目标,为持续交付过程建立安全基础,推动开发-运维过程安全闭环,全面提升系统的安全性。
项目成效:
结合XX银行现有安全产品和安全能力,为DevOps提供安全分析和防护基础,将安全无缝融入到开发和运维过程中,通过DevSecOps安全开发管控平台促进应用系统的全生命周期的安全管理,为客户构建开发过程中的持续安全交付能力。其中包括在需求设计阶段集成自动化安全需求分析能力,基于安全开发知识图谱,快速生成可定制化的安全需求文档、安全设计文档以及安全编码规范文档、安全测试文档,降低对人员安全技能要求,在编码阶段集成自动化代码安全审计能力,利用源代码分析、软件组成成分分析引擎进行安全合规分析,为软件代码风险提供指引,保障软件代码自身安全性,在运维阶段集成漏洞扫描和基线核查工具,为企业构建开发至运维过程的安全闭环能力。
随着网络安全态势愈发严峻化,网络安全需求已从单一的采购软硬件产品,转变为全面体系化的专业服务与解决方案,安全服务成为企业网络安全建设的切入点,高质量的安全服务投入不仅可以进一步升级企业客户整体的安全能力,同时也可以加深安全厂商与企业客户的粘性,加深对企业的了解,对症下药。通过安全服务工具的开发、安全服务知识管理体系的构建、服务管理的流程化与标准化,呈现更加智能化与自助化的安全服务体验,与企业实现安全能力共建,为企业安全保驾护航。