查看原文
其他

百家 | CSO养成:信息安全审计应该如何开展?

truebasic 安在 2019-05-14


“百家”,对安在来说不算是新栏目,比如早前我们曾开设过的专家专栏,但算是又一次的开始,这意味着我们将以更开放和更包容的方式让网络安全“诸子百家”们“百花齐放”,他们是各个行业代表性企业的CSO、安全骨干,是业界大咖、专家,是思想者、实践者和分享者。为此,安在将会持续呈现来自“百家”们的最佳实践和真知灼见。






本期“百家”分享者,长期奋战在网络安全实践一线,现任某芯片设计公司信息安全总监。他的CSO系列文章最初发表在“安全村”(www.sec-un.org/)


作者简介

truebasic,经历复杂,当过开发、项目经理、创业者,“误入”信息安全行业12年,科技研发型企业甲方经历为主。希望成熟的甲方一起来带动乙方市场的健康成长,故有此CSO系列。期待与甲乙方同行多交流、共成长。联系邮箱truebasic@hotmail.com。



“PDCA”中这个Check是保证安全效果的有力手段,有时候甚至是主要手段。这一章就来说说如何开展信息安全审计工作。感谢我曾经的主管王智,是他带我入门,我对信息安全的认知就是从审计开始做起的 。

一、概念和范围

在开展审计工作、设定审计职能之前,首先要明确审计工作的主要目标、效果是什么?是希望尽快、尽量多地发现高风险问题,是希望帮助业务部门发现和解决问题,是希望发现防护应急措施之外的漏洞,还是为了保障已实施的信息安全策略的效果?在企业信息安全发展的不同阶段,目标可以是不一样的,但都必须由CSO做出这个决定。

在信息安全领域,我理解的“审计”一般包括:

(1)访谈和走查为主要形式的检查;


(2)渗透测试;


(3)后台监控;


(4)组织外审。这里我把“审计”和“运营”做了区分,有些企业在实际运作中很可能会有交叉,这里不赘述。只要在组织结构、内部流程上区分清楚、衔接好即可。


这几块对人员能力的要求差别很大,审计团队不一定能够全面具备,可以将这几个职能分解到团队中的不同人员,但一定要有人(要么在审计团队中,要么就是CSO本人)来统筹这几项工作。“统筹”一词的涵义是“有资源调配权、并对最终效果负责的组织、协调”,这样才能保证统筹者的话语权和管理效果,也保障了最终结果。

我以前经常遇到有人用“牵头”这个词,只负责开会、对最终效果不负责,这种做法万万不可提倡。

二、访谈走查怎么做

以访谈走查为主要形式的审计,我又分为2类:

(1)专项审计;

(2)日常巡检。专项审计可能对内、也可能对外。我在前述章节的描述对此有一点点纰漏,这里纠正一下。

专项审计很好理解,就是有一个阶段性目标、有时间期限约束的审计,和“项目”的定义差不多。专项审计最重要的是界定审计对象和审计范围(what),进而明确审计目标(why)。

比如,这次我们是审计商务部门的信息安全状况,而商务部门实际上是在公司主业务流程里,与生产制造、物流仓储、销售市场有千丝万缕的联系,那么审计的边界在哪里一定要定义清楚,否则这个专项审计一辈子都没法完成。

专项审计一般是根据公司业务发展的需要,发现重点业务(高营收业务、高风险业务、竞争激烈业务)存在的信息安全风险、并推动改进,这样就能真正贴合业务、展现信息安全团队的价值。专项审计的方法,说起来简单,无非就是文件审查、现场访谈、现场走查,有时候加个渗透测试,基本每个咨询公司都会跟你来一遍,但是实际效果却可能千差万别。主要原因在哪里?一对业务的理解深度不够,让被访谈者觉得面对的是业余选手;二是不会访谈,只会提问、不会掏心窝子;三嘛,毕竟不是自己员工,有时候真的没那么用心。这里具体不展开。

日常巡检是信息安全审计中最基础、也是最不可或缺的审计动作,其主要目标在于保证一些重要的或容易被忽视的或容易失效的信息安全控制点有效,避免小风险演变为大风险,因此其来源必定是制订的信息安全要求、策略;执行周期有每周、每月、每季度、每年。我在前面的章节描述过“有些信息安全团队一直在做项目、做工作、上工具,但是老板就是不满意。为什么?

就是因为缺少审计和结果闭环”,那么我应对这种问题的办法就是把这些检查项列成checklist,标明具体检查动作、负责人、周期。整个审计团队共享一份checklist,每次在制度发布、项目结束之后就更新这份checklist,每个月底对着checklist要结果,这样可以确保“日常巡检”也以PDCA的形式转起来。在我曾经的checklist上,出现过“为领导办公室做防窃听窃照扫描”、“检查并保证所有门禁机的时钟保持同步、误差不超过10秒”、“检查数据库审计工具的网络控制策略是否生效”、“检查SIEM工具的日志收集是否完整无丢失”等等。

三、渗透测试如何组织和运用

渗透测试是一个非常有效的审计手段,但同时也具有两面性。渗透测试应该不止关注技术漏洞,还要关注业务逻辑漏洞。

刚开始用渗透测试的时候,可能可以发现较多的高危漏洞、影响直接而深刻,可以有效地提升管理层的重视程度。用的多了以后,高危漏洞逐渐减少,管理层的心理承受能力变强,认知上也往往把“技术漏洞”等同于“安全风险”;这时应逐步转向业务漏洞和数据安全类漏洞,用对业务的影响来提升、改变管理层的认知。人员意识也应该通过各种钓鱼、社会工程学的手法(比如发个钓鱼邮件,停车场扔个U盘,打个“明天到我办公室来”的电话)开展测试,也属于渗透测试的一种。

有能力的话,有一类渗透测试应该是信息安全团队一定要重视的,就是对安全工具和安全人员的渗透。每个管理部门都有极大可能性存在“灯下黑”的情况,通过这类渗透测试,可以发现安全工具自身及其使用管理上的短板,可以发现安全人员的意识和能力不足,避免安全团队成为公司最短的那块木板。

四、后台监控怎么做

为了应对来自于互联网的入侵、数据窃取、攻击和破坏,应对网络边界、应用系统、网络流量、服务器主机等开展的系统监控、告警分析和响应,我将之归类在“运营类”工作中。这里所说的后台监控,总体目标是为了应对来自内部的信息窃取或泄漏,其实也是“数据防泄漏体系”的一个有机组成部分。必须首先要声明,这里面有一些敏感内容,我做了删减,有兴趣的话当面交流。

既然是为了应对来自内部的信息窃取和泄漏,那其实就是要回答“谁会泄密?”、“谁在泄密?”、“泄密给谁?”;其核心是“谁”—-就是“人”。因此,这样的后台监控可以总结为“以人为中心的内容和行为的监控”。

如果问题是“谁会泄密”,意味着我们不知道是谁,因此必须要从大量的数据中筛选、缩小范围。


一般有几个入手点:

(1)谁在主观上会造成泄密(即其本身是具有泄密的主观意愿,如对公司有报复情绪者),谁在客观上会造成泄密(即其本身是高价值对象,拥有或可以访问高价值信息资产,如公司高管、财务人员);


(2)谁有异常的数据访问行为(比如在下班时间大量下载代码或文档,比如在离职前2周频繁访问商务报价数据),或仅仅是异常的行为(比如行为习惯突然发生变化);


(3)外部威胁在刺探和接近哪些内部人员(比如发现竞争对手人员和某个掌握公司机密的员工经常发送邮件,甚至在一起吃饭)。有的时候,在老板许可的前提下,对高危人员开展钓鱼测试,甚至能有意外收获。我列举的这些例子未必全部依赖IT类系统或数据,但大致方法如此,我也只点到为止。


如果问题是“谁在泄密”“泄密给谁”,意味着已经发生了泄密,需要知道泄密的源头或接收者到底是谁。这时通过举报、技术手段分析,往往已经把泄密的范围缩小在一个较小的范围,这时就要回答“谁”、“动机是什么”和“泄密方式”。动机往往不外乎几种:获利、报复、突破规则的成就感,以前2者居多。找到了具有可疑动机的人,就基本成功了50%,剩下的50%就看公司的审计手段到底有多强大了。

在这里再强调一点,后台监控的及时响应非常重要,直接影响威慑力的大小。试想,如果有员工违规行为发生10分钟之后就接到了审查通知,那种威慑力足以改变一大帮试图违规的人;而如果是3个月后才接到审查通知,那就可能不是威慑力、而是“促进力”了。

特别要提醒的是,后台监控队伍的建设。由于可能长期处于高度紧张的压力之下,以及需要经常面对人性的阴暗面,心理辅导和物质保障必不可少;这支队伍既要对公司忠诚,又要保持主观能动性,说实话,管理挺不容易的。

五、如何组织外审

外审用得好,可以作为很好的事件驱动,驱动一些老大难问题得到解决;从外审老师那里不但能学到很多审计技巧,如果足够用心的话,也能得到同行的差距对比。真正做得好的CSO其实不用外审也能知道企业的问题在哪里,于是外审往往会充当CSO解决问题、调动资源的武器。

外审的套路大致相同,我想关键有2点要组织好(1)总结会一定要邀请管理层参与,这样可以外审老师的身份把问题暴露出来,容易得到关注;(2)对管理层和业务单位高层的访谈要提前准备好,有时候外审老师可以充当CSO的代言人,毕竟外来的和尚好念经嘛。

六、审计团队要不要对改进结果负责?

和多位同行交流时,曾经都提过这个问题:审计团队发现了问题之后,要不要对改进结果负责?提这个问题的初衷,大体还是希望能够在发现问题之后形成闭环、确保问题得到解决,同时又希望团队内部形成合力、而不是各扫门前雪。如开头所说,如果定位团队的职能包括“希望帮助业务部门发现和解决问题”,那么对改进结果的跟踪和落实就必不可少,毕竟,最终解决问题才能实现信息安全团队的价值。

一般的做法是,审计团队发现问题之后,由运营、策略或方案团队制订策略方案,并推动执行,完成后由审计团队来验证问题是否可以关闭。

如果安全团队规模足够大、分工精细,确实可以这么干,但如果团队规模不大,需要锻炼和培养多面手的时候,我有些改进的建议:



(1)审计团队不但要发现问题,还要提出改进建议;当然,改进建议可以不被采纳,但审计团队在这个过程中提升了解决问题的能力;


(2)由审计团队来组织问题的改进、定期跟催进展,具体问题的改进可以交由其他团队成员来负责;


(3)审计团队和策略团队(或运营团队)共同承担“审计问题发现按时整改率”的考核指标,把发现问题、改进问题的人捏成一股绳,可以形成合力。






「推荐阅读」

百家 | CSO养成:从基本概念到驱动方式,这些你知否?百家 | CSO养成:这4项核心工作做到位,才能说你上道了百家 | CSO养成:如何评价一个企业的信息安全做的好不好?百家 | 聂君:在金融企业做安全,前途何在?百家 | 海叔:乙方《读你》,甲方说《其实你不懂我的心》,怎破?百家 | 吕毅:从运维到运营,信息安全进化论百家 | 华数叶翔:那些年经历过的大故障百家 | CSO养成:CSO新官上任,第一把火怎么烧?百家 | 金融企业信息安全团队建设之如何“务虚”?百家 | CSO养成:如何运行企业信息安全管理体系?百家 | 金融企业信息安全团队建设之怎样“务实”?百家 | 董祎铖:建立企业安全应急响应“急救箱”百家 | CSO养成:“大安全”之全局观百家 | 吕毅:宋徽宗pk梵高,浅谈信息安全价值及落地百家 | CSO养成:玩转数据防泄漏体系及运营百家 | 欧阳昕:终端安全运营的实践和思考百家 | 叶蓬:Gartner2018年十大安全项目详解百家 | 胡洪涛:中国网络安全市场未来几年将达万亿规模







网络安全新媒体联盟,由聚焦网安行业的包括安在、E安全、Freebuf、看雪论坛、数说安全、安全村、网安视界、游侠安全网、一本黑等在内的新媒体或自媒体共同发起成立,同时有《中国信息安全》顾问支持,是非营利非实体性质的新媒体联络协调和合作互助机制。









人物 ∣ 热点∣ 互动 ∣ 传播

长按关注

投稿及商务合作请在后台回复关键字即可

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存