查看原文
其他

诸子笔会 | ​李磊:安全数字化思考与实践

李磊 安在 2022-07-04




自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。




安全数字化思考与实践

文 | 李磊




李磊

某互联网公司 安全专家



多年安全从业经验,聚焦数据安全和安全运营方向。





数字化定义

像“零信任“理念兴起一样,近几年,数字化理念也是不甘其后。值得提及的是,数字化理念并不是安全的首创和独享。不过,好像一切都可以和数字化挂钩,而且挂钩后”格调“似乎也高了一个档次,如:数字化的一天、数字化体验、财务数字化、数字化领导力、数字化转型。那么,什么是数字化呢?


数字化尚未形成一个统一的概念,一个被广泛接受的概念来自于Gartner:数字化(Digitalization)是利用数字技术来改变商业模式,并提供新的收入和创造价值的机会;这是转向数字业务的过程。


数字化带来的价值主要体现在两个方面:一是优化流程,提升效率;二是寻找新的业务模式,创造新的增长点。


安全数字化

了解了数字化的定义及其价值后,结合个人理解和实践,笔者谈一下安全数字化。


什么是安全数字化?


安全数字化是利用数字技术实现数据决策,提升安全治理水平,进一步平衡安全和业务效率。


 安全数字化带来的是安全管理理念的转变,由经验驱动逐步转变为数据驱动,并最终实现智能决策,这也是安全数字化的目标。


笔者认为,安全数字化的价值也主要体现在两个方面,一是度量安全管控效果,提升安全管控效率;二是指导安全管控决策,提高安全管控质量和平衡安全与业务效率。


安全数字化的建设是一个长期的过程,不是一蹴而就可以实现的,需要经历几个阶段。


安全数字化阶段


步入安全数字化,一般会先后经历流程化、信息化和数字化三个阶段,当然各阶段间也可能存在一定重叠。各个阶段都具备一些显著的特征。


图1步入安全数字化历经阶段

(1)流程化

业务的流程化是安全信息化的基础。当然,这里的业务也包含安全。在多数业务还没有流程化和标准化的时候谈论数字化,就像“雾里看花,水中望月”。所以,在安全建设过程中,管控第一步要做的事情,即“出制度,定规范,做流程”,最终将安全管控的要求以流程的形式进行固化。例如刚起步做安全SDL时, 如果要“快速止血”保证安全测试全覆盖,首先要卡住业务上线必须经过的发布流程,在发布前卡位管控。这样就需要SDL结合业务流做流程化适配。


(2) 信息化

在经历流程化之后,安全会快速步入信息化阶段。因为业务的复杂性和诉求变化会迫使安全人员思考采用信息化的手段解决问题,自然也需要更有力的手段和措施来确保流程的固化。例如:安全SDL渡过了“快速知止血”阶段,无论是安全管控的需要抑或业务的诉求,安全左移成了必由之路。这时候,就需要采用安全工具和平台等信息化方式,切入业务流,更加靠前解决问题。


(3) 数字化

通过将各系统数据打通,利用大数据、机器学习等技术手段,对安全进行数字化分析,发现安全问题或风险,指导安全方案制定并推动闭环。一定意义上来讲,安全数字化是安全运营的最高境界。


安全数字化能力模型

笔者认为,要落地安全数字化,需要从三个层面整体构建安全数字化能力,如图2所示。


图2安全数字化能力模型


要实现安全数字化,数据是基础,首先需要打通与安全相关的数据源,包括安全数据(如防火墙、WAF、威胁情报、HIDS、杀毒、EDR)、IT数据(如CMDB、账号数据、权限数据)、业务数据(如业务安全日志埋点、业务资产数据等)。当然,如果缺失某部分数据时,需要加快数据采集建设。


针对获取的数据,可以通过构建安全数据中台能力,基于安全业务场景,进行数据建模分析。更重要的是  ,通过数据分析能力建设,为运营能力搭建提供结论性数据支撑。目前多数企业,都建设有类似SIEM的安全数据分析平台,这块也可以复用业务的大数据平台。


运营能力很大程度上支撑了安全数字化的价值体现。如安全管控效果度量、安全管控方案制定、安全管控决策等。


安全数字化场景实践

结合安全运营思路和落地实践,笔者简单举1个安全数字化应用场景的例子:


场景:安全数字化助力离职审计高效转型

很早之前,笔者所在公司离职审计完全依赖人工,安全审计人员负担重,压力大,问题发现也完全依赖人工手段,不但效率低,而且大量占用了审计人员的精力,结果也差强人意。

后来,通过将各相关数据打通,利用大数据分析等技术 ,进行业务场景建模,实现了自动化风险预警。进一步将审计流与离职系统全面打通,实现“一站式“在线审计。

安全数字化建设前后,审计模式变化如图3所示。通过安全数字化建设,不但大幅提升了离职审计效率和质量,而且节约了人力成本,将安全审计人员精力释放可以聚焦更有价值的业务审计中。 

同时,结合安全运营数据分析,对离职审计发现的问题和风险,总结复盘,一方面推动了离职管控策略优化N项,管控效果较前期出现质的变化;另一方面反向推动数据侧(安全产品功能优化)和分析侧(场景建模优化)能力完善,实现了双向循环提升。


图3安全数字化助力离职审计高效转型



写在最后

一方面,安全数字化是企业安全建设到一定阶段必然要走的道路。此时,也表明安全建设到了“攻坚期“和“深水区”,因为安全数字化建设一定程度上也会依赖公司IT和业务的成熟度。


另一方面,步入安全数字化阶段,安全建设思考点也转变为如何更好的做好安全赋能业务,这需要强大的数字化能力,也取决于安全数字化的成熟度。


正如前面提到的那样,一定意义上,安全数字化亦可视为安全运营的最高境界。这也提醒企业在安全建设时,要结合运营化思维,从平时做起,结合业务场景和痛点,以便快速步入安全数字化轨道。






RECOMMEND
推荐阅读

诸子笔会|张永宏:安全数字化的价值端建设

诸子笔会 | 刘志诚:数字化对企业安全体系建设的影响浅析

诸子笔会 | 孙琦:数字化助推企业信息安全管理




原文阅读查看往期征文合集


齐心抗疫 与你同在 



你怎么这么好看


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存