诸子笔会 | 侯大鹏:“安全数字化”是一个伪命题吗?
自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。
“安全数字化”是一个伪命题吗?
文 | 侯大鹏
侯大鹏
电科拟态 技术总监
IT服务管理(ITIL EXPERT)专家级认证、国际信息系统审计师(CISA)、DEVOPS MASTER大师级认证等。具有大型央企、国企、外企的IT战略、风险管理、安全解决方案等丰富领域的实践经验。牵头、组织、参与多项云计算、安全相关的国家标准、行业标准、行业白皮书等的编写工作。
“安在”的话题总是能够跟随着时代的脚本,自从今年年初在工信部的引领下提出企业数字化转型这个概念,整个IT市面好像是又出现了一轮高潮,“企业数字化”果不其然的成为了今年的主题,大大小小的会议都套上了数字化转型的名头。
于是,“安全数字化”这个名词也被如火如荼的提上了“安全圈”的日程。就像当年的工信部提出“人工智能AI”的概念,当年的各种大会都变成了“AI+”,那段时间“安全圈”也玩了一轮“AI+Sec”。貌似如出一辙。
当我初次看到这个名词,我其实是有点不屑一顾的。认为“安全数字化”这个词纯粹是玩概念。
因为,在我之前看来,我们信息安全这个行业本身就是一个已经坐在数字化基座上诞生的行业。我们面临的各种“威胁”和“攻击”都是发生在Internet里面的,本身都是“二进制”的东西。而安全行业和制造业不一样,制造业原本是依赖机器、流程和生产要素的,因此需要“数字化”。
但是,真的要感谢“安在”创新出的“话题打卡讨论”机制,让我在这段时间对这个事情有了更深入的了解和思考。我渐渐的感觉到,其实我们“安全人”在做的工作里面最困难的那部分不就是“安全数字化”吗?
►终端管控安装率100%了吗?
►操作系统漏洞修复率100%了吗?
►重要应用系统中高危漏洞为0了吗?
►安全培训全员100%覆盖了吗?
►企业应用安全健壮性能够达到99.99%吗?
希望老板们不要看到以上这些“数字”,因为(说实话),咱们谁真的敢把上边这些“数字”主动加到自己的年度考核KPI里面?
但是,企业老板们可都是习惯看“数字”的,销售们看的是“营收”,市场们看的是“转化率”,实施们看的是“利润率”,甚至研发们也可以看看“项目完成率”。然而,好像唯独咱们搞安全的,只能看看“今年信息安全事件是不是小于等于1”。
于是乎,功功过过,又是一年;
干的好不好?不好评价;
做了哪些事?好像很忙;
达到什么效果?不好表达;
年终奖给多少?马马虎虎吧。。。
所以,怨谁呢?好像谁又都怨不着。
其实,以上这些种种,恰恰是说明我们这个行业还处于启蒙阶段,各种规则、标准都不清楚。企业领导们也都不知道怎么管理大家,所以奖惩规则也难以落地,所以大家的收入也大概率只能吃个平均。
假如大家能够一起勇于面对“安全数字化”,或许情况能够有所改观。在“安全数字化”建设的过程中,大家可以一起构建起信息安全行业的“数字”标准,让企业真实的看到信息安全的作用和能力,并且拿出真实的数据证明安全能力的作用。
正好,今年是“企业数字化”元年,大家可以顺道搭上“企业数字化转型”的东风,一起努力建设一套数字化安全的能力模型。除了构建传统的安全防护能力模型之外,也要想办法构建起安全能力展示模型。
或许,这个样子之后,我们安全行业也能够让“数字”说话,让绩效量化,让收入和能力正比化。
正如文中之前所说的,安全数字化到目前为止还是一个相对新的概念,行业里面目前还没有成熟的解决方案,如何构建安全数字化的企业安全能力,倒是一个仁者见仁智者见智的事情。
但是,追本溯源,安全数字化转型一定要伴随企业数字化转型,而企业数字化转型则一定围绕着业务数字化落地。所以,安全数字化最好的突破方向一定是要能够深入结合业务场景和企业现状。本文建议将从以下三个方向进行安全数字化的建设落地。
一、围绕业务
对于有互联网业务的企业来说,防止薅羊毛必然是安全建设的重点。
一般来说,防止薅羊毛的解决方案与一般企业安全建设方法论类似,也会包含技术手段和管理手段两个部分。
技术手段方面一般会从用户行为分析、应用功能限制、业务限流、增加业务复杂度、黑IP批量封禁、用户群里限制、客户端限制、专业防羊毛服务等方面考虑。
管理手段一般包括:“风险”业务流程审批、重点功能权责分离、特权账号日志审计、重要岗位责任书等方面考虑。
但是,一般来说,我们很难证明安全手段的有效性和收益,除非有黑客一直持续的攻击你所在的企业。在这方面,我建议从业务治理和法律合规两个角度证明价值。
首先,薅羊毛行为类似于社会犯罪,假如真的发生,那么企业损失是难以估量的。所以,与人类社会需要警察这一角色类似,企业也需要付出治理成本,而这个成本的价值可以类比企业法律合规部的价值体系。
另外,企业薅羊毛行为的发生一般不仅仅只是直接经济损失,对于大部分知名企业和上市公司而言,还会带来更多的声誉损失,会导致舆论压力和股东对于企业经营团队能力的质疑。而这些价值可以直接对应到企业商誉股价增值部分。
二、围绕安全办公
办公环境的信息安全数字化其实是整体体系中相对最容易展示的一部分。目前,市面上基本所有的办公安全软件都有基本的安全报表功能,比如:M365、上网行为管理、终端EDR、防病毒等等。而我们仅需要把这些数据有效的集合到一起,与全量资产进行对比分析,再对现状问题进行分析和展示,就能够形成一份漂亮的例行报告,后面要做的就是持续跟踪和优化。
如果你仅有其中一部分安全软件,那就有多少展示多少嘛,缺什么东西就告知相应的整体风险。如果什么都没有?那么就自求多福吧。
三、围绕安全运营
生产安全的运营数字目前来看最好的手段是一套安全感知平台。当然,有的叫SOC,有的叫SOAR,或者SIEM等等。目前,国内大部分成熟安全团队向往的下一个目标可能就是这个。
总之就是能够把各种安全设备的日志全量的采集之后,采用威胁分析和检测分析手段对数据实时分析处理,并实现对预处理包的海量数据实时与历史分析。这里面可能包括人工智能、关联分析、机器学习、运维分析、统计分析、行为检测分析、攻击画像、OLAP分析、数据挖掘和恶意代码分析等多种分析手段,然后实现安全威胁的实时检测与安全可视化运维管理。
这套能力建立起来之后,其实就目前情况来说,大部分企业的安全团队都没有能力处理所有的“安全事件”。有过实践的企业大部分应该都明白,这里面一方面是因为日志量大,出来的告警量也太大,没有足够的人力去分析所有事态。另一方面,目前大部分企业的弱点实在也是太多了/(ㄒoㄒ)/~~。所以,慎重。
所以,安全数字化是一个伪命题吗?显然不是,这是一个实实在在的竖立在我们安全从业人员面前的高峰啊。
只是,有的时候,太高的山,就容易让人产生放弃登顶的欲望。
可是,会当凌绝顶,方能一览众山小啊。
RECOMMEND
推荐阅读
齐心抗疫 与你同在