诸子笔会|蔚晨:安全自动化之企业应用
自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。
安全自动化之企业应用
文 | 蔚晨
蔚晨
光大科技 信息安全主管
曾任中国光大银行数据安全技术专家、海航科技集团信息安全技术总架构师等职务。现任光大科技有限公司信息安全主管,十余年金融业、铁路交通业、航空业工作经历,一直从事信息安全、数据管理、风险管理等领域,曾获得银监会风险管理课题研究成果、人民银行科技发展奖等多项行业奖项,在数据安全领域有深入研究和实施经验,对网络安全法、GDPR、等保等法律法规有深刻理解。
按照百度百科的标准定义,自动化(Automation)是指机器设备、系统或过程(生产、管理过程)在没有人或较少人的直接参与下,按照人的要求,经过自动检测、信息处理、分析判断、操纵控制,实现预期目标的过程。
从定义出发,那自动化的目标就不言自明了,有俩点,一是没有人或较少人直接参与,目标减员,通过一次性或持续性技术投入来降低人力投入,节省人力成本。二是按照“人”的要求,实现预期的目标的过程。那这里指的“人”的要求,就必须让机器、系统或过程标准化的快速执行并达到一定质量,自动化的执行就是要提升效率,并符合标准的质量要求。
既然自动化的目标是减员增效,那作为企业是否愿意投入自动化改造成本就聚焦在释放了多少人力资源,或者存在大量繁复的可标准化工作需要通过工具方式批量处理。最根本的还是回归是否能够给企业带来价值。
1. 安全之于业务的本质
安全工作的本质就是对业务数字化过程中的风险进行管控,在事前、事中、事后的不同阶段,通过组织流程、技术管控、检测评估等不同手段保障信息的安全,从而支撑业务的有效、可用。信息安全是保障信息科技的,信息科技是支撑业务的,安全工作的价值就必须要体现在业务层面。
相信安全的老鸟在项目立项评审的时候,都曾经遇到过这样的几个问题。“我们现在需要做这个吗?”、“不做的话会有什么问题?”、“是不是做了就不会出现问题?”为什么我们会遇到这样的挑战?因为安全需求是业务的伴生需求,安全的价值看不见,做的好或不好,无法与企业的业务诉求强关联。安全人说的做的,就像是在自娱自乐,业务根本无法感知,因此才会问有没有必要的问题。
图1:业务、信息化与安全的关系
2. 业务自动化带来的变化
“让安全的价值看得见!”,这是安全特性从伴生需求走向内生需求的集中体现。随着业务数字化程度的越来越高,复杂业务系统的及时性、准确性要求不断提高,同时系统的不稳定性,数字安全的高度统一性,决定了网络安全的特性将从伴生需求走向内生需求,并终将成为高科技时代业务发展的基本需求。业务自动化发展的必然规律,即技术越高级,系统越复杂,稳定性就越差,风险就越大。实际上这种变化趋势已经开始显现,国家层面不断出台了如网络安全法、数据安全法、等保2.0、关基条例、密码法、网络安全审核办法等各种重要政策法规及草案。主动安全、动态安全、整体安全、自适应安全、安全可控等理念开始落地,同步规划、同步建设、同步运营的三同步原则与网络安全的态势感知、安全运营、整体解决方案等安全自动化、智能化需求作为数字化业务开展的重要支撑开始受到企业的重点关注。
1. 组织架构的影响
上文所述自动化的本质就是减员增效,尤其涉及到安全领域,安全开发、安全测试、安全运维、安全运营等安全管控过程已经渗透到IT生命周期的各个环节。企业之于安全需求的组织设计也越来越专业、越来越精细。局部领域的安全过程自动化,其实作为企业信息化过程的一部分,始终在不断推进着。但是从整体安全的角度推进自动化过程,必然会对企业尤其是大型企业的IT组织架构带来挑战。以DevSecOps为例,很多企业有安全开发自动化的需求,但涉及到具体落地,是由开发部门还是测试部门或者安全部门主导?哪些部门配合?谁立项?谁牵头?工作量和工作职责如何分配?全都是问题。
同样安全自动化还要考虑岗位、部门等客观外部因素对流程的影响,有的时候安全事件处置和医院会诊一样需要多部门多岗位共同决策,自动化现阶段只能处理批量的,重复性的,简单流程化的安全处置。涉及跨岗位、跨流程的安全自动化工作,需要强有力的组织机构及对应的职责来保障其顺利执行。
2. 人员能力的影响
安全自动化的阻力除了来自于组织架构,同样也来自于安全人员本身。安全自动化解放了人力,同样对安全岗位人员也带来了挑战。有以下几个特征:
1)信任缺乏:安全专家们觉得自己比机器更能管理好事件响应。对技术的不信任是难以跨越的一个巨大障碍。
2)害怕改变:大量基础安全运营人员的事务性工作被自动化工具替代了,他们会在一定程度上担心自身价值的降低,从而对自动化工具产生抵触和抗拒。
安全自动化推进的过程必然对原有安全组织和岗位的人员能力有更高的要求,关于自动化在网络安全中的角色定位,有那么几个重要的事实需要认清。
3)力量对等:自动化工具的使用在攻防场景下,必须做到对等。安全攻击自动化是安全自动化推进过程中最激进最快速的部分,因为极高的投入产出比,攻击方必须采用自动化方式快速、高效的搜索、攻击网络漏洞,获取最大的利益。所以赋予安全防护以匹敌攻击的能力,以提供最高等级的保护。
4)效率提升:事件响应过程中加入自动化,有助于弥合工作流,创建更均衡高效的环境。因而,不仅让企业在安全意义上更加强大,还从整体上提高了成本效益。
5)错误减少:即使经验最丰富的IT专家也会犯错。很不幸,有些错误造成的损失可能是天价。自动化能从部分或整个事件响应过程中剔除掉人为因素,从而解决犯错问题。
6)果断决策:IT主管面临的最大挑战,就是要在过程进行中快速做出重大业务决策。自动化的另一项好处,恰是能轻点鼠标就收集、分析和优先排序关键数据,进一步增强威胁检测和事件管理过程。
安全自动化在企业中的应用例子非常多,最常见的就是DevSecOps、安全运营自动化、安全资产管理等等,针对安全治理工作的迭代评估,传统方式下企业通常是采用人工评估方式进行。面对评估周期长、评估过程繁复、工作量大等问题,如何自动化的评价安全治理工作的合规落实情况,验证各类安全防控措施的有效性,成为企业安全治理工作中绕不过去的一个核心问题。Gartner在2020-2021年度十大安全项目中就预测安全风险评估自动化将成为企业需要重点关注的安全焦点问题之一。
图2:2020-2021 Gartner Top10 Security Projects
安全风险评估自动化的目标是将定义明确且可重复的风险评估过程的各个要素整合起来,以识别、度量和处置IT风险。日志分析技术,基于预定义的风险模型进行计算和分析是不够的,还需要对控制措施及其过程进行测试验证,包括采用BAS、配置核查、漏洞扫描、资产测绘,SOAR、RPA技术手段将多个重复的测试过程串起来。
安全风险自动化评估重点关注以下几个场景:
1)安全设备有效性评估:利用自动化手段,模拟攻击者利用安全设备已知漏洞或对安全设备的策略、规则缺陷情况进行评估,验证已有安全设备的防御有效性。
2)安全漏洞可利用验证:采用自动化方式,精准利用安全漏洞验证,是否可从应用层面获取更进一步的权限或数据,验证漏洞利用是否可能产生损失。
3)纵深防御体系验证:从整体、安全域、攻击类型等场景开展自动化评估,从防护缺陷、资产漏洞利用等视角还原攻击可利用路径,验证企业纵深防御体系有效性。
4)数据防泄漏评估: 结合企业数据分级分类模型,从内到外自动化进行数据泄露场景模拟,验证数据脱敏、文件水印、DLP、数据库防火墙、数据防篡改等防护措施的有效性。
安全风险评估自动化工作在IT生命周期过程中相对独立,采用评估视角对开发、测试、运维等IT环节影响较小,自动化工作推动难度较低,落地实施责任主体明确,是一个比较容易开展的自动化安全工作。
反观历史上自动化推进的过程,就是一个个用机器代替人的演变史,当智能化时代到来的时候,自动化替代已经变成一种混沌的不可预知的状态。技术的演进已经不仅仅是能替代重复的标准化的简单过程,甚至已经可以在棋类、绘画、音乐等“人”的领域杀出一片天地,未来的“人”的社会会是怎样的一种人与机器的共生关系,确实让我们又期待又彷徨。
那聚焦到安全自动化,必然会随着IT过程的部分自动化从点到面的逐步推进起来。安全自动化的动力还是来自于IT过程自动化,因为每个从标准化到自动化的IT过程就是在解决因个体差异而产生安全风险的问题,在这个过程中安全需求是核心需求。届时,可以被单拿出来称作“安全”的内容,可能就变成从评估和检测的视角观察每个IT过程自动化标准可能存在的风险及其应对了。
限于笔者在安全自动化领域浅薄的认识,又任何不足之处,请各位读者不吝指教,非常感谢。
推荐阅读
诸子笔会 | 7月征文主题《安全自动化》
诸子笔会 | 6月征文合集《安全数字化》
张永宏 刘志诚 孙琦 李磊 赵锐 于闽东肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布
齐心抗疫 与你同在