诸子笔会 | 孙琦:世界500强公司的安全团队实践分享
自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。
世界500强公司的安全团队实践分享
文 | 孙琦
孙琦
某上市公司信息安全负责人
概述
今天,我想和大家聊一下关于信息安全团队的那些事。在正式开始之前,想先让大家回答一个问题,“在2015年-2020年9月这段时间中,中国最具创新能力的企业是哪家“,答案我会在本文最后为大家揭晓。为什么要问这个问题?答案很简单,信息安全工作很重要的价值就在于保护创新事物的机密性、完整性、可靠性。清晰的认知需要保护的目标,你才能用最合适的方式带领安全团队的兄弟姐妹们做出一番成就感满满的事业。
案例分享
Case Study: How do we defend?
“Security is our top priority and we are committed to working with others across the industry to protect our customers.” 微软公司现任CEO Satya Nadella如是说。
面对现代企业的安全威胁,身份识别被视为保护系统安全的重中之重,根据业务需要对各类应用何数据的分级分类保护、构筑在cloud平台之上智能化威胁和攻击处理能力、通过安全的设备访问我们的数据资产,这些方式的组合使用将能非常有效的保护我们的企业安全。
清晰了解自己需要保护的对象,是实现有效安全的前提,面对如此庞大数字,任何一位CISO都会感到挑战巨大,同时能够将这些数字呈现出来也是其能力和基础工作扎实的有利体现。
CISO作为领军人物,必须要有超越技术、合规等领域的全局视野。能够和CxO说清楚他们关心的Cybersecurity Resilience,同时能够通过各种手段将人、业务、流程、技术等要素有效的串联在一起。
你可能会花费很长的时间组件安全团队、构建安全能力,每一个安全从业人员都想能实现这张相当漂亮的cybersecurity reference architecture。讲到这里,你可能会说这些都是大公司的case,人家安全团队上百人,我们就是一个人的团队,不太现实。诚然如此,要构建如此完善的安全体系的确不是几个人的团队能实现的,但你也可以稍微庆幸一下,你没有那么庞大的资产需要去保护,所以自然也不需要组件这么庞大的安全团队。我们可以从教科书级别的案例中学习他们的经验,小而美的安全团队有其天然的优势,比如没有那么多复杂的变更流程。
实践分享
信息安全是一个广度非常宽阔的领域,从杀毒软件、防勒索一直到AI和机器学习都有涉足。在我的视野中,人工智能和机器学习、自动化技术、合规、数据治理、邮件安全、加密技术、终端防护、身份识别和访问控制、IOT、移动设备安全、网络安全、防钓鱼、安全开发、安全运营和维护、威胁防御、零信任等等名词都是信息安全领域的一部分,每一部分单独拿出来说都可以是一个单独安全域,其内容深度往往都可以用“非请勿入”或“从入门到放弃”来形容。作为安全团队的负责人,我每天都是在这种对于新事物探究的兴奋中度过。
我们都想建立或管理一支如下图一样高大上的安全团队,如何用最短的时间从0到1组建一支安全团队并快速形成战斗力呢?下面我们就开始聊聊关于安全团队的那些事情了。
张三的90天安全建设实战
安全工作要怎么做?
安全团队怎么组建?
安全团队怎么管理?
围绕着这3个核心问题,我将用一个故事的方式和大家分享,一个500强企业是如何做的。
故事的主人公张三同学,38岁左右的年轻人,身高175CM,掌管一家偏传统的500强跨国企业,任职CISO。张三和APAC区域CEO对赌,3个月内完成信息安全能力的雏形,具备一定的安全防护和管理能力。
不停开会,用心听用笔记(0-5天)
目标:评估最可能被攻击的系统
人员:1人
第一阶段,张三依次和PMO、产品经理、研发、运维、人事、财务、行政、核心业务部门进行了有效沟通,目标是了解安全环境和文化,评估出目前最可能被攻击的系统。
继续开会,帮业务找痛点(6-10天)
目标:为需要保护的系统的排个序
人员:1人
第二阶段,张三直接拉上了核心也部门和PMO、产品经理一起开会,会议的主要内容就是通知业务方“你的业务信息化部份内容因为安全问题很可能被迫停止7天”。针对这个极具冲击力的议题在场的所有人都炸开了锅,没有问题,这正是我想要的效果,目标是评估出这些系统被攻击后可能产生的真实影响,分别为他们打分,为我需要保护的各个系统的排个序。
折磨IT,胡萝卜加大棒(11-30天)
目标:完成任务清单
人员:2-3人
这个阶段是非常痛苦的,张三列了一张需要完成的任务清单。
针对各类系统进行打补丁修复的工作
隔离所有未完成补丁修复工作的设备
落实邮件防护、终端防护等措施
统一管理所有系统的管理员权限级别的账号管理
针对不同系统启用分层的特权管理模式
打补丁,在日常安全管理工作中非常容易被轻视的一个部分,技术部门不愿意去做、业务部门根本不知道风险,就这么一个不受待见的事情,在我看来却是安全管理中的重中之重。商业化产品本身具有可靠的漏洞修复机制,厂商发现问题后会第一时间下发补丁去修复,你只需要花时间去安装补丁即可消除这部分的威胁。不去做,无非是大家小看了打补丁的重要性。举个例子,当大家知道勒索病毒危害性很大后都很自觉地去打了微软的补丁,这个就是态度上的重视,得到重视自然问题也就解决了。
权限分级管理,你需要先做一份权限管理制度,然后明确处罚手段,然后就可以放手去干了,这里需要注意的是,学会说“No”,这比什么都重要。
这个阶段,安全团队建议的人员配置为2-3人。其中1人为张三,即CISO,他的任务就是开会引起“冲突”和说“No”;一人为安全技术,主要工作在这阶段是发现漏洞和验证漏洞,同时用技术手段在可控范围内业务部门“吃苦头”;另一位为安全合规,他的主要工作比较轻松,根据CISO开的每场会写会议纪要,在行动相增加对应的新增管理制度。
折磨自己,团队加速磨合(31-90天)
目标:完成任务清单
人员:3-5人
在完成了第一阶段的工作后,我们会调整任务的checklist,在这里我们的主要任务是巩固和确认第一阶段的工作效果。
针对备份系统的灾难恢复演练
针对所有的文件系统进行权限梳理
落实所有关键高危补丁的修复工作
关闭所有未使用的网络端口
通过BCP校验备份工作的真实效果,这里必须让业务方全程参与,安全技术人员通过模拟可控的方式实现“业务非正常”终端,全面考研IT和业务方在BCP活动中的真实反映,友情提醒一下,这个计划请事先和业务负责人及CEO单独沟通并恳请他们保密,99%的高管都会愿意在非业务高峰配合你的。
关闭所有未使用的网络端口,这个工作非常考验你的精细化管理能力,在这个阶段就让团队养成精细化管理的思维也是极好的。
至此,张三顺利的完成了和APAC区域CEO对赌,3个月内完成信息安全能力的雏形,具备一定的安全防护和管理能力。最重要的是,一旦发生意料之外的安全事故导致数据全毁,我们还能通过BCP快速恢复,这就是CEO原以为安全买单的原因之一。
稳步前行,事情还有很多(91+天后)
目标:安全管理迭代升级
人员:<10人
张三顺利的完成了和APAC区域CEO的对赌后获得了一致的认可,3个月树立起了安全团队的口碑和微信,也为进一步拓展其工作奠定了良好的基础。我清晰的看到,第一阶段我完成的只是做好最基础的工作,但这些工作能够引起的化学反应确实能够让整个公司感觉到安全团队的存在,继而为我们更好的展开后续工作打下良好的基础。应用层防护、SDL嵌入、物理安全防护、安全审计、安全合规等等工作还在远处等待着张三和他的团队。
这里需要补充说明,安全团队的人数取决于企业自身,一般而言没有互联网基因的公司都不必追求大而全的安全团队,没有强监管的公司也不需要庞大的安全团队,能用、够用、好用应该是安全团队建设的基本原则。
信心是一切的基础,一个优秀的安全团队管理者必然能够快速转型为CTO、CIO,因为你已足够优秀。
最后,有多少人看完还记得我开篇提的一个问题?
在2015年-2020年9月这段时间中,中国最具创新能力的企业是哪家?
点击空白处查看答案
国家电网有限公司(数据来源,企查查,统计周期为2015年-2020年9月)
推荐阅读
诸子笔会 |9月征文合集《安全团队》
5个关键词打造一支攻无不克的安全团队
安全团队建设的战略意义
网络安全团队建设大全
不同阶段的安全团队建设演进之路
我的安全团队故事
安全团队与现场学习能力
诸子笔会 |8月征文合集《数据安全》
赵锐 刘顺 刘志诚 杨文斌 张永宏蔚晨 王振东 孙琦 肖文棣
诸子笔会 | 7月征文合集《安全自动化》
张永宏 肖文棣 杨文斌 于闽东 孙琦 刘志诚 蔚晨 赵锐 季奖公布
诸子笔会 | 6月征文合集《安全数字化》
张永宏 刘志诚 孙琦 李磊 赵锐 于闽东肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布
齐心抗疫 与你同在