诸子笔会2022 | 孙琦:用“主动”改变“怎么办”
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
用“主动”改变“怎么办”
文 | 孙琦
孙琦
某A+H股上市公司信息安全负责人
负责集团及各业态分子公司的信息安全管理工作,在传统行业、互联网行业有丰富的信息安全工作从业经验。
2022年5月上旬,我和一个朋友在讨论关于“疫情”的话题,讨论的焦点是“如果不幸被感染了,该怎么办?” 我朋友的回答很坦诚:“真遇到了,有别的选择吗?没有…只能该干嘛干嘛。”我认为这是一种谦和大气的睿智,面对既成事实,主动选择接受和面对,采用“主动”的方式“该干嘛干嘛”。
信息安全是一项极具挑战性的事业。你永远不知道你的对手在做什么,因为你在明处他在暗处,你要守护的是一个面而他要攻破的只是一个点。传统安全框架模型能够很好地帮助我们理顺思路,按部就班地解决整体安全的问题,但我认为,依赖成熟的框架模型做事还不够,我们要学会用“主动求变”的思路去解决“怎么办”这个问题。
有人说,我们连最基本的资产都没搞清楚,怎么搞安全?传统思路,大家都会把这个问题责怪于传统的IT infrastructure工作没有做好,由于各种历史原因导致现在“两手一摊说不清”的状态。
对于一个安全人而言,这个并不难。我会“主动”站出来——给我3个月,我帮你把你想要的资产情况理清楚。怎么做?更简单了,先去network device上把配置都拿下来,拿出大家手中的scanner,全部爬一下。爬完之后,找一个open source的CMDB,放进去,安全人员以后只需要维护这一套CMDB就行了。这里我敲一下小黑板,安全人要具备把安全数字资产让别人来消费的概念,即数据在你手,主动收集、运营、维护,让人消费。
有人说,每次看到安全部门发的漏洞修复通知就头疼,你们就不能搞点别的?传统思路,你可能会一再强调这个漏洞非常危险,如果你现在不xxx,将来很可能会xxx,最后的效果往往收效甚微,还把自己弄得emo了。
换做是我的话,我还是会“主动”站出来,告诉他们,安全部门通过现有的安全能力调整已经为他们抗住了这波攻击,至少我们能确保从外部进来的这部分威胁都被我们挡住了,你们必须在我们“倒下”前,尽快地从根本上解决这个问题。
这里的核心词是“主动为他人着想”,你和你的团队只有主动站出来才能获得别人的认可和理解。绝大多数的时候别人不是不愿意去修复一个漏洞,而是真的不敢去修,产品文档做得好的可能还能找到一些信息去研判修复这个漏洞的大致成本和潜在的风险,遇上产品文档缺失、人员变动较快的现状,大家都是在冒着巨大的未知风险去解决另一个潜在的安全风险。因此唯有安全人主动站出来为他人着想,你才能真正地去推动漏洞修复这个事情。
有人说,想到每年的外部审计工作,他直接躺平了干不动了。传统思路,找个靠谱的伙伴来帮忙一起处理这个问题吧,反正出了问题也是他们的问题,花钱消灾。作为企业的信息安全一号位人物,我当然要“主动”站出来,敲敲他们的桌子,想什么呢!信息安全审计工作本来就是你们要做的事情,你自己不把这部分事情做好,难道还能指望别人帮你吗?
基于成熟安全框架构建的整体安全能力在这个时候就有其天然的优势,完善的安全管理制度、流程等控制手段已经帮我们把要做的事情具体分解到了各个岗位,平时如果整体安全能力正常运行的,怎么会担心这些事情呢?
很多人会担心在年底的审计中无法给出审计要求的内容,比如各种log、record等等。这里我是非常建议大家根据公司的实际情况采购对应的系统来进行变更管理的,这里有太多的品牌我们就不提了,重点是他要能够满足你的整体运营要求和良好的扩展性,实在没有预算的,我们依然可以走open source的路线,选择面相当广,最重要的是你要能够依据目前的现状去进行评估。针对Log的问题,我觉得一个安全人员,每周花费1-2天去检查一下这个系统的稳定性还是很轻松的,对于日志的分析和集中处理我不在这里讨论,我只想说没有log、record这些问题并不是我们做不到,而是我们缺乏“主动”站出来做事的想法。
有人说,我们每天都在疲于应对各种攻击,实在是忙不过来了。传统思路,我们增加资源来解决这个问题吧,如果没有资源,我们真的是没有任何方法了。我当然要“主动”站出来帮他们解决这个问题。任何资源都是有限的,如果在一件事情上投入的资源已经超过了其本身的价值,我们需要考虑的不是如何获取更多的资源继续投入,而是换个思路来解决这个问题。
你要防护的系统,是否可以暂时换一个访问的方式,我们先绕过一直被攻击的入口,看看是否能够先让业务稳定地跑起来。我知道我们的防护成本很高,但请别忘了攻击也是有成本的。换句话说,如果你需要防护的系统并不是你们的核心业务系统,为什么不和CEO建议,直接将这个系统下线?给到业务部门一个替代的系统让他们继续开展业务。把我们的核心安全能力都聚焦在最重要的20%的资源上,主动告诉业务部门你们现在固守的这部分资产可能会把你们赚回来的利润都吃掉,他们会明白我的意思的。
写在最后,我是一个积极主动的人,喜欢用轻松的文字告诉大家我想说的事情,be positive, be patient。信息安全人要让自己积极主动起来,这是一种人生态度,我们都想要得更多、做得更好,所以,先改变自己的人生态度,笑看风云。
开篇我和朋友聊到“如果不幸被感染了,该怎么办?” 我朋友的回答很坦诚,“ 真遇到了,有别的选择吗?没有…只能该干嘛干嘛”。还有半句我没说完,他已经准备好了旅行箱迎接万一的“意外之旅”,他也做好了心理建设“反正好的坏的都是要自己去面对,为什么不积极主动一点呢”?
人类有四种天赋,自我意识、想像力、良知、独立意志(本文不做展开讨论),如果你采用积极主动的模式去处理事务,我的结论是,一般情况下你会是一个混得比较好的人。至于如何做到积极主动?我的经验如下:学会承诺守信,再小的事情只要你作出承诺,就一定要做到,当你习惯了承诺守信你就会有更多的自制力、勇气和承担更多的能力。另外一点也非常重要:立即行动,不要拖延,确定了就要去做,拖延会毁了你。
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
2021首届诸子笔会
齐心抗疫 与你同在