诸子笔会2022 | 刘志诚:互联网企业网络信息安全十大陷阱
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
互联网企业网络信息安全十大陷阱
互联网企业网络信息安全十大陷阱
文 | 刘志诚
刘志诚
乐信集团信息安全中心总监
关注企业数字化过程中网络空间安全风险治理,对技术风险治理拥有丰富的理论和相关经验。
网络信息安全经过几十年的发展,目标、边界、能力建设以及运营领域的认知和实践,伴随着技术发展和社会进步不断得到优化和调整。对组织网络安全从业者而言,需要甄别错误的认知和观点,去伪存真,推动网络信息安全工作的实践落地,保障业务安全有序的发展。之所以把标题限制在互联网的范围内,是因为根据当下的技术发展趋势和企业(组织)业务变革的需求,围绕数字化转型的数字化建设,其本源是消费互联网向产业互联网转变。那么相对于传统的企业而言,互联网企业代表未来的发展趋势,也带来了网络信息安全工作的复杂性,以此为基础的分析,更符合时代的特征和发展的主题。
网络信息安全领域的陷阱和误区层出不穷,难以一一穷尽,本文从安全目标、范围,安全建设中基础能力和领域能力,安全运营的一些典型陷阱展开阐述,抛砖引玉,期望同行共同探讨,形成完善的互联网企业网络信息安全避坑指南,为同行以及后来者提供一份有益的帮助。
一、安全目标
陷阱1:安全的目标就是不出安全事故
典型的安全目标就是安全保障不出现安全事故,如果量化指标的话就是定义为0事故,或者将安全事件的次数设定一个阈值作为考核标准的,但这其实是一个典型的陷阱。
安全事故的出现涉及复杂的因素,作为典型由风险驱动的安全而言,安全事件是源自于威胁对资产脆弱性的利用而形成的资产破坏性影响,这个影响的定量测量源自于概率和资产的价值。既然是统计意义上的概率事件,安全能做的是通过对威胁的发现和处置,降低威胁源对资产的潜在威胁;同时,对资产的脆弱性进行加固和补偿,避免脆弱性被威胁地利用,从而降低安全事件发生的概率。
因此,安全的目的是降低安全事件的概率,但受制于投入资源,能力,环境等各种限制,这个概率只能接近于零而很难变成零。这还只是个案的分析,相对于企业而言,风险的识别和分析本身,同样是一个复杂的系统工程,因此,如果把安全的目标定为不出安全事故,显然是个靠天吃饭的运气,非安全团队努力可达的目标。
正确的观点就是,安全的目标是在有限资源的前提下最大化实现风险的发现和分析,并把安全风险降低到组织可以接受的程度。
二、安全范围
陷阱2:安全的边界是企业安全的边界
这个之所以成为典型的陷阱,主要源自于传统观念下企业的安全观以及安全产品供应商针对企业安全的产品定位。目前的安全产品依然以企业级安全产品为主,关注的是员工在企业领域内信息系统使用过程中带来的网络信息安全风险,一般并未涉及2C企业的客户环境,也并不对2B上下游合作伙伴的安全做实质性管控。
在互联网架构环境下,软件和数据供应链成为常态,合作伙伴通过API实现互通,导致企业的安全边界消弭于无形,带来数据安全和安全供应链的相关问题。软件成分分析(SCA)、软件供应链安全、数据角色的定义和划分、合规的需求,更多地需要考虑企业作为产业链生态中的一环,针对生态链的安全风险做总体治理。
因此,正确的观点,安全的边界是企业生态安全的边界,需要关注生态链上下游安全风险带来的企业安全风险。
陷阱3:安全就是做好企业基础IT设施的安全
传统的网络信息安全从关注计算机和网络的基础安全开始,关注终端的防病毒、主机安全、桌面管控、防泄漏,关注网络的防火墙、入侵检测,逐渐关注在云计算和虚拟化下的相关安全cwpp、casb、容器安全等,以及web和app应用普及下的waf、app等应用安全。在此基础上通过日志、流量的采集和关联分析实现数据驱动的安全运营,在攻防基础上关注漏洞发现和利用以及延伸到自主研发系统的研发安全问题。
而互联网背景下,业务的互联网化带来更多的数据和业务安全风险,避免数据泄漏,避免互联网黑灰产对业务的损害,也变成了安全团队需要面对的安全风险。由于app的开放性带来的安全问题以及黑灰产在利益驱使下对业务系统逻辑的攻防对抗,不单纯的是合规驱动的安全监管需求,也是安全策略解决业务安全风险的必然路径。
因此,正确的观点是安全需要突破传统的技术基础设施安全保障的边界,更多地关注对业务造成安全风险的研发、数据、业务的相关风险,通过创新实现安全能力的升级,保障业务的健康发展。
三、安全责任
陷阱4:安全就是安全从业者的责任
至于安全的责任,其实大部分安全从业者有一个基本共识,这也是长期从事安全的从业者安全意识教育的成果:安全是一把手责任。相对于企业一把手承担企业的安全责任,细化到业务和支撑部门,部门一把手首当其冲承担岗位相关领域的安全责任,这也是为了避免安全从业者被扣上安全责任却没有调动落实安全策略资源的能力。
但在实践过程中,无论是业务和支撑部门的强力,还是安全部门的地位不足,大量企业的安全部门仍然承担网络信息安全的基本责任;出了安全事故,首先担责和背锅的依然是安全部门。这仍需要安全行业向社会传达正确的责任观,毕竟业务负责人负责制也是《数据安全法》《个人信息保护法》等法律明文规定的合规条款。
所以,安全责任的陷阱本身并不是安全从业者的认知失误,而是安全责任的正确观点传达和传播的宣传教育不足,这一点不仅需要安全从业者的贯彻和宣贯,也需要行业和企业持之以恒的贯彻和纠偏。
四、安全建设
陷阱5:攻防能力是安全的首要基础能力
黑客大战的娱乐性、黑客能力的直观性、黑客攻击的刺激性,促使整体社会的安全观畸形为网络信息安全是以黑客技能为核心的攻防能力,成为社会认知的安全全面能力。当然,这并不意味着攻防能力和黑客视角的安全能力不重要。在验证安全保障能力的有效性,提升安全检测水平,促进产业发展和潜在从业者的兴趣角度而言,攻防对抗对安全颇有助力。
白帽黑客的创业传说,坊间的安全故事,普罗大众对安全的认知无不来源于安全攻防对公共视野的吸引。但把攻防安全能力作为安全首要基础能力,甚至描述为安全的唯一能力,是值得商榷的。
正确的观点应该是攻防能力是安全验证和响应的核心能力,在安全技术体系中有着不可替代的作用,但不应该成为单一能力。
陷阱6:安全能力的落地重点在于产品选型
安全专业领域的广度、深度以及技术特性,决定了无论是安全预防能力,还是检测、监测、预警、响应、处置能力需要依赖于成熟的技术工具和平台的支撑。专业化的分工促进了安全产品厂商的崛起,如何测试、选择、实施安全产品,提升组织的安全保障能力是安全从业者的必备技能。在传统企业中,买买买,是解决安全保障能力建设的不二法门。
在互联网的企业模式中,应用系统脱离了传统企业的商业套件(COTS)模式,而是以企业自主开发的应用为主,相对于COTS软件的标准化和稳定性,互联网企业应用系统在追求性能效率的同时,失去了标准化和稳定性的特征,再以直接购买通用安全产品的方式集成和部署会遭遇巨大的挑战。需要结合企业的应用场景,在复杂环境中通过对安全功能的解耦与再造,实现场景为中心的安全联合产品,是未来企业与安全厂商合作定制的主流模式。
因此,正确的观点应该是安全能力建设的重点是在企业场景中,实现安全产品的最优化解耦与定制。
陷阱7:研发安全重点在于测试和漏洞挖掘
互联网企业相对于传统企业最大的特征之一在于业务信息系统的自主开发,庞大的技术研发团队在实现业务系统的过程中需要关注研发的安全管理,因此研发安全从信息化产品供应商走向了互联网。相对于信息化产品供应商产品开发以瀑布型开发模式为主,产品迭代周期长,依赖于传统的研发安全管理过程SSDLC实现软件的产品安全,互联网企业为了快速响应业务需求,提倡敏捷的开发模式,持续集成和发布成为常态,因此研发安全也从SSDLC变成了DevSecOps,强调的是研发安全的自动化工具链集成。
DevSecOps实现开发运维一体化DevOps的安全,核心的一个观点是强调安全的左移,关注产品在可行性调研层面的介入,在需求和设计阶段实现风险的评估、威胁的建模以及安全能力的集成与嵌入。在开发和测试阶段通过白盒、灰盒的方法及时发现缺陷和漏洞,在集成和上线前最小化软件带来的安全风险。
因此,正确的观点应该是研发安全关注软件生命周期的安全,并通过软件早期的安全介入实现安全成本的降低和效率的优化。
陷阱8:安全预警和事件分析依赖于专家能力和预置规则
在安全管理的生命周期中,检测、分析、预警是至关重要的一环,是威胁、漏洞、事件的发现,处置必备的基本能力。传统企业中,各种安全工具在解决具体领域安全问题时,由于设计理念、运作模式、兼容情况各异,需要依赖于产品自身的检测、分析、预警指标和模型的内置,实现具体产品内的预警机制。而不同产品间的数据孤岛,造成难以关联分析,实现全局的预警、分析与响应,全局的视角依赖于安全专家的经验和技能。
当然,早在20年前,已经具有了中心化的安全运营平台SOC的理念,核心目标就是打通安全设备的日志进行集中的分析。但受限于日志数据的静态特征,不同产品的日志标准不同,数据处理的能力和分析的建模复杂性而鲜有成功者。10年前的SIEM产品在日志的基础上通过流量分析的多源数据集成,作为信息事件管理的平台逐渐发挥作用。目前流行的热点XDR通过对终端、网络、云的日志、流量、行为数据的汇聚,集合人工智能的机器学习、深度学习自动化建模以及自动化编排SOAR的能力,进一步提升了数据驱动安全的能力。使安全预警、分析、响应不再单纯依赖专家的个人经验和专业。
因此,正确的观点是安全预警和事件分析依赖于大数据技术发展以及人工智能自动化建模的崛起,结合自动化编排实现安全预警和事件分析的核心能力。
五、安全运营
陷阱9:安全管理体系的建设水平体现了企业的安全能力
如何对企业的信息安全成果进行科学的检验和度量,仍有不少的观点和探索,无论是传统的安全能力成熟度模型,还是基于ISO组织ISO27001系列的评估和审计,从管理制度的完备性和安全事务处置记录完备性的角度进行第三方考量,通过第三方审计的机制实现安全管理体系的认证和第三方背书,是证明企业安全能力的有效佐证之一。安全管理体系的完备性对安全意识和安全能力的考核而言,自然有其不可替代的价值,但在实践过程中,不少企业往往存在着为了实现第三方审计和认证,做了一套完整的paper worker工作,仅在文档和形式上满足了审核需求,并误以为企业达到了响应的安全水平。形成了认证与实践两张皮,实践的能力难以满足安全管理体系落地的需求。
因此,正确的观点是安全能力的建设水平体现了安全管理体系的完整性而不是相反。
陷阱10:安全的效果在于安全保障能力的建设
买了或开发了很多安全产品,形成了完备的安全主动防御的能力架构,具备了纵深防御的安全能力,注意力集中在安全能力的建设上,是不少企业安全工作开展的常态。缺少安全配置的优化,安全规则的积累、丰富和优化,安全产品和工具工作在缺省的配置状态下,甚至未启用响应的规则和机制。在自以为是的安全状态下,无视安全威胁的入侵,从而酿成安全事故,这样的事件并不在少数。三分建设,七分运营,根据企业的场景和环境,不断优化和调整工具和产品的运营状态,逐渐形成企业核心的运营规则和模型,才是企业实现安全状态的最佳路径。
因此,正确的观点应该是安全的效果在于在完备的安全能力建设基础上实现持续优化的运营。
综上所述,互联网企业是企业数字化演变的标杆性样本,代表未来数字化转型的方向,其网络信息安全保障工作是数字化安全的基础和依据。因此,澄清一些似是而非的观点,建立正确的认知,避免工作开展过程中的陷阱十分必要。当然,囿于个人认知的局限性以及篇幅,难免挂一漏万以偏概全,仅作为抛砖引玉引发大家思考和讨论的标靶,求同存异,共同推动互联网网络信息安全工作认知的进步。
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在