诸子笔会2022 | 杨文斌:企业安全建设之“查漏补缺”
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
企业安全建设之“查漏补缺”
文 | 杨文斌
杨文斌
某电商公司安全管理
12年网络安全从业经验,熟悉网络安全、数据安全及安全运营等领域,擅长企业网络架构和安全架构设计。近期一直在深耕开源安全相关工作,并持续开展SRC平台运营推广。
企业网络安全现状从来都不是绝对的,随着技术和环境的变化,安全的状态也一直在动态改变,企业要做的就是时刻对安全状态进行核查,不断地调整安全应对策略,维护企业内部各类资产的安全状态满足状态机模型。
在建设初期考虑供应链安全问题,屏蔽掉各类不安全因素的引入;在企业运营期对内部有可能演变成风险隐患的因素进行排查梳理并保持持续性,在发生安全事件后可以通过完善的应急响应机制快速减少损失和恢复业务。查漏补缺伴随企业发展的整个生命周期,需要长期执行有效的策略来保障业务健康稳定发展。
定期开展安全检查是从被动防御向主动防御思路的转变,在事件发生前全面开展安全检查,帮助发现企业内部有可能存在的风险,检查的模式可以有春秋检查这样的常态化安全检查,也可以是在重大活动保障前的专项检查,或者是在国家重要法律法规和政策意见发布后的基线合规检查。检查的目的是发现问题,进而快速解决问题。不论是哪种模式的驱动,都是开展主动安全防御能力建设的基础。
定期检查也可以充分调动企业风险自评估的积极性,风险评估的目的是通过对企业资产的全面梳理,识别潜在的脆弱性和威胁,调动关键资源对核心业务完成定性或定量的合理评估。资产梳理是网络安全建设最基础的工作,也是大多数企业最容易忽视的环节,直接导致后期应急响应效率低下和企业安全资源的浪费。查是为了在攻击者之前发现问题,包括资产是否管理全面,漏洞是否整改有效,安全意识是否需要加强等方面,也能够指导管理层建立合理的安全策略和目标,在资源投入和预算分配时恰当合理。
针对检查中发现的安全隐患,需要及时处置,其中最重要的一项就是漏洞管理和漏洞修复。漏洞的存在包含系统漏洞、应用漏洞、数据库漏洞等方面,多方面如此众多的漏洞,不仅对技术人员的能力要求高,更重要的是修复的时效性和有效性,既要保证在漏洞发现的第一时间完成修复,还得保证修复的漏洞符合整改要求。
因此,漏洞管理平台的搭建是非常必要的,融合各个层面的漏洞数据资源,关联企业内部业务数据和组织数据,建立从漏洞发现、漏洞验证、漏洞修复、漏洞跟踪和验收维护等方面的线上化漏洞管理流程,指导精准定位和快速响应,同时可以沉淀经验、积累数据,通过数据分析和可视化展示来协助管理层决策。
近年来热度爆棚的开源软件漏洞治理一直是大家关心的问题,开源风险的监测可以从软件需求、设计、研发、测试、发布、运行的每个环节完成切入,最好是将开源软件漏洞发现手段深度左移,从开源软件引入阶段完成漏洞发现。开源软件漏洞可以从开源软件仓库完成净化,研发工具的拉取完成阻断,发布前完成代码包的检查整改,最后结合在线监测功能实时监测生产环境中的历史遗留问题或者早期遗漏问题。当然也离不开开源软件漏洞库的持续运营,也脱离不了开源软件业务属性和组织属性的精细化关联,最主要的还得自上而下管理考核压力的助力,确保整个治理工作的高效可持续进行。
企业在网络安全建设过程中不可能是完美的,需要将各种补丁打好。制度不健全使得企业安全工作杂乱无章,安全责任不明确,职责分工不清晰,导致出现安全事件频发,安全责任推诿,安全资源浪费等现象。企业首先要建立规范化的安全制度,将制度严格落实到日常工作中,如果在工作中发现无法覆盖的缺失,应及时根据场景完成制度修订并进行宣贯培训,有效的制度是企业安全发展的根本。为了确保安全建设能力可以应对攻击,还需要根据业务特点建立针对性的应急响应方案,对应急响应方案开展培训、演练和验证,保证在发生网络安全事件后,相关人员可以根据应急响应方案有序开展工作,快速恢复业务,降低企业损失。
为了提升网络安全的建设能力,需要结合企业不同的安全场景进行流程化管理,安全信息和事件管理(SIEM)、安全编排自动化响应(SOAR)、安全运营中心(SOC)等工具平台就是通过流程化的功能将数据收集、案例管理、标准化、工作流分析相结合,集成各方面的技术能力,为企业构建主动防御能力提供良好的支撑环境。
流程化的安全能力可以确保安全建设的各环节尽量不出现遗漏,强化了企业在每个环节的安全监管,确保每个环节的安全工作均落实到位,还可以对安全工作的执行过程进行责任追溯。安全工作的流程化特别是将流程进一步平台化后,可以积累基础数据,沉淀知识库,在对知识库的数据分析后协助进一步赋能完善流程,流程的自循环过程是最重要的。流程也推动了安全技术的自动化和工程化能力,将安全人员的工作标准化,降低技术要求门槛的同时还可以提高安全运行的效率,流程可以减少工作出错的机率,特别是安全这种高要求的岗位种别。
随着物联网、5G、云计算等新兴技术发展和企业数字化转型需要,使得企业网络空间范围和类型也发生了巨大变化,同时开放给攻击者的“缺”口也会越来越多,企业的攻击面管理将势在必行。攻击面管理是一种从攻击者的角度对企业网络攻击敞口进行检测发现、分析研判、情报预警、响应处置和持续监控的资产安全管理方法,其最大特性就是以攻击者视角来审视企业内部资产可能存在的攻击面。攻击面主要体现在企业暴露给攻击者各个层面的安全弱点,企业需要做的工作就是如何快速地掌握这些“缺”口,用最有效的方式封好,将整体网络空间尽可能完成闭合。
攻击面管理主要面向企业暴露资产的管理,为发现面向互联网的企业资产和系统以及相关漏洞而建立形成的流程、技术或托管服务,在安全防御和安全运营中建立更加有效的解决思路。将资产识别转变为一种动态识别模式,对持续新增的资产进行扩展标记和变更跟踪,对无效或不再暴露的资产指纹进行老化,甚至可以对新兴资产和影子资产等未知资产暴露面的全面识别,通过深度融合机器学习和人工智能相结合的方式来准确识别资产暴露面。
攻击面管理是通过智能化、自动化的方式实现了资产的智慧运营能力,同时协同威胁和漏洞管理方面的工作,发现和管理面向内外部的资产及其潜在漏洞,实现以最经济高效的方式完成企业安全防御能力建设。攻击面管理方案是通过人工智能和攻防对抗相结合,实现网络空间的风险闭环管理,有效解决网络空间的安全问题。
【9月主题:查漏补缺】
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦
肖文棣 孙瑜 杨文斌 陈圣 回顾
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在