诸子笔会2022 | 刘志诚:网络空间安全——平衡的艺术
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
网络空间安全——平衡的艺术
网络空间安全——平衡的艺术
文 | 刘志诚
刘志诚
乐信集团信息安全中心总监
关注企业数字化过程中网络空间安全风险治理,对技术风险治理拥有丰富的理论和相关经验。
进入10月份,是各项工作收官的季节,也是开始筹划未来一年工作规划,准备相关预算的季节。作为安全负责人,在预算沟通上面对的挑战、回答的问题,都离不开“安全的尽头是什么”这一终极追问。毕竟对财务部门而言,安全属于成本中心,对安全的投入难以实现成本绩效的考核(ROI),不出事属于沉没成本,出事了属于无效成本,安全事故与安全预算难以建立有效的关联关系。
即使对于主管安全的CIO和CTO而言,对于安全主管提出的纵深防御、异构防御仍不免心生重复建设的疑虑。而层出不穷的安全厂商,在一些点的防御、能力产品的构建以及希望提供一揽子解决方案的野心,也带来安全产品边界的重叠,安全主管在每个领域用最适用场景的产品构建防御体系的时候,不得不面对这些鸡肋重叠功能描述的困扰,向CIO、CTO解释之余,还增加了选型、部署、以及协作过程中的沟通成本。
如果说在公司风险接受范围内,构建网络安全的防御体系,实现成本效益最优情境下的风险最小化是一个技术活的话,那么如何实现组织范围内对网络空间安全保障达成共识就是一个艺术活。需要安全主管建立分析框架,把最佳实践和思考过程,用组织管理的通用语言在规划阶段回答其他部门和领导的潜在疑问,实现组织的共识。其中的关键在于不同利益诉求方在统一规则下的平衡。
图一、网络空间安全平衡框架
一、目标的平衡
在各类经典的著作和认证课程中,安全的目标需要与组织的战略目标,业务目标保持一致,都是放在最关键的位置。如果没有经过系统的训练,或在组织中有过类似论证的过程,确实容易被忽略或忽视。
知易行难,把理论转换为实践,对安全主管而言也并非易事。了解组织的战略以及业务,对很多安全主管而言,需要逾越业务的挑战。这个目标并不是纸面上的财务指标,也不是会议上的宣传指标,而是业务发展过程中的关键支撑环节。
在信息化甚至数字化背景下,关注的是自动化的运作流程和业务人员的运营模式,其中的挑战在于,安全主管或安全团队成员需要真正懂业务、懂系统。如果安全团队仅把自己定位为信息化基础设施的安全保障者,认为无论什么业务,我所做的都是为你提供一个安全的环境,那么其实就已经和业务团队貌合神离,互不待见了。安全团队不考虑业务团队的情景和目标,业务团队也不会考虑安全团队的目标与需求,安全工作的落地和推进寸步难行也在所难免。
在数据安全和个人隐私保护中有个环节叫做PIA(个人信息影响分析),安全团队在分析公司战略目标和业务目标时可以借鉴,简称为CIA(网络空间安全影响分析)。主要目的是了解公司整体的战略目标和业务分布的轻重缓急,根据业务分析业务运作模式在数字化技术体系下的框架和结构,分析可能面对的威胁、存在的脆弱性,根据业务的规模、投入产出,估算风险的可能性以及最佳的成本配置,找到平衡的目标框架。
这个环节相对于风险评估而言,关注的不是定量的技术漏洞相关的分析,而是从定性的角度,估算整体的影响以及网络空间安全的定位和投入量级。这个环节中尤为重要的是跳出技术基础设施保障的传统思维,寻找到业务场景中安全助力业务发展的独特优势,找到亮点,与业务形成共鸣,也是业务安全的关键目标,真正是围绕着业务目标实现网络空间安全。
从业务出发的平衡考量,助力业务发展的业务安全亮点,可以与业务、公司层面快速达成目标的共识。网络安全目标是公司整体战略目标和业务目标的有机整体,不可分割的一部分,一旦形成这种共识,后续的安全工作开展就很少在具体执行环节遇到难以逾越的挑战。很多遇到巨大挑战甚至失败的安全团队,主要的原因就在于忽视了目标平衡共识的达成,在执行环节陷入到细节的陷阱中,百嘴莫辩,难以自拔。所以目标的平衡影响最大,平衡成本最低。
风险接受度是所有风险管理领域教科书强调的一个重点,基于风险评估的风险决策,指导风险控制措施的落地实施,在平衡目标下对风险评估结果,给出风险接受度的相关建议,由业务负责人和公司负责人进行风险决策,是实现风险维度平衡的最佳实践。
风险与组织环境、业务环境、技术体系、业务场景密切相关,风险的评估不仅是传统意义上的漏洞评估、漏洞管理,需要对资产安全属性做相应的梳理,以安全为中心建立资产管理体系。这个资产不仅是传统意义上的硬件、软件资产,还应包含数据、组件、接口等具备漏洞特性的虚拟资产。而在资产生命周期的基础上建立动态自动化的风险评估体系,实现实时风险视图,形成风险接受度建议报告,是建立快速决策沟通机制的良好方法。
风险评估也是被很多安全主管和安全团队忽略掉的实践,并不是不做风险评估,而是以漏洞扫描、安全检测和监测代替了风险评估。威胁的发现、漏洞的评级是风险评估之后安全措施的相关成果,不能替代风险评估,基于威胁和漏洞的决策也不等同于风险接受度决策,而是安全团队内部决策的范围。
另外,外部的风险评估和静态的风险评估也容易流于形式,给出的结论难以上升到风险接受度决策,也难以指导安全措施的构建和落实。需要安全主管和安全团队重视风险评估的动态、实时的解决方案,真正做到把风险评估的结果作为与业务部门、上级主管领导沟通风险决策建议的证据,从而形成风险层面的组织共识。
风险的平衡,是建立在安全目标确定前提下的风险接受度决策。安全主管和安全团队要拿出专业的、行之有效的建议,决策权属于业务主管和组织高层管理者,决策的结果就是组织风险接受的范围,也是风险平衡的结果。在这个层面而言,影响范围居中,平衡的成本居中。
三、措施的平衡
在实践中,由于对目标、风险的平衡不足,往往上级领导和业务部门对安全的挑战发生在安全措施的平衡层面。安全措施是在确定目标和风险接受度的前提下,针对需要控制的风险和需要确定的解决方案,包括各种安全措施能力的建设以及持续运营。
安全措施属于专业领域,安全解决方案的细节、安全产品的选型和测试,安全能力的建设和运营,属于安全主管决策的范畴和安全团队专业工作的领域。如果把相关的技术细节、实现原理、目的、功能、必要性跟财务、业务、主管领导沟通清楚,既是个宏大的工程,又是个跨专业领域的挑战,几乎是不可能完成的任务。演变成安全主管与安全团队,说又说不清楚,做又面对挑战和挫折,一旦在这个环节杯葛,往往是决策者拍脑门的决定,安全主管与安全团队铩羽而归,委屈不已。
但并不是说安全措施不做平衡,只不过是平衡的决策需要专业的人做专业的事,由安全主管和安全团队做相应的取舍与平衡。也并不是说安全团队一言堂,不容他人置喙,与研发部门、运维部门(SRE)、业务运营部门、采购部门,就架构、开发、部署、运维、用户体验、商务等方面进行专业的把控必不可少。这个参与度属于平行部门的专业把控,不涉及安全领域的专业评估和评价,是在具体安全产品适用安全措施的平衡。
安全措施进一步细分为解决方案、能力建设、安全运营,解决方案需要参考业界最佳实践,考虑风险控制基础上的成本、效能、性能、易用性等要素,实现最佳投入产出比。能力建设需要根据安全团队的规模、能力的通用性以及市场上的选择空间,可以考虑自建、开源软件构建和商用产品购买。任何解决方案包含的安全产品需要进行过测试和有效性检验,可以证明控制点的场景实践有效性。
安全运营是不容忽视的安全措施落实实践,需要持续检测和监测安全相关的事件,动态调整和优化安全风险的评估,对安全事件进行应急响应和复盘报告,持续优化安全措施,以实现安全措施的动态平衡。
综上所述,网络空间安全如何达到一个平衡状态,在组织决策和执行中实现平衡,需要从三个方面综合考虑。不要陷入安全措施底层细节的纠结,而要从安全目标着手,实现安全目标与组织目标和业务目标的有机整合,这个决策层级属于公司管理层和业务管理层对安全团队目标分析的理解和认知。
在安全平衡目标共识的前提下,以安全团队动态安全风险接受度决策建议为基础,组织管理层和业务管理层实现风险接受度的决策,达成风险平衡的共识。有了安全目标和风险接受度的平衡共识,安全主管和安全团队在平行业务部门专业支撑下,主导安全措施的平衡决策。
【9月主题:查漏补缺】
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦
肖文棣 孙瑜 杨文斌 陈圣 回顾
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在