诸子笔会2022 | 杨文斌:基于平衡思维推进企业安全决策
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
基于平衡思维推进企业安全决策
文 | 杨文斌
杨文斌
某电商公司安全管理
12年网络安全从业经验,熟悉网络安全、数据安全及安全运营等领域,擅长企业网络架构和安全架构设计。近期一直在深耕开源安全相关工作,并持续开展SRC平台运营推广。
企业的业务发展和国家的经济发展一样,由于早期过度追求经济发展,使得越来越严重的环境问题在当前凸显了出来。为了发展的可持续,不得不采取纠正措施,回过头来治理环境问题。同样,企业如果不在早期将安全视为业务发展护航保障的重要因素,业务的飞速发展将像在沙漠中建造高楼,基础不扎实的问题会随着企业的发展逐渐表现出来,甚至在某个阶段坍塌。
随着技术创新和业务高速发展,企业对各式各样的安全问题需要权衡并做出选择,安全建设也应该结合业务发展和安全现状,进行多维度的综合分析,最后决策出适合企业发展的最优解决方案。
资源投入和安全价值
安全资源一直是企业预算分配中占比较少的稀有资源,特别是中小型发展中的企业,高层管理者将更多的资源投入到了业务发展中,视安全投入为成本支出,总会觉得安全资源的投入是非必须的——投入少是浪费,投入多成效不显著。老板要的是利润,可能会忽略利润的稳定性需要在安全保障的前提下。作为安全负责人或者是安全从业一线人员,为了推进管理层在安全建设方面能有更大的倾向性,使得安全能够在企业中具有一定分量的话语权,应该更多地从企业发展的角度出发,理解安全存在的意义是为业务赋能,脱离业务的安全必然没有意义,至少站在企业的角度毫无意义。
企业不可能用高安全投入来维护低价值的业务,反之有可能。理想的状态就是用最合理的安全投入追求最高的业务安全,达到最高的ROI,驱使好钢用在刀刃上,最大化发挥安全资源的作用。安全不受重视,换个角度也许是安全工作没有体现出合理的安全价值,没有在管理层心理达到应有的预期。不出安全问题并不能说明安全工作做的很出色,也许是没被重点关注,安全负责人需要带领团队主动做出成绩,打造工作亮点,并有效向管理层汇报,安全工作不仅仅是保现在,更重要是看未来。
创新发展和安全平衡
随着数字经济的发展,以人工智能技术、量子信息技术、区块链技术为代表的新兴技术进入了高速发展阶段,企业为了提升科技能力,结合不同的业务场景对新兴技术进行了应用。新技术和业务的融合更多的是处于探索研究阶段,当然有成功的应用案例,但不可否认有概念噱头的成分参杂其中,新技术的应用主要还是为了追求业务发展。企业、行业、国家层面都在提科技创新,比较少提及在科技创新背后需要更加创新的安全能力来保障,比如引入了国外的先进技术,会不会存在供应链的安全问题隐藏其中,会不会有国家安全的隐患发生。
创新是基于发展提出的,安全能力在创新面前还是显得滞后,科技在飞,安全在走,貌似不在一个档次上。安全架构一直在不断革新,来解决各种新产生的问题,不过安全技术的研究貌似一直局限在对原始遗漏安全问题的不合理性,以及如何更合理地解决已知未解决的风险。
还有一种说法是科技一直在创新,安全的技术应用或者思维仍是沿用最初的技术积累,仅仅是将已有的安全技术换个框架、换种思维、换种组装方式来应对新技术的安全问题。唯一可以肯定的是随着新技术的发展,企业的攻击面范围肯定会扩大,存在的安全问题也会相应增加,需要关注创新发展和安全保障之间的平衡点。
风险分析和处置平衡
安全风险主要来自于人、流程、漏洞和威胁,风险评估的方法主要有定性和定量两种。定性分析是通过权衡不同漏洞和威胁的影响程度,以及发生的可能性来确定出风险的等级,根据风险对业务系统的影响情况,识别需要重点分析的风险以及必要的控制措施和行动。
定量分析是通过对风险指标的量化分析,经过多维度的数据计算后,核算出风险可能导致的经济损失。定量分析需要高质量的数据、明确的业务计划、完善的项目模型和业务的优先级等多个指标支撑。企业在风险评估时需要结合安全现状和业务场景决定需要通过定性或定量对风险进行分析,还是用两者结合的方式。
风险分析后需要针对不同安全级别的风险建立对应的风险控制措施,不是所有的风险都必须处理,不同风险优先级的划分很有必要。风险处置的方式有风险缓解、风险拒绝、风险接受、风险转移。
风险拒绝是针对关键资产和核心业务存在的安全风险,严格执行风险应对措施将风险彻底修复;风险缓解是针对风险等级相对较高,但是安全风险因历史原因无法彻底修复的情况下,需要临时修复方案来进行缓解,为彻底修复风险建立充足的窗口期;风险转移是针对无法应对的潜在安全隐患,有可能对企业造成损失,将风险发生后的损失通过保险的方式进行规避;风险接受是对一些不太重要的风险或者是经过评估后不会对企业造成明显经济损失的风险采取不处理的方式,默认接受风险存在的现状。
规则与模型应用平衡
在风险处置时需要保持精准安全策略的有效性,安全策略的建立有静态规则和数据模型两种方式。规则通常是基于经验或历史数据配置形成,常见的有边界防护设备,主要通过风险特征构建出对应的防护规则。在防护过程中很容易出现异常漏报的情况,也会出现攻击绕过的可能,对于运营人员来说操作简单灵活,维护成本低。
数据模型是利用大量的基础数据,对用户的异常行为进行风险画像分析,建立形成动态的具有场景适应性的标准,依据不同的标准对风险完成动态处置。在整个分析过程中不需要过多的人为干预,核心是模型算法的持续调优。数据模型对算法开发人员的要求较高,模型的完善需要较长的时间,如果模型不健全将会导致大量的误报。
可以看出两者各具特点,企业在安全建设时可以根据不同的阶段,运营具备不同方式的安全策略。如果网络和业务架构简单可以用静态规则应急;如果业务场景较多,对安全策略的要求多样化,可以将安全架构模型化,将各种安全能力进行融合,最大化将安全能力赋能业务。零信任理念就是模型化思维的体现,达到安全策略的持续动态验证效果。
平衡是一种心态,是一种选择,是从不同的视角用不同的思维方式对同一件事情的分析,最终以最合理的方式解决掉问题。在抉择或者处理矛盾的时候,每个人都会尝试着在心里盘算哪种选择对自己最有利。安全和风险是并存的,要想安全就必须合理处理风险,以何种方式、投入多少资源、在什么时间实施处理的动作非常重要,我们需要以更加理性的思维投入到日常的安全工作中。
【10月主题:过与不及】
【9月主题:查漏补缺】
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦
肖文棣 孙瑜 杨文斌 陈圣 回顾
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在