CSO本为保命用 奈何沦为“背锅侠”?
CSO(Chief Security Officer)即首席安全官,负责主管一个企业的网络安全事务。在西方国家的大型机构中,普遍会在管理岗位中设置这一职位,而在国内,情况显得有些复杂。
一方面是相当一部分的企业、机构都未设置CSO这一职位,网络安全作为企业IT建设和管理的一部分,由IT、生产或运维等不同团队担负;另一方面,虽有不少企业、机构开始效仿海外做法,设立了这一职位,体现出对安全颇为重视的态度,但观察一下就会发现,其中又有不少CSO普遍存在地位不高、行政级别低、缺少话语权等相应的问题。
鉴于上述情况,故本文所讨论的“CSO”,即在实际意义上负责网络安全工作的职务。
随着数字化转型的推进,线上业务及数据暴增让企业面临的安全威胁迅猛加剧,CSO的职能也从人员、设施等物理安全覆盖到数字安全范畴。
CSO需要负责整个企业的安全运行状况,制定企业的安全标准和安全措施,参与跟业务连续性、预防损失、诈骗等风控策略和隐私保护等相关的决策。
安全问题正在成为企业内部互甩的“锅”
安全是业务发展的基石,这样的共识随着网络安全事故的频发正在企业内部逐渐建立,但同时令人尴尬的是,由于安全工作的无感知性,会导致产生一个普遍现象——没出事大家都相安无事,CSO的价值并没有得到很好的体现,而一旦出了事,CSO往往就成为了那个被祭天的人。
2017年,Uber新任CEO达拉·科斯罗萨西披露公司数据库在2016年被入侵,5700万乘客与司机信息被盗。Uber当时并未公布这一数据泄露事件,而是向黑客支付了10万美元以删除泄露的数据。随后,Uber开除了CSO乔·沙利文以及他的一位副手。
2017年,美国征信巨头EquiFax因为网站漏洞被黑客攻破,泄露1.45 亿美国居民个人隐私信息,包括姓名、生日、社会安全号码、地址、信用卡号、驾驶证号码等,受影响人数超过美国人口的40%。CSO苏珊·马尔定和CIO大卫·韦伯被要求立即从公司退位。
2018年,Facebook发生一系列侵犯用户隐私的丑闻,其CSO亚历克斯·斯塔莫斯在当年8月宣布离职。据媒体报道,早在3月,斯塔莫斯就曾发送邮件呼吁公司“在有可能的情况下尽量不收集数据”,就在邮件发出的几天前,剑桥分析曝出了滥用Facebook用户数据的事件。
不光是这些知名大公司,每个企业的CSO以及高管们都面临这样的困境,公司在迅速发展的进程中,安全工作通常滞后于增长,数据泄露、黑客入侵等安全问题往往来得猝不及防。
安全问题没暴露的时候,业务不重视安全机制与措施,甚至认为安全在干扰业务的进程;而安全问题一旦爆发,内部就容易互相推诿责任,安全跟业务在一次次的权责甩锅中成为了割裂、对抗的角色。而对于外部,当面对法律的监管及大众对隐私保护那如潮水般的诉求和声讨时,以牺牲CSO的代价做为回应也许是企业能做出的“最不艰难”的选择。
背锅侠究竟是如何产生的
在2020年底,CIS 2020大会举办了一场针对于企业CSO的闭门高峰论坛,上百位来自各个行业的安全工作者齐聚分享新的解决思路。安全419尝试剖析问题产生的源头,在现场采访到一些有见地的思考和观点,其中关于“锅”的成因这个问题,我们总结如下:
企业内部的权责定义不清晰
一个较为普遍的现状是,在企业管理者的眼中,出现的只要是安全相关的问题,那就该是安全团队来担责。
在安全团队的眼中,造成安全问题的原因往往不尽相同,比如攻击方式越来越复杂而企业的基础设施跟不上,比如IT架构的复杂性和不规范性也会导致出现错误配置和其他人为错误。
网络安全、应用安全等等并不归属于同一个部门,安全团队没有足够高的权限去事先干预,甚至各团队之间消息的流通和同步都没有得到保证,对安全事件的识别和响应能力自然是跟不上的。
在业务团队的眼中,团队就是为业务发展服务的,安全并不在、至少不在首要考虑的范围内,企业对于业务团队包括研发、测试等的考核并不涵盖安全指标,团队也自然没有动力和意愿去关注、反馈潜在的安全隐患。而不少开发、测试团队也反应,很多安全动作的切入会降低业务的效率,使自己的本职工作受到阻碍。
由此可见,一些企业内部对于安全的重要程度、安全应该做到什么份上,没有共通的认知基础;不同团队安全的范围在哪里、员工自己的责任边界有多大,也没有足够明确的界定。不对等的认知和不清晰的权责,是导致“锅”产生的根本原因。
安全工作在企业内部做的远不到位
许多CSO认为,不管是不是“锅”,最终的结果反映了,安全防护确实是存在疏漏的。除了文化、意识和制度需要补齐,我们自己的安全手段、技术、机制是不是就真的能适应当下的需求呢?
在以前,网络安全的问题多是围绕内部与外部,安全工作者只需要保护好内外网防火墙即可。随着技术的发展,免费的公共WiFi、移动设备和云计算的出现,网络安全问题打破边界,传统的保护模型不再能有效识别出攻击。
这个时候,网络安全厂商也不可能针对每一个平台和攻击技术创建具体的、针对性的解决方案,折中的解决办法就是工具和服务混合在一起,虽然保护了特定环境下的安全,但是由于彼此不能很好地相互作用,因此很难从整体上了解企业的安全状况。
随着威胁风险不断的扩大和发展,攻击方式越来越复杂多变,尤其当下攻击者还会采用机器学习和人工智能来自动化开发定向攻击和规避企业安全检测的过程,越来越加大了攻击的识别难度。企业的安全建设如果跟不上技术的发展,势必是要挨打的。
安全这口“锅” 甩还是背?
既然锅已经存在了,那CSO应该是把它将它坚决地甩出去,还是优雅地背起来?虽然大家自嘲是万年背锅侠,但在出现待解决的问题时,CSO们普遍表现出了有担当的一面。
完美世界安全总监何艺对背锅抱持比较积极的态度,他认为,安全工作者应该摆正心态,主动地选择背锅是为了承担更多的责任,责任越大意味着可以做的事越多,从而把背锅变成一个良性的循环,逃避并不会解决问题本身。
某上市公司信息安全总监孙琦表示,学会把背锅看作一件好事,团队对于企业的价值往往就在于帮助老板把锅扛下来,把问题处理掉。尤其在如今并不算好的经济环境下,有锅可背其实是一件值得庆幸的事。
其实,背锅并不是重点,真正有效地把安全问题解决掉,才是最终极的目标。通过听取CSO们在论坛上的分享以及结合长期对企业实践的观察,安全419总结梳理以下思路和建议,为广大的安全从业者提供一定的参考和指引。
在行业中树立安全氛围
如前所说,锅太多是在于不同角色对安全的认知不同,以及责任划分不清。做安全无论是设定制度、使用产品或是应急响应,最终都是由人来执行操作的。
站在从源头治理的角度,我们要主动作为,去积极传达和建立安全的文化和氛围,去影响企业管理者和各协同部门,让大家认识到安全与业务同等重要,让大家明白安全职责的定位,明确安全责任的归属。
业务方应当更多地接触安全,了解安全是如何为业务保驾护航的,同时安全方也要更充分地理解业务,为用户答疑解惑,用对方听得懂的话去建立良好的沟通。
比如,如今很多企业开始部署DevSecOps,通过一整套包含了人文、流程、技术的框架和方法,把安全能力无缝、柔和地嵌入企业现有的开发流程体系,通过自动化的方式赋能研发和测试,让安全不再置身于业务之外,将应有的安全责任传递到每一个人,实现更有效的安全管控。(具体实践可参考《DevSecOps迎来高增长,如何实施是关键》)
采用更先进高效的安全架构
新的技术运用、新的生产方式、新的办公形态,让传统安全手段日渐式微。APT攻击、网络钓鱼、社会工程学等方式往往可以轻松进入企业内部,而内部的检测和防护能力较弱,导致了边界安全防护自然难以应对新的安全问题。在企业安全实践之路上,目前逐渐在朝着一体化的安全架构去发展。我们在这里分享一些适应当前环境与风险形势的安全防护思路:
·云原生安全架构
在新基建和产业互联网纵深发展的双重驱动下,云计算明显加快了向行业用户渗透的步伐。上云成为企业面对数字化转型的第一选择,云安全跃升为产业数字化过程中需要解决的首要问题。具备开箱即用、弹性、自适应、全生命周期防护等显著优势的云原生安全正在成为各大企业CSO/CIO应对安全挑战的最优解。
拿腾讯云来说,据了解,目前其围绕安全治理、数据安全、应用安全、计算安全、网络安全五个层面已经搭建了完备的云原生安全防护体系,通过和云完全适配的原生安全产品架构,来有效保障云平台自身安全;又能通过为云上租户持续提供包括云SOC、云WAF、云防火墙等在内的原生安全防护产品,让客户上云后,可以自选符合业务需要的安全产品,一键开合、按需索取、按量付费,显著降低安全部署的成本,消除安全运营门槛、提升整体的安全水位。
·零信任安全架构
零信任是一种典型的主动防护性质的架构,可以和以前的企业架构结合在一起,既有防护又有检测。结合一体平台化思想搭建零信任架构,当平台一方遭受攻击之后,其他系统也可以感应得到,平台所有数据相通,可以互相联动。
完美世界安全总监何艺曾分享过其关于企业零信任架构的构建。第一阶段,基于统一认证的实现,比如开发OTP动态口令认证系统,所有业务应用这种系统进行认证。其次,Web网关的实现,即将Web应用一一放到网关去进行保护、认证和授权。通过认证之后的用户才能够看到页面和具体的业务。
第二阶段,构建零信任需要的终端、网络、分析环境。比如SADB系统、SOC统计分析中心的构建和完善。在做终端agent之前,先做了移动端的app,利用零信任架构支撑公司的移动化办公,比如移动端的审批、应用等都可以进行快速集成。而终端PC agent的构建,由于时间较长、成本较高、难度较大,则放在了第三个阶段去部署和完成。
第三阶段,开发终端agent、网络安全管理系统。最后,将三套系统整合起来,其中包括主机安全管理系统(涵盖终端agent)、网络安全管理系统、应用安全管理系统,并且开始做三者之间的联动,并打通数据共享。
从终端到人,再到权(应用权限)三者之间的信任关系便建立起来了。在此过程中,不断地优化以及将数据转到SOC中并进行集中和联动,之后再进行全局的安全分析工作响应,最后才能够将零信任架构落实到业务上去。
当安全这口锅摆在面前时,良好沟通,主动作为,是我们安全从业者应该秉持的态度。也正如F5大中华区首席技术官吴静涛说的一样,背锅并不能实际解决问题,我们的目标是寻找一种科学的方法,从保证业务完善的角度,在应用的整个生命周期有效地发现安全问题并解决它,避免背锅侠的产生,这才是我们倡导的理念与方式。
截止1月22日18:00,活动留言点赞数TOP5的童鞋是:草木一秋、天书、韧、婉、Ccc.
恭喜五位幸运鹅!!请各位于1月25日前在@安全419公众号后台回复收货信息,我们将为大家寄出腾讯牛年公仔哦~
#我们同样欢迎热爱文字且热衷于推动网络安全产业发展的您为我们提供优质内容,期待您的参与!投稿邮箱:tg@anquan419.com