距离4月19日在美国举办的RSA大会,时间过去了一个多月,大会的盛况已经逐渐淡出人们的视线,但是大会上发布的新的理念和产品却在安全圈逐步发酵,相信未来会对安全市场产生深远的影响。例如CISO元素周期表,里面提到了诸多CISO需要关注的重点。
在国外,企业安全负责人的职位通常是CISO,即首席信息安全官,主要负责对机构内的信息安全进行评估、管理和实现,这个角色通常会被设置为与CIO首席信息官平级,或者由CIO直属,向CIO汇报,但无论如何设置,CISO的重要性都是毋庸置疑的。
在国内,安全的负责人通常还未被提到CISO这个高度,但是随着网络安全法的颁布以及国家对网络安全的高度重视程度,安全负责人的重要性势必会越来越高,一定会向CISO的方向去发展。
大会厂商将CISO需要考虑的安全要素汇总提炼,总结成为下面的CISO元素周期表。下面我们对逐个要素做以解释。
一、业务基础
1. Dx (Digital Transformation) 数字化转型
在任何企业环境中,安全与IT都是服务于企业业务的。数字化时代,数字化转型可能是CEO/CIO最重要的优先级。安全即使不直接与Dx相关,但至少不能与其相悖。优秀的安全总监要思考的是安全如何能够帮助企业实现安全、高效的数字化转型。很多安全的热点领域,如数据安全、业务安全都是与Dx直接相关的。
2. Go (Governance) 治理
治理是个非常大的课题。百度的定义中,治理的关键是规范行为方式和建立合理的机制。大到企业治理,小到IT治理,或是安全治理,重点都在如何确定关键人在关键事上的责权利设置。所以,在安全领域,治理无疑也是非常重要的。
3. Rm (Risk Management) 风险管理
在Gartner的定义中,Security(安全)和Risk(风险)是两个不同的维度,“安全”更偏向技术维度,“风险”则更偏向业务维度。在国内,可以看到的趋势是优秀的安全总监逐渐也在涉及风险领域,因为在数字化的时代,业务和IT本来就越来越紧密,越来越密不可分。如反欺诈这件事情,可以说是个业务问题,也可以说是个风险问题,但还可以说是个安全问题。
4. Co (Compliance) 合规
合法合规合理。在一些特定的行业,尤其在强监管的行业,合规性是业务必须确保的事务之一。
5. GDPR (General Data Protection Regulation) 通用数据保护条例
欧盟的通用数据保护条例将数字化时代的数据安全和合规要求提升到了一个新的高度。RSA大会上大部分公司都在强调产品或者解决方案如何匹配GDPR,甚至很多创业或者创新型安全公司主打的就是GDPR。如今年创新沙盒的冠军BigID。
6. Ba (Business Alignment) 与业务的协作
安全不是为了纯粹的安全,安全是为了保障业务的正常运行。所以安全必须保证业务的连续性,尤其在关键部门或者关键基础设施方面。这是一个基础性的共识。
二、IT基础
1. Am (Asset Management) 资产管理
安全是重要的IT资产,也是重要的企业资产。在这点上,国外企业的意识非常领先,国内企业也在迎头赶上。在这里小小的硬广一下,青藤的产品特点之一就是安全资产的细颗粒度梳理、可视化和量化。这在中大型企业或者高度依赖IT的企业中,无论对CISO,还是CIO甚至CEO都是很有意义的。
2. Cm (Change Management) 变更管理
组织、业务过程、信息基础设施和系统等的变更极有可能会影响组织的信息安全,需加以控制。这个对变更活动进行控制的过程与内容就是变更管理。
3. Pm (Patch Management) 补丁管理
无论在国内国外,不同的企业间IT环境差别相当大,甚至同一企业中开发和生产环境也不尽相同,所以补丁管理是不容忽视的重要任务。如果不实施全面的补丁策略,后果可能会很严重,如生产系统关键任务会执行失败,安全性敏感系统会受到恶意利用,从而导致时间和业务收入的双重损失。
4. Cm (Configuration Management) 配置管理
随着软件系统的日益复杂化和用户需求、软件更新的频繁化,配置管理逐渐成为软件生命周期中的重要控制过程,在软件开发过程中扮演着越来越来重要的角色。一个好的配置管理过程能覆盖软件开发和维护的各个方面,同时对软件开发过程的宏观管理,即项目管理,也有重要的支持作用。良好的配置管理能使软件开发过程有更好的可预测性,使软件系统具有可重复性,使用户和主管部门对软件质量和开发小组更有信心。
5. Iam (Identity and Access Management) 身份识别与访问管理
IAM是让合适的人员在恰当的时间通过统一的方式访问被授权的信息资产,是提供集中式的数字身份管理、认证、授权、审计的模式和平台。
三、安全项目基础
1. Ns (Network Security) 网络安全
传统的安全多是在网络和流量方面搭建安全防御体系,但是在面对越来越复杂的网络环境和越来越高级的APT攻击时,传统防御明显已经不足应付。所以防御纵深化和检测端上化,即在服务器端和桌面端上面深耕安全是个必行趋势。
2. Es (Endpoint Security) 终端安全
端可以说是安全的最后一公里,无论网络如何建设,企业的数字资产最终都是存储在端上。端通常分为桌面端和服务器端。通常说的Endpoint指的桌面端多一些。Gartner针对云时代的服务器端安全服务专门定义了一个命名:CWPP,即Cloud Workload Protection Platform。
3. Vm (Vulnerability Management) 漏洞管理
漏洞管理就是领先漏洞一步,让修复动作变得更频繁更有效的一个过程。待修复漏洞应该按照对网络的威胁级别进行优先排序。各类安全公司的漏洞管理方法不一而足,从培训和实现最佳实践,到过滤所有漏洞噪音只关注最危险的威胁。
网络安全领域,漏洞是重点,理论上若是消灭了所有漏洞,企业也就几乎没有数据泄露的顾虑了。但是,漏洞本身并非活跃的威胁,但是企业难以分辨哪些是急需填补的漏洞,而这些漏洞又该以何种顺序处理。然而当漏洞数量攀升至惊人水平时,该问题就更加突出了。现实环境中,大型网络中的服务器集群甚至会被扫描出百万个漏洞的极端情况。
4. Em(Email Security) 邮件安全
邮件作为企业(特别是传统和大型企业)的主要沟通工具关键程度日益提升,同时安全问题也日益突出。邮件协议缺乏认证和安全鉴别机制,天然具备防追踪和高性价比的特性,因此邮件已经成为电信诈骗、勒索软件攻击的主要途径。目前大众普遍认为邮件安全就是钓鱼攻击(phishing),其实邮件安全的领域很广。
5. Ws (Web Security) Web安全
随着Web2.0、社交网络、微博等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
6. AS (Application Security) 应用安全
应用安全,顾名思义就是保障应用程序使用过程和结果的安全。简言之,就是针对应用程序或工具在使用过程中可能出现的计算、传输数据的泄露和失窃,通过其他安全工具或策略来消除隐患。
7. DP(Data Protection) 数据保护
数据保护/数据安全是今年RSA会议上第一位的热点。近期关注数据安全的事件很多,GDPR也与数据保护颇有关系。
8. SOC (Security Operation Center) 安全运营中心
安全运营中心,或者安全管理平台,属于信息安全领域的词汇。一般指以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
9. SM (Security Info & Event Management) 安全信息与事件管理
即SIEM。收集、监测和分析电脑记录中与安全有关的数据的方法。安全信息包括由许多源产生的日志数据,包括防病毒软件、入侵检测系统(IDS)、入侵防御系统(IPS)、文件系统、防火墙、路由器、服务器和交换机。
安全信息管理系统可以:
- 实时监控事件;
- 显示活动的实时查看;
- 将来自各种源的事件数据转成一个共同格式,通常是可扩展标记语言(XML);
- 汇总数据;
- 使来自多个源的数据相关联;
- 交叉相关性,以帮助管理员辨别真正威胁与误报;
- 提供自动的发生反应;
- 发送警报和生成报告。
10. Ir (Incident Response) 事件响应
如果系统安全被攻破了,就有必要进行事件响应。快速有效地对问题采取相应的行动是安全组的职责。
事件响应是对问题和事件有计划的反应。从信息安全的角度讲,它是指安全小组在某个黑客已经攻破了防火墙,当前正在嗅探内部网络时所采取的行动。安全破坏事件是黑客行为对系统安全性的一种破坏。对这类事件的响应应该包括:
- 安全小组在试图保证数据完好性的同时如何反应;
- 他们采取哪些行动来减少损失;
- 以及他们何时能够恢复资源。
想一想你自己所在的机构,想一想它在各方各面上有多大程度要依赖于科技和计算机系统。如果其中出现了漏洞或弱点,想像一下潜在的灾难性结果。除了最明显的系统停用和数据失窃以外,还可能会出现数据损害、身份失窃(从在线人事记录中)、消极媒介宣传、甚至由于顾客和商业伙伴在获悉攻击真相后采取消极态度所导致的灾难性财务后果。
对已往安全破坏事件(内部和外部)的研究表明,安全破坏事件会使企业资源不可用,还会导致数据被损或被窃,甚至有时会导致企业破产。同时,我们也不能忽略那些很难用金钱来衡量的问题,如负面宣传。要真正了解有效的事件响应的重要性,组织机构必须要计算安全破坏事件会给它带来的损失,以及组织会如何短期和长期地受其影响。
四、高级安全项目
1. CTI (Cyber Threat Intelligence) 网络威胁情报
威胁情报就是能帮助企业识别安全威胁并做出明智决定的知识库。
威胁同时来自内部和外部,同时管理威胁的组织都承受着巨大的压力。尽管信息的原始数据是可用的,但获取有意义的信息是非常困难且费时的,但是可以通过前期工作来做到这一点。这自然地就把越来越多的用户吸引到威胁情报这一概念,威胁情报有助于他们在海量数据、警报和攻击中对它们进行主次排序,并且为他们在可实施性方面提供建议。
2. Ics (Identity Centric Security) 以身份为中心的安全
身份安全要做的事情是什么?Gartner报告指出,身份安全要确保正确的人在正确的时间,因为正确的原因访问了正确的资源。身份安全是信息安全的基石,它的重要性愈加突显。就以谷歌公司为例,其实施的BeyondCorp计划就打破了内外网的区隔,这时摒弃了防火墙防护的企业网络靠什么保障安全?无疑,身份安全与访问控制是重中之重。从大的环境来说,随着云化、移动化的进程加快,网络边界变得越来越模糊,所以身份安全成为关键。
3. Dso (DevSecOps)
“DevSecOps”,一种全新的安全理念与模式,从DecOps的概念延伸和演变而来,其核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。过去安全开发跟安全运营总是割裂开,回顾企业和组织机构以往对应用及IT基础设施安全管理的态度和内容,我们可以将其简单地划分为两个阶段——“安全事故管理阶段”和“安全风险与合规管理阶段”。 如今DevSecOps有希望让二者展开协作。
4. Trm (3rd Party Risk Management) 第三方风险管理
云的时代,是各种连接和协作的时代。外包运营、建立新合作伙伴关系、转移业务到海外、实现云计算服务,都是达成业务目标的一部分。与此同时,安全越来越复杂,网络越来越纠缠,第三方风险管理已成为公司战略的一个重要部分。第三方风险管理包含多种维度,从合同到供应链到数据保护。
5. Ca (Cloud Access Security Broker) 云访问安全代理
Gartner对CASB定义:作为部署在云服务使用者和提供商之间的“经纪人”, CASB(云安全接入代理,cloud access security broker)能够嵌入企业安全策略,通过整合云服务发现&评级,单点登录,设备&行为识别,加密,凭证化等多种安全技术,在云上资源被连接访问的过程中并加以监控和防护。
6. Cs (Cloud Security) 云安全
云安全是个大课题。这里暂时不展开讨论。
7. Dr (Detection and Response) 检测与响应
Gartner的自适应安全理论指出,安全方案应该从防御转向更为有效的检测与响应,以及相关的联动机制。到2020年,用于增强检测和响应能力的支出预计将成为安全采购者的关键优先事项。对于更好的检测和对安全事件响应的需求,也催生了新的安全产品细分领域,例如欺骗、端点检测和响应(EDR)、软件定义细分、云方案安全代理(CASB)、用户和实体行为分析(UEBA)。这些新的细分领域引来了新的开支,但也在消耗现有的细分领域例如数据安全、企业保护平台(EPP)网络安全、安全信息和事件管理(SIEM)。
8. Sr (Security Orch and Automation) 安全编排与自动化
这个用一个具体事件举例。2018年2月28日——机器数据引擎Splunk公司(NASDAQ: SPLK)宣布收购 Phantom Cyber 公司。Phantom Cyber 是安全编排、自动化和响应(Security Orchestration, Automation and Response, SOAR)领域的领导者。
SOAR平台通过自动执行任务、编排工作流程、改进协作以及使机构以机器速度响应事件来提高安全操作的效率。 根据Gartner的数据,“到2020年年底,拥有5人以上安全团队的机构中将有15%利用SOAR工具进行编排和自动化操作,今天这一比例不到1%。”客户将能够使用Splunk技术进行编排和自动化,作为其安全运营中心(SOC)平台的组成部分,以加速事件响应,同时解决技能短缺问题。
这样的组合将帮助SecOps团队:
- 利用分析驱动的安全性提高网络防御能力并降低机构面临的风险;
- 加速事件响应,加快响应速度;
- 更聪明地工作,缓解人员配备和技能短缺压力。
以下概念相对来说,理解起来比较容易,这里就简单列举一下,以供阅读。
9. Th (Threat Hunting) 威胁追踪
对于威胁,要积极主动,要主动出击,主动查询和追踪威胁,而不是被动等待和响应。
10. Ng (Next Gen SOC) 下一代安全运营中心
个人认为核心是数据、联动和可视化。
五、前瞻技术
- Bd (Big Data) 大数据
- MI (Machine Learning) 机器学习
- IoT (Internet of Things) 物联网
- Bc (Blockchain) 区块链
- Ai (Artificial Intelligence) 人工智能
六、威胁因素
- Mi (Malicious Insiders) 恶意的内部人员威胁
- Ni (Negligent Insiders) 玩忽职守的内部人员威胁
- Ha (Hacktivist) 黑客行动
- Nt (Nation State) 国家之间
- Oc (Organized Crime) 有组织的犯罪
七、CISO约束
- Ra (Role and Accountability) 角色和责任:CISO的角色和责任
- Bu (Budget) 预算:没钱啥事都干不了
- St (Stuffing) 员工:没人啥事都落不了地
- Te (Technology) 技术:技术是工具
- Oz (Optimization) 优化:好好优化,天天向上