網絡空間安全技術叢書 點選檢視第二章 點選檢視第三章 企業安全建設指南:金融行業安全架構與技術實踐
第1章
企業資訊安全建設簡介
企業資訊安全越來越受到關注,但企業資訊安全的本質和原則是什麼?該怎麼做?趨勢如何?我們從更接近實戰的角度進行探讨。
1.1 安全的本質
在企業做資訊安全會遇到很多困惑,企業資訊安全到底應該怎麼做?管理、技術、流程和人員哪個更重要?安全團隊和安全人才該怎麼建設、培養和激勵?筆者帶着這些問題。
與各種安全圈内各種安全人士交流過,筆者發現長期以來一直困擾的問題與資訊安全的本質有關,或者說,需要了解資訊安全問題的本質是什麼?
網際網路本來是安全的,自從有了“研究安全”的人,就變得不安全了。比如SQL注入攻擊,自從1999年首次出現後就成為網際網路應用安全的頭号大敵,SQL注入攻擊的本質是把使用者輸入的資料當作代碼執行,而開發人員設計使用者輸入的功能時,本意隻是提供一個使用者互動功能,根據使用者的輸入傳回動态頁面結果,以便提供更好的使用者體驗。這個好的出發點,很不幸被惡意的人濫用了。再比如,釣魚網站目前已成為很多金融企業的首要安全威脅,而在2011年以前,很多金融企業的安全人員甚至都沒有考慮過這個問題。時至今日,他們仍會覺得很無辜,因為企業的網站并沒有任何安全漏洞,是釣魚網站的“狡猾”和使用者的“傻”,才讓攻擊者有機可乘。
上面兩個例子中,開發人員信任使用者輸入,使用者信任釣魚網站,進而導緻資訊安全問題。是以說,資訊安全問題的本質是“信任”。計算機用0和1定義整個世界,而企業的資訊安全目标是解決0和1之間的廣大灰階資料,運用各種措施,将灰階資料識别為0(不值得信任)或1(值得信任)。信任是資訊安全問題的本源。比如,某些普通企業設計資訊安全方案時,會假設安全人員、開發人員、運維人員是預設被信任的;比普通企業安全要求更高的金融企業、國家機構等設計資訊安全方案時,安全人員、開發人員、運維人員可能就是預設不被信任的。不同的信任假設決定了安全方案的複雜程度和實施成本,安全需要找到某個自己可以接受的“信任點”,并在這個點上取得成本和效益的平衡。
1.2 安全原則
對于資訊安全工作目标和實作方案,每個企業可以根據自己的實際情況做出選擇,可謂各有千秋,但有些普适性的基本原則是相通的。概括而言,資訊安全原則主要有三點:持續改進、縱深防禦和非對稱。
1.持續改進
有沒有辦法確定一台伺服器不被不明武裝分子攻陷?有沒有一個類似“照妖鏡”的工具,一旦安裝上就可以高枕無憂,讓惡意的攻擊者無所遁形?有沒有一個萬能的“上帝之手”,幫我們幹掉所有安全問題?很遺憾,以上“神器”都不存在。
在解決安全問題的過程中,不可能一勞永逸。很多安全廠商在推銷自己的安全産品時,吹得天花亂墜,似乎無所不能,從早期的防火牆、防病毒、入侵檢測,到現在的态勢感覺、威脅情報、智能分析,安全防禦技術本身并沒有革命性的變化。一套入侵檢測技術包裝個名詞,就能搖身一變從IDS到IPS、SIEM,再到現在的威脅情報,但本質上,都還是開發檢測規則,進行異常模式識别。安全産品、安全技術不能光靠名詞的改變來實作轉型更新,而是需要不斷地随着攻擊手段的發展而更新,也需要有人來營運,否則安全就是稻草人,在變化的攻擊手段前不堪一擊。
是以,持續改進,PDCA(plan,do,check,act)循環,螺旋式上升,是資訊安全的第一個原則。
2.縱深防禦
在典型的入侵案例場景中,攻擊者利用Web應用漏洞,獲得低權限WebShell,然後通過低權限的WebShell上傳更多檔案,并嘗試執行更高權限的系統指令,進一步在伺服器上提權,再橫向滲透,獲得更多内網權限。在這個典型的攻擊路徑中,如果在任何一個環節設定有效的安全檢測和防禦措施,攻擊都可能被檢測和阻止。
是以,在安全防護技術沒有革命性發展的當下,企業必須堅持縱深防禦原則,從網絡層、虛拟層、系統層、應用層,到資料層、使用者層、業務層、總控層,進行層層防禦,共同組成整個防禦體系。這是資訊安全的第二個原則。
3.非對稱
對于攻擊者來說,隻要能夠找到企業系統的一個弱點,就可以達到入侵系統的目的,而對于企業資訊安全人員來說,必須找到系統的所有弱點,不能有遺漏,不能有滞後,才能保證系統不會出現問題。這種非對稱性導緻攻擊者和安全人員的思維方式不同,也是企業資訊安全工作難做的根本原因,因為破壞比建設要容易。戰争中發明的各種反艦、巡航飛彈、潛艇屬于非對稱作戰武器。
該怎麼扭轉這種劣勢呢?答案就是,安全防護人員也需要非對稱思維。
那麼,在資訊安全領域,應該發展哪些非對稱的安全防護“武器”呢?在這種情境下,各種“蜜”的産品應運而生了,蜜網站、蜜域名、蜜資料庫、蜜表、蜜字段、蜜資料、蜜檔案……如果企業在面對攻擊時進行安全反制,惡意攻擊者就很難全身而退。據我所知,很多企業已經進行了商業化大規模部署,并在實際對抗中取得不錯的效果,這應該是未來安全防護發展的一個有益方向。
認識到非對稱,并找到解決非對稱問題的方法,這是資訊安全的第三個原則。
1.3 安全世界觀
對于資訊安全人員來說,最重要的是建立“安全世界觀”,即解決安全問題的思路,以及看待安全問題的角度和高度,而不是具體掌握了多少漏洞,拿下了多少權限,或者發現了多少風險。不同的企業、不同的安全人員,一定會有不同的安全世界觀。筆者的安全世界觀是:資訊安全就是博弈和對抗,是一場人與人之間的戰争。交戰雙方所争奪的是對資訊資産的控制權,誰能夠在博弈和對抗中牢牢地把控住各類資訊資産的控制權,誰就取得了勝利。
1.4 正确處理幾個關系
企業資訊安全建設過程中,需要正确處理以下幾種關系:
□科學與技術
□管理與技術
□業務與安全
□甲方和乙方
1.科學與技術
科學講究嚴謹,藝術講究美感。安全既是一門科學,也是一門藝術。
安全的科學性,展現在無論是安全體系還是具體安全措施,其落地都是嚴謹和嚴肅的。在企業安全建設中,有的開發和運維同僚覺得在内網就安全了,已經拒敵于門外了,進而放松了安全要求,但實際中攻擊者通過一些邊緣攻擊進入内網,進而進一步滲透入内部伺服器的案例比比皆是。是以必須全面、整體、綜合性地考慮安全,并且認真、踏實、謹慎地落地實施。
安全的藝術性,展現在安全工作的權變,不是所有情況都适用同樣的安全要求,需要不斷地權衡利弊,選擇目前情況下的最優。比如,伺服器安全基線根據所處安全域的不同有不同的基線标準,漏洞跟蹤處理時,安全部門通過補償措施降低風險,進而允許一些業務系統帶病上線,這都是權變的展現。
2.管理與技術
安全管理與安全技術孰輕孰重?有的企業拼命搞ISO27001安全體系,釋出各種安全制度政策,實施各種安全流程控制,做各種安全審計和檢查,搞得民怨沸騰,往往效果也不好。從事漏洞挖掘和攻防的人會覺得搞安全管理的人太虛,這也不會,那也不會,每天就是搞體系制度流程,能擋住我一個0day嗎?會挖洞和寫PoC嗎?反過來,安全管理的人會覺得漏洞挖掘和攻防都是具體的工作,沒有良好的組織架構、制度流程、意識教育訓練等安全治理體系,“人”這個最重要的要素,可能會讓所有的安全技術防範措施形同虛設,甚至毀于一旦。
其實,安全管理和安全技術更像是燈芯與燈油的關系,誰也離不開誰。管理和技術,必須“兩手抓、兩手都要硬”。
首先,從安全管理的角度看,安全政策和流程如果沒有技術和自動化手段保障,無法有效落地,而脫離安全技術的安全政策和流程也有可能失效,例如,管理10台和10 000台伺服器,用同樣的安全政策和流程肯定是行不通的。
其次,從安全技術的角度看,沒有管理的輔助,可能會變成“為了技術而技術”的“自嗨”,例如,在企業安全建設中,困難不在技術上,至少技術不是最重要的點,而是需要不斷地去說服并影響開發運維和業務部門的同僚,如果技術人員能跳出技術思維,站在更高層面去思考安全問題解決方案,安全人員的境界就提高了好幾層。
3.業務與安全
這個話題非常有意思。剛工作時,我認為安全是為業務服務的,但安全會一定程度地阻礙業務發展。随着認識加深,我的認知發生了一些變化—安全是為業務服務的,安全更是業務的屬性之一,不安全或沒有安全考慮的業務就像不合格的産品一樣,終究是要被市場淘汰的。
本質上,安全是一項服務,安全服務是安全團隊提供給使用者和客戶的一種服務類别。如果在設計安全方案和安全要求時沒有最大化這種服務的價值,那麼在充分競争的情況下,安全團隊也是要被市場淘汰的。我經常問自己和團隊,如果公司不是隻有我們一支安全團隊,我們安全團隊在公司範圍内不是壟斷的,而是其他安全團隊也提供安全服務,在共同競争的情況下,我們提供的安全服務還能被使用者認可買單嗎?隻要答案為“否”,就說明安全團隊還有提升的空間。
傳統觀念認為,安全總是這也不能做、那也要控制,安全就是拖業務的後腿,安全總是降低業務發展效率,在企業中安全往往也被做成了這個樣子。造成這種現狀,企業安全主管首先要反思。這是因為安全團隊設計安全方案和要求時,不是以業務和服務為出發點,而是以安全團隊省時省事、盡量少承擔責任為出發點。後者設計出的安全方案當然是阻礙業務發展、降低效率。但如果一套安全方案和要求,能夠在降低甚至不降低業務發展的情況下還能保障安全,業務團隊和開發運維當然是歡迎的,畢竟誰都不願意冒着巨大的風險強行上線新的業務。
如果安全團隊能和業務、開發運維一起剖析,站在對方立場設計方案和執行要求,使用者從心裡一定是會認可安全團隊和安全服務的。很多企業的實踐證明,堅持安全服務的做法,會讓安全團隊之路走得更為順暢。
4.甲方與乙方
乙方是指給企業(甲方)提供安全産品和服務的一方,包括安全産品原廠、代理商、內建商和外包公司等。甲方和乙方的關系也可了解為燈芯和燈油的關系,誰離開誰都會失敗。有好的燈芯和燈油,也會有差的燈芯和燈油,關鍵在于各守本分,各盡其責。
企業中較為常見的場景是,乙方老闆說,貴公司是我們的大客戶,我們一定會服務好。乙方銷售則在旁邊配合,我們的産品和服務是最好的,用我們的絕對不會有問題。但一旦甲方稍微追問一句,貴公司打算怎麼服務好我們?你們的産品和服務相比競争對手好在哪裡?你們了解我們的實際問題和需求嗎?基本上90%的乙方就接不上話了。更有甚者,個别老闆和銷售的回答令人啼笑皆非,我們的産品和服務就是最好的,不用你們會後悔的。有風度的甲方此時往往還需要心情平靜地答複,你們的産品和服務我都了解了,挺不錯的,希望有機會合作。但内心簡直是崩潰的。
另一方面,也聽到較多的乙方抱怨甲方,主管啥也不懂,就知道不能出事,出事背鍋;安全人員啥也不會,隻知道指揮我們幹活,把我們工程師不當人用。乙方眼裡90%的甲方都是這個印象。
筆者無意為任何一方辯護,包括作為甲方的自己。因為甲乙雙方都是站在自己的立場處理問題,無可厚非。但甲方和乙方都需要檢讨:
甲方,應該對自己承擔的職責負責,不管用什麼方法,結果是必須搞定安全問題,但要能識别什麼是能搞定的方案,以及哪些是方案中靠譜一員的乙方。和乙方的關系挺簡單,如果乙方能為甲方創造安全價值,那給乙方比對等量的安全回報,繼續長期合作;否則對不起,多聽一秒都是浪費生命。
乙方,應該是對自己的承諾負責,要了解你的客戶,不是簽單成功就萬事大吉。合同落地才是剛剛開始,在甲方的辨識能力和社會口碑傳播效應越來越強的今天,做一錘子買賣隻能讓自己的路越走越窄。誰都不傻,不是嗎?
1.5 安全趨勢
未來已來,如果隻着眼于當下的安全,很可能疲于奔命,被超越或抛棄。是以,必須看到安全的趨勢方能提早布局,確定立于不敗之地。
1.安全度量
安全度量是指如何衡量企業安全的效果。做安全的人遇到的最大挑戰就是講不清楚安全的價值。安全這個東西很微妙,不像業務可以用銷售額和使用者數來衡量,也不像運維可以用可用性名額(比如故障數)來衡量,也不像研發可以用bug數、項目完成率、擴充性、專利等來衡量。安全往往是事件性的,很可能你什麼都不做,但一年都不出問題;也可能你花了很大力氣,花了很多錢,卻還是問題頻出。是以我們很難用單一的事件性名額來衡量資料安全做得好還是不好。
企業做安全,最終還是要對結果負責,對于安全效果,有兩個最關鍵的核心名額:一個是漏洞數,一個是安全事件數。這兩個關鍵安全名額,卻沒有一個安全廠商願意承諾,他們通常都隻願意承諾賣出裝置的功能效果,或者服務的響應時間。由于漏洞數涉及企業發現能力,每年第三方漏洞報告平台(如補天或CNCERT)上,漏洞數量排前十的大多是網際網路公司,但不能是以認為網際網路公司安全能力靠後,相反,由于網際網路公司面臨安全威脅且自身發現能力(各種SRC雖然是白帽送出的安全漏洞,但可以了解為自身發現能力提高導緻)較強,是以發現的漏洞數量靠前。很多沒有爆出安全漏洞的企業不是因為做得有多好,而是自身發現能力不夠。
在這種情況下,有必要把漏洞數分成兩類:一類是通過衆測與SRC獲得的外部上報漏洞數量,一類是通過自身安全防護和檢測發現的安全漏洞數量。某些金融機構已引入專業的藍軍團隊進行攻防,檢測紅軍安全防護和安全檢測能力,将是未來安全度量的發展趨勢。
安全事件數的情況和漏洞數大體相同,不同點是,安全事件數沒有第三方報告平台,資料主要來自于監管通報等被動暴露以及主動發現,資料統計要更難一些。
2.曆史問題免疫
運維管理目前事實上的标準是ISO20000服務管理體系,這套體系也稱為ITIL運維流程管理,ITIL衆多流程中有個核心流程—問題管理。問題管理有個有意思的做法,通過問題管理的思維模式,對企業所有曾經出現過的曆史故障進行舉一反三的持續改進,進而實作對曆史故障免疫。
既然安全性要當作可用性來運維,那麼安全管理也應該能做到對曆史問題免疫,而這也應該成為安全未來趨勢之一。筆者了解曆史問題免疫有兩個含義:一是對企業曾經出過的安全漏洞和安全事件做舉一反三的徹底整改,從人、技術、流程、資源四個次元分析問題産生根源,查找差距,并建立機制進行防護,進而根本上解決已出現的安全問題,實作曆史安全問題免疫。二是對已部署的安全措施的有效性做100%确認,比如已經部署了防病毒用戶端,那麼就一定要關注防病毒用戶端安裝率、正常率兩個名額,這兩個名額能做到99.99%的應該算執行力和安全有效性不錯的企業了。類似的名額也同樣應該在已部署的安全措施中得到确認。嚴格來說,曆史問題免疫這一點其實不能算安全趨勢,而應該是常識,在各種安全概念層出不窮的今天,希望越來越多的甲乙方能回歸常識。
3.安全成為屬性
越來越多的企業重視資訊安全,這種重視可能是主動的,但仍然被動居多。不管怎樣,今天的安全人員面對的安全環境越來越惡化,但得到的資源和支援卻比任何時候都多,這一點展現在:安全将成為各類系統甚至人才的關鍵屬性之一。舉個例子,十年前,很少看到系統需求階段就會有安全需求,測試階段有安全測試,開發人員需要接受專業的安全編碼開發規範教育訓練。十年後,這些都很常見了,甚至是标配(預設)。對安全知識和技能的掌握也從單純安全人員必備變成了開發人員的必備技能,實際上,安全意識和安全開發能力較強的開發人員,薪酬水準和發展空間已高于技能單一的程式員。程式員在用代碼改變世界的同時,也有義務更好地保護世界。安全将成為越來越多的需求品,成為非專業安全人員的一種标配屬性,這将是安全發展趨勢之一。
4.安全人才缺口增大
安全人才缺口越來越大,想必各企業的安全主管或者CSO都深有體會。甚至越來越多的甲方企業,會要求乙方建立專門服務于本企業的專業安全隊伍。從市場經濟的角度看,需求增大,必将導緻更多的優秀人才投身于安全行業,這對原有安全人員也必将是個挑戰。安全行業是典型“活到老、學到老”的行業,逆水行舟,不進則退,各位安全人士一定感同身受。
1.6 小結
本章從宏觀角度對安全的本質、安全原則、安全世界觀和安全趨勢進行了探讨,指明了做好安全工作的大方向。
![更改LYNC SIP位址[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)