自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。14位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会2022.07月回顾及盘点。
安在征文活动7月主题:误区与陷阱
在累计21天的征文星球打卡中,12位笔会专家共计打卡189次。网络安全的本质是人与人之间的对抗,这其中没有金科玉律和固定的模板,更多的是随机应变和因时制宜。因此,网络安全工作免不了跌宕起伏,免不了遭遇误区和陷阱。对此,9位专家针对各个安全领域中的误区和陷阱、如何全面测评企业的安全能力和水平以及如何更好地开展安全工作等方面展开了细致地讨论。
在此摘选个中优秀观点,向各位分享。
▶安全很贵,需要花很多钱这种说法在某种情况下是正确的,但又不是完全准确的。做到完美的安全(至于有没有完美的安全另说)需要花不少钱,但是安全的起步未必,比如从思想上重视安全并不需要投入太多成本,更多的只是观念的转变。▶金融企业面临很多内外部监管和审计要求,可能会因为时间紧急而着急从表面上解决问题。我们不能一味只提管控要求,寄希望于项目组“八仙过海,各显神通”式的成果交付,最终不仅无法真正解决当下问题,更无法避免后续类似的增量问题。当面对外部审计问题时,正是由于时间紧急,我们更需要保持头脑清醒。首先应该确定最终的解决方案和管控流程,基于最终解决方案确定当下适用的临时方案,并明确后续的演进路线和验证方式。如此,当下适用的临时方案才能发挥积极作用,避免后续将本次的改造成果推倒重来。▶迫于业务安全压力,多数中小企业都会选择将自身业务托管在公有云平台上,当起了甩手掌柜。将业务的安全防护工作完全寄希望于云服务提供商或者基础设施提供商,或者通过购买云服务商的网络安全打包套餐来提升安全能力。但是,懂安全的都知道安全需要自强,内生安全、自我免疫才是安全的,依靠第三方终究会存在各种各样无法预知的问题,严重的将引发供应链安全风险。▶我也时常听人说,我们新招了几个安全开发,要把现在的安全系统打造成业内第一等等。我想说,能够配备安全研发团队的组织是有一定体量和安全思维的组织,他们清楚自己要什么,也清楚平衡商用产品和自研产品的roi。一般我们都会以明确的目标为出发点去进行安全研发工作,比如自己做一个portal实现安全数据的按需可视化;通过工作流平台实现安全全流程等我介入;在整个发布流水中增加自己需要的安全控制点等,这些一般都是以一个个小而美的组件方式呈现的,我们用的好才会去做下一步,形成一个良性循环让你乐不思蜀。但我也有朋友一上来就是四大咨询、整体规划、全面推进,全面安全,这样做是挺好的,就是有点费钱,一般公司消费不起,其试错的成本也相对高昂。▶有一个普遍的误解,认为消费者更关心的是免受黑客攻击(数据保护),而不是控制他们的个人隐私数据。确实,消费者越来越担心将他们的数据委托给第三方,尤其是当他们认为自己的数据容易受到攻击时。但公司存储和处理个人数据的方式也是行为和忠诚度的主要驱动力,特别是如果消费者认为这些数据是在未经许可的情况下泄露的。最近的一项研究显示,消费者对数据保护和数据隐私都感到担忧,大约 57% 的客户表达了对在线隐私的担忧,85%的客户希望更多地了解公司收集的数据会发生什么。因此,选择将数据保护优先于隐私保护的公司可能会疏远客户,如果他们的数据存储和使用方式存在歧义,就会更换供应商。相反,企业应该更加致力于识别和充分理解法律法规在个人信息及隐私数据方面要求,作为一系列窗口来更好地与客户建立联系,而不是作为合规驱动议程的一部分来进行勾选。同样,个人隐私不应被视为数据保护相关要求唯一责任,而应站在业务角度,最大化地遵守相关法律法规并定义和定制隐私政策,以满足客户对隐私安全的需求。▶2017年肆虐全球的“永恒之蓝”勒索病毒攻击,导致了大量内网系统瘫痪,这提醒我们内网系统的安全防护同样不能马虎。所以不论是内网系统还是外网系统,都应及时开展等保工作。非涉密系统都属于等级保护范畴,和系统是否在内网没有关系。《中华人民共和国网络安全法》规定,等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此,不管是内网还是外网系统,都需要符合等级保护安全要求。从技术角度而言,内网不代表安全,并且纯粹的物理内网并不多见,或多或少都以直接或间接的方式与互联网有联系。从法律法规的角度来说,所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系。其次在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒或已经有黑客潜伏,所以不论系统在内网还是外网都得及时开展等保工作。▶互联网企业相对于传统企业最大的特征之一在于业务信息系统的自主开发,庞大的技术研发团队在实现业务系统的过程中需要关注研发的安全管理,因此研发安全从信息化产品供应商走向了互联网。相对于信息化产品供应商产品开发以瀑布型开发模式为主,产品迭代周期长,依赖于传统的研发安全管理过程SSDLC实现软件的产品安全,互联网企业为了快速响应业务需求,提倡敏捷的开发模式,持续集成和发布成为常态,因此研发安全也从SSDLC变成了DevSecOps,强调的是研发安全的自动化工具链集成。DevSecOps实现开发运维一体化DevOps的安全,核心的一个观点是强调安全的左移,关注产品在可行性调研层面的介入,在需求和设计阶段实现风险的评估、威胁的建模以及安全能力的集成与嵌入。在开发和测试阶段通过白盒、灰盒的方法及时发现缺陷和漏洞,在集成和上线前最小化软件带来的安全风险。因此,正确的观点应该是研发安全关注软件生命周期的安全,并通过软件早期的安全介入实现安全成本的降低和效率的优化。
▶传统的网络信息安全从关注计算机和网络的基础安全开始,关注终端的防病毒、主机安全、桌面管控、防泄漏,关注网络的防火墙、入侵检测,逐渐关注在云计算和虚拟化下的相关安全cwpp、casb、容器安全等,以及web和app应用普及下的waf、app等应用安全。在此基础上通过日志、流量的采集和关联分析实现数据驱动的安全运营,在攻防基础上关注漏洞发现和利用以及延伸到自主研发系统的研发安全问题。而互联网背景下,业务的互联网化带来更多的数据和业务安全风险,避免数据泄漏,避免互联网黑灰产对业务的损害,也变成了安全团队需要面对的安全风险。由于app的开放性带来的安全问题以及黑灰产在利益驱使下对业务系统逻辑的攻防对抗,不单纯的是合规驱动的安全监管需求,也是安全策略解决业务安全风险的必然路径。因此,正确的观点是安全需要突破传统的技术基础设施安全保障的边界,更多地关注对业务造成安全风险的研发、数据、业务的相关风险,通过创新实现安全能力的升级,保障业务的健康发展。▶Marty Lindner是卡内基梅隆大学软件工程研究所计算机紧急响应小组协调中心的事件处理小组负责人,他说:“如今开发的新工具都围绕同一个基本主题:扫描寻找漏洞。对因特网进行扫描,详细列出有系统漏洞的机器。所开发的工具也都基于一个假定:每台机器都容易遭到某个漏洞的攻击,每个系统都有漏洞,没有百分之百的安全。”有些工具可以让Windows Update服务发布的补丁进行“逆向工程”(reverse-engineer)。通过比较补丁出现的变化,就能摸清补丁是如何解决某个漏洞的,然后查明怎样利用补丁。Santy蠕虫和MyDoom 的新变种最近就利用了Google的(Google hacking)功能。McAfee公司发布了SiteDigger 2.0工具的更新版,增加了一些新特性,譬如可以查明某个站点是不是容易受到Google hacking。虽然这款工具的目的是供管理员测试各自的网络,但攻击者也有可能利用该软件寻找任何站点存在的漏洞。▶安全设备就是安全防御者的武器,“兵者,国之大事,死生之地,存亡之道,不可不察也。”可见武器的重要性。但是,是不是安全产品越多越好呢?部署安全设备只是第一步,更重要的是安全策略的配置和后期维护。就像便衣民警在机场等人流密集的场所检查可疑者的身份证件一样,安全设备拦截可疑者,而放过正常用户,区别是判断标准不同,安全设备通过策略匹配拦截行为异常的访问请求,所以拦截的正确率取决于策略的精准程度,需要动态调整安全策略使其和业务的融合程度越来越高。为了能够识别不断进化的新型攻击技术,还需要实时更新安全病毒库,年久失修的门无法抵挡新式武器的攻击。任何安全设备都不可避免误拦误报,那就需要安全运营人员人工放行,并调整策略。关卡越多,需要驻守的士兵就越多,如果误把合法用户拦截了,就要逐级排查放行。同样,当安全设备数量很多时,排查误拦误报工作将耗费安全人员大量的时间和精力。▶近几年开展安全工作时,更多的是在怀疑安全防护体系的有效,尤其那些夸夸其谈的安全销售跟你介绍产品领先性的时候,更尤其在那些通过百般安全运营仍旧无法创造安全产出的安全产品工时,这种怀疑就更加剧烈了。安全产品真的有效吗?我们真的需要那么多防护工具吗?无论自研软件,还是外采工具,是否更多从软件设计和实现的层面,消解或规避潜在的安全问题,并通过持续的更新维护改善信息系统的安全性。安全厂商也需要切实地用行动证明其对于客户的长期价值。▶买了很多设备,请了很多专家,不一定就能够做好安全,设备+专家=安全也是明显的误区。设备和专家要起到必要作用,要全局思考,要有纵深防御,要假设设备被突破了,要做好应急方案。另外,世界上没有绝对的安全,零日漏洞不断出现,防不胜防,所以我们要立足于最坏的打算,才能得到比较好的结果。
►有一位可爱的猎头妹妹问我,数据安全和信息安全到底有什么区别呢?为什么我找不到一个候选人呢?我告诉他,好的数据安全一把手一定是安全技术和安全管理体系的一把好手,信息安全包含了更多从技术角度了解信息流转的目光,它更广;数据安全则更侧重于数据本身的cia,强调如何保护好数据本身的安全,更为聚焦,很多场合和我们的管理体系和法律框架相连接,简单来说就是资深的安全从业人员+安全审计+法务。一般刚入行的小白要做数据安全是比较累的,建议可以从最基础的安全技术工作入手,慢慢丰富自己的经验。
►有的企业安全负责人觉得管理层不重视安全部门,对安全工作的支持力度不够,投入的安全预算和资源远远不足。其实可以换个思维,应该给管理层一个重视的理由,能够发挥安全部门在企业中的价值,可以为业务稳定发展提供有效的保障,相信管理层不会不关注安全,也会给与大力支持。
管理层能够建立安全部门和相关的安全岗位,说明管理层从心理上是想发展安全的,也看到了安全的重要性。是不是安全部门的作用和成效没有达到预期,才促使管理层心中安全部门处在不上不下的位置?自身又不太懂安全,安全部门的反馈不到位,上下沟通错位,安全部门的地位也就愈发下降。出现此类问题应该多多分析,从企业发展的角度摆正安全位置,最大化激发安全价值。
►应用系统清单的准确性一直是安全人员的不可名状之痛,要想了解和确认应用系统的安全属性,系统建设之初是最佳时机,尤其是系统的架构设计阶段。安全人员通常不注重这方面的工作,往往采用发放调研问卷的方式收集应用系统的安全属性,这种方法存在效果差、准确度不高等多种问题,无法满足资产信息保鲜保准的要求。
正确的做法应该让安全人员参与应用系统架构设计过程中,将身份认证、访问控制、应用安全、数据安全和网络安全等信息沉淀到应用系统资产清单中,通过安全方案设计和安全评审的方式确保数据的准确性。
安全的误区还有很多,笔者在此无法一一列举。但是我认为,安全二字,意识为先,心中有安全,行动才容易落实。道路千万条,总有适合自己的路。安全不能强求,不能过分,在做好评估的基础上要拥抱风险。安全团队不能特立独行,因为安全也是公司的普通一员,是一个普通的部门;但也不能所有安全都只依靠安全部门,就像我国网络安全周的宣传语所述:网络安全为人民,网络安全靠人民,网络安全要成为人民战争。
►安全部门长期将是企业的成本中心,需要以服务者、保障者的角度去思考,如果能力不够或沟通姿势不对,也就常常陷入安全工作难以开展的境地。业内总会谈及各种安全管理和安全技术的方法论,看似头头是道,实则毫无帮助。一个安全团队不超过5人,公司技术人员不过50人,这种背景下如果跟你侃侃而谈安全工作怎么开展,教你安全管理和安全技术孰轻孰重,帮助搭建企业安全文化或者直接告诉你这些都是某个部门的事情责任时,听者确实得要提防提防。
在回答“这些都是你们安全的事情”时,从业者首先要审慎而又思辨,但凡简单易得的要么运气好,要么离真相足够遥远。要用思辨的眼光看,你所缺的是网络安全工程能力、数据安全工程能力、软件安全工程能力。是的,缺的是一种系统化的工程方法,缺的是客观看待APT和PT离你有多远,你的系统性是否无缺。
本月共发出9篇以“远程办公与安全”为主题的专家文章,在此附上链接,供诸位参考。
根据征文活动规则,综合每日打卡、投稿及文章阅读量折合积分后,现将参与者总积分表公示↓
在此恭喜刘志诚以91分夺得第一,获得诸子笔会2022的7月月奖,奖金1000元!同时所有发表征文的笔会专家也都将获得200元稿费。
关注企业数字化过程中网络空间安全风险治理,对技术风险治理拥有丰富的理论和相关经验。 7月已过,8月伊始,新一轮的征文再次开始了!8月主题为“红与蓝”。
由于个人原因,王振东和黄鹏华两位老师自7月起退出诸子笔会,目前在线的作者还有12名。由于本届笔会采用候补机制,有退出,就有新进,欢迎有意参与笔会活动并做后续挑战者报名!(有意者请扫描下方二维码加入)
2022诸子笔会 【7月主题:误区与陷阱】
【6月主题:远程办公与安全】
【5月主题:安全之变】
齐心抗疫 与你同在
|