作者介紹:
西小姐,某國企安全運營專員。從0到1搭建了該企業安全運營體系,主導了多次內部運營活動。在內部培訓、團隊管理、SRC建設、危機公關等方面有大量的經驗和思考。企業安全實錄將連載其三篇安全運營文章,從觀念、實踐和願景三個方面完整的分析企業安全運營工作的方方面面。
前言:安全運營三部曲,最後一部安全生態與安全國際,主要從立體化安全運營、情報聯盟建立、安全運營國際接軌和未來安全運營的暢想四個方面寫出了對安全運營工作整體、立體和國際化的願景。當前,筆者認為安全運營的工作只是一個起步階段,它在企業中的定位和能够給企業帶來的價值都未完全地被企業所認可,所以,當下和未來的工作都會很多,空間也非常大。希望在可預見的未來裏,更多遠識的企業能够肯定安全運營的存在、更多有識之士加入到安全運營工作中來。
1
企業的立體化運營
1.1重資產輕響應
1.1.1資產是什麼?
關於資產的話題,雖然實際工作中各家企業都肯定涉及,安全的負責人也都積極爭取在資產方面的投入,但是,系統化的討論並不十分多,而且也並沒有一個統一的結論。每家企業都希望投放最少的資金獲取最多的收益,人之常情,無可厚非;我們先來討論一下安全運營視角下的“資產”都包括什麼?這裡所討論的資產,主要是分有形與無形兩類。有形資產包含了傳統的服務器、交換機和路由器等,簡言之“看得著摸得到”的硬體設備;無形資產包含了各類IT系統、帶有各種安全功能的系統、數據管理系統、備份與恢復系統和加密系統等,同時還包括了各類設備與系統運維過程中處理以下工作所涉及的系統或者工具,包括病毒防護、稽核、網絡、訪問和鑒別等。
1.1.2為什麼重資產?在企業資訊化脚步如此之快的互聯網時代,安全的工作,已經絕不能只靠人來解决,即使這個人是一個頂級的安全高手。傳統的硬體設備肯定要有,另外,也絕對不能忽視安全設備(有形與無形)在安全工作中所起到的重要作用。近幾年提倡的“自動化”“信息化”慢慢地實現在工作中的各個領域,安全自動化與信息化也隨之而來,無論是安全設備或是安全產品,都是很多頂級安全技術人的科技能力輸出的結果,並解决著通常情况下的安全問題。“人”是最不可控的因素,人性本身的變數因素不可否認。如果做這樣的選擇,到底是將安全防禦能力寄希望於安全資產,還是寄希望於頂級安全專家?筆者更希望是安全資產的比重更大一些,從企業的角度來說,這樣的選擇風險會降低。所以,重資產的本質是相對穩定地將頂級安全技術能力為企業所用,一定程度上規避“人”的風險,去解决一般性的或是通用性的安全問題,餘下的、特殊的安全問題我們可以依靠人來解决。當然,重資產也要看“重”的程度,如果企業非常重視資產的投入,解决的也可以是個性化安全問題。
1.1.3為什麼輕響應?這裡的輕響應,是相對於重資產而言。我一直覺得,無論是工作還是生活,未雨綢繆優於亡羊補牢。“未雨綢繆”主要是事前防禦,“亡羊補牢”更多指事中響應、事後補救。安全的工作,最理想的狀態是做到風險可控,風險不可能百分之百避免,但是,如果風險可控,在可接受的範圍之內,即使發生了,有提前準備好的預案。相對來說,意料之中的事情就好解决多了。當我們在上面“重資產“環節已經做到充分,那麼,大多數的風險已經被排除了,餘下的便是例如”0day”這樣的小概率事件了。即使發生了,也是行業問題,而非某個企業自已的安全問題了。因為有了上面的重資產,所以,可以在響應的環節做到適量的放輕,工作的壓力也會變小,來自於人員要求的壓力也會變小。據我瞭解,國有企業更重資產,而互聯網企業更重響應,現在互聯網企業也在不斷地把資產這一塊新增,有時候也因企業規模大小,行業差异等諸多因素不同而不同。
1.2員工安全態勢
這裡討論的員工安全態勢,主要是從安全運營的角度討論員工的管理問題,可能會與人力資源方面存在交集,包括從人才篩選、背景調查、入職培訓、崗位培養、晋昇機制和離職脫敏等。
1.2.1人才篩選,大致包含HR簡歷篩選和內部推薦。在上一篇我們曾經提到過,通過社區運營等外部通路可以積累很多安全人才資源,同時,在企業內部,也可以通過活動或者是虛擬組織管道挖掘出對於安全感興趣或是在安全技術方面有一定能力的人才。當企業需要擴充自己的安全團隊的時候,這些人才資源便有了用武之地。就我個人曾幫助過老闆組建安全團隊的經驗而看,成功率最高的,也是現時負責人最喜歡的管道便是內部推薦或者是圈內人士推薦,首先推薦人對候選人有一定的瞭解,甚至有一些可能共事過或者是朋友,包括人品、科技能力以及職業規劃;所以,可以有的放矢的推薦給目標企業或是負責人,免去了很多在篩選簡歷方面的時間;相對於其他科技領域的行業,安全的起步其實不晚,但是,進步緩慢,並不是因為人才本身,而是安全行業的發展受限於電腦行業的發展,只有當電腦行業發展到一定程度,企業達到一定規模的時候,安全隨之才有一定的認可度。所以,至今,安全人才的缺口仍然是非常大,瞬間的安全行業爆發給這個行業帶來了發展的契機,但是同時人才的大量短缺也是必須面對的窘境。
1.2.2背景調查,背景多指一個人的過往經歷,經常被作為判定這個人未來可能會發生情况的參攷。安全行業是一個特殊的行業,會涉及大量數據、隱私、許可權、法律等帶有保密色彩的領域,尤其是《網絡安全法》出臺以後,從事安全工作的人由於工作原因,輕則失業,重則犯罪,但又由於無論是高校還是各類培訓學校,與安全相關的專業出現的較晚,發展的並不十分成熟,很多從事安全行業的人並非科班出身,而是半路出家,所以,安全行業的人無論從學歷、專業、經歷等都比較複雜。為了避免一個人入職以後,產生的勞動糾紛,所以,在入職前,企業應該對候選人進行徹底的背景調查,這對企業負責,同時也對候選人負責,如果雙方選擇的並不匹配,對誰都是一種損失。傳統意義的背景調查通常來自於人力資源方面,包括學歷查驗真偽,前一家或幾家公司工作經歷真偽,各類所持證書有效性等;但安全視角下的背景調查在傳統背景調查的基礎上,應該新增政審或是無犯罪證明、安全圈內灰度調查、失信記錄、人際關係、績效水准等等,通過灰度手段進行非正常通路調查,得到最真實的數據,避免在源頭新增了企業的風險。
1.2.3入職培訓,其實傳統意義上的入職培訓由人力資源部門進行,會培訓一些企業的文化,公司價值觀一類的等等通用性知識。安全崗位的入職培訓則需加入安全教育的內容,包括安全意識、安全操作、合規、法律、安全企業文化等內容,同時管理層需要有安全管理方面的培訓,科技崗需要有科技專項培訓等,培訓之後,需要有對應的考核標準及分數,應該計入轉正考核之內。崗位培養,這應該是被計入人力資源範圍之內的,但是,由於人力並不懂具體安全技術,所以,此項工作通常由安全部門自己進行了。安全部門的人員崗位,其實和其他科技部門相差不多,通常分為科技(開發、運維)、產品、項目和運營。需要針對不同的崗位,製定規範性的在職訓練手册,不定期進行培訓及考核,此考核也將計入KPI之內。晋昇機制,此處討論的晋昇機制是在人力資源要求的符合企業原有晋昇機制基礎之上,新增了安全獨特的部分,應當包括工作期間是否有違反安全規則的行為,是否出現忠誠問題,是否人品問題等。在我認為,安全工作,人品第一,能力第二,如果本末倒置,一定會出大事,只是時間問題。
1.2.4離職脫敏,這個要求應該是安全工作或者是涉及保密資訊崗位所特有的。安全工作有可能涉密,許可權相對也比較大,所以,建議企業一定要設立離職後的脫敏期或者簽署離職脫敏協定,避免給企業造成較大的損失,此處每家企業各有不同,可以再議。
1.3企業態勢感知
在這個話題裡面,展開說,可以說的很多很細,概括說也可以說的籠統簡單。當企業發展到一定規模的時候,安全的工作已經不只是救火的問題,需要提前感知,縱深防禦。可能從行業說起,清晰一些。傳統行業傾向於直接購買安全廠商的態勢感知產品,减少了自己科技人員的投入,同時採購相對成熟的態勢感知產品,直接解决問題;而互聯網企業正好相反,會投入大量的成本在科技人員身上,通過科技人員的力量研發適合企業的產品,降低資料安全方面的風險,也研發出帶有個性化功能的系統或產品,反覆運算等後續問題也方便解决。在這裡,我還是建議,成熟的企業應該採用系統或者產品來做到態勢感知這個工作,而並非依靠人。現時,態勢感知已經趨於成熟,很多企業也已經有成熟的系統和產品,去解决自己企業的安全態勢問題。
2
安全運營情報聯盟
2.1漏洞情報感知
做安全工作的人都知道一句話,沒有無漏洞的系統,所以無論是多麼完美的系統都無法繞開“漏洞”一詞,既然無法避免,那就面對和解决。建立行業內共亯的漏洞情報感知系統可以縮短漏洞發現的時間,减少高昂的挖掘漏洞的費用,互補企業間的優勢資源;當然也要克服不同企業之間管理模式和管道的不同。
2.2負面新聞、情報共亯平臺
每家企業都希望有一個正面的市場形象,但是,若安全出了問題,企業的負面新聞直接導致形象盡毀,造成不可估量的損失;一旦損失造成,是無法消除的,只能是及時止損。建立統一的負面新聞情報聯盟,各家企業的負面新聞第一時間通報給對方,追趕時間就是止損的第一個關鍵因素。在這個情報聯盟裡面,負面新聞可以互通有無,第一時間獲取,採取對應的解决管道。
2.3管理安全風險解決方案
各家企業,可以共同探討出一套成熟的安全風險解決方案,包括科技、公關、法務等。當遇到不同類型的安全問題,通常採用什麼樣的解决思路、解決方案,關鍵時間點和事件處理規範等。不同的行業、不同的領域、不同的階段都會有不同特點的安全問題,大家都本著開放的心態、取長補短、相互幫助才能形成一個健康的安全生態。
3
安全運營國際接軌
3.1白帽子國際化
近幾年白帽子群體的發展速度很快,白帽子為整個安全行業也做出了巨大的貢獻。科技是不分國界的。我們的白帽子應該“走出去”,同時也歡迎國外的白帽子“走進來”。一方面,企業應該投資人力和物力帶領白帽子走向國際,提供更多白帽子國際交流的機會,現在有一些企業已經開啟了這樣一扇門,以遊學的管道、技術交流的管道、參加國外大會的管道等等。同時,也有一些企業開啟了招募國外白帽子為自己企業提漏洞的平臺,彌補了國內安全技術能力的不同,同時也收穫了外國人挖洞的科技思路。
3.2安全合規國際化中國企業在國際化經營的道路上,應該將“合規”性擺在首位,重視合規風險的管理。有一定規模的中國企業,現在都已經將經營不斷地發展到國外,在項目實施地需要遵守當地國的法律法規和公共利益,安全合規也無法繞開,只有在合規國際化下經營,中國的企業才會得到當地國的保護,避免造成名譽損失、財務損失,甚至是法律制裁。於安全行業而言,例如2018年5月25日取代《數據保護指令》正式生效的《歐盟通用數據保護條例》,擴大了用戶個人數據的定義,對個人資訊的保護及監管達到了前所未有的細緻程度,對企業保護個人資訊提出了更高的要求。只有充分地研究國外相關的法律、規章、規則,才能提高企業合規風險管理的能力,建立完善的合規管理體系,降低合規管理體系的漏洞,避免遇到不可控問題,即使遇到了也有對應的解決方案。
3.3技術交流、科技情况國際化
技術交流是企業之間、科技人之間展現自己的科技實力、分享技術成果、發表科技觀點以及傳遞科技精神的一種活動。有時候,可能是一些自己的新書、新理念、新產品等等。單純從科技的層面,是沒有國界之分的。真正先進的科技理論、觀點或者是產品可以走遍全世界,讓所有的科技人受益。筆者宣導技術交流的活動應該走向國際化,與國外先進的企業、科技專家對接,看看外面的世界是什麼樣子的,外面的人現在關注的是什麼,得到最直接、第一手的資料,感受他們先進的科技實力、學習先進的技術成果、參攷他們的科技觀點,從中彌補我們科技領域的不足,發展我們的強項,規避我們的短板,當然,如果我們在某些科技方面領先的話,我們同樣引領國外企業和科技人,展現我們的科技實力和水准,推進技術交流國際化的生態發展。
4
未來的安全運營並不久遠,有一些願景已經慢慢在實現。
4.1安全運營視覺化
三篇文章討論下來,安全運營的價值到底如何體現?筆者認為,只有將安全運營的價值讓大家看到、脈象讓大家清楚、風險讓大家瞭解,做到安全運營視覺化,這會是安全運營工作一個突破性的成果。
4.1.1價值可視,脈象可視,風險可視
重視安全運營的企業,筆者認為可以搭建安全運營平臺,可以將人的資源、科技的資源、項目資源等等都放在這個平臺上面。通過一定的方法論將企業裡面所有的資源都綜合運營起來,做到資源最優合理使用,將每一塊資源的可利用率達到最高。同時,也將安全運營工作的價值通過一定的分析方法,用數據體現出來,展示在大屏上。在這個平臺上面,還需要體現出來脈象,安全運營工作中每一項工作開展的節奏、工作開展的程度、工作開展的進度。通過對脈象,安全運營工作的情况、安全部門資源使用的情况、安全運營工作的價值、安全部門的價值都可以得到很好的判定,並且可以預測風險性。使風險達到了視覺化。
4.2信任機制成熟
信任機制的成熟度與否體現了一個國家、一個行業的成熟度,信任機制能够促進行業發展,同時行業的良性發展也促進信任機制不斷走向成熟。
4.2.1信任機制體系
建立完善的信任機制體系,可以成為風險規避的一種手段。完善的信任機制體系包括信任評估標準體系、信任值計算模型、信任值應用場景、信任管理等。現時,對於信任機制應用較為的領域一般在金融行業,例如各大銀行發放的信用卡、支付寶的芝麻信用等,可以根據一個人的各種背景、通過一定的方法論來評估對應的信用值,從而决定一個人的消費領域和消費範圍。事實上,信任機制的問題也是安全運營工作的一個很重要的組成部分,當社會的進步程度越高,信任機制的體系也會隨之變得完善。
4.3運營服務化
4.3.1眾測
安全運營的工作,我們更多討論的是對於企業內部自己的價值。通過對人、科技資源的綜合與運營,使企業看到安全運營工作存在的意義。試想,如果我們可以將運營服務化,不僅僅是對於企業內部、還有整個行業,發揮更大的價值,是這運營服務化的暢想。眾測,是一個方向。眾測,簡言之,一家企業需要在固定期限內,通過外部可信力量,發現內部存在的風險。現時,市場中能够提供眾測服務的機构需要具有一定的資質,所以,並不是十分多。例如大家所知的威客眾測、補天眾測、先知眾測等,都可以為企業提供專業的眾測服務。其實,眾測可以是企業與企業之間的,也可以是企業內部安全部門與其他部門之間的。例如,安全部門可以發起這樣一個運營服務化的項目,號召自己社區的白帽子為業務部門的用戶是雲租戶(如果是雲企業的話)發現安全風險,當然從中需要做到的安全監控工作是必須的,一方面為白帽子提供了額外的福利,另外一方面輸出了白帽子的安全能力,為用戶或雲租戶提供了安全服務。眾測,只是安全運營服務化的一個項目,未來,希望更多的企業會有更多的想法並付諸實現。
4.3.2一鍵安全運營體系
未來,筆者願意看到安全運營工作是這樣的,“一鍵”便可以快速地、完整地、清晰地看到安全運營工作的全部。一鍵可以看到在安全運營體系之下,人的資源使用率、科技資源使用率,人與科技相結合達到的效果,脈絡清晰,行程明確。通過視覺化的數據與影像,展現出為企業創造了多少價值、為行業做了哪些工作,安全運營工作絕不是單一的只稽核漏洞、只維繫社區、只做幾次活動或大會、只應對檢查寫幾個制度…..安全運營需要成一個體系,從整個安全部門的存在意義出發,建立安全工作的框架、設計人員組成與運作機制、評估安全工作的成果、推進安全工作的改革、對人與科技整體運營負責。
往期內容精選
漏洞治理平臺的設計與實現
內容安全體系建設
安全服務那些事
風險管理體系設計與實現
安全開發那些事