撰稿|呂毅
呂毅中國人民銀行金融信息中心信息安全部副主任,分別在人行科技司、香港金管局交流工作,高級工程師, CISSP、CISP、信息系統項目管理師(高級),多次獲得銀行科技發展進步獎,在讀博士。具備16年信息系統管理及安全建設運維實踐經驗,長期開展安全管理及一線運維,目前從事信息安全運營、應急響應及互聯網攻防。
前言
ABC(AI,Big Data,Cloud)技術發展迅猛,信息安全意識不斷提高,安全已成為數據中心的標配。從一個人的安全,到幾千人的團隊,存在皆合理。但伴隨網安法、GDPR等隱私和合規要求和傳統業務紛紛上雲,再守著一堆安全盒子做安全運維已無法滿足能力和技術持續發展和提升的要求。此次借鑑銀行業數據中心信息安全團隊建設及能力輸出理念,參照PDCA、ASA等模型,探討部委及大型央企中,信息安全團隊從運維到運營進化路徑。
正文
2017年,ISC大會主題“人是安全的尺度”,明確安全的主題是人,兵來將擋水來土掩,隨機應變並不代表亂作一團,如果安全每天將應急和救火當做常態,是在用戰術上的勤勞掩蓋戰略上的懶惰。安全管理是技術與藝術的結合,水善利萬物而不爭,需要做的是大象無形,大音希聲,安全應作為能力服務業務,背書業務,賦能業務。
麥肯錫在2015對世界500強企業安全投入調查發現,銀行和醫療行業對安全風險投入較高,大約為5%左右。隨著網絡安全成為國家戰略,業內習慣用數據中心雙8%理論,即信息安全人員規模和資金規模均應占數據8%左右。常規看,部委和大型國企數據中心信息安全機構配備4-6人,傳統安全運維是以系統定管理員,建完系統指定管理員,譬如建成30個系統,指定5個管理員,分工高度重疊,人員輪換困難。
以往觀念中講究自主運維,從上架接線到巡檢都自己幹,人定勝天,員工只顧埋頭幹活和填坑,年頭到年尾,無暇抬頭看路。到了報項目計劃時再匆忙應對,而項目建設中存量負擔未消化,新增工作也無法很好開展,年復一年。
在專業分工越來越細化的今天,這種困境帶來兩類主要問題:一是人力資源錯配消耗,用數據中心高管理水平和5-10年項目經驗的人開展基礎運維工作,機會成本高昂。二是服務效能降低,運維雖能保證合規性,但人力有限情況下管理效能拉低,信息安全的ROI(投入產出比)降低,安全保障業務基本職能落地不足。
為此,隨著數據中心規模擴大,安全運維內生需要逐漸向安全運營進化,統一安全理念,提高服務意識,提升專業能力。安全運營是對安全運維的繼承式發展,而不是顛覆,意味著以業務發展為基礎,以事件核查為線索,以能力提升為關鍵,以持續優化為根本,跟進業務發展並提供細化分工的安全服務並持續提升。類同企業跟隨外界環境進行變革,安全賦能業務也要隨著信息化的發展和機構戰略方向的轉變持續優化。
一、從安全運維到安全運營進化
1.參照PDCA戴明環模型建立安全運營體系框架
類似於項目管理的PDCA模型,需持續開展安全運營的提升,將安全運營分為安全研究(孵化)(Plan)、安全建設(Do)、安全服務(Check)、安全優化(Action)四個階段進行閉環管理,從而實現持續優化、基於業務反饋的自適應進化以使安全運營具備彈性。傳統安全運維只是安全服務中的一部分,具體說明如下:
安全研究(孵化)是開展安全技術研究和儲備,資源投入佔比20%。比照摩爾定律,伴隨大物移雲發展,現有知識在18個月時間內貶值一半。信息安全是技術密集型行業,從戰略上通盤考慮,戰術上實時跟進,持續的安全研究是技術因子,暫不論基礎技術理論突破,至少應跟進主流技術路線,類似於安全的孵化和創新,原型開發,容錯試錯,提前儲備,銀行業紛紛成立信息安全實驗室既是如此。
安全建設是開展項目建設,資源投入佔比30%。在安全研究基礎上建設安全基礎設施,強化對國家關鍵基礎設施的保護或根據業務需要進行的項目建設。項目建設是安全的落地,根據安全整體戰略,補短板;根據業務發展和行業優勢,拓長板。傳統思維中,補短板是重點,而在互聯網分工細化的今天,拓長板,提供專業領域內的細分服務和能力輸出,保持技術優勢將成為安全建設重點。
安全服務是開展安全對業務的支撐,資源投入佔比40%。安全服務在原有安全運維的基礎上,拓展出來安全諮詢、安全審計、滲透測試、安全評測、應急響應、安全檢測、預警通報、縱深防禦等服務。基礎安全運維是服務能力的根本和抓手,但服務能力更要綜合源於業務,服務業務,賦能業務。
安全優化是持續提升安全服務業務水平,資源投入佔比10%。回頭審視前三階段,做好了沒有,有沒有漏項,缺項是什麼,怎麼改進。因為有了前三階段實踐,優化積累具備可實施性。
依照《信息安全保障導論》對於PDCA模型特徵的說明,可將安全運營的PDCA特性分為三類模型也並不衝突,分別是循序漸進特徵,內生循環特徵和不斷提高特徵。循序漸進指在研究、建設、服務、優化四個階段是有先後順序的。內生循環指在四個階段中每個階段均可以細分為一個完整的PDCA循環。而不斷提高特徵指根據每次的PDCA循環開展經驗積累和能力提升。
同時,從人力資源培養看,將安全團隊區分出研究、建設、服務、優化處置四個層面,可以將內部人員建立梯隊機制,新人從運維服務入手,通過安全事件打磨人員基礎技能。從運維逐漸轉到建設,培養項目管理能力,同步根據實踐情況關注安全研究孵化。
2.從安全運維到運營的進化源於單位安全能力的提升
安全運營不是一蹴而就的,九層之臺,起於壘土,隨著能力的不斷提升,業務的擴展,不同的安全從運維向運營轉變。運營進化路徑可參考Robert M. Lee的安全滑動象限(The Sliding Scale of Cyber Security)模型。類似於信息安全CMMI能力成熟度模型,其將企業安全能力分五個階段,分別是架構建設、被動防禦、主動防禦、智能分析和反擊威懾。
第一階段是基礎架構階段,解決的是從無到有的問題。
第二階段為被動防禦,意即根據架構完善安全系統、掌握工具、方法,具備初級檢測和防禦能力。
第三階段為主動防禦,指主動分析檢測、應對,從外部的攻擊手段和手法進行學習,該階段開始引入了滲透測試、攻防演練和外部威脅情報。第四階段為智能學習,指利用流量、主機或其他各種數據通過機器學習,進行建模及大數據分析,開展攻擊行為的自學習和自識別,進行攻擊畫像、標籤等活動。第五階段指利用技術和策略對對手進行反制威懾。
對於安全運營來說,在不同階段投入的精力不一樣。在架構、被動階段,以補全安全能力為主,屬於安全運維的概念。從第三層主動防禦開始,隨著安全能力提升,需要開始整體規劃、逐步開展自研,進入安全運營概念,用研究、建設,運維提升的思路開展。第四層引入機器學習,智能化及態勢感知等技術,第五層則實現對外震懾及能力輸出。
3.參照ASA自適應模型及CARTA模型開展安全服務
自適應安全架構(Adaptive SecurityArchitecture,簡稱ASA)是由Gartner在2014年提出的安全體系,以持續監控和分析為核心,將防禦、檢測、響應、預測四個方面結合起來提供更好的安全服務,實現持續的自我進化,自我調整來適應新型、不斷變化的攻擊類型。
而2017年起,Gartner提出了自適應模型的完善版本CARTA(持續自適應風險和信任評估,其強調了風險和信任的辯證關係,核心概念:“訪問,就是從信任的角度去進行訪問控制;保護,就是從風險的角度去進行防禦”,在系統的計劃,建設,運行中,反覆採用關於信任和風險的概念,同時通過縱深分析(Analytics in-depth)和用戶和實體行為分析(UEBA)動態調整系統訪問控制策略,給安全運營以充分的彈性,並隨著系統外部環境變化進化。類似於老祖宗在道德經第五十章中的說法“蓋聞善攝生者,陸行不遇兕虎,入軍不被甲兵。兕無所投其角,虎無所措其爪,兵無所容其刃。夫何故?以其無死地”。對風險的規避,是比防禦更有效的手段。
二、如何建立安全運營體系
1.不同階段,不同重點
安全運營分為安全研究(孵化)(Plan)、安全建設(Do)、安全服務(Check)、安全優化(Action)四個階段。
如上圖表明,能力提升是循序漸進的過程,基礎架構和下層建築是性價比高的行為。而基礎層不做好,上層的智能分析和情報引入會造成資源浪費在誤報和低級事件上。信息安全也要基於RIO視角權衡投入產出比,統籌考慮需要考慮人員的的投入與成本之間的估算。
在創始階段,需要花更多的精力在安全運維上,補短板,就像力學結構中打地基一樣,地基穩,樓才高。確實人不夠,防控跟不上,要同高層達成對風險的可接受或採購信息安全保險。而隨著數據中心規模發展,安全運營則必須跟上,否則無法跟上對業務對安全的需要,造成對業務的禁錮。
2.扁平化安全服務團隊建設,提高運營效率。
建設運維團隊資源池,主要通過外包將運維資源池化,包括硬件底層、基礎安全事件、高級安全事件三層,匹配相關人力,由專業的人幹專業的事情。運維資源池化主要是防誤報,降低海量中高級事件的假陽性,降低誤報率。從而為高級安全事件的判斷和資源協調、處置預留充分的人力資源。
建設安全響應團隊(SRC)、威脅情報團隊和安全研究團隊。從外部看外部(域名仿冒、信息洩露),從外部看內部(風險暴露端口,信息洩露),從內部看內部(資產梳理、內部掃描),全面掌握風險態勢,及早預警。同時,基於對內部資產的梳理,強化外部風險應對能力,譬如對一條外部漏洞,以什麼樣的形式和方法發給運維部門,應具備自主判斷能力。日常合署辦公,在出現應急事件的時候,類似於鑽石模型的翻轉特性,先由SRC進行響應,響應結果推送給威脅情報團隊進行跟蹤,根據威脅分析結果開展主動防禦。同時,將威脅分析結果推送給安全研究團隊作為積累。
安全響應團隊可以是臨時組織或行業隊伍,基於事件驅動,通過事件積累形成行業應急響應中心(CERT)。事件響應時由安全運維團隊提供數據支撐,協同威脅情報團隊進行溯源,處置完成後將信息回饋到內部威脅情報進沉澱,反饋給研究團隊進行改進。
3.充分依靠分工細化,差異化採購專業服務,提升效率。
隨著信息安全產業不斷細分,傳統的靠一兩個安全廠商幾個盒子已無法滿足要求。適宜採用長尾效應中的範圍經濟學概念,採用複雜性對抗複雜性,用好多樣化帶來範圍經濟優勢。經濟學家姜奇平先生以小提琴四重奏舉例,其好聽,比的不是誰拉的快(快是奧運會準則),是其在音色、音質、音調、音高等方面信息的差異,即多樣化帶來的效率,是辨析質的差異的效率(即熵與負熵轉化的效率),是質量效率(戴明認為質量越高,成本越低),是創新效率(熊彼特學派質量階梯)、是定製效率(個性化精準)、是藝術效率(喬布斯研發投入與創意成反比)。
多樣化效率對新古典經濟學的顛覆在於,從認為多樣化不經濟,變為多樣化經濟。對於安全運營也是如此,沒有包治百病的藥,除非墨守成規。應綜合採用各類安全服務,或自研,或外購,用防控手段的多樣性應對信息安全風險多樣性。
4.基於反饋機制,理解業務、保護業務、賦能業務
信息安全的初心是保證正常履職,其使命是安全保障業務。安全運營的價值所在不是鐵板一塊的絕對安全,是基於業務反饋和防控效果進行改進,是對業務持續創新的保障和增值。
如同羅振宇在2018跨年演講中所說的8字一樣,通過安全運營將業務需求和外部能力進行匹配。8的上層是業務發展和需求,是需求側,8的下層是自有安全能力和市場可用資源,是供給側。現有安全運營人力資源的優勢在於對本單位業務的深入瞭解,對自身及乙方能提供安全服務水平的度量。安全運營本質在於,通過專業分工,將安全能力的重心放在中間的樞紐上,消除需求側和供給側的信息不對稱,轉化並連接,理解業務、保護業務。
不光做安全製造,還要做安全創造,以致安全驅動業務,賦能業務。
隨著網絡安全法出臺,GDPR實施,安全已經從傳統防護概念轉變為風險防控。Gartne在CARTA中也關注,不追求完美,目標錨定於風險可接受度(Perfection is the enemy of good enough.)。根據業務上雲及大數據發展,提供數據安全和業務安全的價值和訴求已經大於對系統安全的訴求。隨著灰度發佈、精益開發,為了業務和市場份額,只要安全可控,即可上線運行,邊做邊改(CARTA:Perfect protection isn'tpossible),這也是安全之於業務的價值所在。
三、安全運營體系發展
隨著大物移雲和單位安全能力的不斷成熟,安全運營進一步發展,其路徑趨勢:
1.打造平臺,壯大平臺,輸出平臺
伴隨上雲,安全建設應配合開展三大平臺建設。一是統一認證接口平臺建設,通過統一身份管理,實現對於人員登錄,賬號、權限、認證和審計,將人、業務、設備管理起來;通過協議棧收斂實現基於應用的訪問。二是雲安全平臺建設,包括建立虛擬安全資源池,對於租戶間南北向流量通過引流方式在雲安全平臺進行檢測;對於租戶間東西向流量通過CASB(Cloud Access Security Brokers 雲訪問安全代理)進行檢測管理。
將防禦理念從邊界防禦(萬里長城)向租戶個體防禦發展,通過RASP(實時應用系統自保護)實現基於行為的管控,通過微隔離,實現軟件定義邊界。三是建設大數據安全平臺,對數據的流動過程進行跟蹤並進行審計,在邊界建設監聽;隨著對數據和隱私的理解,對大數據的安全開展分析,學習,實現數據驅動安全。以上三個平臺建設後,先保證在內部上雲過程中不落伍,待時機成熟,即可開展安全能力輸出,實現平臺經濟,行業共享使用。
2.安全運營連接開發和運維(DevSecOps)
DevOps理念已比較成熟,但開發到運維上線的過程中,安全滯後會導致成本增加。為此,Gartner近年來提倡DevSecOps理念,通過安全運營提供服務,自動化在開發階段透明化介入包括測試、配置等開發過程,上線前掃描和測試,運維階段進行監測保護。通過在前期的投入降低後期整改成本,同時,加快項目部署上線。它是一種自動、透明、合規、基於策略的對應用底層安全架構的配置。
3.通過安全運營樹立安全感,實現安全價值
根據吳樹鵬先生觀點,公司信任體系的建立,需要業務與安全協調配合。大家是否為安全買單(不只是直接成本,也包括因為安全而放棄的一些便利性等間接成本),取決於能不能建立“安全感”以及對安全價值的正確認知下的品牌效應。
“當業務要衝鋒陷陣的時候,安全是在旁邊拍拍業務兄弟的肩膀,告訴他“一切別怕,我和你在一起”還是用千里傳音之術躲得遠遠的的說,我們有最先進的技術,最好的產品,你放心去吧”。安全運營目標就是前者,從被動安全到主動安全的轉變,“品牌樹立很難,信任崩塌很快,且行且珍惜”,通過安全運營,實現價值鏈與戰略的一致性。
4.建立行業態勢感知平臺及漏洞管理平臺
基於安全運營的輸出,聯合行業各單位組建行業安全態勢感知平臺及行業漏洞管理平臺。
行業安全態勢感知平臺類似於美國愛因斯坦計劃,一是實現行業攻擊及威脅事件共享,通過各單位已有或者統一採集數據實現大數據攻擊事件預警。二是通過該平臺將威脅情報反向投送給行業,對防控能力賦能。
行業漏洞管理管理平臺針對行業漏洞進行判斷整理和歸類,由於行業特殊性,準確性較高,通過該平臺對接CNVD及CNNVD,實現專業領域內的精細化服務。
“
參考文檔:
1.信息安全保障導論(機械工業出版社)
2.淺析Gartner十一大信息安全技術,葉蓬
3.如何做好首席安全官,吳樹鵬
”
閱讀更多 安在信息安全新媒體 的文章
