安全預算有限,同時又面臨數字化轉型和電商、數字工廠創新業務和新威脅挑戰,新冠疫情下供應鏈安全和遠程辦公面臨嚴峻安全形勢,面對以上三座大山,製造業網絡安全如何打造安全體系,如何將安全能力轉化為核心競爭力?帶著以上問題,安全牛專訪了立邦集團網絡安全主管嚴偉。
嚴偉,現任立邦網絡安全主管,他從2007年入行至今,從事網絡和安全相關的工作,先後也通過CCIE、CISP、CISSP、CISA、CISM和ISO27K等技能能力認證,同時工作中不斷學習和總結完成邏輯思維和知識結構的自我訓練,具有行業內豐富的網絡和安全經驗。
安全牛:立邦怎麼看待制造業的網絡安全現狀,存在哪些問題?可以結合立邦自身的經驗給些建議。
嚴偉:許多傳統制造業的安全還停留在生產安全,產品安全等初級階段,對信息安全的認識更是處於萌芽期,對於製造行業來說安全的特點是比較重視成本,注重實際效果,實實在在解決安全問題,不擺花架子。但是隨著信息技術的發展,傳統的製造業不可避免的會遇到更多,以及相比較以往也更加複雜的安全環境和問題。而作為立邦網絡安全部門的負責人以及安全體系的架構師,我本人經歷和見證了立邦網絡安全體系從無到有的建設過程,在這個過程中養成了不管什麼安全方案和解決措施,都注重安全有效性和實踐的思維模式。
立邦是從2016年開始重視起網絡安全建設的工作。在互聯網這個大環境下,在業務數字化轉型的過程中,用戶多樣化,設備多樣化、平臺多樣化、業務多樣化,邊界越來越模糊,同時異構數據在企業內部不同的業務系統和平臺之間流動,增加安全風險,立邦意識到問題的解決刻不容緩,積極尋求應對的解決方案,包括從自身內部的安全體系建設、安全數據的治理、身份的治理、安全意識加強、軟件安全開發管理、業務連續性管理、公有云安全等方方面面全方位的思考,到外部服務供應商的解決方案的尋找。
立邦過去存在的安全問題,在製造業中有一定的代表性:
01、安全未能嵌入開發中
由於立邦屬於傳統制造業,不同於金融和互聯網行業對信息安全的依賴程度那麼高,加上程序開發人員很少進行安全能力與意識的培訓,開發管理者不瞭解安全開發的管理流程和方法,不清楚安全開發過程中使用的各類方法和思想。開發人員大多僅學會了編程技巧,不瞭解安全漏洞的成因、技術原理與安全危害,不能更好地將軟件安全需求、安全特性和編程方法互相結合,這直接導致在開發新產品的過程中,開發人員過多的關注在產品功能性的滿足上,而輕視甚至忽略其安全性。
02、信息安全體系建設尚不完善
所謂信息安全管理體系,是在組織內部建立信息安全管理目標,以及完成這些目標所用方法的體系。同程序開發人員缺乏安全培訓一樣,信息安全體系建設也是刻不容緩的一件事。我們參照了IOS27000的標準對立邦114個安全控制點進行排查,發現早期立邦在安全體系建設上也存在著較大的缺失,這勢必也對安全管理造成極大的隱患。
03、技術層面的滯後
這裡包括了軟件、硬件設備及人員意識形態上的老舊。立邦當前急需改進的技術面就是建立起自己的SOC中心和SIEM平臺,藉助於SOC中心,依靠技術解決方案和強健的一套流程檢測、分析並且響應網絡安全事件,藉助於SIEM平臺幫助我們進行漏洞管理、入侵檢測、行為分析、日誌存儲、檢索報警管理等工作。立邦在此前聘請某外包服務商做大數據安全分析時,也正是因為此類數據的不完整,從而導致整個DEMO測試的失敗。
在發現安全問題的同時,我也積極的與其他國家的同事進行溝通交流,雖然那邊也會進行大數據分析的工作,例如系統監控、網絡監控、SIEM平臺的搭建等,但其工作進程也僅僅只停留在可操作的步驟,並未對後續工作進行持續性的推進和發展。由此可見,對整個立邦的安全體系而言,需要做的事還有很多很多,任重而道遠。這樣的境況反倒更加激發起我們對建立整個立邦安全體系的決心。
安全牛:立邦目前有哪些安全需求優先級較高的業務場景,面臨什麼樣的安全威脅?
嚴偉:目前有三個最迫切的業務場景需求:核心知識產權保護、創新電商業務(包括面向C端的一些服務)、新建數字化工廠的工控系統安全。
核心知識產權保護方面,我們有需要多商業機密數據,例如公司的配方、 BOM物料清單,尤其是一些核心機密產品配方,此外,內部的重要文檔、報價清單等也都是屬於需要重點保護的敏感數據。
創新業務的安全支撐方面,立邦近年來有很多數字化轉型業務創新,例如面向終端消費者提供的個性化服務,推出後市場反應熱烈,目前已經做到一定的規模和銷售業績,我們在打通端到端的數字化業務時,安全問題就隨之產生,我們業務服務會受到一定的威脅或攻擊,由此帶來創新業務的損失,但我們沒有停止腳步,一直不斷的在滿足外部用戶和企業業務部門的需求同時,加深自身安全建設工作。
第三個是數字工廠的工控系統安全問題,包括新老數字工廠的安全問題。近幾年的永恆之藍漏洞在影響辦公網絡同時,滲透到工控網絡中,加上數字化工廠建設之初缺少工控網絡安全技術規範和管理標準,導致我們在工控防護方面投入不足而帶來一定影響,鑑於此我們詳細研讀《工業控制系統信息安全防護指南》(338 號),這是一份針對中國企業開展工控安全防護工作的整體性指導文件。我們根據輕重緩急列了幾條優先級較高並且需要解決的問題:老工廠的物理或邏輯上的網絡隔離,並開放特定策略允許特定的業務數據傳輸(有一些技術挑戰)、面對很多的老舊主機,不適合安裝防病毒產品、我們聯繫了相關專家,幫助我們提供最優的解決方案,優先解決關鍵場景,另外我們還通過加強對遠程連接的管控和主機的管理規範工作,提升工控網絡的整體安全性,未來在工控網絡安全的道路上還有很多事情要做,不能僅限於此。
安全牛:新冠疫情掀起了全球企業的遠程辦公熱潮,但同時對企業網絡安全,尤其是身份與訪問管理提出了更高要求,立邦在這個領域有何措施,對零信任架構有何計劃或者看法?
嚴偉:立邦在這方面比較“幸運”,我們未雨綢繆,在過去一年的信息安全體系建設中,已經完成了IAM(身份與訪問管理)與PAM(特權賬號管理)的系統建設。在IAM系統中,從員工入職當日起直至離職,已經完全實現了員工賬號生命週期管理的全自動化。在數字化時代,一個成熟的IAM系統與企業的安全和生產力是密不可分的。企業可以運用身份管理來保護資產不受日益增多的勒索軟件、黑客活動、釣魚軟件或其他惡意軟件攻擊的影響。而PAM系統的建立,不但可以對賬號持有者所有的行為操作出審計追溯,同時還能評估外包人員工作質量。
安全牛:業界比較流行的說法是CISO是救火隊員,哪裡冒煙去哪裡,那麼立邦的安全團隊除了要支撐和應對新業務和新威脅外,是否也有整體網絡安全體系和架構規劃,都有哪些重點項目?
嚴偉:我們的總體安全體系有十四項規劃,如下圖:
除了剛才提到的IAM, 我重點介紹五個:
01、信息安全意識的宣貫(基礎+強化)
我們把安全意識宣貫擺在了安全治理的關鍵位置。信息安全意識說白了就是人們頭腦中所建立起來的對信息化工作所具備的安全觀念,這樣的觀念必須通過各種形式的信息安全意識教育、培訓及宣傳,逐步融入到人們的工作當中,使其變成一種常態化的工作。通俗點說就是要讓員工知道企業的安全點在哪,在什麼領域,這也是做安全最基礎的工作。企業安全的起點並不是取決於設備或技術,而是每個企業的員工,無論基層還是高層都能有意識的認識到信息安全的重要性,治本先治人。而這裡所說的強化,指的就是根據企業高層所關注的領域來加強信息安全的宣傳與貫徹。正所謂知己知彼,百戰不殆,我們從企業內部員工的安全意識著手,從企業文化上來體現信息安全的重要性。
02、數據敏感保護諮詢
正如前面提到過的,對於像立邦這樣的製造業來說,除了用戶數據需要保證不被洩露之外,同時還涉及到配方的保密,甚至是重要文檔的保密。而應對這樣的信息安全問題,我們採用DLP(“數據洩露防護”)系統的解決方案,在DLP的推行上,選擇從部分場景先試點運行,再根據實際的反饋做整體的調整。
03、應用數據交換平臺(應用網關)
所謂應用網關,就是將一個網絡與另一個網絡進行相互的連通,安全為何做應用網關?因為立邦在數字化轉型中,其內部的核心繫統必然要和許多外圍系統對接,這些外圍系統不僅包含立邦本身的系統,也可能是與其他SaaS平臺對接。如果將核心系統直接相連,那勢必大幅增加其危險指數,也正鑑於此,應用網關的建設應運而生。為了監控數據的流向和接口,我們規劃在立邦建立起一個統一的應用網關。我們可以在大腦中想象這個網關就好比一個通行的崗哨,進出的人就好比交換的數據,而崗哨則是唯一的通行入口,所有進出立邦的數據都需要經過它的審查。
04、安全監控與產品分析
立邦本身其實已經具備了系統監控和網絡監控的能力。這裡提出所要建設的安全監控更多指的是應用監控。顧名思義,應用監控主要是為了確保應用性能正常運轉而設置的,立邦則賦予它一個更為有趣的定義—Robot。這個Robot是可以週期性的為立邦整個系統做檢測,從而瞭解其可用性狀態,在發現異常後,發出預警,在用戶反饋問題之前預先部署並將問題解決。同時在APM系統的選擇上則需要貼近企業實際的需求,也要便於企業部署。
05、信息系統災備建設項目
正所謂“不怕一萬,只怕萬一”。我們前面所提及的項目主要都是針對信息安全事件發生之前所作的預警和規劃,而信息系統災備建設則更傾向於對事件發生後的應急響應,例如容災系統的建立。當前立邦的數字化工廠已經建立,其整個業務系統也向某雲端服務商做了遷移,信息安全建設必須步步緊跟。在容災方案的建設上,首先確保線下系統宕機的時候數據不會丟失,其次能使整個應用系統可以切換到另一處,使該系統功能可以繼續正常工作。當然,我們建設容災系統的目的並非僅僅為了做一個備份或切換,更多是考慮到事件在對ERP業務數據造成破壞後,企業是否能快速恢復業務數據和ERP系統,因為對製造業來說,生產線停止所造成損失可能是其他行業人員所預想不到的,哪怕一分鐘都可能都是百萬或千萬級的。
由於時間原因,我們無法將十四項規劃一一細數,但是從當前提到的五項規劃中可以看出,我們的信息安全體系建設思路是從最基層的企業文化入手,通過治理、管理、技術三大類,以及對事前、事中、事後三個時間節點的把控,層層推進,一步一個腳印,為立邦構築起一道多姿多彩的安全堡壘。通過治理層面的建設,將信息安全體系建設融入到企業文化之中;通過管理層面的建設,構建起一套成熟完備的安全管理體系;通過技術層面的建設,打造出一條縱深的安全防禦架構。這三者缺一不可,相輔相成,它們共同組成了立邦整套信息安全的防線。
對於信息安全的建設,我們不只是停留在設計與規劃階段,我們建立的CMMI企業能力成熟度模型,便是對自己三年規劃所做的最好的檢驗。
在這個CMMI列表中,立邦三年的安全體系建設共分為五個層級,而當前立邦一年內已實現了第二層級的項目。在過去一年的信息安全建設中,我們的重點工作就是剛才提到的IAM,目前看來正好是對上了疫情遠程辦公的需求。
安全牛:面對未來日益嚴峻的網絡安全威脅態勢,立邦安全體系的建設和強化重點有哪些?
嚴偉:身份管理、數據和安全的標準化與可視化、SOC和SIEM的規劃與建設、應急響應。
閱讀更多 安全牛 的文章
