安全行業各種專業以及別處心裁自造的詞:信息安全,數據安全,風控安全,業務安全,雲安全,辦公安全,終端安全,企業安全,金融安全,遊戲安全,內網安全,電腦安全等等,這都是對安全錯誤理解的表現。
1,認為挖漏洞、攻防對抗、風控等就是安全。
2,認為做各種防禦系統就是搞安全。
3,認為雲安是特定於“雲”的安全,與現有企業安全沒關係。
這幾種說法都不不完整,導致的結果:
1,用人肉堆安全:效率低,效果差。
2,用系統和設備堆安全:成本高,見效慢,效果差。
3、把企業安全隔離於現有的安全體系之外,手段與方式落後,安全效果不好。
所以我想從頭說一下安全這個事應該怎麼做:
1,做任何事肯定第一步先搞清楚做什麼,第二步才是怎麼做。
安全這件事來說,做什麼,就涉及到安全業務的分類標準,通常專業點的做法,兩個標準:
A,按被保護目標分為雲安全,終端安全,業務安全三類。
B,按被保護目標的所有者分為企業安全與消費者安全。
然後我們來細說下每個分類標準下,各個子類有哪些內容。
首先是基於被保護目標分類下的三個子類。
第一個子類是雲安全。基於對雲計算的理解偏差,雲安全是容易被人誤解的:多數人認為的雲安全就僅僅是各種雲平臺的安全,這是不準確的。事實上來說,雲安全包含三類:公有云安全、私有云安全、企業生產環境安全。
第二個子類是終端安全。終端安全這是我們個人平常接觸最多的,比如個人電腦安全,辦公設備安全,手機安全風都屬於終端安全。
第三個子類是業務安全。業務安全就包含了盜號、欺詐、法律政策合規、業務風控等內容。
以上是基於被保護目標分類下的安全業務的內容。
其次是基於所有者分類下的兩個子類。
第一個子類是企業安全。企業安全又有兩大組成部分:辦公環境安全與生產環境安全,針對的都是企業自身的安全問題。
第二個子類是消費者安全,主要指的是消費者在與企業發生業務互動時會有的安全問題。
之所以說以上這些聽起來很枯燥很理論的東西,是因為在實踐過程中我看到很多因為對這些內容不清楚而導致的問題。對安全體系的內容不清楚,後果就是:有的業務可能重複去做,有的業務可能又投入不足,甚至沒人做;哪些業務內容在哪些場景下應該與其它業務如何協作,側重點在哪,如果是對安全體系不清楚,就會導致整天忙忙碌碌卻沒有結果,把手段當結果。
以上說的是做什麼,接著說怎麼做,也就是手段問題。
安全手段總體來說只有三大類:安全產品,安全運營,安全架構。其中架構是大腦,產品是骨架,運營是血肉。
接著說這三大類手段分別指的是哪些內容:
第一是安全產品,只要安全結果的輸出端是程序或者以程序為主的服務,我們都把它稱為安全產品,比如各種殺毒軟件,防火牆等。
第二是安全運營,所有以運營團隊為最終目標輸出端得安全手段都是安全運營,比如應急響應、日常巡檢、攻防對抗、漏洞挖掘、威脅情報、合規管理、代碼審計等,都屬於安全運營範疇。
當然這裡面有部分內容在不同場景下可能屬於安全產品,也可能屬於安全運營:比如威脅情報它既可能是運營,也可能是產品,具體細節這裡不再說了,清楚這個情況就行了。
接著需要重點說下的是安全架構。這是被人誤解最多的一個安全手段,多數人理解安全架構就是字面理解的“搭架子”。這個理解太過淺顯,要準確理解什麼是架構,我需要舉個例子:
通常技術高端崗位有兩類:一是專家,二是架構師。它們區別在哪,以做飯吃飯為例:
專家更多考慮如何炒出最好的土豆絲,至於土豆絲最好了,是不是這頓飯就吃得好了,這不是專家需要考慮的。
但是架構師需要考慮的是,這頓飯我如何才能讓所有人吃得最好,比如要哪些菜,要什麼菜系,什麼口味等,架構師考慮問題的著眼點是最終的業務目標,它是目標導向的。
從這裡就能看得出,作為安全架構要做的是哪些事。優秀的架構師都是要有擔當CTO的能力的。
但是我們日常見到的多數情況,實際是把專家當架構師在用,或者架構師當專家用。這兩個角色他們的KPI以及能力要求是完全不一樣的,極少有人能同時具備這兩個方面比較強的能力。
比如我在某大廠見過的,本來是招架構師職位,結果整個面試下來都在問人家WAF的實現細節、DDOS防護的實現細節。至於架構師需要有的能力,比如安全業務的基本分類,安全產品與安全運營如何協作,公有云環境與企業生產環境安全問題的區別在哪、這些區別體現在安全運營和安全產品上是什麼表現,整個過程都沒人問,這樣最終招到的人肯定是不能勝任業務需要的。
上面我把安全手段就說完了。接下來就是安全手段如何配比協作才能最終搞定安全問題,以及公有云,私有云,企業生產環境下,這些手段和做法的差異,這一部分是一個非常龐雜的內容,我在另一篇文章《架構角度看安全》有比較詳細的說明,這裡為免重複不再贅述了,感興趣的可以去看我這篇文章。
然後是安全業務目前面臨的困境:
1,沒有任何手段或者手段的綜合能確保安全,只能是雞尾酒療法,所有手段一起上,這也是基於攻擊與防禦的不對等這個現實導致的:攻擊是單點突破,防禦需要系統管控,但沒有任何一個防禦手段是絕對有效的。
2,理論和方式都日漸老化陳舊,但是尚未有任何更先進有效的手段,所有做法都不過是一遍遍重複老掉牙的做法,而攻擊者卻在不斷升級攻擊手法和技術手段,防禦者疲於應付,非常被動。
解法:
1,現有手段不能丟:出於確保業務穩定連續的需要。
2,以最低代價解決絕大部分問題,允許所有點都有缺陷和漏掉的,不允許漏掉的這部分沒有協作點來補。
3,新技術的應用:以區塊鏈、ipfs為代表的去中心技術形成可信計算、可信網絡等為產品矩陣,大力發展泛安全產品。
