安全行业各种专业以及别处心裁自造的词:信息安全,数据安全,风控安全,业务安全,云安全,办公安全,终端安全,企业安全,金融安全,游戏安全,内网安全,电脑安全等等,这都是对安全错误理解的表现。
1,认为挖漏洞、攻防对抗、风控等就是安全。
2,认为做各种防御系统就是搞安全。
3,认为云安是特定于“云”的安全,与现有企业安全没关系。
这几种说法都不不完整,导致的结果:
1,用人肉堆安全:效率低,效果差。
2,用系统和设备堆安全:成本高,见效慢,效果差。
3、把企业安全隔离于现有的安全体系之外,手段与方式落后,安全效果不好。
所以我想从头说一下安全这个事应该怎么做:
1,做任何事肯定第一步先搞清楚做什么,第二步才是怎么做。
安全这件事来说,做什么,就涉及到安全业务的分类标准,通常专业点的做法,两个标准:
A,按被保护目标分为云安全,终端安全,业务安全三类。
B,按被保护目标的所有者分为企业安全与消费者安全。
然后我们来细说下每个分类标准下,各个子类有哪些内容。
首先是基于被保护目标分类下的三个子类。
第一个子类是云安全。基于对云计算的理解偏差,云安全是容易被人误解的:多数人认为的云安全就仅仅是各种云平台的安全,这是不准确的。事实上来说,云安全包含三类:公有云安全、私有云安全、企业生产环境安全。
第二个子类是终端安全。终端安全这是我们个人平常接触最多的,比如个人电脑安全,办公设备安全,手机安全风都属于终端安全。
第三个子类是业务安全。业务安全就包含了盗号、欺诈、法律政策合规、业务风控等内容。
以上是基于被保护目标分类下的安全业务的内容。
其次是基于所有者分类下的两个子类。
第一个子类是企业安全。企业安全又有两大组成部分:办公环境安全与生产环境安全,针对的都是企业自身的安全问题。
第二个子类是消费者安全,主要指的是消费者在与企业发生业务互动时会有的安全问题。
之所以说以上这些听起来很枯燥很理论的东西,是因为在实践过程中我看到很多因为对这些内容不清楚而导致的问题。对安全体系的内容不清楚,后果就是:有的业务可能重复去做,有的业务可能又投入不足,甚至没人做;哪些业务内容在哪些场景下应该与其它业务如何协作,侧重点在哪,如果是对安全体系不清楚,就会导致整天忙忙碌碌却没有结果,把手段当结果。
以上说的是做什么,接着说怎么做,也就是手段问题。
安全手段总体来说只有三大类:安全产品,安全运营,安全架构。其中架构是大脑,产品是骨架,运营是血肉。
接着说这三大类手段分别指的是哪些内容:
第一是安全产品,只要安全结果的输出端是程序或者以程序为主的服务,我们都把它称为安全产品,比如各种杀毒软件,防火墙等。
第二是安全运营,所有以运营团队为最终目标输出端得安全手段都是安全运营,比如应急响应、日常巡检、攻防对抗、漏洞挖掘、威胁情报、合规管理、代码审计等,都属于安全运营范畴。
当然这里面有部分内容在不同场景下可能属于安全产品,也可能属于安全运营:比如威胁情报它既可能是运营,也可能是产品,具体细节这里不再说了,清楚这个情况就行了。
接着需要重点说下的是安全架构。这是被人误解最多的一个安全手段,多数人理解安全架构就是字面理解的“搭架子”。这个理解太过浅显,要准确理解什么是架构,我需要举个例子:
通常技术高端岗位有两类:一是专家,二是架构师。它们区别在哪,以做饭吃饭为例:
专家更多考虑如何炒出最好的土豆丝,至于土豆丝最好了,是不是这顿饭就吃得好了,这不是专家需要考虑的。
但是架构师需要考虑的是,这顿饭我如何才能让所有人吃得最好,比如要哪些菜,要什么菜系,什么口味等,架构师考虑问题的着眼点是最终的业务目标,它是目标导向的。
从这里就能看得出,作为安全架构要做的是哪些事。优秀的架构师都是要有担当CTO的能力的。
但是我们日常见到的多数情况,实际是把专家当架构师在用,或者架构师当专家用。这两个角色他们的KPI以及能力要求是完全不一样的,极少有人能同时具备这两个方面比较强的能力。
比如我在某大厂见过的,本来是招架构师职位,结果整个面试下来都在问人家WAF的实现细节、DDOS防护的实现细节。至于架构师需要有的能力,比如安全业务的基本分类,安全产品与安全运营如何协作,公有云环境与企业生产环境安全问题的区别在哪、这些区别体现在安全运营和安全产品上是什么表现,整个过程都没人问,这样最终招到的人肯定是不能胜任业务需要的。
上面我把安全手段就说完了。接下来就是安全手段如何配比协作才能最终搞定安全问题,以及公有云,私有云,企业生产环境下,这些手段和做法的差异,这一部分是一个非常庞杂的内容,我在另一篇文章《架构角度看安全》有比较详细的说明,这里为免重复不再赘述了,感兴趣的可以去看我这篇文章。
然后是安全业务目前面临的困境:
1,没有任何手段或者手段的综合能确保安全,只能是鸡尾酒疗法,所有手段一起上,这也是基于攻击与防御的不对等这个现实导致的:攻击是单点突破,防御需要系统管控,但没有任何一个防御手段是绝对有效的。
2,理论和方式都日渐老化陈旧,但是尚未有任何更先进有效的手段,所有做法都不过是一遍遍重复老掉牙的做法,而攻击者却在不断升级攻击手法和技术手段,防御者疲于应付,非常被动。
解法:
1,现有手段不能丢:出于确保业务稳定连续的需要。
2,以最低代价解决绝大部分问题,允许所有点都有缺陷和漏掉的,不允许漏掉的这部分没有协作点来补。
3,新技术的应用:以区块链、ipfs为代表的去中心技术形成可信计算、可信网络等为产品矩阵,大力发展泛安全产品。
