2019年嘮嗑企業安全(一)
Mark資訊保安專業畢業,曾經在安全廠商工作幾年,後在機緣巧合之前來到一家網際網路公司,並開始了一段甲方做企業安全的不歸路……
經歷了大學到乙方再到甲方視角的轉變,Mark對安全的認識也在不斷的發生著轉變:大學專業就是資訊保安緣故,自己認為資訊保安是大量知識領域和技術集合,技術中產生安全問題,安全問題由技術解決;畢業後進入安全廠商和整合商摸爬滾打,坐著安全諮詢、安全整合等相關工作,幫助各大公司和部委完成業務系統的安全建設,資訊保安也不再是單純的技術和專案交付,上升為了一種責任,一種幫助甲方提升和完善業務系統安全能力的責任;再之後的機緣巧合之下,自己轉到了網際網路行業,一家風口浪尖且願意為安全做大量投入的公司,也由乙方角色轉換到了甲方,企業安全對自己除了技術和責任之外,又多了一層含義,那一層就是文化,好的安全工作不僅要保障業務,更要融入這家公司文化,貼合業務,依託企業文化,使安全工作變成公司業務乃至每個員工比較容易接受方式,增強安全工作的貼合度和粘性。
說了這麼多,那安全是什麼呢,MBA智庫百科有個不錯的解釋:
資訊保安是指為資料處理系統而採取的技術的和管理的安全保護,保護計算機硬體、軟體、資料不因偶然的或惡意的原因而遭到破壞、更改、顯露。這裡面既包含了層面的概念,其中計算機硬體可以看作是物理層面,軟體可以看做是執行層面,再就是資料層面;又包含了屬性的概念,其中破壞涉及的是可用性,更改涉及的是完整性,顯露涉及的是機密性。
那如何做好企業安全呢?最近剛好看了兩本不錯的書,結合這兩本書聊聊自己對企業安全的思路,一本為薩提亞.納德拉的《重新整理》,一本為瑞·達利歐《原則》。薩提亞.納德拉提醒了我做安全的態度,做事情要有同理心和善於接受並理解新事物的能力;而瑞·達利歐教會了我做安全的方法,任何事情的成功絕非偶然,其實有方法和套路的。
瑞·達利歐把成功定義為5步(以我司為例):
1、有明確的目標:
實現業務的安全可視、可控和可管,並最大化保證業務的效率。
2、找到阻礙視線目標的問題,並且不能容忍這些問題:
合規問題、公司內外部的威脅和業務系統自身的脆弱性。
3、準確診斷問題、找到問題的根源:
合規問題:對公司業務相關的合規和法律瞭解不全面;
技術層面:主機安全問題、docker安全問題、網路安全問題、應用安全問題、資料安全問題、物理安全問題;
管理層面:員工安全意識問題,標準化的管理、制度、要求、流程、規範等的缺乏。
4、規劃可以解決問題的方案:
總結如下技術與產品結合的安全導圖,僅供參考
化繁為簡,將公司安全建設劃分三個階段跟大家簡單介紹
第一階段:安全建設初期
原則:
外部威脅防禦優於內部威脅
主要建設內容包括:
1、資產的識別,網路的梳理 2、漏洞的識別、修復 3、邊界的4層和7層防護,基於業務進行邊界隔離,精細化白名單方式開放埠和流量 4、鏈路的流量審計 5、核心網路的訪問認證和許可權管理 6、主機及終端防護,如設定安全基線、部署防病毒或相關安全外掛等 7、app安全,如app安全加固等 8、業務系統日常存活、漏洞、埠等檢測掃描 9、第三方滲透測試 10、安全意識宣貫 11、合規要求:如等級保護測評,風險評估檢測,完成網安及相關監管單位的要求和檢查
第二階段:安全建設中期
原則:
重點建設內部安全和資料安全,補充完善外部威脅防護
主要建設內容包括:
1、上網行為管理及上網認證 2、郵箱安全 3、資料庫及對應許可權梳理、整合、回收 4、資料全生命週期的管理、資料治理,如資料標準化、分級分類、加密、脫敏等等(資料安全方面大而廣,後續單獨文章介紹) 5、DLP 6、蜜罐、威脅情報(驗證公司安全體系健壯性) 7、日誌管理平臺 8、第三方滲透測試 9、安全意識宣貫 10、合規要求:如等級保護測評,風險評估檢測,完成網安及相關監管單位的要求和檢查 11、看公關需要,可獲取公司級別認證,如iso 27001等
第三階段:安全運營期
原則:精細化,視覺化運營
主要建設內容:
1、SRC 2、自研安全平臺 3、各安全系統的精細化執行、聯動和視覺化 4、第三方滲透測試,眾測(根據公司情況而做) 5、安全意識宣貫 6、合規要求:如等級保護測評,風險評估檢測,完成網安及相關監管單位的要求和檢查
總結:
一家公司安全建設順序可根據業務需求進行靈活調整,漏洞、合規、資料安全和安全意識宣貫需要貫穿安全建設的始末;漏洞是安全的靈魂,漏洞的發現、識別和快速響應在安全工作中永遠是優先順序最高的;合規和資料安全是剛需,也是老闆們最看重的點;安全做到最後永遠是人的問題,安全意識宣貫是提升公司整體安全水平的最有效手段,也是安全文化建設的核心。
5、做一切必要的事來踐行這些方案,實現成果:
貼合公司戰略、業務發展現狀,對安全工作開展排列優先順序,以終為始,要事第一,統合綜效,不斷更新。
總結:安全是一個特殊的存在,安全是個形容詞,絕對安全很難,但是在企業安全的建設過程中,希望通過自己不斷實踐、總結和重新整理,將安全化繁為簡,守護好安全的寸土。
後面會分享更多細節,未完待續。
*本文作者:Mark2019,轉載請註明來自FreeBuf.COM