做企业首席安全官(CSO/CISO)是什么样的体验?
不少人对这个职位感到好奇:“为什么国内很少听到CSO、CSIO”、"他们需要搞黑客技术吗"、“如何做好一个企业安全负责人”、“企业安全团队每天工作是不是就是抓黑客”、“CSO都需要具备什么能力?”
曾有人为CSO划定了基本能力要素:业务赋能、安全治理、风险管理、安全技术、安全管理、业务安全、安全运营、法律合规、调查取证、安全审计、意识品牌、资源管理。这十二个因素被认为是CSO的能力集,也是一个企业安全能力的映射集。
CSO的能力决定了企业安全能力的天花板,可惜理想与现实总有落差。不少“天花板”整天关在办公室,闷头想方案,撸代码,甚至还有一个人的安全部,全公司安全运维都靠两只手。
这时候没看到什么效果的老板开始不满:业务业务业务!
安全要和业务结合。但究竟如何结合?多数人都双眼迷茫,包括编辑本人。抱着这些疑问,雷锋网和Palo Alto Networks(派拓网络)亚太区首席安全官 Kevin O’Leary 聊了聊。
Kevin 最早在欧洲从事信息安全相关工作。
【Palo Alto Networks(派拓网络)亚太区首席安全官 Kevin O’Leary】
这位有二十多年安全从业经历的老兵“漂流”过不少地方,期间呆过服务最终用户的安全企业,也进过厂家,还曾在公共机构、私营企业及大型跨国公司当顾问,近些年主要承担企业内部CISO的角色。
2012年一个偶然的机会,Kevin来到澳大利亚在 HP(惠普公司)banking 做信息安全相关的咨询工作。2014-2015年间,他担任 HP 亚太及日本区CISO。
2015年,他来到中国,在通用电气中国区(GE China)以及通用电气旗下全球成长组织(Global Growth Organization, GGO)担任副总裁与CISO职位。
三年后,他来到Palo Alto Networks(派拓网络),主要在新加坡服务南亚地区的企业和用户。
这些年Kevin考虑最多的就是怎样帮助客户把企业做得更加安全,而解决之道化繁为简就是两招,一是技术融合,二是提早预测。
“不是去说服客户都要把自己企业安全向下一级防火墙进行迁移,虽然这是我们最主要的业务来源。而是通过全面的技术融合,其中包含终端技术、移动互联技术,以及威胁情报感知等等。”
单点作战时代已经过去,需要有新的技术打通关节,将各个点的安全产品无缝对接。在此过程中,可以将一些已有技术进行并用升级,提高效率。
再好的车最后也要由人来开,对企业来说将技术组件组织成一个集中管理平台更需要专业安全人才,但目前国内现状是基层专职安全工作人员和管理员极度匮乏,造成企业技术融合无法推进。
这也是目前国内技术和业务结合的普遍困境之一,除此之外,网安法合规性的压力不仅推动企业加大网络安全投入力度,也给企业造成了新挑战。
另外,由于诸多企业有跨国业务,就需要防范来自各个地区新型威胁,如何利用最新、最快捷的威胁情报,保证企业业务安全,这也是很多企业的挑战。
当然,这些问题都可以提早防范。
所谓不打无准备之仗,作为CSO更应能预测敌人之后的攻击方向,及早部署防御。
这些预测也要结合每个地区和国家特点,Kevin 告诉雷锋网,比如菲律宾的数据隐私保护相关工作是一个重点领域,印尼由于有很多制造企业,用户上下游供应链安全问题比较突出。而在中国,Kevin 做了五个方面的预测。
一、带附件的商务邮件
过去五年间,全球有超过120亿美元的损失源于商务邮件。
除了盗账号密码这种简单粗暴的手法,攻击者们玩起了Cosplay,比如伪装成合作伙伴或者内部利益相关者对各类规模的企业进行攻击。总之,对商务邮件的攻击一直呈现增长趋势,攻击者使用的手段也愈加多元和复杂,从伪装成公司网址到锁定员工个人社交账号来发动攻击。
更牛X的是这些攻击越来越神鬼不知,可以躲开种种内部检查。
如果一辆车有自毁按键,一旦有人入侵按键后整车都进行销毁。当然这不现实,但在电子邮箱中是否可以加入这种技术呢?未尝不可。除此之外,Kevin也建议企业选用一些机器学习技术,双因子或多因子认证及生物识别技术对企业邮箱进行保护。
二、供应链安全问题
数字时代消除了限制,促进了全球性互联互通供应链的发展,使得企业可以很方便地发掘全球供应商及外包服务。这种连接也包括数据与网络的共享,一方面企业通过这种连接和分析功能大大提高了效率,另一方面这也给那些伺机而动的攻击者寻找现有网络安全漏洞大开了方便之门。
这种风险尤其表现在医疗领域,比如核磁共振成像(MRI)和X光机等医疗设备接入医院内部网络与第三方网络相连,这就为更多新型攻击面和漏洞提供了机会,而这些医院系统往往无法控制。
“这里要提到的概念是'零信任',就是即使对企业内部网络也不应该完全信任,要看清网络间的互联关系,内网交易也不能完全信任,要用'零信任'的概念来设计自己的安全架构。”
换个说法,首席安全官要对网络流量严密监测,确保敏感信息与外部设备和系统隔离。一旦多个未经保护的设备与公司网络相连接,比如物联网(IoT),短时间内就会成为“有威胁的互联网”。
这就要求企业确保固件和应用实时更新,登录默认设置一定要修改。如果网络中安装有第三方系统或设备,一定要采用零信任模式,将全部流量置于特定区域,对其进行检测和区分,只允许授权用户和应用与其通讯。
三、数据安全问题
2018年国内数据泄露事件风起云涌,而2019年相关事件只高不低。
四、云安全问题
现在是一个应用驱动的时代,部分原因是因为有了云计算。云计算可以帮助企业无需在计算资源上面花费巨资便可交付产品和服务,因此成为企业不可或缺的资源。一方面,云计算可以帮助我们简化某些领域的安全问题,但另一方面也会带来新的挑战。
实施云战略便意味要在任务关键型数据和系统方面与第三方展开合作,这就要求安全地存储和传输这些数据,而且只能由授权人员访问,这一点相当重要。
Kevin表示,企业在实现快速创新和快速交付全新服务的同时,还要处理复杂的计算资源网络,就很容易忽略确保网络安全的要求。DevOps可以帮助加速开发,但会给网络安全带来挑战,特别现在是正处于由传统IT管理向DevOps过渡的阶段。
云安全不仅仅是云服务提供商一家的责任,企业更要投入到保护数据、应用、操作系统、网络配置等诸多安全的战斗中来,另外要将流程、技术以及最重要的人才等安排就位,确保系统足够安全。
五、关键基础设施安全
这一部分指的不仅仅是公共设施或者资源,还包括其他重要领域,比如银行和金融服务、电信和媒体等。由于关键基础设施在向数字化和自动化发展,企业与工业网络之间相互作用,很容易成为网络罪犯的攻击目标。
特别是对于包括数据采集与监控系统和工控系统在内的工业系统尤其危险。工业系统对于能源、供水、公共交通等领域十分重要,而且这一系统无法如传统系统打补丁。
对这些基础设施拥有者来说,他们更关注信息保密性,往往忽略了信息完整性和可用性。技术创新严重倚赖遥测和不间断连接,那些对千百万公众生命安全负责的系统,要求数据必须精确且可获取。
在这种情况下,Kevin认为无论是公有还是私有基础设施,都需要将零信任系统部署到位,并确保访问隔离。
结语
不久前编辑看了一篇文章:为什么程序员总在改Bug,就不能一次改好吗?
在日常生活中,即便每个物品都有使用说明书,可一千个用户就有一千种使用方式。例如用诺基亚手机砸核桃,用iPad当切菜板,所以说程序是确定的,但用户的使用场景是不确定性的。
各种不按套路出牌的操作会给系统带来挑战,例如网上有个段子说:
一个人走进一家酒吧,要了一杯啤酒;
一个人走进一家酒吧,要了0.7杯啤酒;
一个人走进一家酒吧,要了-1杯啤酒;
一个人走进一家酒吧,要了2^32杯啤酒;
一个人冲进一家酒吧,要了500杯啤酒咖啡洗脚水野猫狼牙棒奶茶;
一个人走进一家酒吧,要了一杯美国啤酒,一杯德国啤酒,一杯比利时啤酒,一杯青岛啤酒
……(以下省略N个沙雕要酒法)
最后酒吧炸了。
这就是说,软件设计中最大的现实是:设计难以完全覆盖现实。对应到业务层面,技术和数据可能难以覆盖所有业务场景。
Kevin举了个例子,有些企业在自己的安全运营中心(SOC)中可能会关注来自不同系统的数据源,看到一系列安全事件,里面会有敏感信息。这时候怎样识别这些安全事件哪些对企业业务发展影响更重要呢?
比如对一个生物制药公司,数据完整性比数据精密性更加重要;对大型制造业公司来说,数据可用性更加重要;而对诸如银行、医院等需要数据驱动的领域,数据的机密性更加重要。
所以对每个企业安全负责人来讲,必须要了解企业的业务方向和战略,这样才知道保护的数据哪方面属性更重要。进而把企业安全和业务关联在一起,不仅是一个技术层面的技术决定。也能使资金投入更加明智,避免在某个领域花钱过多或过少。
总之对于安全业务来说,要从开始着手,而不是零敲碎打,东修西补。
雷锋网宅客频道(微信公众号:letshome),专注先锋科技,讲述黑客背后的故事。