史经伟:企业安全演进实践之路
2019-08-28
五六年前,那个时候只有一个人专职做安全。计算机都是(英)会选择防病毒软件。这些活很琐碎,占据了这个人几乎所有工作,后来又来一个人负责边界防御,也是理所当然的,办公笔记本、办公终端、服务器终端都做了防病毒控制,根据预控做了同步管理。接下来到很传统的边界防御过程中,做安全的人都知道防火墙、IPS、IBS逐渐出现网络安全的事儿。
对于券商来说,有一个比较多的工作量,营业部联合总部,光是介绍都会觉得活非常多,两个人占据了所有的工作量。后来又来一个人做安全审计,为什么专门把安全审计放在第三个位置?领导觉得外部(音)的审计、内部的审计、机关审计部的审计工作量越来越多。这个活谁来干?放到安全审计里陪同他们做这件事,还有对IT内部做审计这件事。
再往下才有了应用安全,应用安全这块是来做的事。之所以写应用安全,但是没有说SDL,大家如果做过SDL知道这张图是SDL图。为什么写应用安全?可以裁减的一定要裁减。SDL实现应用安全没有错,实现应用安全要全部上,业界实现SDL,这件事对公司来说是裁减的事情,裁减完之后再回来落地,我们是需要控制住几个关键的点。安全审计、安全评估、上线前的测试,再通过流程做控制,这几个点控制之后,即使没有整体去过SDL这件事,没有建大平台做SDL这件事,但是应用安全建立了全生命周期管控的方式。
现在团队大概5个人左右,这个时候初步建立起PC的闭环,才有了持续改进的方式,去囊括网络终端应用等等几个层面,才会去从整体的安全建设方面去考虑事情。这个时候问题紧接着而来,这个活基本上是以单位为主,人负责领域。这个时候这么多的设备产生告警该怎么做?每一个设备都要去盯着它。现在的量是非常大的,一亿三千万条的安全相关认证,150次年均安全评估,上线之后在我们这儿过流程跟基线碰一下,50+次的上线代码审计测试。这么多的工作量5个人干嘛?考虑到集中运营、统一管理的方式去做。
最终解决方案是通过“3+1”方式。3是指3个平台,1是指1套流程。大概看一下3和1分别有什么东西。
首先,两个平台关注程度比较高:一个是安全运营平台、一个是本地威胁情报平台。安全运营平台从网络终端接收日志、告警流量。本地威胁情报是做内部情报和购买外部情报员做外部情报。这两个是双轮驱动的方式。同时,安全运营平台和本地威胁情报平台是互为驱动的方式,安全运营平台可以产生聚合的情报吐给本地威胁情报平台,本地威胁情报平台作为安全平台的重要支持,接下来进一步看怎么处理。
办公终端、服务终端、网络,不管是设备、硬件、软件,提供自己的资产信息给安全运营平台,安全运营平台接收本地威胁情报作为情报赋能,把这两块东西做融合,产生的东西做安全编排。目前是跟防火类的设备做自动化空间。本地威胁平台是从外部和内部两个方式接收情报,外部情报员采用的是3+的方式,如果情报之间有相互冲突,以多数为主。安全运营平台正在打造成为安全工作的唯一入口,需要干什么工作都从这上面。
这套流程是刚才前面讲过运营安全的流程,大家都很熟悉这个模型,是传统的V字型的软件开发生命周期模型。对于现在经常讲的(英),本质上是这个模型的缩写、精简以及环节的减少。对于整体的流程来说,现在采取在关键点去做控制的方式,而非整体做SCO这件事,SCO对于我们太重,所以选择可裁减的方式做。
目前在做的是需求分析的做安全评审,项目向安全评审流程,不经过过流程立项立不起来。我们发现有一些厂商实现了自动化方式,点选功能就能够出现安全机器人,这个功能非常好。在往后走代码审计安全测试,通过应用系统上线流程和升级包的升级流程做控制。什么意思?自己做代码审计、自己做安全测试,我们提供平台和服务,做完把它改了之后放到上线流程和升级包的升级流程里,带着已经修复问题的报告放到流程里,审核通过没有问题上线。
ITGRC的平台,承接前面刚才讲过的IT审计主要工作。从三个方面去做:策略管理、审计管理和风险值。策略管理跟下面的设备、终端去做具体策略的收集、指标汇聚,审计管理是流程方面的东西,谁要去填东西,谁要去审批。最后风险值通过几个指标去做展现。
整体“3+1”的流程是这样的,ITGRC平台作为刚才讲过的两个平台加一套流程的审计,全程审计。ITGRC作为持续改进非常重要的点推动刚才讲的安全运营平台、本地威胁情报平台,这一套流程的推动不断优化。
最近刚刚改过上线的(英)证券基金信息技术管理办法要求重大变更和重大的系统上线工作需要提交相关报告才能做,必须把刚才讲过证监会要求报告放到流程里才能通过。通过流程控制,而非简单通过技术,这是一种传统的技术,通过流程做控制是一件硬性的事情,必须做,而且介绍工作量。你要带着已经修复好的问题,到我这儿来才可以通过。
刚才讲过“2+1”、“3+1”平台之后有了初步的PPDR模型,通过情报做预测的功能和安全运营平台做快速响应方式。安全运营平台在做进一步优化,每一个安全告警希望通过页面点选方式后面确认与否和怎么处理的标准化模板。安全运营平台通过入口更重要,包括预测、预判和全流程过程。
前面用1—5个人方式展现团队成员的情况,2016年做基础建设,纵深防御体系建设,建立安全防护体系,2017年初步建立安全运营体系,搭建安全运营中心提升事件响应和发现的能力,对信息文件做了可量化的处理。2019年,也就是今年主要做深耕安全运营中心能力,并且给它威胁情报赋能。到2020年,希望进一步提供加强自主可控方面的能力,能够组建自有的专业服务团队,根据公司的实际情况提供服务,安全组件提供可以让他们很快嵌入自己研发流程里的安全模块,实现安全器服务方式。
在后面还会讲其他的,正好匹配到第一点。刚才讲到了团队一共有五个人,各种原因有五六个是来回。如果没有这五个人能做更多的事情吗?当然是不能。从自己运营工作当中每个人工作量非常的饱满,来一个人要承担起条线工作的情况。未来还会对安全运营中心做进一步的深耕细化,安全日志、安全的告警事件都是通过规则的方式来做的,今后计划通过机器学习非规则、没有明显特征的方式模型去发现更深层次的事件。这个时候需要招更多的人,这件事也跟领导的关注有很大的关系。在甲方交流群里经常看到有一些交流如何向领导要资源的事,有些方法论,企业话述什么的。
业界最佳实践好不好?当然好,是不是公司是另外的一件事。流程与技术并用,公司流程是明确的,技术对公司来讲,主要是承担相互管理的职能。这些技术自己没办法亲自上手去做,流程就变得非常的重要,这是硬性话题,去做具体把控这样的事。
早接触、早启动跟中信建投领导管理有很大的关系,早接触、早启动,不要市面上有了成熟的方案再去做。刚才讲到证券信息管理办法提到安全值,业界还没有全流程、全生命周期的解决方案,已经摆到领导案头很长时间了,希望通过技术解决或者方法论有没有新的可以完善的,而不是仅仅通过关键词扫描的简单方式。
举个存量盘活的例子,现在已经上了很多的设备和方法发现公司的资产,有些厂商不同的产品通过互联网扫描、CNBB(音)方式配置去做。上那么多工具没有用好,为什么没有用好?领导一直跟我们在推动的事情,存量工具、存量的方法要用起来。
目前业界对于安全服务、咨询服务提供的时候,我所接触到的是通用的咨询方法、解决方法,针对证券行业有没有针对性的解决方案?很少。刚才讲到《证券信息技术管理办法》里边一共有60条,每一条都是自己解读。业界有没有帮我们解读?到目前为止还没有接触到,这件事是自己在做。具体到每一条而言问到谁要拆开,结合公司自己的特点想一个能够落地的方案,所以我在这儿提到的是如果有友商或者是服务公司能够提供有金融特性的服务对我们帮助非常大。解读监管的文或者是监管要求的时候,需要拿出业界的方案跟公司现状做结合。如果业界方案这块有针对性,拿来就可以,这件事对我们都是共同成长的机会。