一、安全与业务的关系
二、互联网企业安全建设整体思路
三、互联网企业面临安全风险与影响
四、互联网企业核心安全目标
五、互联网企业核心安全能力建设
六、互联网企业安全蓝图
七、互联网企业安全整体视角
八、如何落地实施
九、分阶段安全体系建设
十、做好安全建设的必要条件
十一、如何衡量安全建设的效果
十二、安全漏洞管理平台建设实践
十三、写在最后
受整个大环境的影响,无论国家还是行业层面,现在都开始逐渐关注和重视安全问题。很多互联网企业也都在招聘安全负责人和组建安全团队。越来越多的安全人员开始进入到企业安全领域。一个企业的安全建设该怎么做?思路是什么?安全的价值如何体现?如何从零开始构建一套相对完善和成熟的企业安全体系?如何衡量企业安全建设的效果?等等这些都是企业安全负责人面临的现实问题和挑战,下面我们来共同探讨下以上这些话题。
安全对企业来讲很重要,这一点毋庸置疑。但如何给不懂安全的高层讲清楚安全的价值以及安全与业务的关系呢?如果我们直接用专业术语来给对方讲,很大几率他们是听不懂的,效果自然也不会太好。这时就需要转变思路,和对方站在同一维度去考虑问题,用对方可以听懂的语言把安全与业务的关系描述清楚。
如果从业务视角出发,一个企业安全的好坏可能会对公司运营与业务发展、商业竞争、品牌形象、安全合规与法律风险这几个方面产生影响。如果一个企业安全做的不好,那么就无力应对日趋复杂的网络攻击,在攻防对抗中处于被动地位,这样就会制约公司业务的正常运营和发展,到一定程度可能会成为公司发展瓶颈。安全建设和水平落后于竞争对手,在商业竞争中就会处于被动地位。安全问题频发,就会影响公司品牌形象,用户没有安全感,从而造成用户投诉和流失,这样就会带来直接和间接的经济损失。现在安全合规的趋势是越来越严格,信息安全的法律也在不断完善,如果企业在这方面做的不到位将会面临重大安全风险。相反,如果企业安全做的好的话,将会在以上这几方面产生积极和正面的影响,进一步保障和促进公司的发展。如果从以上这几方面来切入,再加上一些公司自身和行业的案例,会更容易让人理解和有说服力。
这里说的安全要跑在业务前面,并不是说安全上投入的钱要多于业务。而是说要有战略眼光,在业务快速发展前提前布局和考虑可能的安全风险,安全提前介入,这样就会更加主动和可以更好的保障和促进业务的发展;如果业务与安全同步发展,基本是一个勉强保障和支撑业务发展的状态;如果安全落后于发展业务,那么问题也就很明显了,企业在安全上会完全处于被动地位,到一定程度一定会成为公司业务发展的瓶颈,甚至决定公司的生死。比如前几天一个做区块链的公司就因为黑客攻击事件宣布关闭。
互联网企业安全建设有一个基本原则,那就是目标导向,要对结果和效果负责。基于这一原则,安全建设要围绕企业核心业务、核心数据和核心资产展开。首先挖掘安全需求和明确安全目标,然后根据设定的安全目标进行分阶段的安全体系规划和建设。但是光有体系还不成,安全是一个动态的过程,所以还需要通过持续的安全运营来发现问题,不断完善和进化,达到逐步提升安全能力的目的。
挖掘安全需求:
在挖掘安全需求这个阶段需要搞清楚两个事情:1、知晓企业目前和未来面临的安全威胁来自哪儿,安全风险和挑战是什么?现有安全能力是什么样的;2、理解公司高层对安全的期望和诉求,这样可以保证大的安全方向不会出问题;
明确安全目标:
在设定安全目标时一定要合理、清晰、量化和可衡量,区分长、中、短期目标,对于目标的理解和需要投入的资源达成一致,这一点非常重要;
安全规划、体系建设:
安全体系中包含的内容非常多,所以我们在建设过程中一定要区分事情的紧急度和优先级,什么阶段做什么事情。而且需要获得高层的支持,否则很多事情是很难推动落地的。
安全运营:
安全运营是一个持续的过程,也是一种不断发现问题和总结经验的过程。
持续优化和完善:
最后通过持续优化和完善将安全建设形成一个完整闭环,实现良性循环。
在谈安全建设前,我们先来分析下互联网企业面临的安全风险以及这些风险可能造成的影响和引发的后果有哪些。可以从数据安全、业务安全、基础安全、人员安全、安全合规与法律风险五个方面来分析。其他几个方面都比较容易理解,不再多说。为什么要把人员安全单独列出来呢?因为人是整个安全体系最为薄弱、也是最不可控的环节。业界很多著名的安全事件都是因为人员安全意识薄弱导致的,所以我们要对这块给予足够的重视。尤其是人员规模大、变化快的企业更是如此。
以上这些安全风险可能会导致企业大量敏感数据泄露、业务中断、系统稳定性和可用性受到影响,严重的还会成为PR事件,公司声誉、品牌受损,公信力下降,从而造成用户投诉和流失,带来直接或间接经济损失,公司市值下降,IPO受影响。不合规导致被网安、监控机构处罚,或无法正常开展业务以及与外部合作受阻等。
企业面临的安全挑战和风险分析清楚后,现在到了树立目标解决问题的时刻。虽然由于每个企业所处的发展阶段、业务特性和所属行业的不同,会导致每个企业的具体安全需求、目标的侧重点有所区别。比如同样是讲数据安全,电商和教育公司对于要保护的数据内容和关注点是有明显差异的。但是对于安全目标有很多地方是一致的,一起来看下:
要实现以上安全目标,就需要企业安全团队具备相应的安全能力。通过提炼总结,我认为一个企业安全团队应当具备五大核心安全能力:
安全风险主动发现与处置能力
具备主流安全风险(数据、业务、漏洞)主动发现、修复方案提供和修复推动能力
安全态势感知和响应能力
具备主流网络攻击、明显异常行为的主动发现和快速应急响应能力
安全自动化、工程化能力
自动化安全工具、系统及平台的设计、研发能力
安全体系建设与运营能力
安全是一个整体,同时也是一个动态和持续的过程,这就要求企业安全团队具备体系化安全建设思维、视野和格局和持续安全运营能力
持续的安全研究和学习能力
业界会不断出现新的漏洞、新的威胁、新的攻击手法,具备应对新攻击、威胁、漏洞的能力也至关重要
一个企业的安全未来会做成什么样子?这就需要一张安全蓝图来描述和表达,然后朝着这个方向和目标不断努力,最终实现目标。
首先,从顶层安全设计说起,一个企业要有统一和明确的安全战略规划,并定期review,保证安全建设不偏离大方向;其次,要有合理、高效的安全组织架构,把安全团队放到合理的位置,这样才能更好的发挥安全团队的价值;通过持续的安全投入和制定明确合理的安全考核与激励机制,调动安全团队的积极性和触进安全团队的良性发展。最终建立一套相对完善和契合企业自身业务特性的安全体系。但是光有体系还不够,还需要通过持续的安全运营来保障整个体系有效运行。所有这些工作最终都需要有人来完成,所以要实现以上目标,还需要一只专业安全团队加上与之匹配的专业安全能力。如果光有规划,没有人或者能力不足以支撑目标的实现,那么再好的规划也只是空中楼阁。反之也是一样,如果有人,能力也很强,但是没有正确的方向指引和明确的目标,最终也只能沦为救火队员,成为不了一流的安全团队。
前面我们说到安全是一个整体,并且整个安全体系中包含的内容非常多和杂。我尝试从企业安全整体视角做了梳理,一起来看下企业安全都主要包含哪些方面和内容:
现在安全目标已明确,规划也有了。还有一个至关重要的问题没有解决,那就是如何将安全规划落地,并且变成一件可跟踪和量化的事情?这是一件非常有挑战,也是一件可以真正积累安全实践经验的事情。我的思路和建议是把整个安全规划中的内容先列出来,把一个大安全目标分解成多个小安全目标,然后列出打算如何实现这些安全目标,哪些安全产品打算自研,哪些需要和第三方安全厂商合作,最终依据企业目前的安全现状、现有资源以及项目优先级进行排期和实施,并定期跟进这些项目的进度,及时解决、改进整个过程中存在的问题,最终目标是建立一个相对完善的企业安全体系。这部分内容非常多,有机会单独写出来。
从零开始建设一个完善的企业安全体系需要做的事情很多,这并不是一件一蹴而就的事情,而是一个分阶段逐步推进的过程,是一个系统化的工程。在这个过程中企业的安全能力会逐步得到提升。我个人认为,通常一个企业的安全建设需要经历以下几个阶段:
救火阶段
这是一个企业安全从无到有必须到经历的阶段,从字面上就可以看出这个阶段安全工作比较被动,安全人员很多时候是充当救火队员的角色。这个阶段工作的核心是解决目前企业遇到最严重、优先级最高的安全问题,在这个过程中要尽快熟悉公司的环境、业务、系统架构等。此外,这个阶段还有个不小的挑战就是如何找到合适的人才组建安全团队。
基础安全建设阶段
在经历救火阶段后,就要开始基础安全建设了。这个阶段的核心安全目标是解决安全规划中优先级最高的安全问题。这个过程会制定、实施一些基础的安全流程和规范,开发一些自动化的安全工具、系统,功能也许不是十分完善,但是可以满足目前的安全需求。还会在一些方面和第三方安全厂商合作,通过购买一些安全产品或服务来提升企业自身安全水平。比如像定期渗透测试、安全众测、抗D、堡垒机、防火墙这类基础安全服务和设备。
保障核心业务和数据安全阶段
这个阶段以保障核心业务和数据安全为核心安全目标。这是由客观条件决定的。举个例子:一个大、中型互联网公司都会有多条业务线,每条业务线又会有多个业务系统,而且这些业务线可能会分布在多个不同的部门,由不同的人负责。如果一上来就想在所有业务线推广严格的SDL流程,很大机率会失败。因为这个阶段安全团队的人不会很多,并没有足够的精力和资源去做覆盖所有业务线的事情。比较明智的做法是先从核心业务系统切入,待整个流程跑通、理顺后再向其他业务线推广。
保障公司整体安全
发展到这个阶段,安全团队已经具有一定规模,各种安全角色也基本到位。也有了很多的安全系统、平台,具备一定的安全自动化能力。所以这个阶段的主要目标是把已有的安全系统、平台进行进一步整合,打磨,进而可以进行高度的联动和关联分析,从而达到更好的掌控公司整体安全态势的目标。有精力还可以将现有安全系统、平台产品化,为下一步对外输出安全能力做好准备。
对外输出安全能力
这个阶段只有当公司体量、业务和安全团队发展的足够大时,才可能有机会做这样的事情。所以这里不作过多讨论。
上面说了这么多,其实一个企业的安全能否做好、做强,做大,并非是一个简单的技术问题,而是由多种因素综合决定的。除了安全对企业业务发展的影响度、安全负责人的综合能力和视野、契合企业自身业务特性的安全建设规划、持续的安全投入和专业安全团队外,公司高层是否拥有正确的安全观和给予大力支持也至关重要。
正确的安全观:
安全是相对的。互联网企业安全绝不是做一次渗透测试、找安全公司提供个安全解决方案或者购买一些安全产品及安全服务就可以搞定的事情。安全是一个整体,同时也是一个动态和持续的过程,这就要求公司要有持续的安全投入。此外,安全也不只是安全部门的事,还需要全员的参加和高层的大力支持,否则很多安全规划很难真正落地实施。
如何衡量企业安全建设的效果和量化安全工作,是一件非常难的事情。我想这也是很多企业安全负责人面临的难题和挑战。我也面临这种困惑,在这里分享一些我个人的思考和看法。
要评价一个企业安全建设的效果,或者说好坏,我认为应该以企业设定的安全目标和TCO、ROI为基本前提,从安全组织、安全能力、安全体系、安全运营、安全意识这五个方面来展开评价,每个方面可以设定一些核心的评价指标来衡量,下面来一起看下:
安全组织
评价对象:公司高层、安全负责人
评价指标(参考):1、安全团队规模;2、团队角色构成和分布;3、部门层级;4、安全负责人的职级和汇报对象
通过以上几个指标基本可以判断出一家企业高层对于安全的理解和认知水平,是真正重视安全还是口头重视。
安全能力
评价对象:安全团队
评价指标(参考):1、安全风险主动发现和处置能力;2、安全态势感知和响应能力;3、安全自动化、工程化能力;4、安全体系建设、运营能力;5、持续的安全研究和学习能力
安全体系
评价对象:安全团队
评价指标(参考):1、安全体系的合理性和完整性
安全运营
评价对象:安全团队
评价指标(参考):1、是否实现持续运营;2、是否设定运营指标及指标是否合理、明确;3、运营指标是否可量化和可视化;4、运营指标设定和实现粒度;5、是否有运营指标考核标准及标准是否落地执行
安全意识
评价对象:公司全员
评价指标(参考):1、知晓和理解公司对其在信息安全方面的职责和义务要求员工数占比;2、单位时间内因人员安全意识薄弱导致安全事件和安全违规事件数量和占比
上面主要介绍了企业安全建设规划相关内容,下面我会从技术、管理和运营三个层面来分享一些VIPKID在安全漏洞管理方面的实践和经验。
技术层面
在技术层面,我们自研了VK安全漏洞管理平台,该平台负责管理公司所有安全漏洞,实现了漏洞全生命周期的线上跟踪与处理,保障漏洞处理流程的可跟踪、维护和高效执行,可视化、量化漏洞风险,支撑漏洞管理和运营工作的开展,将企业的漏洞和安全经验有效积累和沉淀下来,形成企业自己的安全知识库;
管理层面
在管理层面制定和实施了”VK安全漏洞管理制度”和”VK安全接口人制度”;通过这两个安全管理制度定义和明确了漏洞整体处理流程、漏洞等级评估依据、漏洞修复时长和对应的安全接口人等;
运营层面
在运营层面,定义和明确漏洞运营指标、采取专人负责,从多个维度实现漏洞风险的量化和可视化,通过持续的漏洞运营使整个漏洞处理流程形成闭环。
VIPKID安全漏洞管理平台基于漏洞全生命周期建立,整个漏洞修复流程过程可以分为五个阶段,在这过程中一旦漏洞状态发生变化,系统都会自动触发邮件提醒给相关方。
1、漏洞提交阶段:
当有新的安全漏洞产生,安全人员会通过漏洞管理平台的漏洞提交页面提交漏洞;
2、漏洞接收阶段:
对应安全接口人在收到新漏洞提醒邮件后,可以登录漏洞管理平台查看漏洞详情和进行漏洞修复排期评估工作。
3、漏洞修复阶段:
此时将进入漏洞修复阶段,安全接口人可以可根据实际情况确认是自己修复,还是指派给团队其他成员修复。
4、漏洞验证阶段:
当漏洞修复完成,由安全接口人在漏洞管理平台发起”验证申请”,这时系统会同步给漏洞提交人发送一份漏洞验证的提醒邮件。漏洞提交人在收到信息后进行漏洞验证,确认漏洞是否被正确修复。如果验证通过,漏洞提交人可以在漏洞管理平台点击”验证通过”按钮,这时漏洞会自动进入下一阶段;如果验证发现漏洞没有正确修复,可以点击”未验证通过”按钮,漏洞自动退回至第二阶段。
5、漏洞公开阶段:
到这个阶段,说明漏洞已经被正确修复,漏洞修复流程结束。这时会对内部人员开放,漏洞公开时,系统会同步给漏洞提交人、对应安全接口人发送漏洞公开的邮件提醒。
该平台共实现了五大核心功能,分别是资产管理、漏洞管理、漏洞态势、用户中心和安全知识库。
资产管理的核心功能包含资产的添加、编辑、删除、资产列表等功能,并实现了资产关联对应安全接口人、所属团队或业务线;漏洞管理功能模块除了实现漏洞修复流程全线上处理和状态跟踪外,还包含漏洞等级、来源、类型和漏洞提醒管理;漏洞态势功能从多个维度实现了漏洞态势的量化和可视化;用户中心分为角色管理、用户管理、权限管理和个人中心四部分;安全知识库支持记录和分享安全相关文章。
因为时间关系,我这里会介绍部分功能的设计细节,
漏洞提交功能:
为了保证每个安全人员提交漏洞报告格式保持一致和提升可读性,我们设计了统一的漏洞提交页面,在该页面通过系统限制必须填写漏洞标题、受影响系统、漏洞类型、漏洞等级、漏洞来源、漏洞描述、漏洞危害、漏洞详情以及漏洞修复方案。为了提升用户体验,还支持漏洞提交预览、快速定位受影响系统、上传图片和生成临时查看链接等功能。
漏洞编号功能:
当漏洞提交时,系统会自动生成一个惟一的漏洞编号和关联对应的安全接口人、漏洞修复时长和漏洞知识库链接。每个漏洞都会有一个惟一的漏洞编号,这个编号是经过特殊设计的,比如SEC-VD-201808-007,通过这个编号就可以得知当前漏洞是2018年8月份每7个漏洞。如果想要知道本月共有多少个安全漏洞,直接看最新的漏洞编号即可,非常的方便。
漏洞提醒功能:
为了提升安全人员漏洞修复跟进效率和降低成本,漏洞管理平台除了漏洞状态变化提醒功能外,还有一个漏洞延期提醒功能,系统会自动扫描所有待修复漏洞,当发现有延期漏洞时,会自动给漏洞提交人、对应安全接口人和其所在部门负责人发送漏洞延期修复提醒,由部门负责人来协调资源高优处理。这样就避免了安全人员人工去跟进,尤其是在漏洞数量多的时候,这个功能非常有用。
为了做到漏洞态势和风险的量化、可视化,我们会从漏洞数量、漏洞状态、类型、等级、来源分布、漏洞修复率以及安全人员发现漏洞数量等多个维度进行分析和监控,并通过合理的设计以图表的形式直观的展现出来。
整个漏洞管理平台分为五种角色,分别是安全专家、安全接口人、部门负责人、普通用户和管理员。通过给每个角色来授权进行统一的权限划分和管理。
安全专家:可以提交和管理和自己相关的安全漏洞;
安全接口人:可以查看和管理自己所负责业务系统的漏洞;
部门负责人:可以查看自己负责部门的所有漏洞;
普通用户:只允许查看已修复公开的漏洞;
管理员:拥有平台最高权限。在个人中心,各种角色都可以清晰的查看与自己相关漏洞的详情和对应的漏洞态势。
安全漏洞管理平台的价值:
通过该漏洞管理平台,我们实现了漏洞全生命周期的线上管控、做到了量化和可视化漏洞风险,通过对漏洞数据进行统计和分析,从而可以主动掌控公司整体的漏洞态势和弱点。最后将历史漏洞和安全经验积累和有效沉淀,形成公司的安全知识库,也可以在一定程度上为安全漏洞管理和运营工作提供方向和依据。
但是光有漏洞管理平台还不够,如果有平台但是大家都不用,那么平台的价值是体现不出来的。所以要想做好漏洞管理工作,需要通过技术、管理和运营三个层面共同协作,相互触进,缺一不可。通过管理手段来明确和规范漏洞修复处理流程与安全接口人职责;通过技术手段来实现和保障漏洞处理流程的高效和落地执行,以及量化和可视化漏洞风险,从技术维度支撑漏洞管理和运营工作的开展;最后通过持续的漏洞运营来使整个漏洞处理流程形成完整闭环和不断优化漏洞处理整体流程,最终实现持续提升漏洞管理水平和能力的目的。
互联网企业安全建设之路任重而道远,包含的内容实在是非常的多和广,绝非一篇文章、一次分享能够说的清楚。由于本人能力有限,文中肯定有一些不足之处,欢迎大家一起探讨,共同进步。
VIPKID安全部正在招聘数据安全、安全开发、安全治理、业务安全等各方向安全人才,具体职位信息可参考:
https://mp.weixin.qq.com/s/lfd8PmRT_Dz5Grw2sE6Kaw
如果你想加入我们,请发简历至[email protected],或联系我们SRC的运营同学。(注明来自安全脉搏)