这本是一篇北京恒安永通科技和关注网络安全管理的CIO/CSO/CEO们交流的内部文章,因为有越来越多的媒体也开始关注并深入洞察到网络安全管理市场的增长和困惑,就释放出来,以抛砖引玉,引发大家的对网络安全管理战略和策略的深度思考。
第1问,CSO为什么纷纷阵亡“安全门”?
在这个行当做了几年的CSO们,可能都知道网络安全是费力不讨好的活。AOL,美国退伍军人事务管理部和美国俄亥俄州大学的信息高管,都曾经因为网络安全事故而“下课”。近日,美国国土安全部计算机紧急响应组的头头Mischel Kwon从奥巴马政府中辞职,她是5年来第四位从计算机紧急响应组领导岗位退职的人士。
今年3月份,国家数字安全中心的主管Rod Beckstrom也告老还乡。他在自己的辞职信中抱怨称国家安全部门对国家数字安全中心提供的资金不足,而且还对其工作过度干涉。“这活儿太累了!”
而国内,许多CSO也深有体会,网络安全管理权限不大,但一出点屁大的事情,就要自己背黑锅救火,实在是个烫手的山芋。
为什么会这样呢?这要认清当前网络安全管理的形势。
形势之一,网络犯罪市场化、集团化
如果说前几年的网络黑客还是单兵作战,权作饭后消遣的话,则随着互联网用户资料与数据的积累与升值,越来越多的网络犯罪也逐步集团化、市场化,开始进行有组织、有纪律、有有预谋的攻击行动,这正是“流氓不可怕,就怕流氓有文化”。
形势之二,网络安全投入空心化、滞后化
网络犯罪团伙从游击战变成了阵地战,防御小组却踏步不前,不论从硬件、软件、人员、机制、知识上都相对滞后,因此,安全形势正在发生逆转,攻防的强弱均衡正在被打破,且攻方日渐占领主动,而领导往往由于“轻敌”或者“畏敌”,要么到出大事了再慌忙补救,要么干脆“鸵鸟政策”,因噎废食。
总而言之,在黑客水平和人数、组织性均有大幅提升的情况下,网络安全管理已经成为一场易攻难守、风险损失暴增的持续战,如果不能够扭转敌强我弱的趋势,则失败无可避免。
第2问,谁该为网络安全负责?
战争的目的是消灭战争。既然网络安全是企业和机构无法逃避的威胁,那么,就要正确面对,就要去亮剑,然而,一个错误的做法是,网络安全往往成为了CSO或者信息部门一个人的战斗。
Ponemon公司组织的调查表明,在谁该为网络安全负责这个事情上,CEO和CIO的认知充满矛盾。有53%的CEO认为CIO(首席信息官)应负责数据保护工作,而只有25%的下级高管持有同样的意见。
在中国,同样,许多领导和普通员工对网络安全的认知仍然处于小学生水平,也就天真的以为,网络安全交给CSO/CIO就可以高枕无忧了。许多领导分辨不清十分明显的邮件钓鱼程序,直到系统速度变慢或者崩溃,才气急败坏的打电话:“老李啊,我这笔记本怎么才用几天又不行了?”
所以,CSO应该让CEO和所有员工明白,防御战不是搞暗杀,派一支小分队就可以搞定的事情,需要全员皆兵,打一场持久战。这就同防病毒一样,你总不能指望一个卫生部长,对全国13亿人民的健康负责吧?
第3问,CSO需要什么样的资源?
我们曾经接触过一家迷你企业,其负责人谈到网站安全,就是一个头三个大,但我们一看,居然连个像样的硬件防火墙都没有,要他增加投入,他却含糊其辞,指望着通过什么打补丁,安装软件防火墙就可以搞定,结果其网站仍然是三天两头被黑/被挂马。
与缺资金相比,CSO可能更缺的是人。
在许多组织内部,人的编制是固定而不变的。因此,几乎就没有专人去负责网络安全。对于一个生产食品的传统企业来说,在被黑之前还无伤大雅,但对于一家网络游戏企业来说,则无异于自 杀。
虽然说“巧妇难为无米之炊”,但这个话说起来容易做起来难。CEO需要给CSO必须的弹药/粮草才能打好。那么,CSO需要什么样的资源呢?
不妨将网络安全看作一次守城战斗,通常的做法是,首先建立城墙,把城内与外界分割开来,阻断其与外界的所有联系,然后再修建几座城门,作为进出的检查关卡,监控进出的所有人员与车辆,是安全的第一种方法,这就是防火墙和UTM(Threat Management))设备(多重网关)应用原则。
为了防止入侵者的偷袭,再在外部挖出一条护城河,让敌人的行动暴露在宽阔的、可看见的空间里,为了通行,在河上架起吊桥,把路的使用主动权把握在自己的手中,控制通路的关闭时间是安全的第二种方法。这就是网闸的原型,其思想和白名单有类似之处,只允许好人通过,防火墙不允许坏人通过,两个思路刚好相反且互相补充。
对于已经悄悄混进城的“危险分子”,要在城内建立有效的安全监控体系,比如人人都有身份证、大街小巷的摄像监控网络、街道的安全联防组织,每个公民都是一名安全巡视员,只要入侵者稍有异样行为,就会被立即揪住,这是安全的第三种方法。这就是数据交换网技术/IAM(Identity and Access Management,身份识别与访问控制)和SIM(security information management安全信息管理)/SEM(security event management安全事件管理)/ SIEM/GEM(global event management全局事件管理)的原型。
总之,CSO必须争取到资金/设备/人员的全面支持,才能构架一个包含威胁管理/身份识别与访问控制/安全检测与报警为一体的安全环境,在中国,重硬轻软是通病,需要加强的恰恰是人员/机制/软件等软性因素。
第4问,怎么解决人才短缺问题?
打防御战,最为难得的是以弱胜强,“太原之战”李光弼以1万胜10万,“空城计”诸葛亮以两三小卒退司马懿15万大军,都堪称典范。
如果CSO能够得到全力支持,则在人才水平不够的问题上,可以通过挖角甚至招安来解决,在人才数量不够的情况下,可以通过招募来解决。
但现实的情况下,公司的董事会那帮人对于腐败的事情可以睁眼闭眼,但对增加安全人员编制的提案却往往用缓兵之计,CSO该如何是好?
部分CSO也采用了“空城计”,比如,在外网上,只放静态信息而没有任何动态信息。让黑客觉得没有攻击价值就懒得攻。这个策略在前几年还可以奏效,但现在,由于挂马的流行,空城也变得有价值起来,这条计谋已经难以再次应用。
而反观“太原之战”,李光弼以1万胜10万,则与其善用挖地道的“工兵”举措休戚相关。当对方主将还稳坐中军帐,准备接受对手的投降时,却突然地面塌陷,整个1000多人全部沉入地下,军队大乱,7万人溃败。这就是人才培训与流程或制度优化的重要所在。
总而言之,CSO在平时就要注重网络安全人才的培训(包括知识普及)和建立一套行之有效的流程与制度,从而可以最大化发挥既有设备/人员的优势,核心在于让黑客攻击成本/时间增加,我方防御成本/时间降低。
第5问,为什么需要GEM?
正如城墙和吊桥只能挡住敌人的大部队一样,防火墙/杀毒软件也对有高超伪装能力的黑客束手无策。这也是为什么思科CSO大骂“安漏洞补丁杀毒软件浪费金钱”的原因。
除了应用网闸/白名单外,每个CSO都应该加强网络安全监测,由此才能真正做到知己知彼,变被动为主动,让敌人从暗处走到明处,扭转不利的局面。
在这个背景下,SIM/SEM/SIEM/SOC等应运而生。我们可以将它们看作一个安全总控台,可以收集所有安全设备发出的信息,从而为中心的安全监测提供帮助。只不过,SIM是提供所有的信息,偏重历史信息归纳,SEM提供特定安全事件的信息,实时性能有所加强,SIEM是两者的融合,SOC(Security Operation Center安全运营中心)则有些外包化的倾向。
GEM(Global event management全局事件管理)可以看作是SIEM中最先进的技术,是赛诺朗基TM提供一个可以最大化加强既有资源利用率的平台。SIM和SEM的分野,其实从某种意义上来说,依然是信息加工能力不足的结果,使得只能令SIM侧重历史信息归纳,而SEM侧重实时事件的监测。
“凡走过,必留痕迹”,“再狡猾的狐狸,也会露出尾巴”,事实上,只要信息加工能力足够强大,SIM和SEM便可以自然融合,这也是GEM对CSO们有价值的地方之一,既可以分析过往历史信息,也可以对全局事件进行实时监控,并可以在极短的时间内完成关联分析。从而令守护者不是每批都是新人,而是新老结合,想像一下重案组在海关抓捕的镜头吧,“伙计,怎么又是你?假发也太老套了吧,还不换一个?”
而GEM解决的另外一个大问题,就是对异构信息数据库的依赖,不同的设备提供的报告形式有很大差异,多数通过数据库连接的尝试都以效率低下而告终,而GEM通过独有的“无需数据库”技术,可以令分析摆脱了对设备的依赖。简化了应用,降低了成本,缩短的时间,即便是成G的日志信息,也可以在合理的时间完成整合与分析,从而不必给CSO增加麻烦。
最后,GEM可以让既有设备的利用率最大化。防火墙、网闸、AV这些工具有很多功能开关。但遗憾的是,复杂到让人都不会用,正如老爸老妈多半不会用电视机的TV/AV切换功能一样,而GEM通过事件特征,可以在某种条件下开启这些设备的开关,从而可以让既有的设备将全部的威力发挥出来,这其实就是做好一个帮CEO省钱CSO的终极秘密。
第6问,如何分步实施?
其实,这个问题我们在第3问中已经探讨过。
多数企业构建安全平台遵循着下面3个阶段,
第一阶段,筑墙,也就是部署硬件防火墙、多重防护网关,这个大多数中国企业都已经做到。
第二阶段,设闸,也就是部署网闸、白名单等。部分中国企业已经做到。
第三阶段,监测与审计,也就是部署SIEM、GEM等。一部分先进企业已经开始实施,由于中国版萨班尼斯-奥克斯利法案(下称“萨班斯法案”)”———《企业内部控制基本规范》萨班斯法案的推进(2009年7月1日执行),越来越多的中国上市公司也开始重视信息安全和监测审计。
需要注意的是,CSO们往往冲动式的希望一步到位,然而,在资源配备不充足的情况下,这往往还是浮躁心态的体现,“牢骚太盛防肠断,风物长宜放眼量。”,CSO们需要这样的意境。
第7问,网络安全的量化标准是什么?
若用被黑率、被穿墙率等指标来考核,那基本上CSO是肯定要挂的。你只能控制自己,控制不了黑客啊。所以硬要CSO为结果负责,那是不可能的,但一个比较人性的做法,是为流程负责,比如补丁及时率、漏洞修复率、ID符合率、当机时间等,这些通过一些监测或者审计的工具都能够完成。
但需要注意的是,CSO们不要陷入到数字的旋窝中去,比如三鹿的蛋白质含量这一单一考核指标,虽然显得很数字化,但最终结果还是吃死了人。
在这里,除了我们可以用GEM获得一些报告外,我们也不妨采取一些安全问卷来获得人们的主观认知,调查下员工和CEO,他们觉得自己的安全知识增加了吗?他们觉得公司的安全环境有改善吗?
终于将CSO七问写完。可能还有很多不足之处,也有许多肤浅的看法。北京恒安永通科技作为“赛诺朗基TM”的中国总代理,也愿意和各位CSO/CIO/CEO一道,探讨如何构建一个安全的网络环境。恐惧大多数来源于对未来的无知。而我们相信,通过对信息的全面掌控,则可以让我们从中发现规律所在。毛主席曾经指出,消极防御是无用的,只有在运动中知己知彼,才能实施主动防御或者说进攻防御。网络安全信息的收集和审计,正是我们走向主动的必经之路。
用户评论