要從開始著手����,總之對于平安業(yè)務來說。而不是零敲碎打�,東修西補。
不少人對這個職位感到好奇:為什么國內(nèi)很少聽到CSOCSIO"需要搞黑客技術(shù)嗎"如何做好一個企業(yè)平安負責人”企業(yè)平安團隊每天工作是不是就是抓黑客”CSO都需要具備什么能力�?
也是一個企業(yè)平安能力的映射集。曾有人為CSO劃定了基本能力要素:業(yè)務賦能�����、平安治理�����、風險管理��、平安技術(shù)����、平安管理、業(yè)務平安���、平安運營����、法律合規(guī)、調(diào)查取證���、平安審計�����、意識品牌�、資源管理���。這十二個因素被認為是CSO能力集�。
可惜理想與現(xiàn)實總有落差�。不少“天花板”整天關(guān)在辦公室,CSO能力決定了企業(yè)安檢機能力的天花板�。悶頭想方案,擼代碼�,甚至還有一個人的平安部,全公司平安運維都靠兩只手����。
這時候沒看到什么效果的老板開始滿意:業(yè)務業(yè)務業(yè)務!
包括編輯自己�。抱著這些疑問���,平安要和業(yè)務結(jié)合。但究竟如何結(jié)合��?多數(shù)人都雙眼迷茫�����。雷鋒網(wǎng)和PaloAltoNetwork派拓網(wǎng)絡)亞太區(qū)首席平安官 KevinOLeari聊了聊����。
經(jīng)歷
Kevin最早在歐洲從事信息平安相關(guān)工作�。
PaloAltoNetwork派拓網(wǎng)絡)亞太區(qū)首席平安官 KevinOLeari
期間呆過服務最終用戶的平安企業(yè),這位有二十多年平安從業(yè)經(jīng)歷的老兵“漂流”過不少地方�。也進過廠家,還曾在公共機構(gòu)��、私營企業(yè)及大型跨國公司當顧問�,近些年主要承當企業(yè)內(nèi)部CISO角色。
Kevin來到澳大利亞在HP惠普公司)bank做信息平安相關(guān)的咨詢工作�。2014-2015年間,2012年一個偶然的機會�����。擔任 HP亞太及日本區(qū)CISO
來到中國,通用電氣中國區(qū)(GEChina以及通用電氣旗下全球生長組織(GlobalGrowthOrganization,2015年�����。GGO擔任副總裁與CISO職位�。
來到PaloAltoNetwork派拓網(wǎng)絡)主要在新加坡服務南亞地區(qū)的企業(yè)和用戶。三年后����。
而解決之道化繁為簡就是兩招,這些年Kevin考慮最多的就是怎樣協(xié)助客戶把企業(yè)做得更加安全�����。一是技術(shù)融合����,二是提早預測。
雖然這是最主要的業(yè)務來源�。而是通過全面的技術(shù)融合,不是去說服客戶都要把自己企業(yè)平安向下一級防火墻進行遷移�。其中包括終端技術(shù)、移動互聯(lián)技術(shù)��,以及威脅情報感知等等。
需要有新的技術(shù)打通關(guān)節(jié)�,單點作戰(zhàn)時代已經(jīng)過去。將各個點的平安產(chǎn)品無縫對接�。此過程中,可以將一些已有技術(shù)進行并用升級����,提高效率。
對企業(yè)來說將技術(shù)組件組織成一個集中管理平臺更需要專業(yè)平安人才��,再好的車最后也要由人來開�����。但目前國內(nèi)現(xiàn)狀是基層專職平安工作人員和管理員極度匱乏����,造成企業(yè)技術(shù)融合無法推進����。
除此之外,這也是目前國內(nèi)技術(shù)和業(yè)務結(jié)合的普遍困境之一�。網(wǎng)安法合規(guī)性的壓力不只推動企業(yè)加大網(wǎng)絡平安投入力度,也給企業(yè)造成了新挑戰(zhàn)����。
由于諸多企業(yè)有跨國業(yè)務��,另外�。就需要防范來自各個地區(qū)新型威脅��,如何利用最新���、最快捷的威脅情報�����,保證企業(yè)業(yè)務平安����,這也是很多企業(yè)的挑戰(zhàn)��。
這些問題都可以提早防范���。當然��。
預測
作為CSO更應能預測敵人之后的攻擊方向���,所謂不打無準備之仗。及早安排防御。
Kevin告訴雷鋒網(wǎng)�,這些預測也要結(jié)合每個地區(qū)和國家特點。比方菲律賓的數(shù)據(jù)隱私維護相關(guān)工作是一個重點領(lǐng)域�����,印尼由于有很多制造企業(yè)�����,用戶上下游供應鏈平安問題比擬突出�。而在中國,Kevin做了五個方面的預測�����。
一�����、帶附件的商務郵件
全球有超過120億美元的損失源于商務郵件����。過去五年間�����。
攻擊者們玩起了Cosplai比方偽裝成合作伙伴或者內(nèi)部利益相關(guān)者對各類規(guī)模的企業(yè)進行攻擊??傊吮I賬號密碼這種簡單粗暴的手法��。對商務郵件的攻擊一直出現(xiàn)增長趨勢���,攻擊者使用的手段也愈加多元和復雜�,從偽裝成公司網(wǎng)址到鎖定員工個人社交賬號來發(fā)動攻擊�����。
可以躲開種種內(nèi)部檢查���。更牛X這些攻擊越來越神鬼不知��。
一旦有人入侵按鍵后整車都進行銷毀���。當然這不現(xiàn)實,如果一輛車有自毀按鍵���。但在電子郵箱中是否可以加入這種技術(shù)呢�����?未嘗不可����。除此之外,Kevin也建議企業(yè)選用一些機器學習技術(shù)����,雙因子或多因子認證及生物識別技術(shù)對企業(yè)郵箱進行維護。
二����、供應鏈安全問題
促進了全球性互聯(lián)互通供應鏈的發(fā)展,數(shù)字時代消除了限制���。使得企業(yè)可以很方便地發(fā)掘全球供應商及外包服務�。這種連接也包括數(shù)據(jù)與網(wǎng)絡的共享�����,一方面企業(yè)通過這種連接和分析功能大大提高了效率����,另一方面這也給那些伺機而動的攻擊者尋找現(xiàn)有網(wǎng)絡平安漏洞大開了方便之門。
比方核磁共振成像(MRI和X光機等醫(yī)療設備接入醫(yī)院內(nèi)部網(wǎng)絡與第三方網(wǎng)絡相連���,這種風險尤其表示在醫(yī)療領(lǐng)域�����。這就為更多新型攻擊面和漏洞提供了機會�,而這些醫(yī)院系統(tǒng)往往無法控制��。
要看清網(wǎng)絡間的互聯(lián)關(guān)系����,這里要提到概念是'零信任'就是即使對企業(yè)內(nèi)部網(wǎng)絡也不應該完全信任。內(nèi)網(wǎng)交易也不能完全信任��,要用'零信任'概念來設計自己的平安架構(gòu)�。
首席平安官要對網(wǎng)絡流量嚴密監(jiān)測,換個說法��。確保敏感信息與外部設備和系統(tǒng)隔離���。一旦多個未經(jīng)保護的設備與公司網(wǎng)絡相連接�����,比方物聯(lián)網(wǎng)(IoT短時間內(nèi)就會成為“有威脅的互聯(lián)網(wǎng)”
登錄默認設置一定要修改��。如果網(wǎng)絡中裝置有第三方系統(tǒng)或設備���,這就要求企業(yè)確保固件和應用實時更新�。一定要采用零信任模式�����,將全部流量置于特定區(qū)域���,對其進行檢測和區(qū)分�,只允許授權(quán)用戶和應用與其通訊���。
三�����、數(shù)據(jù)平安問題
而2019年相關(guān)事件只高不低�����。2018年國內(nèi)數(shù)據(jù)泄露事件風起云涌�����。
四��、云安全問題
局部原因是因為有了云計算����。云計算可以協(xié)助企業(yè)無需在計算資源上面花費巨資便可交付產(chǎn)品和服務��,現(xiàn)在一個應用驅(qū)動的時代���。因此成為企業(yè)不可或缺的資源����。一方面���,云計算可以協(xié)助我簡化某些領(lǐng)域的平安問題�,但另一方面也會帶來新的挑戰(zhàn)����。
這就要求平安地存儲和傳輸這些數(shù)據(jù),實施云戰(zhàn)略便意味要在任務關(guān)鍵型數(shù)據(jù)和系統(tǒng)方面與第三方展開合作��。而且只能由授權(quán)人員訪問,這一點相當重要���。
企業(yè)在實現(xiàn)快速創(chuàng)新和快速交付全新服務的同時���,Kevin表示。還要處置復雜的計算資源網(wǎng)絡����,就很容易忽略確保網(wǎng)絡平安的要求。DevOp可以協(xié)助加速開發(fā)�����,但會給網(wǎng)絡平安帶來挑戰(zhàn)�,特別現(xiàn)在正處于由傳統(tǒng)IT管理向DevOp過渡的階段。
企業(yè)更要投入到維護數(shù)據(jù)����、應用、操作系統(tǒng)��、網(wǎng)絡配置等諸多安全的戰(zhàn)斗中來����,云平安不只僅是云服務提供商一家的責任�。另外要將流程��、技術(shù)以及最重要的人才等安排就位�,確保系統(tǒng)足夠平安�����。
五���、關(guān)鍵基礎設施平安
還包括其他重要領(lǐng)域�,這一部分指的不只僅是公共設施或者資源��。比方銀行和金融服務����、電信和媒體等。由于關(guān)鍵基礎設施在向數(shù)字化和自動化發(fā)展����,企業(yè)與工業(yè)網(wǎng)絡之間相互作用,很容易成為網(wǎng)絡罪犯的攻擊目標���。
而且這一系統(tǒng)無法如保守系統(tǒng)打補丁����。特別是對于包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)和工控系統(tǒng)在內(nèi)的工業(yè)系統(tǒng)尤其危險。工業(yè)系統(tǒng)對于能源�����、供水���、公共交通等領(lǐng)域十分重要�。
更關(guān)注信息失密性��,對這些基礎設施擁有者來說��。往往忽略了信息完整性和可用性����。技術(shù)創(chuàng)新嚴重倚賴遙測和不間斷連接,那些對千百萬公眾生命平安負責的系統(tǒng)�,要求數(shù)據(jù)必需精確且可獲取。
Kevin認為無論是公有還是私有基礎設施�����,這種情況下。都需要將零信任系統(tǒng)安排到位��,并確保訪問隔離�。
結(jié)語
不久前編輯看了一篇文章:為什么順序員總在改Bug就不能一次改好嗎?
即便每個物品都有使用說明書���,日常生活中??梢磺€用戶就有一千種使用方式。例如用諾基亞手機砸核桃��,用iPad當切菜板���,所以說程序是確定的但用戶的使用場景是不確定性的
軟件設計中最大的現(xiàn)實是設計難以完全覆蓋現(xiàn)實�。對應到業(yè)務層面�����,這就是說����。技術(shù)和數(shù)據(jù)可能難以覆蓋所有業(yè)務場景。
有些企業(yè)在自己的平安運營中心(SOC中可能會關(guān)注來自不同系統(tǒng)的數(shù)據(jù)源��,Kevin舉了個例子??吹揭幌盗衅桨彩录锩鏁忻舾行畔?��。這時候怎樣識別這些平安事件哪些對企業(yè)業(yè)務發(fā)展影響更重要呢���?
數(shù)據(jù)完整性比數(shù)據(jù)精密性更加重要;對大型制造業(yè)公司來說�����,比方對一個生物制藥公司��。數(shù)據(jù)可用性更加重要�;而對諸如銀行、醫(yī)院等需要數(shù)據(jù)驅(qū)動的領(lǐng)域���,數(shù)據(jù)的機密性更加重要�����。
必需要了解企業(yè)的業(yè)務方向和戰(zhàn)略��,所以對每個企業(yè)平安負責人來講��。這樣才知道保護的數(shù)據(jù)哪方面屬性更重要���。進而把企業(yè)平安和業(yè)務關(guān)聯(lián)在一起����,不只是一個技術(shù)層面的技術(shù)決定��。也能使資金投入更加明智�����,防止在某個領(lǐng)域花錢過多或過少��。
