|
论甲方的信息安全
|
|
来源:http://bbs.cisps.org 作者:职业欠钱 发布时间:2009-06-08
|
|
我之前在blog上写了一篇闲话性质的“信息安全入门”。写完了以后,由于害怕那些功力深厚的老鸟们嘲笑我:井底之蛙也敢谈“入门”?
所以扭扭捏捏的在文章里写上了以下文字用于“免责”:
……,因为毕竟……,从……各方面来说,都还是不够资格的。但……
原文:
http://hi.baidu.com/zyqq/blog/item/2f420cf328ba94cc0a46e0a1.html
做足了姿态之后,我就可以放下脸面了,参考自身的经历,写了一个甲方的信息安全工程师是怎么炼成的长篇大论。(渗透测试人员起步)
说实话,上一篇文字,对于那些可以“用iPhone发出海豚音的高级黑客”来说,绝对没有参考意义。
(iPhone发出海豚音的高级黑客是引用4总的一个blog,意为可当作神灵供起来的传说级黑客:http://hi.baidu.com/0x557/blog/item/9dd52f86bbcc003666096e65.html))
不过,光是会做黑客的同学,未必过的很滋润。
所以,这些文字给那些烦透了在各个领空跳转,覆盖各种寄存器的值,除了gcc -o chmod u+x ./exploit啥都不会的山寨黑客们做个参考,可以开拓一下视野,从一个纯粹的技术人员的角度去理解一下那些“技术不精但看起来还蛮专业的安全人员”都在做一些什么,他们创造的价值是什么,他们如何创造价值的。
------------------------分割一下-----------------------
我认为,在甲方做安全,至少要掌握如下3门手艺:安全管理+技术解决方案+职场智慧
1. 安全管理
包括各种安全标准、信息安全管理系统、流程、规范、策略
它可以弥补纯技术人员视角的不足,将技术上不好做的事做好,还可以帮助自己看到安全的全貌
2. 技术解决方案
早期的安全从业人员,很多都是黑客出身,他们对技术的执着让人崇敬,但现在的安全从业人员技术上越来越不像当年那样了。
反过来,他们对OS、网络、DB未必更精通,但是他们确实对能够解决实际问题的安全方案更熟悉。而这一点,对于商业公司来说,其实是更具有实用价值的。
3. 职场智慧
有人说,现在的职场就像古代的宫廷,这是将事情严重化。
职场里的利益分配肯定会引起大家的明争暗斗,但是这个现象并不表示职场就很黑暗。
事实上,在有人的地方,要别人遵循自己的意志去做一些事情,就必然要有一些技巧和艺术。
如果不择手段,那叫做厚黑,叫做政治斗争
如果双赢了,出发点是好的,那么这些就叫技巧和智慧。
说句题外话:
上次写文章的时候,还没仔细看过论坛上的“六年如逆旅,我亦是行人 ”这个帖子。所以,对安全的理解还是颇为狭隘的。
虽然说,当时我考虑过自己的理解可能是狭隘的,可是没想到这么狭隘。top-down down-top,这才是科班出身的经典安全入门,完了人家干了6年,还说是行人,我就开始指手画脚了,汗颜,惭愧……
Top-down 是指咨询出身,一开始就从企业风险全局考虑,随后为了控制风险而做了一系列的安全防范
down-Top 是指安全方案集成出身,随后学习安全标准、流程管理、项目管理、IT治理,逐渐将狭隘的安全上升到企业风险管理的层面
原文链接:
http://bbs.cisps.org/viewtopic.php?t=7234&postdays=0&postorder=asc&start=0
我的境界还没有作者那么高,因此对于里面罗列的各种标准多半没有听过,对于咨询顾问的视角也多半没有听过,所以我只从自己理解的角度,讲一些小故事来解释一下什么是安全管理,为什么需要管理,以及如何推动
一、安全管理概念的出现
依然从刚入门的小黑客们开始谈起,因为我最开始就是做这个的(名片上一般也写的是信息安全工程师或者渗透工程师之类的),小黑客们大多数情况下,只会渗透、扫描、堆砌各种安全产品和解决方案以及手工给服务器和web代码加加固。
但是对于安全管理这个概念是陌生的,我们当时几乎不知道管理是什么概念,只知道能够做管理的一定是经理、领导。所以自己单纯的在技术的海洋里徜徉,时不时为拿下了一个很难渗透的目标兴奋,因为学会了一个新的安全解决方案或者为摸到了一台没接触过的安全设备而激动——又多了一条跟别人吹球的资本。
可是,业内流传着那句话,叫三分技术,七分管理,换句话说,小黑客们拼死拼活挖漏洞写代码并且干掉服务器(做技术活),只换回来安全绩效的30%
好,既然管理占的绩效比例为70%,那么安全管理都包括什么内容呢?
我们先思考这样一个问题:
如果让一个黑客来保护一个企业的所有信息的安全,黑客会什么,会做什么呢?
你会渗透,会扫描,溢出,注入,拿webshell,提权,会给服务器打补丁,删掉存储过程,还懂得给代码检查是否过滤,这样够么?
肯定不能,可是,为什么呢?缺什么呢?
你绞尽脑汁,想啊想啊,想破了头,可能又可以多想出几条出来,因为安全并不意味着不被渗透,比如说:
社会工程学啊,0day挂马啊,还有《欺骗的艺术》里那样去别人公司附近捡垃圾,撒U盘之类的,乔装打扮去面试应聘入职偷完东西再离职啊,等等等等……
这些案例可能是单纯从入侵/反入侵的技术角度思考所无法解决的,但是也需要解决,只是,现在你想的足够全面了吗?
我打赌,你肯定会战战兢兢的说:可能还不够全吧,但是也差不多了
好的,打住,等的就是你这句话,安全岂是一时半会拍脑袋可以想的很全面的?
界内很通俗的打了个比方,说安全就像一个木桶,它的容量取决于最短的那块木板。安全的短板往往就是你没想到的那个点,它可能就是企业的致命威胁。
根据墨菲定律:如果它能被黑客攻破,那它就将被攻破”(前几天迅雷的安全经理包子总在腾讯安全峰会上还提到了这个定律),那怎么解决呢?
不要慌,这个问题不是我小菜第一天想到的,从安全这个行业诞生以来,就不断的有人去思考这个问题,然后就有一帮闲的无聊的家伙集思广益把大家考虑到的点都整理了一遍,分门别类做出来了,那玩意一般被叫做安全标准,例如BS7799(也许第一个安全标准不是BS7799,但是谁在乎呢,反正是有那么一些闲人整理出了几十页纸的条目),这时候好了,大家只要拿出这个小手册,根据自制的一个清单(为什么要自制呢?主要是BS7799那是英国人干的,有些英国人要尊重的隐私啊之类的在天朝这样和谐的国度里是不需要理会的,所以可以删掉一部分),挨个对比一下公司里各个环节,各个项目是否满足了这些点。
本来呢,可能一个项目要安全起来,可能有12个安全点要关注和考量到,安全标准的制定者们想出来了10条,但是你自己拍脑袋可能只能拍出3-5条,如果缺少项目经验,可能会更少。现在有了这个册子,至少能够帮助你多想到几条,短板少一点,事情就能做的更好一点。
这就是安全标准的实用性,而了解安全标准,仅仅是接触安全管理的第一步。
这里说句题外话,即使熟读安全标准,也不可能把10条全部做完。因为有的条目可能由于成本过高无法实现,有的条目由于公司的实际情况做不到,还有的条目可能由于你的知识太少,根本就不足以理解其含义,不足以化为实际的解决方案。(所以后来还有一些类似于13335、国家等级保护一类的更细化更符合本土风情的产品推出,描写的更具体更细节,比较适合直接拿来用的。不过13335和等级保护之类的东西我没仔细看过,有经验的老鸟们可以指点一二。
题外话的题外话:
就算你什么都懂,也没必要一下子做到100%,否则,安全部以后都没什么工作内容,闲的要命,老板估计也不乐意了。
二、职场的智慧
继续扯安全管理,安全标准和各种细化的东西,毕竟只是死板的理论,要在企业里切实的执行,还面临一个最现实的问题:别人干嘛听你的?
要让安全方案跑起来,必须通过职场智慧,达到如下2个必备条件:
1. 安全预算,银子要拿到
2. 老板撑腰
做安全需要银子,也需要人头。该买的产品,得买过来并且有人能够管理和维护,像IDS/IPS、蜜罐、漏洞扫描、补丁推送之类的产品,如果没人管理和真正用起来,也就真的变成了堆放在那里的废铜烂铁了。
所以安全标准常常提到,要有高级管理者“可视的支持”,可视是什么含义?真金白银拿出来、部门给安排人头,才是“可视”的。
安全规范、安全制度,业务中插入安全检查流程环节,少了老板的大力支持,业务部门理你才怪,很多同行抱怨自己变成了系统管理员或者是运维人员的擦屁股后备队,往往就是没能够把老板忽悠到自己这一边来。
安全部门本来应该是独立于任何业务部门,这样才能够公平公正公开的去权衡利弊,要是安全部门附属在IT部门之下,自然少不了吃窝囊气。
不过,老板之所以是老板,往往就是因为他能忽悠你,而你忽悠不了他,所以需要解释的一点是,我们使用“忽悠”这个词,跟赵本山的忽悠完全是两码事。说到底,就是将自己置换到老板的角度,从老板关心的层面与其沟通,说明安全为什么重要,能够给他省多少事,减少多少损失,带来多大的收益,控制多大的风险,更高层面一点的甚至可以说提高企业的效率,管理质量等等等等。
这一步,不是一般人能够忽悠上去的。除了掌握扎实的安全知识之外,还需要会推销:
能够通俗易懂的将晦涩的安全概念和安全带来的好处量化给老板,俗称洗脑。
洗脑也需要和老板站在同一个层次上,换句话说,和老板谈解决了多少个安全漏洞是没有意义的,告诉老板,业务的健壮性因此提升了多少的百分比,玩家满意度和运营质量因此得到了什么样的改进,因为安全事故的减少,业务连续性得到了多大的提高,进而节省了多少成本,带来了什么口碑,保证了企业的核心竞争力……
这些才是能够和老板沟通的话题。(必须得说一句,老板考虑的点更宏观,更高级,我谈到的这些都只是我自己拍脑袋认为老板可能会关心的东西,你可以随意的拷贝和粘贴,但我不对你滥用这段文字所带来的一切后果负任何责任)
后面还会有跟贴继续说明职场智慧的一些细节,这里不细说了。
三、安全技术
说实话,在商业公司中,如果能够获得老板可视的支持(资金和姿态),技术和解决方案真的不是特别重要。
防火墙是我自己管还是外包维护,蜜罐我用你家的产品还是用他家的产品一样,就算我完全不懂,把几个厂家的售前都叫过来演示一遍,听听他们的忽悠,稍微有点安全常识的也都明白个八九不离十。
技术方面我稍微掰扯下:统一集中化管理平台(域、SYSTEM CENTER、SEP、LANDESK……)+漏洞管理(扫描+事件管理)+监控(IDS/IPS/蜜罐/agent主机监控/流量……)+灾难备份和数据备份+应用安全审计(代码之类的)+服务器安全策略+网络准入和安全域+补丁管理+应急响应……
有些朋友要叫唤了,这么多事情,我们公司没这么多银子啊,要做什么不做什么呢?
不用着急,世界上不可能有100%的安全,所以,做什么,不做什么,一般取决于2个因素:公司有多少银子+发生过什么安全事故。
一方面是成本和效果的平衡,一个年收入100万的企业,扣掉成本也许老板一年就只挣个30万,你要他花10万去买设备和软件,他肯定不干。
另一个方面就是事件触发,出过什么事就补什么短板。如果从来都没有人DDOS过你的业务,也许将来你也会面临DDOS的风险,但是我们没必要从这一刻起就买好10G的带宽并和ISP签订流量清洗服务合同,对么?
四、安全管理者自身的知识层面
虽然说安全管理和安全技术的实施,依赖于事件触发(无论是被动式的触发,还是主动发起了一个风险评估项目)。
可是还有一个因素在影响着事情的发展:安全管理者自身的知识层面,决定了他能够透过一个表面现象,看到什么样的事务本质。
举例来说,缺少经验的人看到一个员工中毒了,第一反应就是杀毒或者重装系统,稍微高级一点的人会想想为什么中毒,是不是补丁管理没做好,可能会给他再打打补丁,再高级一点可能会想:这个员工是什么级别的?高级管理者还是财务人员还是普通员工,中毒的影响有多大,是技术层面没把好关,还是他违背了安全管理规范,内部异常监控能不能自动发现?要杜绝此类事件,怎么办?
这个时候,一个事件引出的就是一系列的问题:补丁管理、员工操作规范和制度、安全域是否足够细分、内部监控……
所以,从事安全的同学们,必须抱着不断学习的信念,掌握自己老板一级的知识范畴(这其实是个无底洞,任何时候如果自己具备了老板层面的同等水平,都会增大自己的筹码)。
|
| |
|
[ 推荐]
[ 评论(0条)]
[返回顶部] [打印本页]
[关闭窗口] |
|
|
| |
|
|
 |
|
推荐广告 |
|
|
|
|
|
