停笔半年,顺带着也想了不少问题,虽然大多数还没结果。那就先讲讲有结果的事情,虽然可能也挺有争议。
这半年当中,听到很多这样的言论:“安全领域,能用技术解决的,就尽量用工具或系统解决”;“三分技术、七分管理不太适用了,现在应该是七分技术、三分管理,至少也是对半开”;“你还是要钻研技术啊,这才是立家之本,最终都是需要靠技术去落地的”,促使我重新去审视技术和管理的关系。难道我以前的认知有错?技术和管理到底是什么关系?以下是我的思考所得,说的不对之处,请多多指正。
观点一、技术和管理都是为了目标服务,在这个维度看,两者是平等的。
企业经营的本质是什么,是盈利、增长;因此所有的企业活动都应该为了盈利、增长服务,信息安全工作也不例外。据此,信息安全工作应该有自己的目标(也就是做到什么状态,才可以直接为企业的盈利和增长服务);基于目标,信息安全团队会识别&发现风险、评估风险,并制订一系列技术措施和管理措施,以达到控制风险、直接或间接服务于企业经营目标。
从这个角度看,无论技术措施还是管理措施,没有轻重之分,都是为了信息安全的目标服务,进而支撑实现企业的经营目标。同时,为了实现信息安全目标和企业经营目标,团队应该选择投资收益比最恰当的手段,而不应该在技术手段和管理手段上有所偏颇。
观点二、“三分技术、七分管理”的说法依然适用,但是要明确其内涵。
这里说的“管理”指的是:从事信息安全工作的人要有管理思维。“技术”只是支撑信息安全目标、管理思维的工具、手段之一,只是解决问题的手段之一,我的个人观感下,至少50%的场景下不是唯一手段,甚至不一定是最佳手段。在我见过听过的中小企业信息安全工作,甚至80%都不是技术手段的问题,而是管理问题。
那么,什么是管理思维?我概括了如下几点:
(1)以客户为中心
信息安全团队的核心客户是谁?是老板。信息安全工作是帮谁解决问题?老板。所以安全团队要站在老板的角度思考问题、解决问题,做到“没有私心”,做到公司利益最大化、客户利益最大化,而不是安全团队利益最大化。
有时候安全团队会遇到这样的情况:人少、活多、杂事多而琐碎,为了改变这种状态,于是想着是不是把一些自己不喜欢的工作扔出去给其他团队做。乍看上去,自己是轻松了、可以做更有价值的工作了,但实际上交出去的工作并没有得到很好的落实与执行,自身也缺乏足够的能力管理和驱动其他团队,结果反而给公司造成了一个安全的大窟窿。这就是“私心大于公心”,没有以客户为中心。
(2)找到问题的根源、确立目标并解决
信息安全工作推进过程中会遇到各种问题,要善于找到问题的根本原因(而不是直接原因)并予以解决。
不能说要做数据安全就上DLP,不能说因为联软的桌面管控工具不在自己手上管理、就要把它替换成奇安信的天擎,不能因为自己喜欢腾讯IOA就要把现在的防病毒软件替换掉,不能说没有做统一身份管理就要上一个IAM系统,不能因为别人说趋势防病毒用的不好、不问原因的就弃用趋势,不能说别人的ArcSight用得好、我也得用ArcSight。有的人情愿天天灭火杀毒,也不愿意推动解决公司盗版操作系统泛滥、恶意软件丛生的问题。我还是那句话,在绝大多数企业里面遇到的信息安全问题80%其实都是管理问题,要先找到原因,而不是一下子就跳到解决方案。找到原因之后,也不是马上定解决方案,而是要确定目标、也就是解决问题之后达到什么样的状态和效果。我们往往在不同的方案之间难以选择,其实就是因为(1)原因没找到、没找对;(2)不知道目标是什么、要做成什么样子;(3)成本投入没有算清楚。
(3)有体系、框架和套路
信息安全体系这个东西说复杂其实一点都不复杂,不就是PDCA加上一堆控制点么,不就是一套文件体系加上执行、检查、改进么。在组织架构、流程机制上做到就是了,一点都不难。
信息安全架构和规划要提前立好,以便和管理层、团队成员统一目标、统一行动。架构就是包含了输入、输出和怎么做的方法论,而不只是应用系统架构、技术架构。具体应该包括(1)做什么;(2)怎么做(流程或者是逻辑);(3)具体工作内容、模块之间的关系。
信息安全工作(尤其是难点任务)推进的时候,也需要一些套路:首先和管理层达成一致,然后开项目启动会,然后周报月报跟踪管理,坚持做好干系人沟通,项目完成之后论功行赏(即便是个表扬,那也可以啊),再做个宣传培训让众人皆知。末了,加个审计项、定期审计,确保有效执行。
如果缺少这些体系、框架和套路,信息安全工作看着不够高大上,也很难落地。
(4)管理策略、机制流程要配合技术工具
为了解决一个安全问题,有时候既要技术工具,也要管理策略和机制流程。举个例子,为了解决互联网资产识别不全面的问题,上了一个互联网资产扫描&发现工具,但是这个工具也有所依赖啊,你得把公司互联网出口的IP地址段告诉它。那么,如果网络团队没有把互联网出口的IP地址段及时更新给安全团队,这个工具的有效性就会降低。这时,就要有配套的管理措施,保证IP地址段可以及时更新。怎么办?(1)流程上,可以在IP地址采购后加一个动作,通知安全团队;也可以在网络策略变更之后加一个自动检查动作,发现新IP地址则通知安全团队;(2)策略上,可以明确网络团队必须及时把信息及时更新给安全团队的及时性、准确性要求,以及达不到要求之后的罚则;(3)机制上,如果网络团队可以做到100%的及时、准确地更新信息,则给予一定的奖励。
有了以上的管理思维,在解决问题的道路上会非常顺利,技术手段的高效、严格不易出错的特性也将保障最终目标的达成。
观点三、“企业、金融企业里面,技术才是立家之本?”互联网我80%不认可。
在互联网、金融企业里面,攻防双方在技术上的对抗异常激烈,其场景与科技类企业的场景截然不同。因此,在互联网、金融企业里面做安全,对技术能力的要求很高,这个完全可以理解。但是说技术才是立家之本,我80%不认可。原因如下
(1)如上所说,绝大多数企业里面遇到的安全问题,80%应该都是管理问题,不是技术问题;
(2)如果把基础工作做扎实,80%的安全风险其实是可以控制的。打好补丁和安全基线、做好安全域的隔离和访问控制、管好资产、切实做到权限最小化、减小风险暴露面,高精尖的技术可能用不到那么多;
(3)唯技术论会让信息安全工作陷入盲目追求先进技术的地步,不看投入产出比、不看解决问题的实用性是一个非常危险的状态;
(4)之所以同意20%,是因为无论团队leader还是成员,都必须技术功底扎实、或可以互相补足。团队leader如果只懂管理、不会做技术判断,那肯定不行;团队leader也要与时俱进,消化吸收先进的攻防体系、模型理论,并为我所用。同时,攻防对抗确实有很多技术点上的较量,需要运用或探索新技术、新工具、新方法。
观点四、“能用技术工具或系统实现的,尽量就用技术实现”。我70%不认可。
本来这个观点我很纠结,结果最近碰到的2个例子让我豁然开朗。先声明下,如下例子有虚构成分,只是为了让大家更好理解我的观点。
例子一:网络团队跑来跟我说,因为现在都是手工设置防火墙策略,量大耗人工、而且手工设置容易出错,要建个系统、把这个过程自动化,申请人按照模版要求填好网络策略申请,主管审批之后、网络管理员审批,然后系统到时间就下发变更任务、设置防火墙策略,并将结果反馈给申请人,既提高效率节省时间、又减少出错几率,还符合了“尽量用技术实现”的原则,建这个系统只要花10万,多么完美!我就问他们,为什么1年有2000单网络策略变更,然后巴拉巴拉讲了一堆原因;我把2000单变更申请拿过来分析,发现90%的策略变更都是用户终端访问某个业务域,再一分析,原来是网络域的划分不合理、访问控制策略不合理导致的。接下来怎么办?方案A:建个系统,把防火墙策略审批和设置自动化;方案B:调整网络域和访问控制策略,可以将每年2000单的策略变更降低到每年200单。综合比较下各自的投资收益比,答案自然就出来了。
例子二:有个员工跑过来跟我说,要求提交ITIL服务请求之后增加催办功能,而且要通过邮件、短信、OA每天提醒。技术层面看,实现这个需求一点都不难,换别人转身就干了,偏巧他遇到我。我就问他:“技术实现没问题,但是为什么要这么干”?他说我在前东家就是这样的,都是根据邮件来处理请求的,2天不处理请求要扣绩效的,咱们公司太拖沓,提交了ITIL服务请求、3天才完成,得催!我又问:“催完之后怎么办呢?如果还是3天才完成,怎么办呢?处理人为什么会3天才处理呢?3天处理是否符合我们的规范?”一下子问倒了他。我其实还有个问题没问他:“如果没有绩效、奖惩举措,催办就一定能达到你的期望吗?”
举这2个例子是想说明,如果没有搞清楚原因和目标,没有算清楚投资收益比,如果没有想好配套的管理措施,如果没有合适的文化支撑,就直接用技术方案解决问题,是不恰当的。而且“能用技术实现就尽量用技术实现”这个提法本身就容易产生这个错误的导向。这是我80%不认可的原因。
对这个提法还是有30%认可,原因在于如果工具和系统用对地方,确实可以提高效率、节省时间、降低失误率,而且也不是每个需求都会遇到我上面说的管理问题。比如,SIEM和SOC的合理运用,不但可以把数据、情报、日志的分析更加自动化、更加高效,而且可以通过整合多种数据源、多个相关系统,使得安全工作更加高效、有效,使得更多场景下的应对措施标准化,使得可以解放更多的人力投入到应对复杂威胁场景中。 还有就是,研究各种对抗场景下的技术运用,确实可以很大程度地推动技术进步,攻防对抗的能力也必须在对抗中得以提升,你要是用管理手段(比如把网线拔了、强行物理隔离),看似安全,却同时也降低了自身的安全能力。