【干货分享】郭峰:安全工作已经进入“深水区”,走向“业务化、一体化、数智化”

2024-04-10 16:38:09  来源:

摘要:近日,由CIO时代主办、新基建创新研究院提供智库支持的“数铸高基 业拓新级|2024企业数字化转型高峰论坛上海站暨首届华东CIO年会”在上海圆满举办。大会主论坛上,中国信息协会信息安全专业委员会理事、PCSA安全智库首席专家郭峰带来了主题为《数字化安全工程:主要挑战,效能提升,价值凸显实践案例》的精彩分享。
关键词: 数字安全 数字化转型 华东年会
今年政府工作报告提出,发展新质生产力,深入推进数字经济创新发展。以科技创新推动产业创新,加快推进新型工业化,提高全要素生产率,不断塑造发展新动能新优势,促进社会生产力实现新的跃升。

近日,由CIO时代主办、新基建创新研究院提供智库支持的“数铸高基 业拓新级|2024企业数字化转型高峰论坛上海站暨首届华东CIO年会”在上海圆满举办。本次大会汇聚多位国内顶尖学者、业界权威专家及各界CIO学员们等众多嘉宾大咖,共同探讨了新一轮技术变革下企业数字化转型的新趋势和新未来。

大会主论坛上,中国信息协会信息安全专业委员会理事、PCSA安全智库首席专家郭峰带来了主题为《数字化安全工程:主要挑战,效能提升,价值凸显实践案例》的精彩分享。

以下是主题分享的演讲实录。
 
\
中国信息协会信息安全专业委员会理事、PCSA安全智库首席专家 郭峰
 
主要挑战:安全工作已经到了深水区
 
在数字化进程中,CIO和CSO面临的主要挑战已经发生了根本性的变化,围绕核心问题,有效解决、提升效能和价值凸显成为重要验证指标。

CIO不需要解释IT的重要性,应用合适技术与业务融合产生价值成果成为主要挑战;
CSO不需要解释安全的重要性,攻防实战的结果成为主要挑战;
CIO和CSO需要一起面对业务与安全融合,如何有序平衡发展成为主要挑战;
CIO和CSO需要识别组织成熟度不同阶段推进数字化、智能化,节奏成为主要挑战;
CIO和CSO数字化业务和安全资源投入后,解决问题,效能提升成为主要挑战。
 
十余年的等级保护合规建设和近些年网络实战攻防演练已经解决了很多安全工作中的问题,剩下的都是较为难啃的硬骨头,需要采用新技术、新策略、新方法、新投入,新机制逐步打磨和解决。但对于很多大中型数字化组织来说,由于长期人力不足、能力不足、智力不足、机制不顺的问题导致的共性顽疾依旧存在,大多数安全工作者也很清楚长期顽疾的存在,往往由于领导重视、资源投入、机制体制、部门协同、产业能力、多方共识未达成等多种原因,通常处于停滞和被动状态。所以,数字化组织中安全现状的实际情况就是老的问题长期存在,新的需求也在增加,规划目标和监管要求不断提出更高要求,大多的CIO和CSO只能根据现有资源进行局部改进,把问题妥协在下一个年度或者未来规划中。

越来越多的安全工作者不再被浮夸的新概念和精致的PPT所打动,沿着问题导向、需求导向、目标导向寻找答案和解决之道,从单一的技术思维走向安全业务化、从碎片化局部走向信息共享一体化协同、从粗放人工走向数据化、自动化、智能化、智慧化。

  根据重大课题的调研成果和第三方产业研究机构的公开资料(CIO、数世咨询、数说安全、安全牛、PCSA、IDC、Gartner、赛迪等)分析和总结,可以看到涉及国家关键信息基础设施的13个行业领域、中央政府&智慧城市、中央企业&地方国资企业、部分互联网及大型民营企业等网络安全工作已经到了深水区。


问题导向:直面长年的安全共性问题与顽疾

十余年的等级保护合规建设和近些年网络实战攻防演练已经解决了很多安全工作中的问题,剩下的都是较为难啃的硬骨头,需要采用新技术、新策略、新方法、新投入,新机制逐步打磨和解决。但对于很多大中型数字化组织来说,由于长期人力不足、能力不足、智力不足、机制不顺的问题导致的共性顽疾依旧存在,大多数安全工作者也很清楚长期顽疾的存在,往往由于领导重视、资源投入、机制体制、部门协同、产业能力、多方共识未达成等多种原因,通常处于停滞和被动状态。所以,数字化组织中安全现状的实际情况就是老的问题长期存在,新的需求也在增加,规划目标和监管要求不断提出更高要求,大多的CIO和CSO只能根据现有资源进行局部改进,把问题妥协在下一个年度或者未来规划中。

越来越多的安全工作者不再被浮夸的新概念和精致的PPT所打动,沿着问题导向、需求导向、目标导向寻找答案和解决之道,从单一的技术思维走向安全业务化、从碎片化局部走向信息共享一体化协同、从粗放人工走向数据化、自动化、智能化、智慧化。

  根据重大课题的调研成果和第三方产业研究机构的公开资料分析和总结,可以看到涉及国家关键信息基础设施的13个行业领域、中央政府&智慧城市、中央企业&地方国资企业、部分互联网及大型民营企业等网络安全工作已经到了深水区。

近年来网络空间攻防对抗已经呈实战化、常态化,一方面网络安全攻击者采用的攻击方法、技术工具越来越隐蔽和多样化,攻击频率也越来越高,未来只会愈演愈烈,另一方面网络安全防御者的被保护对象和范围也越来越庞大和泛在化、暴露面也越来越广,防御战线越来越长、防御纵深越来越深,长期体系化对抗和系统性风险让网络安全防御者不得不思考新要下定决心解决多年顽疾,不然无论实施什么新的防御和处置策略都是下工治已病。根据PCSA安全研究院多年的一线调研和追踪,95%以上大中型数字化组织存在的长期共性问题和顽疾是相同的,总结如下:


\

1)业务资产底账不清:调研结果表明,99%以上的安全工作者说不清楚被保护对象业务与资产的边界、范围、业务系统总共有多少,互联网业务有多少、内部业务有多少互联网暴露面业务和资产有多少、暴露组件有多少、暴露IP有多少、暴露端口有多少,VPN账号有多少,数据库有多少个,有那些是国产的,那些是国外的,操作系统有多少,版本信息有多少,主机有多少、物理机有多少、虚拟机有多少,特权账号有多少,部署在DMZ区、生产区、测试区、备份区、开发区分别有多少,分布在那些物理机房,业务责任主体,运维责任主体、安全责任主体是否已经确认,业务资产动态上线与下线业务流程是否固化有效。一系列的问题,往往得到的答案是安全部门不管理资产却要保护资产,运维部门只登记资产的部分维度,财务部门也只登记部分维度,所以,严重缺失安全视角的业务和资产管理手段、工具和平台,成千上万的混乱业务和资产管理在攻击者就是隐蔽潜伏的好地方,在安全防御者犹如泥潭,有好的方法和策略由于基础不行也无法实施。因此,做好业务和资产动态分析识别是所有安全工作的前提。
     
2)安全风险动态不明:多年实战监测结果表明,弱口令、钓鱼邮件&社工、漏洞(应用层、系统层、支撑组件、安全设备)等是90%以上数字化组织主要风险,弱口令的问题是所有安全工作者最头疼的问题之一,一个业务系统涉及到可能出现弱口令的远程访问设备、应用系统、数据库、主机系统、安全设备以及堡垒机,管理维护使用这些应用、系统和设备的涉及的人员多种多样,有本组织各部门的,也有第三方建设、开发运行维护方,有些组织生产区管理的还行,测试区问题颇多,统一用户和权限的系统多种多样(VPN、零信任、IAM、AD域、堡垒机等),安全工作人员往往需要协同业务、数据、基础设施等多个部门才有可能汇聚起统一实时监测数据,大部分都是被攻击者提权后产生破坏才后知后觉。漏洞的问题主要有两类,一类是准确和融合的问题,另一类是业务系统修补承担后果的问题,历史漏洞和每天产生的系统漏洞多如牛毛,每个漏洞都是一个理论风险,不同的漏洞工具提供商有着不同的定义,爆出来的漏洞信息准确率和多方漏洞进行融合就成为一大难题,十几年如一日的老大难问题,由于业务资产放置范围不同,同样漏洞,风险完全不一样,互联网区的业务和内网区业务就是完全的不一样的策略,所以即使可以进行了漏洞融合,没有好的资产信息叠加,专家经验叠加,消除漏洞基本是天方夜谈,所以大屏幕上永远都是上万的未修复漏洞,高中低永远都是部分参考意义,业务部门一句修漏洞造成的业务瘫痪安全部门是否承担的起,应用开发商就可以按照原来的逻辑肆意妄为的继续着原来的故事,安全部门想想只能扛起枪加强外围的防御。还有其他风险,例如系统补丁、主机加固策略和网络安全控制策略执行力、异常行为监测,对业务层、支撑层、数据层、系统层、主机层、网络层、物理层等不同层级、不同维度的风险监测力度不够,风险隐患发现不及时,处置不及时是普遍问题。
 
3)安全能力识别&应用效能不高:经过十多年的安全建设,很多数字化组织已经购买了大量的安全能力和设备。少则数十台,多则上百台,包含安全监测、风险评估、安全分析、安全防御等多种类别涉及到很多供应商,在现实工作中,花了大笔经费的安全设备在实战中起到的效果体现差强人意,仔细剖析后大体分为安全设备基础管理问题,能力识别和数据应用问题,买了多少设备不知道,上架加电空转不加策略,安全策略多年不优化如同虚设,厂家宣传的能力和实际效果差距巨大,合规验证还行,实战对抗堪忧,没有对外数据接口,有接口吐出来的数据质量与实际不符,脏数据比例远远超过可信数据,分散碎片化的设备管理,虚假的能力宣传,海量的原始数据已经成为安全工作者重点要解决的问题。
 
4)安全日常管理闭环不了:重保演练等实战化阶段发现的问题大都能够及时协同处理,在平时大部分数字化组织很难做到常态化和体系化,业务与IT、IT与安全是纵向为主,例如:横向的业务与资产全生命周期闭环管理基本做不到,弱口令、漏洞、钓鱼邮件、安全事件的及时处置就很难做到,通常都是监测发现后,几天才能找到问题所在,再分析处置已经过去好久,表现出来的就是安全工作业务流程不清晰,不融合,不落地,不平行,不前置,所以,非实战重保的日常工作中闭环管理很难。网络安全工作不是孤立的,贯穿上下左右,实际的活动是一个多方协同、共同运营的过程,不仅涉及到安全部门、IT基础设施部门,还涉及到数据部门、业务部门,开发商、运维商、服务商等供应链环节、日常安全工作经常出现责任不清、反馈不及时、无法跟踪的情况。如何做到从发现问题、分析定位问题、协同处置问题的闭环,做到资产闭环、风险闭环、安全事件闭环,形成持续的、线上化的安全运营闭环是管理协同挑战。 

5)安全基础数据治理不顺:数字化组织一般超过500台主机资产,50个业务系统,建立安全管理中心,建设安全业务支撑平台就有必要了,因为不可能再靠人力来解决,也很难增加岗位来满足数字化的持续扩容和发展,需要用信息化手段来提高效率和效能,事实上大多的SOC、SIME、SA都失败了,两大原因,一是不符合业务实际,二是基础数据治理缺失。 可信数据是所有安全业务平台的灵魂,安全业务的基础数据来源很多,组织的、基础安全架构的、资产的、风险的、网络层、主机层、支撑层、应用层等,来源是多方面的,有手工填报的,其他业务系统的,安全设备的,有用的数据和大量的错误数据、冗余数据和脏数据不经过数据治理就进入安全业务平台,是SA,SIME,SOC失败的最大原因,没有人会相信安全业务平台能够带来有用的信息和价值,如何治理基础数据已经成为安全工作中的潜在问题。 

6)海量告警降噪不好:各个数字化组织中的安全运营中心汇聚了很多数据,来自不同安全监测设备(网络层、主机层、容器层、应用层),既有传统的NIPS、NIDS,HIDS等,也有实战型的全流量,NDR,EDR,WEB溯源,邮件溯源等探针,日均收集上亿日志信息,数百万告警,实战期间千万告警量常态化,面对来自几十种不同厂家、不同规则、大量无效、重复、低质量的告警,已经成为安全工作者常年面对的问题,由于采用的设备数据格式底层不通,商务不同供应商也很难沟通,安全规则基本也是百花齐放,使用方通常自身没有能力解决这些问题,所以只能实战应急化,无法常态精准有效。态势感知只能感知局部单一设备的,融合数据进行告警降噪是长期未解决的已经成为通用难题,另外一方面,告警数据往往又需要叠加其他方面的数据才能做到精准判定,相辅相成的机制和条件没有,精准降噪基本就是一个期望。 

7)安全事件研判不准:安全事件分析研判工作量巨大、分析研判链条长,给安全分析人员带来了不小的压力,大部分数字化组织安全体系在初建阶段,安全监测能力局部松散,安全预警规则简单,安全告警日志数据滞后、粗放且误报率高,整体不成体系,此阶段的安全分析特点,由于资产不清晰、数据粗放不清晰,只能依靠单维流量、日志数据等碎片化数据信息,监测分析人员大多是每个人独立监控某类设备,各自为战,基于某点发现的可疑信息,以“分析联动基本靠吼”的手工方式实现信息汇总,严重依赖于某个高级专家的知识经验得出结论,安全分析整体呈现出粗放式、混沌松散、杂乱无序的问题。安全团队编制相对有限, 人手不足。安全分析研判中所涉及到的基础数据治理、从海量数据中筛选去重降噪形成可信安全数据等工作目前主要依赖人工完成。 

8)安全处置效率低下:一个安全告警从发现、定位、研判、事件确认,到通报相关干系人处置、反馈、最后验证等一系列过程是大多数数字化组织的通用流程,从几分钟到几天都有可能,时间一拖好多问题都拖过几个月也常有,如何提升安全处置效率是安全工作者的思考的主要问题之一,响应时间、处置时间,处置率是三个关键指标,通常影响响应时间KPI的,主要涉及到监测点和监测系统是否全面,告警降噪治理是否已经相对固化,监测组织是否常态,处置时间关键指标主要涉及的是责任主体是否清晰,安全分析能力是否具备,问题定位是否精准,处置率关键指标KPI主要涉及闭环流程是否常态,处置方案是解决本质问题还是临时解决,后续再次发生频率和概率,整个处置业务链涉及三个大环节,八九个小环节,导致安全风险响应处置时间长、效率低。

9)安全分析专家经验无法固化:安全分析研判是安全工作中最具有技术含金量的,行业内具备顶级安全分析APT类研判专家不超过500人,中级安全研判专家不超过2000人,基础初级研判人员也超不过10000人,安全分析人员是属于稀缺人才,中高级往往都是被调来调去去研判,很少固定在具体的场景,安全分析阶段从粗放式到己知规则聚合式,已经解决了大部分问题,未知威胁靠基础安全分析人员基本上做不到,所以需要将不同专业的、行业、产业专家多年经验,不同安全人才、安全服务商擅长的领域不同,提供的“独门秘诀”固化,形成专家系统能够被查询和应用,解决当下局部性、不稳定性,仅依靠个别专家经验的问题 

10)安全人员数量、质量与能力不足:数字化转型的推进,让数字化业务与资产的管理范围和数量会越来越大,安全统筹协调、指挥运营、安全监管、安全管理、安全技术、安全运维的队伍要也同步需要不断扩大,但不论是已组建的安全运营团队,还是外部服务商支撑队伍,都不可能成几何倍数无限增长,人员不足如何解决已经成为共性问题,另外安全政策的变化、安全技术的演进,符合岗位要求的人员本身比较稀缺,人员质量问题也是较为突出,安全走向业务化,需要的安全工作人员不仅仅是普通的运维人员,还需要懂政策、懂业务、懂分析的多种人才,能力建设和提升已经成为安全工作必须要解决的问题。 

11)数据流动安全监管不利:政策驱动且数据安全立法完成,数据成为生产要素,数据治理和数据安全治理成为聚焦之地,多年的数据安全工作停留在身份认证、访问控制、监控审计、加密脱敏等领域,新背景需要在明红线,守底线下流动共享共用,数据治理与安全治理的目标平衡把握、成熟度评估、风险分析、多方督导、监管审计、持续运营都需要重新思考,数据所有者基本以法人为主体,具体操作者责权不明,经验不足导致分级分类不准、口径不一、底数不清,数据提供者的所有权、持有权、分配权、收益权等权益没有保障能动性不足,数据使用者获取数据的合法方式、安全责任不明使用数据开展加工处理意愿不积极,数据运营者协同业务流程缺失,工具平台不足,安全策略不细、怕出事只能越严越好,数据监管者看不到具体操作,全程流动不可视,状态不可查、权限不可审,操作细节失控、烟筒式现状比比皆是,新背景下数据安全治理涉及多部门,需要在责任明确前提下实现流动,在流动安全监管下使用已经成为核心需要解决的问题。 

12)供应链安全及开发管控不全:全就是干净的空气、水,是本质安全,主要涉及信息通信技术与服务(ICTS类)、软硬件产品与服务、开源技术与开发安全与服务 ,近些年实战暴露出来的问题,大量的开源代码&组件的漏洞问题涉及到很多国产软件、硬件和安全设备,传统的上线前检测的工作已经不能满足实时性和新的发展,很多数字化组织严重依赖开发商、有开发队伍的没有开发测试区或者重生产区安全,轻测试区等问题已经比较突出,安全左移的理念有了落实的不多,高级别的APT组织的特种木马已经做到主流防御工具免检测,境外敌对势力和黑客组织通过开发工具污染、开源软件仓库投毒等多种方式已经常态化,国内供应商开发人员大量采用开源代码进行软件开发,自身缺失软件成分分析、代码检测、安全检测比比皆是,包含信创领域的操作系统、数据库、中间件等也有很大隐患,一体化管控好供应链安全已经成为大中型严重依赖数字化的组织的重大挑战。

以上总结的的十二类共性问题与顽疾,是现阶段以及未来数字化组织必须要面对并且持续解决的,通过分析问题出现的主要原因是新政策法规要求、重保实战要求和大集约化背景下增加了不少新的安全业务,这些工作单个部门解决不了,需要进行跨部门、跨组织进行统筹协调,例如资产底账不清、安全风险动态不明等问题;需要体系化、常态化指挥运营,例如安全日常管理闭环不了、安全处置效率底下等问题;需要加强云、网、数、用、端及供应链安全监管,例如供应链安全监控不够、开源代码及开发管控不全、数据流动安全监管不利等问题,需要从新定义梳理安全管理工作,例如安全能力识别、应用效能不高;安全基础数据治理不顺,安全人员数量、质量与能力不足,安全资源投入有效等问题;需要提升安全技术领域新方法应用能力,例如安全分析专家经验无法固化:安全事件研判不准,海量告警降噪不好等问题;需要平战结合一体化开展安全运维,涉及以上每个环节开展落地。


      数字化安全工程:安全业务化、数据化、智能化、一体化
 
数字化组织已经经历了十余年的安全建设,第一阶段是以等级保护合规安全工程建设为主,主要解决了安全计算环境、安全区域边界、安全通信网络等基础结构安全防护和初级安全管理平台,第二阶段是以态势平台安全工程建设为主,主要解决了互联网边界威胁检测和局部态势感知,随着安全工作逐步从合规走向实战化、从碎片走向体系化,从应急走向常态化,从粗放走向精细化、从人工走向数据化,从手动走向自动化,从安全技术走向安全业务化,从专家经验走向算法智能化,从独立防御走向联防协同化,为了长期解决安全人力、能力和智力不足,以安全业务化、智能化、一体化安全中枢数字化安全工程成为必然趋势。

\

数字化工程就像“盖大楼”,数字化安全工程是叠加安全业务属性的数字化工程,既能向下挖地基,又能往上盖大楼,工程特点是复杂而多维的,包含横向、纵向和协同项多个维度的子工程。通常由安全基础资源数据化(底座工程)、安全业务体系化(框架工程)、安全自动化&智能化(效能工程)安全决策智慧化(指标工程)以及平战结合的安全运营一体化(协同工程)工程等子项组成。

安全基础资源数据化作为数字化安全工程的底座工程,需要进行大量的基础数据采集,例如组织机构数据、安全基础结构&安全域数据、安全策略基线数据、业务与资产数据、安全风险情报数据、安全设备日志告警数据、网络基础流量数据、网络侦听测绘数据、主机系统数据、业务应用数据、IP、ID数据等,通过数据治理,逐步形成数字化安全的可信基础数据集、结构化数据库及基础应用、例如资产库、风险库、能力库、供应链库、IP库、ID库、模型库、算法库等等,要非常清楚没有可信数据,设计再好的安全工程也是豆腐渣工程,大量态势感知工程失败已经证明,更别提所谓的自动化、智能化、智慧化都是海市蜃楼,基础资源数据化的过程就是有耐心的、踏实的“结硬寨、打呆仗”持续日积月累的过程。

安全业务体系化作为数字化安全工程的框架工程,需要将安全业务目标、业务职能(范围)、业务需求(场景)、业务系统(功能)、业务角色(职责)、业务流程(协同)、业务达成(效果)、业务价值(成果)进行一一梳理,进行顶层设计和总体规划,明确各管理部门、业务部门、基础设施部门、安全管理部门、系统运维部门等职责边界和流程角色,按照业务架构、应用架构、数据架构、技术架构开展设计数字化组织的一体化安全数字化支撑系统,让安全业务按照统筹协调、指挥运营、安全监管、安全管理、安全技术、安全运维等分类逐步实现线上化、达成可视、可管、可监、可控,可协同,平战结合一体化。

安全自动化&智能化作为数字化安全工程的效能工程,主要是应用在安全业务重复环节和关键业务问题这两种领域,例如:海量安全数据无监督聚类处理,大量同类简单计算,安全业务固化流程、安全能力自动化编排就属于第一类,采用简单的安全算法和模型就可以大量降低人工参与,从而提高效能。而受影响资产边界范围快速精准定位、安全分析智能推荐、自动化安全防御、一键处置等关键业务问题,都是较为复杂的数据处理、算法模型等,是简单人力,能力和智力都不可及的,即要人工经验参与,也需要应用复杂算法模型。通过不断的数据训练和参数调整,就可以输出有质量的、稳定的用于决策的结果信息,可以大大提高效能。

安全决策智慧化作为数字化安全工程的指标工程,是高度提炼形成关键指标的工程,主要为管理决策服务,例如围绕资产不清建立的认领率,纳管率,领先榜等指标,围绕风险不明建立的响应率、处置率、复发率等指标,围绕安全能力效能不高建立的在线率,贡献率,好评价排名等指标,围绕安全处置效率低下建立响应榜,处置榜、约谈榜等指标。围绕安全运营闭环不了,建立通达率,闭环率,问题榜等指标,通过管理指标进行安全督导工作,通过安全工作闭环完成管理指标,形成决策智慧化。
安全运营一体化作为数字化安全工程的协同工程,围绕自上而下统筹协调、指挥运营、安全管理及运维看管监控、平战结合一体化目的,提高信息共享、业务协同效率,减少冗余和扯皮,提高服务质量和满意度,安全有序保障数字化业务稳定运行,首先,需要将数字化组织围绕安全主体责任(谁主管、谁运行、谁分析、谁研判、谁处置、谁审批等)需要进行一一明确,其次,围绕云、网、数、用、端以及供应链建立从责、同责、守责体系,第三、制定安全策略逐步落实,从宏观职能到相关业务、从相关业务到具体岗位、从具体岗位到操作角色、从线下到线上,逐步磨合形成一体化的相对固化的安全业务协同运转流程。


添加CIO时代“小希”,
领取“2024数字化转型资料”大礼包!
\
小  希:15701060895


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:zhanghy

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。