CISO有望借此十項(xiàng)安全實(shí)踐睡上一個(gè)安穩(wěn)覺
原創(chuàng)前段時(shí)間,谷歌人工智能AlphaGo與韓國(guó)棋手李世石人機(jī)大戰(zhàn)的消息席卷全球,有專家認(rèn)為,到了本世紀(jì)末,我們所熟悉的職業(yè)中,百分之七十可能被自動(dòng)化技術(shù)取代。但CISO這個(gè)角色似乎并不包括在其中,這些全新的業(yè)務(wù)模式和全新的技術(shù)為企業(yè)安全管理帶來(lái)了更多的挑戰(zhàn),而CISO的職責(zé)正是保障這些業(yè)務(wù)的安全性。當(dāng)然,這個(gè)任務(wù)似乎越來(lái)越難以完成。
別擔(dān)心,或許我們可以從一些在企業(yè)安全有著豐富實(shí)踐中,獲得一些經(jīng)驗(yàn),憑借這些實(shí)踐經(jīng)驗(yàn),最忙的CISO也可以睡上一個(gè)安穩(wěn)的覺。在IBM舉辦的企業(yè)風(fēng)險(xiǎn)管理實(shí)踐大講堂中,筆者便找到了一些實(shí)踐經(jīng)驗(yàn),與君共享。
一、建立具有風(fēng)險(xiǎn)意識(shí)的文化與管理體系
首先作為CISO應(yīng)該從一個(gè)以戰(zhàn)略和企業(yè)視野為驅(qū)動(dòng)的領(lǐng)導(dǎo)角度,將安全任務(wù)從購(gòu)買IT產(chǎn)品拓展到跨越整個(gè)企業(yè)的IT風(fēng)險(xiǎn)管理,并設(shè)計(jì)一個(gè)結(jié)構(gòu)化的治理模型,可以確保積極主動(dòng)的風(fēng)險(xiǎn)識(shí)別與管理。通過(guò)交流與溝通以提升對(duì)潛在風(fēng)險(xiǎn)的意識(shí)。此外,還需建立一個(gè)以策略、衡量標(biāo)準(zhǔn)和合理工具為支撐的管理系統(tǒng)。
具體而言,需要構(gòu)建風(fēng)險(xiǎn)意識(shí)管理系統(tǒng)包括建立風(fēng)險(xiǎn)管理程序來(lái)識(shí)別和優(yōu)先排序業(yè)務(wù)威脅和風(fēng)險(xiǎn); 定義治理方法來(lái)驅(qū)動(dòng)決定責(zé)任和義務(wù);建立一項(xiàng)風(fēng)險(xiǎn)意識(shí)戰(zhàn)略和企業(yè)架構(gòu);為所需的技能與能力平衡人力資源。
同時(shí),用溝通來(lái)驅(qū)動(dòng)風(fēng)險(xiǎn)意識(shí)文化包括理解并檢驗(yàn)當(dāng)前企業(yè)程序的有效性; 與員工、客戶與供應(yīng)商展望新的風(fēng)險(xiǎn)意識(shí)文化;定義風(fēng)險(xiǎn)意識(shí)文化程序(與業(yè)務(wù)擁有者和流程擁有者一起);建立一個(gè)培訓(xùn)與意識(shí)程序。
此外,可測(cè)量和成熟的管理系統(tǒng)也是必不可少,建立測(cè)量程序 (企業(yè)文化,流程與技術(shù));收集數(shù)據(jù)和部署風(fēng)險(xiǎn)報(bào)告工具以方便測(cè)量,風(fēng)險(xiǎn)管理,溝通和及時(shí)的決策。并創(chuàng)建一個(gè)安全意識(shí)計(jì)劃,用來(lái)考量由企業(yè)風(fēng)險(xiǎn)管理計(jì)劃和當(dāng)前事件驅(qū)動(dòng)的安全意識(shí)培訓(xùn)。
二、建立智能的安全運(yùn)維和快速威脅響應(yīng)
你是否想過(guò),當(dāng)有兩個(gè)類似的安全事件發(fā)生,一個(gè)發(fā)生在中國(guó) 另一個(gè)發(fā)生在美國(guó),它們有可能是關(guān)聯(lián)的,但是如果沒有智能分析幫助關(guān)聯(lián)起它們,這么重要的一個(gè)模式可能不會(huì)被關(guān)注到。
作為CISO可以建立一支熟練的事件管理團(tuán)隊(duì),具備足夠的資源來(lái)應(yīng)對(duì)取證要求,并開發(fā)一套統(tǒng)一的事件處理策略和流程,同時(shí)利用一致的工具和安全智能進(jìn)行事件管理和調(diào)查取證。當(dāng)然,開發(fā)安全信息事件管理能力來(lái)捕捉和跟蹤所有安全事件也是必不可少的。
三、社區(qū)網(wǎng)絡(luò)和移動(dòng)辦公的安全協(xié)作
在全民皆移動(dòng)的BYOD時(shí)代,企業(yè)移動(dòng)也面臨著諸多安全挑戰(zhàn),CISO也忙于將個(gè)人隱私和企業(yè)數(shù)據(jù)的安全隔離,實(shí)現(xiàn)身份管理、訪問(wèn)控制和授權(quán),從而提供企業(yè)應(yīng)用和數(shù)據(jù)的安全訪問(wèn)連接。對(duì)于開發(fā)的移動(dòng)應(yīng)用也要進(jìn)行必要的漏洞測(cè)試,保證應(yīng)用的安全。
需要注意的是,企業(yè)需避免員工在未經(jīng)許可和無(wú)安全控制的情況下使用個(gè)人設(shè)備,需要支持各種私人和企業(yè)擁有設(shè)備且同時(shí)保持企業(yè)安全策略的完整性。
此外,針對(duì)智能終端,要專注終端風(fēng)險(xiǎn),提供用戶所需的靈活性,創(chuàng)新性。對(duì)所有的設(shè)備進(jìn)行注冊(cè),實(shí)現(xiàn)終端的可視性,并能集中強(qiáng)制實(shí)施安全策略;實(shí)施安全工具諸如防火墻、防病毒、入侵防護(hù)來(lái)阻止通過(guò)終端漏洞的惡意攻擊;考慮數(shù)據(jù)分離和加密技術(shù)來(lái)防止數(shù)據(jù)丟失。
四、設(shè)計(jì)開發(fā)“安全”的產(chǎn)品
不可否認(rèn),你的Web網(wǎng)站就是你業(yè)務(wù)的窗口。、,如果窗戶上有洞,蟲子就會(huì)進(jìn)來(lái),如果玻璃上有裂紋,那熱量就會(huì)釋放!在Web應(yīng)用程序中的安全漏洞可以破壞組織的品牌和聲譽(yù)。應(yīng)用事故的根本原因可能存在于整個(gè)軟件開發(fā)生命周期內(nèi)的任何階段。因此,產(chǎn)品開發(fā)團(tuán)隊(duì)需要積極應(yīng)對(duì)在開發(fā)生命周期中安全漏洞所導(dǎo)致的,無(wú)處不在的風(fēng)險(xiǎn)和威脅。
IBM專家建議CISO可以采用嚴(yán)格的方法在整個(gè)軟件生命周期內(nèi)進(jìn)行安全檢查與跟蹤,并利用先進(jìn)的分析技術(shù)來(lái)發(fā)現(xiàn)安全漏洞和弱點(diǎn)。
五、自動(dòng)化IT安全運(yùn)維管理
之所以人們堅(jiān)持用舊的軟件程序,是因?yàn)樗麄兪煜に鼈儯⑶矣玫捻樖郑且掷m(xù)管理一系列軟件的更新幾乎是不可能的。如果有一個(gè)清潔的、安全的系統(tǒng),管理員可以跟蹤每個(gè)程序的運(yùn)行并確信它是最新的,并且有一個(gè)全面的系統(tǒng)能為為其它系統(tǒng)安裝的更新和補(bǔ)丁。當(dāng)然,這個(gè)清潔的過(guò)程也應(yīng)該是常規(guī)的和嵌入系統(tǒng)管理中的。
企業(yè)CISO可以把全部的基礎(chǔ)設(shè)施登記到一個(gè)集中目錄中并且積極退休的傳統(tǒng)組件;數(shù)據(jù)合規(guī)的端到端可見性;自動(dòng)化的補(bǔ)丁管理,幫助確保基礎(chǔ)架構(gòu)可以抵御當(dāng)前的威脅;識(shí)別機(jī)會(huì)外包常規(guī)監(jiān)測(cè)功能。
六、確保一個(gè)安全易恢復(fù)的網(wǎng)絡(luò)
想象一下,一家企業(yè)的IT基礎(chǔ)設(shè)施就像一個(gè)巨型酒店有著超過(guò)65,000扇門和窗戶,當(dāng)公眾被允許進(jìn)入大堂之后,客房的訪問(wèn)由登記和客戶鑰匙來(lái)控制。而網(wǎng)絡(luò)安全工具,正是為組織提供了一種方法來(lái)控制進(jìn)入含有機(jī)密數(shù)據(jù)和關(guān)鍵系統(tǒng)存儲(chǔ)的“房間”。
CISO需要注意的是,在有效的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理同時(shí),需要利用安全智能的強(qiáng)大工具和流程,從而控制網(wǎng)絡(luò)訪問(wèn)并保證彈性。 1、使用最新的技術(shù)來(lái)監(jiān)控和防護(hù)威脅 2、收集安全信息來(lái)獲得整個(gè)網(wǎng)絡(luò)的全局視野。通過(guò)安全智能關(guān)聯(lián)和交叉引,收集已發(fā)生的網(wǎng)絡(luò)安全事件,評(píng)估網(wǎng)絡(luò)安全成熟度,查看內(nèi)部和外部的度量與分析來(lái)驅(qū)動(dòng)主動(dòng)威脅緩解。 3、優(yōu)先排序你所需要或者不需要的控制措施。從平常的監(jiān)控活動(dòng)中識(shí)別機(jī)會(huì)到任務(wù),使用分析工具,持續(xù)的評(píng)估威脅狀況,尤其是您的業(yè)務(wù)。引入外部威脅分析來(lái)補(bǔ)充您有的分析能力。
七、處理云和虛擬化帶來(lái)的新安全要求
時(shí)至今日,云計(jì)算已經(jīng)到了高度普及的時(shí)代,但它可能會(huì)帶來(lái)一些風(fēng)險(xiǎn)。如果一個(gè)企業(yè)遷移到云計(jì)算的IT服務(wù),這將在近距離接觸許多其他事物,當(dāng)然也可能包括欺詐分子,要在云這樣的環(huán)境中茁壯成長(zhǎng),CISO必須得有工具和程序把自己與別人隔離開來(lái)以及/或者隨時(shí)監(jiān)測(cè)可能的威脅。
應(yīng)該從何處開始開發(fā)一個(gè)有效的云安全戰(zhàn)略呢?IBM專家建議,首先要理解安全需求,是否采用基于云的還是傳統(tǒng)IT基礎(chǔ)架構(gòu)。然后開發(fā)一個(gè)云安全路線圖,以識(shí)別云相關(guān)的安全風(fēng)險(xiǎn)和緩解措施。開發(fā)針對(duì)云提供商的安全需求,包括合同義務(wù)的遵守和報(bào)告。在云服務(wù)提供商所提供的安全基礎(chǔ)之上實(shí)施分層安全控制。與此同時(shí),從內(nèi)部和外部系統(tǒng)收集安全數(shù)據(jù),進(jìn)行分析和識(shí)別安全威脅和趨勢(shì)。
八、管理第三方安全合規(guī)
相信很多人都需要遇到這樣的情況,一個(gè)外包員工臨時(shí)需要訪問(wèn)系統(tǒng),你該如何確保他有訪問(wèn)密碼?是把密碼寫在記事本上?還是郵件發(fā)給他?要知道,這類即興行為是有風(fēng)險(xiǎn)的。安全的企業(yè)文化必須超越公司的邊界,并建立承包商和供應(yīng)商之間最佳實(shí)踐這類似以前對(duì)承包商和供應(yīng)商之間最佳實(shí)踐。這類似以前對(duì)于質(zhì)量控制的流程驅(qū)動(dòng)。 邏輯上是類似的:安全,就像質(zhì)量管理,應(yīng)該被注入到整個(gè)生態(tài)系統(tǒng)。由于粗心導(dǎo)致的災(zāi)難性后果可能會(huì)震撼到整個(gè)行業(yè)。
CISO所要做的是,將安全作為企業(yè)并購(gòu)整合的一部分;評(píng)估供應(yīng)商的安全和風(fēng)險(xiǎn)的政策和做法,教育他們合規(guī);評(píng)估行業(yè)數(shù)據(jù)保護(hù)要求和規(guī)定與流程的一致性,諸如:PCI, GLBA, HIPAA, SOX, NERC- CIP;管理供應(yīng)商風(fēng)險(xiǎn)生命周期。
除此之外,還必須有能力管理延伸的企業(yè)風(fēng)險(xiǎn),因?yàn)榈谌綐I(yè)務(wù)合作伙伴,在提供商業(yè)價(jià)值的同時(shí)也代表了一個(gè)隱藏的合規(guī)風(fēng)險(xiǎn)。在評(píng)估潛在的第三方供應(yīng)商時(shí),是否具備平衡風(fēng)險(xiǎn)、獎(jiǎng)勵(lì)和成本的專業(yè)知識(shí),以及適當(dāng)?shù)男袠I(yè)標(biāo)準(zhǔn)知識(shí),諸如:ISO27002, SSAE 16和SIG AUP。并掌握用于促進(jìn)供應(yīng)商風(fēng)險(xiǎn)管理和與企業(yè)利益相關(guān)者溝通的風(fēng)險(xiǎn)和治理工具。
九、更好的數(shù)據(jù)安全與隱私保護(hù)
數(shù)據(jù)安全與隱私保護(hù)是CISO工作的重中之重,應(yīng)該遵循什么樣的路徑來(lái)保護(hù)數(shù)據(jù)呢?IBM專家建議到,首先,評(píng)估差距制定數(shù)據(jù)保護(hù)戰(zhàn)略。了解敏感或者機(jī)密數(shù)據(jù)是如何存放和在業(yè)務(wù)流程中使用的,然后定義一項(xiàng)戰(zhàn)略,在數(shù)據(jù)生命周期的各個(gè)階段保護(hù)數(shù)據(jù),并驗(yàn)證第三方策略和實(shí)踐的合規(guī)性。其次,設(shè)計(jì)一個(gè)強(qiáng)健的數(shù)據(jù)管理架構(gòu)。在整個(gè)企業(yè)范圍內(nèi)建立數(shù)據(jù)分級(jí)和相應(yīng)的安全基線與保護(hù)級(jí)別,實(shí)施一系列通用和標(biāo)準(zhǔn)化的安全度量,并將數(shù)據(jù)保護(hù)對(duì)準(zhǔn)業(yè)務(wù)目標(biāo),以創(chuàng)建文化意識(shí)與員工責(zé)任。再次,部署先進(jìn)的數(shù)據(jù)保護(hù)技術(shù)。實(shí)施先進(jìn)的工具來(lái)測(cè)試實(shí)施實(shí)踐,并提供終端,網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)無(wú)縫整合的全覆蓋。此外,在保證合規(guī)的同時(shí),對(duì)業(yè)務(wù)生產(chǎn)影響最小化。
十、管理數(shù)字身份生命周期
最后還有一個(gè)容易忽略的地方,假設(shè)有一個(gè)合同工獲得了全職雇傭,6 個(gè)月后,他獲得了提升,但一年后競(jìng)爭(zhēng)對(duì)手把他挖過(guò)去了,那系統(tǒng)該如何對(duì)待這個(gè)人呢?首先,系統(tǒng)必須給他有限的訪問(wèn)數(shù)據(jù)的權(quán)限,然后根據(jù)他的情況打開更多的窗口,最后及時(shí)的把他的權(quán)限完全消除。這其實(shí)是一個(gè)管理身份生命周期的問(wèn)題。這是至關(guān)重要的,公司對(duì)于賬號(hào)管理不善,在黑暗中操作,極有可能會(huì)受到攻擊。
這看似很簡(jiǎn)單,但也需要CISO 利用業(yè)務(wù)驅(qū)動(dòng)控制來(lái)開發(fā)優(yōu)化的身份和訪問(wèn)管理策略,要貫穿整個(gè)身份和訪問(wèn)生命周期的,標(biāo)準(zhǔn)化的、基于策略的控制機(jī)制和智能監(jiān)控技術(shù)確保成功追蹤和報(bào)告合規(guī)。
這十項(xiàng)安全實(shí)踐經(jīng)驗(yàn)在構(gòu)建企業(yè)安全平臺(tái)方面已經(jīng)很全面了,掌握了這些,相信作為CISO會(huì)從緊張“救火員”轉(zhuǎn)變?yōu)楦哒頍o(wú)憂的新一代安全領(lǐng)導(dǎo)者。當(dāng)然,如果有更好的實(shí)踐經(jīng)驗(yàn),也歡迎和我們分享。
