標籤:

0xA1: 新官上任三把火

01-28
作為一個新上任的信息安全負責人來說,最重要的事情莫過於是開會。假設現在信息安全部門負責人=信息安全部門的話,這樣就需要一個人承擔起包圍信息安全部門的責任。筆者在這一章節中不想討論過多的技術細節,這裡希望討論的更多的是跨部門合作。

信息安全負責人(假設是CSO,但是有些公司的信息安全部是直接由CIO管轄的),上任的第一件事情應該是先和管理層碰個頭,一般情況是公司CEO牽頭,參加會議的包括CTO、CIO、COO、人力總監、財務總監。作為信息安全的負責人來說,需要向以下的人了解如下的情況:

CEO:作為一個企業的領頭羊,CEO往往帶有最高指揮官的意思,往往會有著一個清晰的長期規劃,這個規劃可能是未來用戶量需要發展到xxx人,也可能是做到全國topX,首先對於信息安全負責人來說,信息安全工作的發展需要結合公司的長線計划進行發展和迭代,這裡作為安全負責人,我們需要從CEO處獲得公司未來發展的長線計劃,尤其是和自己的相關的。

CIO:CIO其實是企業中負責信息技術架構的最高負責人,和CTO一樣,CIO相當於是負責為產品提供後台的支援和解決方案的,從CIO處我們可以獲得公司現在的信息系統架構以及IT資產容量,並且還可以獲得IT資產對應負責人的信息,方便於我們後期維護資產和做應急響應類的工作。

CTO:CTO負責的是產品的開發、測試、發布等一系列符合公司產品生命周期的指揮官,從CTO處我們需要獲得整個剷平生命周期對應的負責人,要完成對其的映射工作。

COO:COO是負責公司運營的指揮官,從COO處我們可以獲得各個部門和各個人員的組織架構圖,收集這些信息的目的是為了方便之後的應急響應工作責任到人。

人力總監(或者HRBP):與TA們溝通主要是為了了解你可以招多少個人,也就是你有多少HC,這樣的話你可以根據人數來確定你需要什麼人,多少人等人力方面的問題。

財務總監:其實就是去問一下你這個部門有多少預算。

如果以上描述你沒有聽明白的話,筆者這裡在總結一下,其實你需要的是以下的東西:

  1. 公司整體的組織架構圖(COO處)

  2. 產品團隊/業務線和交付團隊負責人的映射關係(COO處)

  3. 全網拓撲、各系統的邏輯拓撲、物理部署圖、各系統調用關係、服務治理結構、數據流關係等(CTO處)

  4. 信息安全部門的HC數量(人力總監處)

  5. 部門經費(財務總監處)

到此的話,我們的信息收集工作基本上也就完成了,接下來我們要做的就是,客套客套和各部門打好關係,方便以後的合作,逃)

作為安全負責人來說,我們明白企業安全到底是個什麼概念,其實在筆者看來,企業安全的概念就是以下幾點:

  • 信息安全管理:這裡包括整體的信息安全設計流程和整體策略等,這一部分的工作難點在於跨度大,但是比較容易完成

  • 基礎架構與網路安全:機房、生產終端、IDC、各種服務程序、中間件、資料庫等,這一部分如果之前資產收集做的相當OK的話,這一部分應該是很輕鬆的做就完了,但是不代表這一部分就不重要,這一部分關乎到以後應急響應、安全檢測等安全日常工作的推進難度和工作量,信息安全工作時間很寶貴,基本上都是跟攻擊者在搶時間,避免不必要的浪費時間也是工作的一個重點

  • 應用和交付安全:對於企業來說,核心往往是產品,一個產品的生命周期包括需求調研、原型設計、實際開發、測試、灰度發布、反饋等環節,每一個關係都需要承擔一些信息安全的風險,這一部分最科學的解決方案是SDL,但是鑒於產品可能上線一段時間後才會組建信息安全團隊,所以往往SDL是不會先於產品第一版上線的,所以這部分前期的工作會著重放在對現有產品進行安全評估

  • 業務安全:這一部分往往是和業務相關的,往往是根據業務的特殊性來決定的,比如說反釣魚、反Botnet、輿情監控、反外掛、反爬蟲、徵信等,這些往往都是在信息安全建設到一定階段,並且已經引起了黑產大哥們的注意的時候才開始去關注的,但是這一部分後期會越來越重要,而且還需要考慮成本,如果不差錢的話可以引入外部安全服務來解決這個問題。

我們假設你應聘的公司規模不大,那麼在剛剛開始的業務起步期,你需要做的內容其實具體下來也沒多少:

  • 漏掃和補丁集管理(消滅已知漏洞和威脅)

  • 鏈路層以上(不包括鏈路層)的訪問控制(用來防止越權操作)

  • 常見威脅檢測(諸如弱口令、伺服器的安全配置)(還是防止配置不合規導致的安全問題)

  • 埠掃描(防止開放了不合理的埠導致被入侵)

  • 操作系統加固(確保合適程序跑到合適的許可權上)

  • 安全編碼(找幾個ppt給開發對一下就行了)

  • 不定期滲透測試(可以自己來也可以服務)

  • 劃分安全區域,要把辦公網和伺服器集群分配到不同的網段

我們現在也基本上有了企業信息安全工作的方向和關注點,接下來我們肯定需要人去做這件事,也就是招人,但是投簡歷的人你懂的,在信息安全建設的初期需要大牛的同時也需要有潛力的新人,一般招人的話有這麼幾種套路:

  • 買團隊:看著不錯的安全團隊直接招安,給一個難以拒絕的條件(前提是財務部允許的情況下)

  • 攻防老油條:找一些幹了很多年攻防的的大師們過來每天對集團進行巡檢,這樣的話暴露出來的問題就會少很多

  • 開發老司機:這裡的開發需要懂一些安全的套路,主要是用來開發安全運營類平台,提高安全運行的效率

  • 超長待機運維狗:這裡需要一些運維的人員配合攻防人員來進行安全巡檢,同時一旦出現了安全事件的話,運維們要第一時間來進行應急響應。

這樣的話我們也就有了團隊了,工作相對容易開展很多,這時候我們在等待這些兄弟入職的時候,我們可以去下基層干以下的事情:

  • 去機房走一走,確認一下相關的環境是不是真實的,同時與管理員聊一下平時的管理制度實際落地是怎麼樣的。

  • 制定一份信息安全管理制度提交給公司管理層進行審閱,讓管理層知曉你要乾的事情,需要哪些部門的配合,並且解釋一下原因。

  • 去產品部門轉轉,了解一下開發們的習慣和平時寫代碼的風格,和開發聊聊他們對於安全的看法。

  • 制定一份培訓的方案,定期對公司的員工進行安全上的培訓。

這些做完的話,可能需要一段時間了,等人員到齊了,制度落實了,我們可以進行第二階段了。

理想的SDL:筆者心目中也是很多人心目中比較理想的SDL圖其實是這樣的:

但是實際落地嘛。。呵呵。。。

推薦閱讀:

想做黑客?先看看這個信息安全資源列表吧~
如何成為一名信息安全工程師?
新勒索軟體DynA-Crypt不僅要加密你的文件 而且竊取並刪除它們
LastPass 近日「零日漏洞」的解釋
【免費工具】隱寫工具-OpenPuff

TAG:信息安全 | 网络安全 | 安全管理 |