做企業(yè)首席安全官（CSO/CISO）是什么樣的體驗(yàn)？

不少人對(duì)這個(gè)職位感到好奇：“為什么國(guó)內(nèi)很少聽(tīng)到CSO、CSIO”、"他們需要搞黑客技術(shù)嗎"、“如何做好一個(gè)企業(yè)安全負(fù)責(zé)人”、“企業(yè)安全團(tuán)隊(duì)每天工作是不是就是抓黑客”、“CSO都需要具備什么能力？”

曾有人為CSO劃定了基本能力要素：業(yè)務(wù)賦能、安全治理、風(fēng)險(xiǎn)管理、安全技術(shù)、安全管理、業(yè)務(wù)安全、安全運(yùn)營(yíng)、法律合規(guī)、調(diào)查取證、安全審計(jì)、意識(shí)品牌、資源管理。這十二個(gè)因素被認(rèn)為是CSO的能力集，也是一個(gè)企業(yè)安全能力的映射集。

CSO的能力決定了企業(yè)安全能力的天花板，可惜理想與現(xiàn)實(shí)總有落差。不少“天花板”整天關(guān)在辦公室，悶頭想方案，擼代碼，甚至還有一個(gè)人的安全部，全公司安全運(yùn)維都靠?jī)芍皇帧?/p>

這時(shí)候沒(méi)看到什么效果的老板開(kāi)始不滿(mǎn)：業(yè)務(wù)業(yè)務(wù)業(yè)務(wù)！

安全要和業(yè)務(wù)結(jié)合。但究竟如何結(jié)合？多數(shù)人都雙眼迷茫，包括編輯本人。抱著這些疑問(wèn)，雷鋒網(wǎng)和Palo Alto Networks（派拓網(wǎng)絡(luò)）亞太區(qū)首席安全官 Kevin O’Leary 聊了聊。

經(jīng)歷

Kevin 最早在歐洲從事信息安全相關(guān)工作。

【Palo Alto Networks（派拓網(wǎng)絡(luò)）亞太區(qū)首席安全官 Kevin O’Leary】

這位有二十多年安全從業(yè)經(jīng)歷的老兵“漂流”過(guò)不少地方，期間呆過(guò)服務(wù)最終用戶(hù)的安全企業(yè)，也進(jìn)過(guò)廠家，還曾在公共機(jī)構(gòu)、私營(yíng)企業(yè)及大型跨國(guó)公司當(dāng)顧問(wèn)，近些年主要承擔(dān)企業(yè)內(nèi)部CISO的角色。

2012年一個(gè)偶然的機(jī)會(huì)，Kevin來(lái)到澳大利亞在 HP（惠普公司）banking 做信息安全相關(guān)的咨詢(xún)工作。2014-2015年間，他擔(dān)任 HP 亞太及日本區(qū)CISO。

2015年，他來(lái)到中國(guó)，在通用電氣中國(guó)區(qū)(GE China)以及通用電氣旗下全球成長(zhǎng)組織(Global Growth Organization, GGO)擔(dān)任副總裁與CISO職位。

三年后，他來(lái)到Palo Alto Networks（派拓網(wǎng)絡(luò)），主要在新加坡服務(wù)南亞地區(qū)的企業(yè)和用戶(hù)。

這些年Kevin考慮最多的就是怎樣幫助客戶(hù)把企業(yè)做得更加安全，而解決之道化繁為簡(jiǎn)就是兩招，一是技術(shù)融合，二是提早預(yù)測(cè)。

“不是去說(shuō)服客戶(hù)都要把自己企業(yè)安全向下一級(jí)防火墻進(jìn)行遷移，雖然這是我們最主要的業(yè)務(wù)來(lái)源。而是通過(guò)全面的技術(shù)融合，其中包含終端技術(shù)、移動(dòng)互聯(lián)技術(shù)，以及威脅情報(bào)感知等等?！?/p>

單點(diǎn)作戰(zhàn)時(shí)代已經(jīng)過(guò)去，需要有新的技術(shù)打通關(guān)節(jié)，將各個(gè)點(diǎn)的安全產(chǎn)品無(wú)縫對(duì)接。在此過(guò)程中，可以將一些已有技術(shù)進(jìn)行并用升級(jí)，提高效率。

再好的車(chē)最后也要由人來(lái)開(kāi)，對(duì)企業(yè)來(lái)說(shuō)將技術(shù)組件組織成一個(gè)集中管理平臺(tái)更需要專(zhuān)業(yè)安全人才，但目前國(guó)內(nèi)現(xiàn)狀是基層專(zhuān)職安全工作人員和管理員極度匱乏，造成企業(yè)技術(shù)融合無(wú)法推進(jìn)。

這也是目前國(guó)內(nèi)技術(shù)和業(yè)務(wù)結(jié)合的普遍困境之一，除此之外，網(wǎng)安法合規(guī)性的壓力不僅推動(dòng)企業(yè)加大網(wǎng)絡(luò)安全投入力度，也給企業(yè)造成了新挑戰(zhàn)。

另外，由于諸多企業(yè)有跨國(guó)業(yè)務(wù)，就需要防范來(lái)自各個(gè)地區(qū)新型威脅，如何利用最新、最快捷的威脅情報(bào)，保證企業(yè)業(yè)務(wù)安全，這也是很多企業(yè)的挑戰(zhàn)。

當(dāng)然，這些問(wèn)題都可以提早防范。

預(yù)測(cè)

所謂不打無(wú)準(zhǔn)備之仗，作為CSO更應(yīng)能預(yù)測(cè)敵人之后的攻擊方向，及早部署防御。

這些預(yù)測(cè)也要結(jié)合每個(gè)地區(qū)和國(guó)家特點(diǎn)，Kevin 告訴雷鋒網(wǎng)，比如菲律賓的數(shù)據(jù)隱私保護(hù)相關(guān)工作是一個(gè)重點(diǎn)領(lǐng)域，印尼由于有很多制造企業(yè)，用戶(hù)上下游供應(yīng)鏈安全問(wèn)題比較突出。而在中國(guó)，Kevin 做了五個(gè)方面的預(yù)測(cè)。

一、帶附件的商務(wù)郵件

過(guò)去五年間，全球有超過(guò)120億美元的損失源于商務(wù)郵件。

除了盜賬號(hào)密碼這種簡(jiǎn)單粗暴的手法，攻擊者們玩起了Cosplay，比如偽裝成合作伙伴或者內(nèi)部利益相關(guān)者對(duì)各類(lèi)規(guī)模的企業(yè)進(jìn)行攻擊。總之，對(duì)商務(wù)郵件的攻擊一直呈現(xiàn)增長(zhǎng)趨勢(shì)，攻擊者使用的手段也愈加多元和復(fù)雜，從偽裝成公司網(wǎng)址到鎖定員工個(gè)人社交賬號(hào)來(lái)發(fā)動(dòng)攻擊。

更牛X的是這些攻擊越來(lái)越神鬼不知，可以躲開(kāi)種種內(nèi)部檢查。

如果一輛車(chē)有自毀按鍵，一旦有人入侵按鍵后整車(chē)都進(jìn)行銷(xiāo)毀。當(dāng)然這不現(xiàn)實(shí)，但在電子郵箱中是否可以加入這種技術(shù)呢？未嘗不可。除此之外，Kevin也建議企業(yè)選用一些機(jī)器學(xué)習(xí)技術(shù)，雙因子或多因子認(rèn)證及生物識(shí)別技術(shù)對(duì)企業(yè)郵箱進(jìn)行保護(hù)。

二、供應(yīng)鏈安全問(wèn)題

數(shù)字時(shí)代消除了限制，促進(jìn)了全球性互聯(lián)互通供應(yīng)鏈的發(fā)展，使得企業(yè)可以很方便地發(fā)掘全球供應(yīng)商及外包服務(wù)。這種連接也包括數(shù)據(jù)與網(wǎng)絡(luò)的共享，一方面企業(yè)通過(guò)這種連接和分析功能大大提高了效率，另一方面這也給那些伺機(jī)而動(dòng)的攻擊者尋找現(xiàn)有網(wǎng)絡(luò)安全漏洞大開(kāi)了方便之門(mén)。

這種風(fēng)險(xiǎn)尤其表現(xiàn)在醫(yī)療領(lǐng)域，比如核磁共振成像（MRI）和X光機(jī)等醫(yī)療設(shè)備接入醫(yī)院內(nèi)部網(wǎng)絡(luò)與第三方網(wǎng)絡(luò)相連，這就為更多新型攻擊面和漏洞提供了機(jī)會(huì)，而這些醫(yī)院系統(tǒng)往往無(wú)法控制。

“這里要提到的概念是'零信任'，就是即使對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)也不應(yīng)該完全信任，要看清網(wǎng)絡(luò)間的互聯(lián)關(guān)系，內(nèi)網(wǎng)交易也不能完全信任，要用'零信任'的概念來(lái)設(shè)計(jì)自己的安全架構(gòu)?！?/p>

換個(gè)說(shuō)法，首席安全官要對(duì)網(wǎng)絡(luò)流量嚴(yán)密監(jiān)測(cè)，確保敏感信息與外部設(shè)備和系統(tǒng)隔離。一旦多個(gè)未經(jīng)保護(hù)的設(shè)備與公司網(wǎng)絡(luò)相連接，比如物聯(lián)網(wǎng)（IoT），短時(shí)間內(nèi)就會(huì)成為“有威脅的互聯(lián)網(wǎng)”。

這就要求企業(yè)確保固件和應(yīng)用實(shí)時(shí)更新，登錄默認(rèn)設(shè)置一定要修改。如果網(wǎng)絡(luò)中安裝有第三方系統(tǒng)或設(shè)備，一定要采用零信任模式，將全部流量置于特定區(qū)域，對(duì)其進(jìn)行檢測(cè)和區(qū)分，只允許授權(quán)用戶(hù)和應(yīng)用與其通訊。 

三、數(shù)據(jù)安全問(wèn)題

2018年國(guó)內(nèi)數(shù)據(jù)泄露事件風(fēng)起云涌，而2019年相關(guān)事件只高不低。

四、云安全問(wèn)題

現(xiàn)在是一個(gè)應(yīng)用驅(qū)動(dòng)的時(shí)代，部分原因是因?yàn)橛辛嗽朴?jì)算。云計(jì)算可以幫助企業(yè)無(wú)需在計(jì)算資源上面花費(fèi)巨資便可交付產(chǎn)品和服務(wù)，因此成為企業(yè)不可或缺的資源。一方面，云計(jì)算可以幫助我們簡(jiǎn)化某些領(lǐng)域的安全問(wèn)題，但另一方面也會(huì)帶來(lái)新的挑戰(zhàn)。

實(shí)施云戰(zhàn)略便意味要在任務(wù)關(guān)鍵型數(shù)據(jù)和系統(tǒng)方面與第三方展開(kāi)合作，這就要求安全地存儲(chǔ)和傳輸這些數(shù)據(jù)，而且只能由授權(quán)人員訪問(wèn)，這一點(diǎn)相當(dāng)重要。

Kevin表示，企業(yè)在實(shí)現(xiàn)快速創(chuàng)新和快速交付全新服務(wù)的同時(shí)，還要處理復(fù)雜的計(jì)算資源網(wǎng)絡(luò)，就很容易忽略確保網(wǎng)絡(luò)安全的要求。DevOps可以幫助加速開(kāi)發(fā)，但會(huì)給網(wǎng)絡(luò)安全帶來(lái)挑戰(zhàn)，特別現(xiàn)在是正處于由傳統(tǒng)IT管理向DevOps過(guò)渡的階段。

云安全不僅僅是云服務(wù)提供商一家的責(zé)任，企業(yè)更要投入到保護(hù)數(shù)據(jù)、應(yīng)用、操作系統(tǒng)、網(wǎng)絡(luò)配置等諸多安全的戰(zhàn)斗中來(lái)，另外要將流程、技術(shù)以及最重要的人才等安排就位，確保系統(tǒng)足夠安全。

五、關(guān)鍵基礎(chǔ)設(shè)施安全

這一部分指的不僅僅是公共設(shè)施或者資源，還包括其他重要領(lǐng)域，比如銀行和金融服務(wù)、電信和媒體等。由于關(guān)鍵基礎(chǔ)設(shè)施在向數(shù)字化和自動(dòng)化發(fā)展，企業(yè)與工業(yè)網(wǎng)絡(luò)之間相互作用，很容易成為網(wǎng)絡(luò)罪犯的攻擊目標(biāo)。

特別是對(duì)于包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)和工控系統(tǒng)在內(nèi)的工業(yè)系統(tǒng)尤其危險(xiǎn)。工業(yè)系統(tǒng)對(duì)于能源、供水、公共交通等領(lǐng)域十分重要，而且這一系統(tǒng)無(wú)法如傳統(tǒng)系統(tǒng)打補(bǔ)丁。

對(duì)這些基礎(chǔ)設(shè)施擁有者來(lái)說(shuō)，他們更關(guān)注信息保密性，往往忽略了信息完整性和可用性。技術(shù)創(chuàng)新嚴(yán)重倚賴(lài)遙測(cè)和不間斷連接，那些對(duì)千百萬(wàn)公眾生命安全負(fù)責(zé)的系統(tǒng)，要求數(shù)據(jù)必須精確且可獲取。

在這種情況下，Kevin認(rèn)為無(wú)論是公有還是私有基礎(chǔ)設(shè)施，都需要將零信任系統(tǒng)部署到位，并確保訪問(wèn)隔離。

結(jié)語(yǔ)

不久前編輯看了一篇文章：為什么程序員總在改Bug，就不能一次改好嗎？

在日常生活中，即便每個(gè)物品都有使用說(shuō)明書(shū)，可一千個(gè)用戶(hù)就有一千種使用方式。例如用諾基亞手機(jī)砸核桃，用iPad當(dāng)切菜板，所以說(shuō)程序是確定的，但用戶(hù)的使用場(chǎng)景是不確定性的。

各種不按套路出牌的操作會(huì)給系統(tǒng)帶來(lái)挑戰(zhàn)，例如網(wǎng)上有個(gè)段子說(shuō)：

一個(gè)人走進(jìn)一家酒吧，要了一杯啤酒；

一個(gè)人走進(jìn)一家酒吧，要了0.7杯啤酒；

一個(gè)人走進(jìn)一家酒吧，要了-1杯啤酒；

一個(gè)人走進(jìn)一家酒吧，要了2^32杯啤酒；

一個(gè)人沖進(jìn)一家酒吧，要了500杯啤酒咖啡洗腳水野貓狼牙棒奶茶；

一個(gè)人走進(jìn)一家酒吧，要了一杯美國(guó)啤酒，一杯德國(guó)啤酒，一杯比利時(shí)啤酒，一杯青島啤酒

……（以下省略N個(gè)沙雕要酒法）

最后酒吧炸了。

這就是說(shuō)，軟件設(shè)計(jì)中最大的現(xiàn)實(shí)是：設(shè)計(jì)難以完全覆蓋現(xiàn)實(shí)。對(duì)應(yīng)到業(yè)務(wù)層面，技術(shù)和數(shù)據(jù)可能難以覆蓋所有業(yè)務(wù)場(chǎng)景。

 Kevin舉了個(gè)例子，有些企業(yè)在自己的安全運(yùn)營(yíng)中心（SOC）中可能會(huì)關(guān)注來(lái)自不同系統(tǒng)的數(shù)據(jù)源，看到一系列安全事件，里面會(huì)有敏感信息。這時(shí)候怎樣識(shí)別這些安全事件哪些對(duì)企業(yè)業(yè)務(wù)發(fā)展影響更重要呢？

比如對(duì)一個(gè)生物制藥公司，數(shù)據(jù)完整性比數(shù)據(jù)精密性更加重要；對(duì)大型制造業(yè)公司來(lái)說(shuō)，數(shù)據(jù)可用性更加重要；而對(duì)諸如銀行、醫(yī)院等需要數(shù)據(jù)驅(qū)動(dòng)的領(lǐng)域，數(shù)據(jù)的機(jī)密性更加重要。

所以對(duì)每個(gè)企業(yè)安全負(fù)責(zé)人來(lái)講，必須要了解企業(yè)的業(yè)務(wù)方向和戰(zhàn)略，這樣才知道保護(hù)的數(shù)據(jù)哪方面屬性更重要。進(jìn)而把企業(yè)安全和業(yè)務(wù)關(guān)聯(lián)在一起，不僅是一個(gè)技術(shù)層面的技術(shù)決定。也能使資金投入更加明智，避免在某個(gè)領(lǐng)域花錢(qián)過(guò)多或過(guò)少。

總之對(duì)于安全業(yè)務(wù)來(lái)說(shuō)，要從開(kāi)始著手，而不是零敲碎打，東修西補(bǔ)。

雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome），專(zhuān)注先鋒科技，講述黑客背后的故事。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。