CSO : 常识操作员/操作
作为CSO/CISO或负责信息安全的个人,你的工作是……嗯……你真的知道吗?高层管理人员知道吗? “我们糟糕的CSO……”和“我们愚蠢的CSO……”是各种(技术)人员常用的说法,他们绝望地举手,试图证明他们的CSO不懂技术,也不知道自己在做什么。有道理,我认识的一些CSO/CISO没有系统管理、系统工程的背景,也没有信息安全的实际操作经验。同时,CSO的职位通常是由需要符合X和Y的合规性以及业务经济/优先级(增长、收入、稳定性、性能等)驱动的。尽管CSO可能理解基于风险管理的方法的必要性,包括所有附加功能,但他或她的问题可能不在于不理解“他应该或不应该做什么”,而在于“他或她被允许做什么”。这并不使CSO愚蠢,生活不是那么黑白分明的,但如果他或她未能与同事分享这些约束,他或她可能会被普遍误解。为了以务实的方式仍然实现某些目标,如果CSO和技术人员都尝试采取一些步骤来缩小技术与业务需求之间的差距,可能会有所帮助。或者,换句话说,它可能有助于CSO做应该做的事情,而不损害业务目标。
我15多年前开始了我的职业生涯,担任系统管理员、系统工程师和网络工程师。信息安全只是一个“爱好”,直到后来才添加到我的职责中。2.5年前,我成为一家泛欧公司的CISO,我必须承认,我在从技术人员转变为处理较少技术内容的过程中挣扎。事实上,作为前技术人员现经理,一件相当困难的事情是当你意识到某种防御措施不会100%有效,因为你知道有绕过它的方法。同时,应用防御技术仍然是一个好主意,因为它比什么都不做要好。从全局来看,我们只是在尝试实施多层防御,试图在潜在攻击的所有阶段使犯罪分子的生活尽可能困难。在这篇简短的博客文章中,我将分享一些我的经验,并尝试就一些你可以做的事情提供我的两分钱,通过应用常识使你的环境更安全。
我们为什么在这里?
首先,从事IT和信息安全工作的人应该思考“为什么”他们是公司的一部分。“使事情安全”是一个相当模糊的答案,同时可能令人不知所措,因为有“这么多事情”还不安全,并且由于“业务优先级A或业务决策B”似乎无法保护。与其抱怨,我们可以尝试找出公司到底关心什么,以及如何将其转化为IT或信息安全。如果你的经理无法告诉你你的工作的哪一部分对公司重要,也许你可以自己找出:
-
检查公司愿景和使命。公司通常在其网站上发布使命声明。找到它,将其分解,并检查“信息安全”如何/在哪里对实现这些目标重要/适用。示例:http://www.google.com/about/company:“谷歌的使命是组织世界的信息,使其普遍可访问和有用”。这个声明包括“组织信息”、“使信息普遍可访问”和“使信息有用”。这3部分是“功能需求”,似乎与“安全”完全无关。事实上,你可能在任何使命声明中都找不到“安全”或“安全性”(除非公司提供安全解决方案)。无论如何,这些“功能需求”是公司关心的。这是产生收入的原因,也是确保你得到报酬的原因。如果你的行动对这3件事中的任何一件产生负面影响,你很快就会找新工作。
-
识别实现公司愿景和使命所需的IT组件。如果你知道哪些IT组件是实现目标所必需的,你就会知道在实施IT安全措施时应该关注哪里。换句话说,你会知道什么是重要的以及为什么重要。“信息”通常意味着“数据”,所以也许公司希望确保实施访问控制。“普遍可访问”意味着你可能不被允许阻止授权人员访问数据。同时,在某些情况下可能需要阻止访问。
-
建立坚实的基线。除了实施直接影响/支持公司愿景和使命的安全措施外,你还需要一个坚实的基线,可能由ISO/行业标准、法律要求(合规性)或只是常识驱动。这是经常引起挫败感的灰色地带,因为人们要么尝试做太多,要么不够关心。确保你的IT系统具有合理的安全水平,足以防止犯罪分子轻易进入,但不过度花钱,当然也不破坏公司,是重要的。
综合起来:如果公司的愿望是“快速到达某处”(使命),也许他们想使用一辆快车来实现(IT组件),而你的工作是确保它有安全气囊,刹车功能正常,并且不漏油(基线)。此外,确保汽车司机知道如何正确和安全地操作它(培训与意识)符合公司的利益。是否需要碰撞检测和自动刹车取决于公司,不应该是你的首要任务。记住这一点,并每年花时间审查公司愿景和使命。
无论如何,在本文中,我将尝试提供一些关于这个基线的想法,以及你可以通过一些基本、有效的步骤来提高整体安全水平。
我们如何/从哪里开始?
1. 积极态度
无论你喜欢与否,成功很大程度上取决于你的方法和态度。与其关注问题并通过告诉别人事情有多“破碎”来毒害他人,尝试将这些“问题”视为事实、挑战,并找到创造性、有效且理想情况下低成本的缓解这些“问题”的方法。没有完美这样的事情,所以停止在消极上浪费精力。尝试积极,并接受技术变化和安全是一个过程。有很多事情可以做,让我们先从基础开始。
2. 常识优先级
与其购买最新的“下一代”设备,具有蓝色、红色、绿色、黄色和(哇-全新)黑色LED,你有选择和机会专注于可能更有效且成本更低的事情。在担任CISO的头两年,这是我做的:
承诺
向你的同行、IT和业务伙伴解释你理解对业务重要的是什么,并且你会尽力避免对业务流程产生影响,这是重要的。人们关心功能和性能,所以记住这一点。同时,信息安全在许多公司中通常有负面形象,很难摆脱这种形象。改变这种形象的一个可能方法是说服人们允许你(信息安全)在早期阶段成为新项目和倡议的一部分。同时,尽你最大努力确保你不会在那时减慢项目/进程。如果你在制造一辆汽车,在早期阶段实施有安全气囊的想法更有意义。如果公司必须召回数十万辆汽车以便之后添加安全气囊,猜猜看,他们可能会责怪你。解释你致力于确保他们能够按时交付,并且你想避免在最后出现减速和问题。
积极主动
花时间倾听和与人交谈。询问业务进展如何,并倾听他们要说的话。如果你在走廊听到关于新倡议的谣言,或者如果你在午餐或咖啡休息时偶然从人们那里听到想法,尝试提出一种方法来帮助促进这些新想法,而不是提出新想法不会安全的原因。成为早期采用者,在IT(安全)部门内建立概念验证,然后尝试说服组织中的“关键”人物你的方法确实有效。此外,大多数经理不喜欢输掉争论。每次你从他们那里拿走什么东西或给他们一个“不”,你需要一系列“是”来说服他们你仍然站在他们一边。
增加可见性
如果你不知道发生了什么,你就无法修复事情。同时,如果你从一开始就没有做对,很容易被警报和信息淹没。这意味着你需要了解网络和系统的布局,并确定你真正关心什么。你真的关心每天在互联网上发生的百万次端口扫描吗?如果你没有托管网站,你真的想看到下一波大规模SQL注入扫描吗?也许知道什么流量离开你的网络可能更重要。或者也许你想知道“王国钥匙”发生了什么。以下是一些想法:
-
首先,同意报告问题的协议并坚持它。增加可见性意味着你会得到一堆警报,其中一些需要有人采取行动。如果IT希望你通过他们的帮助台报告一切,那就这样做。让他们决定他们希望你如何报告问题,并尽量避免使用“紧急”,除非某事真的“紧急”。你收到警报的事实只意味着你检测事物的能力提高了。这并不意味着事情变得更糟。不要用它来指责某人或显示事情有多糟糕。避免人身攻击,并表明你站在同一立场,希望共同解决方案。允许IT人员(安全之外)查看你的仪表板,这样他们感到参与,甚至可以在你之前反应/响应。无论如何,尝试从一开始就与IT合作。以你希望他人行为的方式行事。
-
定位重要的网络入口和出口点。(即地理/国家网络连接、互联网访问、具有不同安全级别的网段之间的交叉点)并实施简单的IDS来查看内部流量和内部到互联网的流量。首先避开互联网到内部的流量,你仍然可以在以后添加该功能。确保所有事件都记录在中央数据库中。不要一次启用所有监控,而是采取分阶段的方法。启用对某种类型/类别事件的监控,并分析结果几周。调整规则,使误报事件的数量接近零,然后再启用一组新规则。如果你想自己托管低成本解决方案,看看Snort / Snorby。它不完美,但它有效,并且会增加可见性。此外,向管理层和网络人员解释IDS只是在监听流量。向他们展示IDS主机连接到“监控”端口而不是“在线”,向他们展示它不会降低网络性能,也不会成为单点故障。证明你意识到他们的担忧,并致力于确保一切正常工作。
-
识别谁在你的关键系统上拥有管理员权限,并监控这些账户的使用,和/或监控可能导致获得管理员权限的组成员身份。监控重要账户的账户更改(账户锁定、密码更改)。如果服务器特定的服务账户在另一台机器上使用,你应该知道。如果管理员账户用于访问电子邮件,你应该意识到。Windows Server/Active Directory能够执行详细的事件日志记录,你可以使用简单的powershell脚本导出事件并过滤它们。如果你有一些预算,你可以看看审计软件,如“Netwrix Auditing Suite”,这将使你的生活轻松得多。
-
在实施工具之前思考你想看到和监控什么。如果一个工具不完全符合你的需求,挑战供应商/开发人员;或者自己写一些东西。
-
建立正式的用户账户生命周期管理系统。首先识别不再活跃/未使用的用户账户和/或具有高权限的用户账户。清理未使用的账户,并看看你是否能说服HR每月报告离开公司的人员姓名。同时,继续运行识别不再使用的账户的脚本,并确保它们最终被清理。确保IT管理员密码更改(比其他账户更快),如果IT中有人离开公司,更改重要的IT管理员密码。对自己采用和应用高标准。
降低风险
只有当你对网络和系统上发生的事情有很好的理解时,你才准备好进行一些更改。我认为我们都同意更改事情并非没有风险,人们可能会提出好和坏的理由为什么你不能进行更改。提前计划,确保正确测试更改,并在强制他人之前长时间将更改应用到自己身上。如果事情对你不奏效,它们对其他人也不会奏效。不要给人们机会说“它不会工作”,首先尝试它,并在现实环境中尝试,使用类似于其他人环境的环境和应用程序集。最后,即使公司没有很好的测试更改或变更管理的历史,也要专业并对