到今天围炉夜话系列已经是第六篇了,看过前面五篇的朋友想必大致明白了我的逻辑,讲了那么多,其实就是信息安全怎么看的主题。
接下来我们来聊聊信息安全怎么做。
很早之前我在听信息安全意识培训的时候,还记得关于信息安全目标的总结,有十八个字:进不来、看不懂、拿不走、改不了、打不垮、跑不掉。
还记得如何把一只大象关进冰箱么?
总共分三步:第一步,把冰箱门打开。第二步,把大象塞进去。第三步:把冰箱门关上。
那么我们信息安全工作要做好,总共分四步,不过卖个关子,今天只告诉你第一步,别打我,虽然我是故意的。
第一步是看得见,用个成语来介绍就是洞若观火。外晓攻击和威胁,内察内鬼和违规,知敌知己。
看见大家都知道是什么意思,那么看得见呢?
在信息安全领域,看得见其实包括两个层次,第一个层次是你只能看见表象和结果;第二个层次是你能将看到的结果进行倒推和分析,能得出产生这个结果的若干条件和现象。当你再遇到这些条件和现象时,你就知道一定会再次发生什么事情。
小时候你看到彩虹时会兴奋不已,彩虹就是你看见的表象和结果。
后来等你上学时,老师就会在课堂上跟你解释,彩虹是因为太阳光照射到空气中的水滴,光线被折射及反射,在天空上形成拱形的七彩光谱,雨后常见,这个时候,你就知道了彩虹形成的原因。
再后来,当雨后初晴时,你就会和一群小伙伴一起望着天边,等待彩虹的出现。
这就是看得见的能力。
家里老人看到蚂蚁垒窝、鱼跳水、燕子低飞的时候,就会叮嘱后辈们出门时一定要带把雨伞。
水果超市送货员问老板,要不要多送些西瓜和桃子过来?老板淡淡一笑,今年夏天雨水多,瓜果没有往年甜,还是少来点吧。
西门庆发现武大郎每天早出晚归,潘金莲一脸忧伤倚坐窗前就知道自己好事将近。
精明的投资人发现政府开始大力扶持自己投资的行业,立马撤出投资转向其他行业。为什么这么讲,举个再简单不过的例子,90年代农民每年要向国家上缴公粮,而现在国家每年倒贴一定的惠农补助给农民,但是农民的收入呢,我就不用多讲了吧。
生活里,看得见的智慧无处不在。
电影《一代宗师》中宫二小姐说,习武之人有三个阶段:见自己,见天地,见众生。
那么信息安全看得见的能力建设,也是如此。
见自己,还是从见漏洞说起。
一部分人眼里只有漏洞,他们的安全活动完全由漏洞来驱动,这是初出茅庐的愣头青。
今天补东墙,明儿补西墙,漏洞补不完,因此修修补补无穷匮矣。但是他们乐衷于找漏洞,补漏洞,觉得漏洞是衡量安全工作的唯一度量衡。
不过凡事有弊必有利,正因为这一部分人的存在,他们对找漏洞的需求推动了国内各种漏洞扫描产品、渗透测试以及众测服务的繁荣,于是乎新兴的安全服务商山头林立,各种风投热钱也开始注入漏洞扫描和众测这块市场,这也算是给沉闷的安全服务吹进了一股新风。
从传统的风险论角度来看,漏洞只是影响安全风险的三要素之一。
从安全架构角度来看,现阶段基于漏洞的服务只是最底层技术设施关联的一块内容而已。
从业界认可的信息安全观来看,漏洞永远都找不完,你的目标局限于找漏洞的话就会疲于奔命。
漏洞管理是一项单纬度的安全能力,不要试图用它来解决全纬度的安全问题。sql注入漏洞好找,但是未知漏洞、系统设计缺陷、业务逻辑问题你怎么办?当然这些还仅仅是技术层面的问题。
那怎么样来发现自己家的漏洞?这里边其实也分四大类:
1.被测评机构发现
这些机构基本上是国家基础设施行业相关的一些行业,像部委、省、市几级党政机关、银行、税务、海关、电力、能源、铁路、民航等等,这也是我们国家最早开展安全检查工作的第一批机构及企业。这些机构每年都会邀请第三方安全测评机构来对指定系统进行安全评估和检查,然后对发现的各类漏洞进行整改加固。
2.被自己团队发现
一部分有资源有魄力有远见的机构开始自己打造安全团队,建立自己的安全保障体系,自己有人有技术有工具有制度有流程,能够定期进行内部漏洞的识别和修复,这些机构就包括了一些传统行业巨头和新兴互联网公司。
3.被有关部门发现
黑客利用漏洞进行攻击,被攻击机构的上级监管机构或信息安全职能部门通报,这类所有机构最不愿意的一种漏洞发现方式。像网站页面被篡改、被植入暗链、网站下载文件被捆绑恶意代码、机构内被控制肉鸡攻击其他应用等。
4.被白帽子发现
很早以前,白帽子发现了某机构的安全漏洞,一般是以邮件方式告知对方管理员你丫系统有漏洞了,当然这种形式白帽子除了能获得一句感谢之外,别无他物。当然也有少数机构因为一回生二回熟,巧合之下将白帽子招了进来。
后来有了乌云、补天等漏洞报告平台,以及各大互联网厂商的内部应急响应中心,这个时候,白帽子通过第三方渠道或企业自己的窗口来提交漏洞可以获取一定的酬谢了。虽然在早期一些第三方的漏洞报告平台还存在一些争议,但是这么些年下来,大多数人厂商和白帽子个人还是认可了这种按漏洞付费,避免漏洞进一步扩散造成影响的机制。漏洞报告平台活跃的白帽子数量也是越来越多,慢慢地也衍生出像众测这类“新”的安全服务模式。
众测从第三方漏洞报告平台开始兴起,从线上发展到线下、从互联网公司发布任务到新兴的金融机构也开始尝鲜,慢慢地传统的安全机构和安全公司也开始发起机构内部或联盟之间的可信众测。
如果说乌云和补天以及各家的src算是按疗效付费的话,毕竟是按漏洞给钱嘛。那么传统安全测评机构,其实还是按检查过程收费,跟你去医院挂号做检查一样,不管有没有查出问题,你都得给钱,不过给你做检查的是三甲医院话,结果基本上还是能让人放心了。
前面我为什么给众测的新打上一个引号,因为其实众测平台的收费模式和服务模式和传统测评机构很像。
首先是收费模式,都是按检查过程收费。
然后是服务模式,传统测评机构和安全公司的年度服务,在服务合同年内提供菜单式服务,服务内容标准化,服务次数按客户需求来,比如新系统的安全测试,变更后的安全测试,全面的风险评估服务等等。这个年度服务基本上就等同众测平台的一次性打包+年度vip服务了。还有一类是按漏洞数量收费,这类服务传统测评机构和安全公司也遇到过,一些客户相当看重漏洞,所以在合同里边也就特别说明要按漏洞数量质量进行付费。
但是众测之于传统测评机构不一样的地方,就在于传统测评机构的项目测试是面向项目组成员,而众测是面向众测平台数量众多的白帽子,这也正是传统机构打出可信众测面相全机构全公司进行众测的理由。
众测平台自立山头后,揭竿而起,拉上一批白帽子,组成一支雇佣军,走上了传统安全测评机构渗透测试的路子。
众测平台虽然在逐步被一些用户认可,但是还有一些问题需要解决。首先是风险控制问题,参与众测的白帽子如何来进行可控管理,再深入的背景调查也没有一纸劳动合约来的实在,毕竟是雇佣军性质,这就意味着众测服务的内容和范围是不可能做到传统安全机构的覆盖面的。像很多大型企业的部分内部业务系统,基本上也是不允许通过其他方式映射到众测平台来进行测试的。
再一个就是测试过程中的风险控制,很多时候,严格按照测试规范进行测试的安全测评机构在实施过程中都不能避免一些测试造成的业务影响,缺少针对性测试规范和流程的众测平台如何来避免业务影响也是一个需要解决的难题。
关于众测要讲的事情还有很多,总而言之,控制好风险的众测服务也是一种性价比较高的安全服务,今天在文章里边就不讲太多了。
见资产。
抛开资产、数据、应用和威胁来讲漏洞都是耍流氓。
什么叫见资产,大家都看过中国地图吧,通过地图,可以把咱们国家的山川河流分布、海拔地形走势、行政区划、人口分布、矿产分布等等一览无余。
在信息安全领域,我们的物理机房环境、办公场所、网络结构、安全域划分、主机资产、应用系统、数据库、终端设备、管理制度、人员等等都是我们的资产。
我们可以把行政区划图比做安全域示意图,各个国家的都有直接国界,跨境的话需要有护照和签证,而且跨境的线路也必须有官方指定,这个和安全域之间的访问控制是类似的。当然国与国之间有偷渡通道的存在,很多安全域之间由于管理员的疏忽导致存在互相访问的通道。
另外的矿产分布图就类似我们的敏感数据分布图,我们的网络里边存在哪几类敏感数据,分布在哪些系统,哪些位置,这些和湖南有色金属存储量丰富,内蒙古稀土资源多一样。
作为安全管理人员,我们不仅要看得见所有的资产,而且还要看到不可拆分的最小粒度程度,这是什么意思呢?你不仅要知道你网络里边跑了多少应用,互联网对外发布了多少服务,服务器有多少台,你还得知道你oa系统web服务器weblogic的小版本号,安全补丁更新到哪一个,每一个对外开放的端口的访问范围和作用等等,这就是细粒度。
为什么要知道这些,还记得才曝光的java反序列化漏洞吧,你要是不知道你家里有多少WebLogic、WebSphere和JBoss,你怎么去进行应急响应?如果你的资产管理覆盖不全面,你漏掉了一些边边角角的资产没有打补丁,等到被黑了,被通报了你怎么向领导解释?
关于见资产这个话题,其实可以吐槽的有太多太多了,我都不好意思讲,做的不到位的有两类:
1.不害臊型
走南闯北这几年,大大小小的机构企业也见过不少,说起来不害臊型的管理者还真不少,一天到晚安全挂嘴边,但一问到网络拓扑图、资产清单就开始支支吾吾,让他们介绍下信息化的基本情况也是说不出个一二三,最后扛不住了就找出个三年前的visio图,或者说你们去找xx外包公司,让他们给你来整一个。
2.图样图森破型
还有一些人家的乖乖孩,比较老实听话,所以基本的网络拓扑图、资产清单都有,而且拓扑图画得还挺漂亮,五颜六色,上面还写着2015年第x版,然后厚厚的一本资产清单,着实觉得不错,但是拓扑图压根就现在的网络安全架构就不是一回事,资产清单里边很多虚机资源都已经回收了,新增加的虚机也没有登记在案,各类资产的版本号都是错的,责任人也不明确。
所有的安全工作都是基于你对资产的熟知程度之上,试想一下,你连自己家的敏感数据有哪几类、分布在哪都不知道,你怎么来确定数据防泄漏方案。
见资产,暂时先写这么多吧,下一篇文章我们再继续。
