0xA1: 新官上任三把火

作为一个新上任的信息安全负责人来说,最重要的事情莫过于是开会。假设现在信息安全部门负责人=信息安全部门的话,这样就需要一个人承担起包围信息安全部门的责任。笔者在这一章节中不想讨论过多的技术细节,这里希望讨论的更多的是跨部门合作。

信息安全负责人(假设是CSO,但是有些公司的信息安全部是直接由CIO管辖的),上任的第一件事情应该是先和管理层碰个头,一般情况是公司CEO牵头,参加会议的包括CTO、CIO、COO、人力总监、财务总监。作为信息安全的负责人来说,需要向以下的人了解如下的情况:

CEO:作为一个企业的领头羊,CEO往往带有最高指挥官的意思,往往会有着一个清晰的长期规划,这个规划可能是未来用户量需要发展到xxx人,也可能是做到全国topX,首先对于信息安全负责人来说,信息安全工作的发展需要结合公司的长线计划进行发展和迭代,这里作为安全负责人,我们需要从CEO处获得公司未来发展的长线计划,尤其是和自己的相关的。

CIO:CIO其实是企业中负责信息技术架构的最高负责人,和CTO一样,CIO相当于是负责为产品提供后台的支援和解决方案的,从CIO处我们可以获得公司现在的信息系统架构以及IT资产容量,并且还可以获得IT资产对应负责人的信息,方便于我们后期维护资产和做应急响应类的工作。

CTO:CTO负责的是产品的开发、测试、发布等一系列符合公司产品生命周期的指挥官,从CTO处我们需要获得整个铲平生命周期对应的负责人,要完成对其的映射工作。

COO:COO是负责公司运营的指挥官,从COO处我们可以获得各个部门和各个人员的组织架构图,收集这些信息的目的是为了方便之后的应急响应工作责任到人。

人力总监(或者HRBP):与TA们沟通主要是为了了解你可以招多少个人,也就是你有多少HC,这样的话你可以根据人数来确定你需要什么人,多少人等人力方面的问题。

财务总监:其实就是去问一下你这个部门有多少预算。

如果以上描述你没有听明白的话,笔者这里在总结一下,其实你需要的是以下的东西:

  1. 公司整体的组织架构图(COO处)
  2. 产品团队/业务线和交付团队负责人的映射关系(COO处)
  3. 全网拓扑、各系统的逻辑拓扑、物理部署图、各系统调用关系、服务治理结构、数据流关系等(CTO处)
  4. 信息安全部门的HC数量(人力总监处)
  5. 部门经费(财务总监处)

到此的话,我们的信息收集工作基本上也就完成了,接下来我们要做的就是,客套客套和各部门打好关系,方便以后的合作,逃)

作为安全负责人来说,我们明白企业安全到底是个什么概念,其实在笔者看来,企业安全的概念就是以下几点:

  • 信息安全管理:这里包括整体的信息安全设计流程和整体策略等,这一部分的工作难点在于跨度大,但是比较容易完成
  • 基础架构与网络安全:机房、生产终端、IDC、各种服务程序、中间件、数据库等,这一部分如果之前资产收集做的相当OK的话,这一部分应该是很轻松的做就完了,但是不代表这一部分就不重要,这一部分关乎到以后应急响应、安全检测等安全日常工作的推进难度和工作量,信息安全工作时间很宝贵,基本上都是跟攻击者在抢时间,避免不必要的浪费时间也是工作的一个重点
  • 应用和交付安全:对于企业来说,核心往往是产品,一个产品的生命周期包括需求调研、原型设计、实际开发、测试、灰度发布、反馈等环节,每一个关系都需要承担一些信息安全的风险,这一部分最科学的解决方案是SDL,但是鉴于产品可能上线一段时间后才会组建信息安全团队,所以往往SDL是不会先于产品第一版上线的,所以这部分前期的工作会着重放在对现有产品进行安全评估
  • 业务安全:这一部分往往是和业务相关的,往往是根据业务的特殊性来决定的,比如说反钓鱼、反Botnet、舆情监控、反外挂、反爬虫、征信等,这些往往都是在信息安全建设到一定阶段,并且已经引起了黑产大哥们的注意的时候才开始去关注的,但是这一部分后期会越来越重要,而且还需要考虑成本,如果不差钱的话可以引入外部安全服务来解决这个问题。

我们假设你应聘的公司规模不大,那么在刚刚开始的业务起步期,你需要做的内容其实具体下来也没多少:

  • 漏扫和补丁集管理(消灭已知漏洞和威胁)
  • 链路层以上(不包括链路层)的访问控制(用来防止越权操作)
  • 常见威胁检测(诸如弱口令、服务器的安全配置)(还是防止配置不合规导致的安全问题)
  • 端口扫描(防止开放了不合理的端口导致被入侵)
  • 操作系统加固(确保合适程序跑到合适的权限上)
  • 安全编码(找几个ppt给开发对一下就行了)
  • 不定期渗透测试(可以自己来也可以服务)
  • 划分安全区域,要把办公网和服务器集群分配到不同的网段

我们现在也基本上有了企业信息安全工作的方向和关注点,接下来我们肯定需要人去做这件事,也就是招人,但是投简历的人你懂的,在信息安全建设的初期需要大牛的同时也需要有潜力的新人,一般招人的话有这么几种套路:

  • 买团队:看着不错的安全团队直接招安,给一个难以拒绝的条件(前提是财务部允许的情况下)
  • 攻防老油条:找一些干了很多年攻防的的大师们过来每天对集团进行巡检,这样的话暴露出来的问题就会少很多
  • 开发老司机:这里的开发需要懂一些安全的套路,主要是用来开发安全运营类平台,提高安全运行的效率
  • 超长待机运维狗:这里需要一些运维的人员配合攻防人员来进行安全巡检,同时一旦出现了安全事件的话,运维们要第一时间来进行应急响应。

这样的话我们也就有了团队了,工作相对容易开展很多,这时候我们在等待这些兄弟入职的时候,我们可以去下基层干以下的事情:

  • 去机房走一走,确认一下相关的环境是不是真实的,同时与管理员聊一下平时的管理制度实际落地是怎么样的。
  • 制定一份信息安全管理制度提交给公司管理层进行审阅,让管理层知晓你要干的事情,需要哪些部门的配合,并且解释一下原因。
  • 去产品部门转转,了解一下开发们的习惯和平时写代码的风格,和开发聊聊他们对于安全的看法。
  • 制定一份培训的方案,定期对公司的员工进行安全上的培训。

这些做完的话,可能需要一段时间了,等人员到齐了,制度落实了,我们可以进行第二阶段了。

理想的SDL:笔者心目中也是很多人心目中比较理想的SDL图其实是这样的:

但是实际落地嘛。。呵呵。。。

编辑于 2017-04-20

文章被以下专栏收录