近期,著名咨询机构Forrester与终端安全公司Tanium共同发布了一份题为《安全团队和IT运营团队之间的紧张关系使企业面临风险》的报告(以下简称《报告》)。《报告》认为:2020年CIO的关键任务是将安全和IT运营整合在一起。这引发了我们关于CIO(首席信息官)看待安全视角的思考。
之前“奇安信战略咨询规划”发表的文章 《以安全规划助力CISO建设新安全体系》,则是从CISO(首席安全官)的视角,提出了安全体系的建设思路。
毫无疑问,IT和安全运营的融合与“共生”,是2020年摆在所有企业CIO和CISO面前的最大难题之一。
一、普遍存在的协作缺乏与信心错位
安全与IT运营的隔阂由来已久
安全与IT团队的隔阂由来已久。对于大多数组织而言,安全和IT团队协作得并不愉快,甚至不太希望进行协作。
IT和安全两层皮,摩擦和隔阂难以消除。安全团队常常不能站在业务和信息化角度思考安全问题;IT开发运维团队缺少安全“基因”和思维,难以树立正确的安全价值观,对安全的看法一直停留在“成本中心”和“拖后腿”的陈旧观点。《报告》称:67%的IT领导者中承认,推动安全团队和IT运营团队之间的协作是一项严峻挑战,并且裂痕在继续扩大。
安全投资增加但回报值得担忧
一方面,IT安全投资经费明显增长。IT领导者面临来自各方的压力,必须遵守不断出现和演进的管理法规,跨不同设备跟踪和保护数据,管理物理和虚拟资产的动态库存,履行职责以使技术成为增长动力。为了应对这些压力,企业高级领导层比过去更加注重安全、IT运营和法规遵从性,促使安全预算和资源明显增加。《报告》称,在过去两年里被调查的企业中,安全预算的增幅(18.3%)高于其业务预算的增幅(10.9%);IT团队增加了IT安全预算;增加了资源和工作来修复环境中的漏洞和风险;增加了资源和工作来识别环境中的漏洞和风险;投资于解决方案和流程以进一步富化维护的端点数据。
但另一方面,IT投资的回报仍值得担忧。为了推动持续的合规性、增强的安全性和高级的数字化转型,许多企业都购买了新的安全产品和运维工具,但大多数企业主要投资于各种单点解决方案。这导致问题仍然存在——这些投资究竟是解决了关键的IT问题,还是进一步扩大了团队之间的隔阂?这些投资究竟是为整个组织提供服务,还是只为少数几个团队提供服务?最重要的是,这些工具是促进了跨团队协作,还是抑制了跨团队协作?
普遍存在的信心错位与可见性差距
一方面,大多数团队对其运行关键IT流程的能力充满信心。《报告》数据支撑了CIO对流程性的过度信心:组织可以在72小时内报告破坏/违规行为(89%的被调查者反馈);可以根据漏洞扫描的结果立即采取行动(80%的被调查者反馈);漏洞扫描结果可以由恰当的团队看到,并迅速采取行动(76%的被调查者反馈)。
但另一方面,团队确实受到了可见性差距的困扰。只有大概一半的组织认为他们能够对其环境中的漏洞/风险(51%)以及硬件/软件资产(49%)具有完全可见性。《报告》数据揭示了CIO对可见性的不自信:组织从漏洞扫描中收集的数据是最新的(61%);组织对环境中的脆弱性和风险具有完全的可见性(51%);组织对IT环境相关的所有硬件和软件资产具有完全的可见性(49%)。
关于可见性的实际情况,也许远达不到上述数据。据美国CIO杂志称,只有不到10%的公司对其IT环境具有完全的可见性。而且随着物联网和边缘计算的兴起,在更多地方部署了更多设备,许多IT部门都不知道正在连接这些设备。而且很多物联网设备正在运行具有默认用户名和密码的较旧的操作系统,有许多漏洞可能多年来未进行修补。
《报告》中的上面两组数据给出了矛盾的结果:只有51%的企业对其风险的可见性有信心,而89%的企业却对基于此数据的工具和流程很有信心,即CIO对IT流程性的过度信心和对可见性的不自信。问题在于,运行流程是基于可见性的。如果运行流程所依赖的基础数据不完整,那么流程的效率将难以发挥作用。既然许多团队将网络安全决策建立在基本不完整的数据上,这表明他们对工具和流程的信心是错误的。由于只有51%的人对资产和漏洞的可见性有信心,组织的安全保障基本上是在掷硬币!
二、缺乏协作与信心错位导致严重的IT风险
紧张的关系、错位的信心和复杂的IT环境,都会对企业的网络安全态势产生严重影响。在IT领导人面临的重大挑战中,有很多与可见性和数据质量有关。企业必须具有良好的可见性才能应对威胁,但《报告》称71%的企业在获得端点和其健康状态的完全端到端可见性方面存在挑战。低可见性可能会导致IT卫生(74%)、业务安全的灵活性(68%)、易受网络威胁的脆弱性(67%)和团队之间协作(65%)相关的各种不良后果。
《报告》还称,三分之二的企业(67%)认为,安全和IT运营团队之间的隔阂扩大了可见性差距,阻碍了IT问题的解决。当考察修补漏洞(包括打漏洞补丁、扫描和重新扫描环境以及报告补丁结果)的平均时长时,关系紧张的安全和IT运营团队需要37个工作日来修补IT漏洞,比关系良好的团队(27.8个工作日)要多33%,将近两周时间。而这种延迟可能会使企业面临重大风险,从而造成商誉损害甚至组织瘫痪。
此外,安全和IT工具的多样性降低了整体可见性。IT领导者为了应对合规和业务压力,已经投资了许多单点型解决方案。然而,这些解决方案通常是在竖井中运行的,导致组织的一致性变差,并抑制了保护环境所需要的可见性和控制力。其结果是,IT领导者只能勉强接受很不完整的可见性和控制能力,使得企业自身易受攻击。进一步,可见性差距和工具多样性使得安全与IT团队之间的协作更加困难。
三、CIO整合安全与IT运营的思路方法
如前所述,安全和IT运营团队在不完整的环境视图上建立了错误的信心。由于团队关系紧张,这些可见性差距进一步扩大。鉴于紧张关系和可见性差距对企业的安全态势产生的严重影响,现在是企业寻求解决安全和IT团队之间裂痕的时候了。
以一体两翼为解决之道
坚持“一体两翼”战略定位。CIO解决隔阂问题的关键是真正落实网络安全与信息化的“一体两翼”战略定位,加强网络安全顶层设计,重构企业级安全架构,开展网络安全体系规划,明确网络安全演进路线,加大安全资源投入。即便从企业架构的角度看,IT和安全也是不可分割的。如果CIO了解安全的价值,将更倾向于看到IT和安全集成的价值。CIO应认识到安全如何帮助业务开展,而非工作流中的一个障碍。CIO应完全理解保持强有力安全态势的重要性,并为安全团队提供强有力的支持。
坚持“三同步”和“内生安全”理念。过去大多数的安全规划,并未与业务规划和IT规划深度结合,导致了碎片化、创可贴式的安全防御模式。在面向“十四五”规划之际,应该努力避免这种情况,确保安全与IT同步规划、同步建设、同步运营。特别是在规划阶段,就应充分融合安全与IT的需求。吸纳“内生安全”思想,将安全尽量“左移”至内生阶段,实现安全与IT的技术聚合、数据聚合、人才聚合。为IT各个领域、各个层面注入安全基因,融入安全机制,实现网络安全与信息化的深度结合,覆盖信息化环境的方方面面,实现全面覆盖、深度结合、实战运行、协同响应。
使用一致性的网络安全架构。安全架构可以为企业安全环境设定目标,可以创建一个安全路线图,该路线图可以有效地进行优先级划分,并与IT团队共享,以设置阶段性目标。使用一致性的安全架构,除了可以在安全团队内部统一安全目标和行动,也便于IT团队了解安全整体视图并配合安全团队工作,如在其IT产品中预设必要的安全控制。由于安全性通常需要结合业务功能或IT功能来实现安全目标,因此安全与IT的集成是关键。建议企业逐步向零信任架构过渡,以实现对核心数据和应用资产的细粒度的动态的访问控制和授权。
以整合沟通为解决之法
转变目标导向。许多CIO用来实现两个团队之间合作的策略之一是转向以业务结果为目标。在该目标下,整个IT组织都根据同一项计划的成功来衡量。例如,如果零售商推出了移动应用程序,并且该应用程序可以正常工作并且具有很高的客户满意度,那么安全和IT团队都会获得奖励。
授权最高安全主管。确保CISO(首席信息安全管/信息安全主管)在所有企业战略讨论(包括年度预算)中都有一个席位,在企业战略规划中应该给予他们更多的发言权。确保安全职能部门需要处于企业的适当级别,如果不是向CEO汇报,至少要向CIO汇报。独立性是确保安全声音在不被其他IT功能抑制的情况下被听到的必要条件。
增进双方沟通联系。IT和安全团队需要了解对方努力想要实现什么,以及为什么对企业很重要。当双方不沟通时,很容易使风险策略与技术目标不一致。如果没有持续的沟通,他们就会始终不同步。所以应该确保IT部门和安全人员经常沟通和建立关系,这对于有效整合至关重要。人的因素是当今任何IT公司面临的最大风险。成功的网络钓鱼活动很容易使一家企业突然陷入困境。为了提供真正的纵深防御,IT和安全部门需要协同工作,跨攻击面实施解决方案,无论是本地解决方案还是基于云的解决方案。由于安全团队和IT团队实现的内容可能会产生相互影响,两个团队真的应该携手共进。一种可行的办法是,IT团队和安全团队定期(每月或每个季度)召开会议,讨论即将发生的变化、项目、挑战以及可以让任何一方受益的其他问题。CIO应该支持这类沟通行为,使得安全团队和IT团队都从常见的孤立行为中走出来。
以统一平台为解决之术
安全和IT运维需要一套通用的工具集。一个同时用于安全和IT运维的通用工具集有助于减轻工具扩展和协作不良带来的挑战。拥有单一的数据来源将更好地使两个团队保持一致,并提供完整的环境视图,消除盲点,通过实时数据消除可见性差距。这将使团队能够做出明智的决定,对破坏性事件采取行动并迅速做出反应。
统一端点管理平台可增强端点可见性。统一端点管理平台使企业能够加速运行、增强安全性,并推动安全和IT运营团队之间的协作。《报告》表明,统一端点解决方案可为企业提供规模化运维的能力(59%),减少了对攻击的脆弱性(54%),改善了IT卫生(52%),促进了业务利益。其好处是更快的问题响应时间(53%)、更高效的安全调查(51%)、改进的数据集成(49%),从而促进了安全运营(49%)。统一端点解决方案改进了安全和IT运营团队之间的沟通(52%),增强了安全和IT运营团队之间的协调与协作(48%)。最终,这种方法将降低风险,改善公司的安全态势。
态势感知平台可极大增强全网可见性并提升安全运营能力。《报告》数据显示,安全和IT运营的挑战性任务是:跨IT系统粘合数据以产生可行动的洞察力(76%),识别未知的未发现/未受管的资产(74%),获取网络环境的实时数据(71%),从现有的工具和资源中提取投资回报率(71%),获得网络上端点的完整的端到端的可见性及其健康状况(71%)。企业应该面向安全实战化运营能力建设态势感知平台,覆盖所有信息资产的全面实时安全监测,持续检验纵深防御机制的有效性,动态分析安全威胁,及时处置相关安全风险;依托平台实现数据处理、安全分析、自动化响应、安全运行、指挥控制、态势呈现等多层次的安全能力,有效协同主机系统安全、网络纵深防御、数据中心安全、数据安全、终端安全等安全子系统,高效支撑全网安全运行工作。
声明:本文来自奇安信战略咨询规划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。