浅谈数据驱动的企业信息安全建设方法

随着IT技术的发展，我们发现IT世界实现生产力的技术路径正在发生巨大的变化，包括公有云、私有云以及混合云的云计算的快速发展直接推动了产品服务的交付方式SaaS化，大行其道的敏捷开发和Devops深刻改变了传统的产品开发和运维交付模式，移动设备的广泛应用打破空间限制，微服务架构则从底层要求重构内网的隔离控制方式，虚拟化和容器技术也深刻改变了IT资源的交付方式。这些上游技术架构的变迁必然带来信息安全建设方法的改变，从另外一个角度看，这也为企业信息安全建设带来了新的挑战和契机。

1、面临的挑战

上述改变给现有的信息安全建设带来了非常大的安全挑战，过去的经验和方法可能不再适合。技术安全人员短缺、云计算和其它基础技术架构的快速迁移、法规遵从要求、安全威胁的快速演变，仍然是当前最重要的主要安全挑战。COVID-19带来的疫情大流行及其对商业世界造成的改变，加速了业务流程数字化、远程安全协作工具的大规模应用，暴露了传统的信息安全建设思维和技术的不足。

2、解决方案

面对这样的挑战，作为企业信息安全负责人应该如何做呢？我们的选择就是积极主动地去拥抱变化和挑战。Gartner提出了一个全新的战略方法——持续自适应风险与信任评估（CARTA），我们在判定风险的时候，不能仅仅依靠单次判断和简单的阻止措施，我们还要在网络层和应用层对连续的行为序列进行细致地监测与响应，构建一个自适应的、情境感知的安全架构（包括技术、流程和服务），以及一套行之有效的治理结构和流程，这与Google的BeyondCorp有异曲同工之处。我们提出以数据驱动的企业安全建设方法，打造对用户、开发者、管理人员足够透明的信息安全管理和运营体系，这里的透明有两层含义，一层就是从用户和开发者角度，默认情况下无感知，从传统的强侵入式的安全管控转变为透明的无感知的自动化的安全赋能服务。另外一层就是广泛的可视化，传统的企业安全工作好比一个黑盒，给人一个神秘的感觉，实际上安全工作应该演变成一个广泛可视化、能够量化的事情，让不同层级的不同角色能够很清晰地感知到，特别是在安全干系人面前保持极度开放和透明。要做到这两点，就一定需要走数据驱动的路线，依赖实时的数据采集、分析和预测并做出响应。

具体的方案主要由三部分组成，第一部分是安全防护体系，核心是将过去的网络级的访问控制提升到应用级，主要包括分布式的访问控制接入代理和基于场景的自适应的安全风控，原因是传统的网络控制不够灵活，规则表达能力有限。第二部分是安全服务规范和SDL，我们将安全管理制度和流程规范嵌入到SDL中，借助于Devops工具达到一个透明化的自动化的落地效果。第三部分是安全运营平台，在整体上把安全作为一个产品服务来运营，借助于系统实现安全风险、安全响应、策略配置、安全评估、治理结构和流程规范以量化和动态关联的方式直观地展示出来。

第一部分：安全防护体系

安全防护体系整体上是一个纵深防御结构，为了能够实现应用层的精细控制，我们分别在纵向和横向进行了拉通。在纵向上，我们设计一套云IAM的解决方案以及全局风控规则和策略，这些模块是贯穿完整的访问流程，从接入代理到服务中台再到底层资源的调用。在横向上，我们引入了各个业务场景的分布式接入代理以及对应的风控引擎，他们都共享一个底层数据存储和计算平台以及算法模块。除此之外，我们还引入另外维度的安全防护模块，如主机/容器的安全防护系统、数据匿名化保护方案、分布式欺骗系统和全局的日志分析中心等。

第二部分：安全服务规范和SDL

通常信息安全部门制定的很多规章制度、流程规范很容易面临执行难的问题，但如今我们可以借助Devops的东风更好地把它们融入到产品完整的生命周期中，从而对IT团队进行主动赋能。整体方案上分为五个部分，首先是信息安全培训，我们可以把安全培训及考核的数据记录和透传，在后续的持续集成持续交付过程中对表现差的人员做出差异化的动作。第二部分是安全评审，包括需求评审、架构评审、代码审计等，对于重点项目，不经过必要的评审无法通过持续交付的验证环节。第三部分是安全开发方面的支持，包括安全编码规范、IDE安全检查插件、安全SDK/组件支持，这部分非常考验安全团队的安全能力服务化水平及工程能力，将安全细节隐藏到傻瓜化的组件中，对开发来说做到友好和无感知。第四部分就是CI/CD过程中的安全测试和核查。黑盒部分需要自动化工具和人工结合，灰盒部分在QA团队做功能测试时并行自动化地完成，白盒部分可以结合安全编码规范的标准在持续集成阶段自动化完成，最后部署环境的基线核查可以嵌入到持续交付的流程中。第五部分是线上安全运营，同样需要将结果数据同步到其他模块，如SRC数据可以应用到安全成熟度评估、安全漏洞的收敛情况评估、安全扫描测试工具的覆盖率和漏检率评估、员工安全开发能力的评估等。在持续交付阶段，除了可以进行安全基线核查外，还可以做自动化的安全隔离操作。另外在微服务架构中，我们可以划分应用域及定义角色再确定交互原则，确保遵循这些原则以及节点扩容或者漂移时能自动化地配置。

第三部分：安全管理运营平台

安全管理运营平台的设计目标是尝试向不同层级的不同角色去回答一个问题，就是目前的信息安全工作做到了什么水平及各个细分项的量化评估情况，未来要做到什么样的状态，实现路径和计划是什么样的？要回答这些问题首先要做到可视化，包括安全风险的感知、响应和策略配置，安全大盘能够实时展示安全风险状态、告警和变动。在可视化的基础上，我们还应该向量化的方向努力，比如安全投入的资源和安全产出的价值，安全运营的各项指标及趋势，团队、产品、人员等相关维度的安全指数横向和纵向的比较，根据一个合理的评价标准计算出当前总体的安全能力成熟度以及可以逐层展示各个细分项等。

声明：本文来自想象并创造，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。