从HW与红蓝对抗项目实践反思中国企业信息安全建设与管理

  提到企业信息安全，内行人先想到的是企业的边界防护，外行人先想到的是黑客攻击，其实信息安全远不止我们正真看到的冰山一角。本文将结合一些实战项目经验，与大家伙儿一起来分享一些信息安全建设的心得。

  行业复杂。信息安全赋能企业，是面向企业业务的关键保障；而且，行业和业务的复杂度导致了信息安全行业的复杂度提升。

  信息安全经验呈孤岛状。企业之间大都不愿意分享自己的信息安全建设经验，没形成很好的联接与共享，使得信息安全建设呈现孤岛状。

  信息安全人才短缺。是真正的人才短缺，还是泡沫式人才短缺？信息安全人才的短缺其实是信息安全领域的快速地发展和人才供应程度的短缺，和人才地域分布的矛盾。

  信息安全理念水平落后。国内的信息安全理念正在慢慢地发展，但整体水平落后于国外，国内现在对行业发展的认知、阻碍、成果等，也许早在多年前国外就已经遇见并解决。

  这一理念很早就已经提出，但实际应用却不是很理想。为什么？其实不是它本身体系的问题，在此先问一个问题，大家就会理解为什么。

  企业在做信息安全建设有必要将所有维度都纵深防御吗？实际上并没有必要！纵深防御的维度是缺失的：

  大张旗鼓地铺遍纵深防御会出现如上的连环问题，但是信息安全却是企业的刚需，必不可少，所以会陷入一个僵局循环。

  另外，纵深防御的成本和收益不对等，因为做的再好的纵深防御和战略布局，你在每一步链条上只要有一个脆弱的眼，黑客就能进来，所以企业没办法做到真正的纵深防御。怎么说呢，因为不可能把内部的存储做到和边界一样的级别，这样就会形成一个逻辑悖论。试想，如果我们在做大数据的时候，三十几PB的数据都需要拷贝，如果要先加密再解密，那无疑要耗费巨大的工作量。

  传统的纵深防御，其实带有过多的技术偏执思维，多数企业管理者是技术人员出身，很多时候会忽略商业化企业的信息安全的特点，一旦忽略商业化成为技术偏执者，企业的信息安全将会难以为续。企业的信息安全策略，要根据公司的具体业务做相应的优化，真正的企业安全建设应该从商业化多角度出发，要从环境、人、成本多维度去考虑。

  分享一个案例，一个巨型有突出贡献的公司的服务器上被连接了外部存储器（U盘），这个现象维持了两三年时间，尴尬的是，企业每年的风险评估报告都是合格的，这个隐患一直在未被察觉。

  这套评估其实是参考了传统行业的安全评估手段的，来源于工程建设，虽然价值不高，但是采用度很高，实际上最终目的是给监管机关看到一个绿色的通行证。

  评估资产脆弱性是没必要的，黑客不会理解你的优先等级，他们的攻击角度不会配合我们的评估角度。已知的脆弱永远不是真正的脆弱。

  对于资产识别，其实很多企业连自己内部的资产状况都不清楚，且越大的企业，他的资产价值分布越复杂，这都是很难评估的。

  综上所述，风险评估值其实就是一个空谈，并没有指导意义和实践性引导。做风险评估非常容易就喧宾夺主，把企业安全复杂化，把大部分精力投入到这个评估上来，而忽略了真正应该重视的方面，没有抓住企业的长板，正确地去做这个事。

  新兴行业流行的理念是“激进安全”，类似一个新兴互联网公司，老板的思维是对信息安全做重金投入，全力支持安全建设，甚至把内部的IT服务者和运营运维的人员当成供能团队，但是这个企业最后还是建设失败。

  企业安全建设需要结合整个行业的战略发展，赋能整个公司的战略业务。而且大部分企业比较推崇国外的新兴概念，理念本身非常先进，复杂度也与之呈正比，但是企业在没有理解到理念的本质时就去付诸实践，到最后或许不是这个理念的受益者，而是实践的试错者。

  过于激进的安全建设会喧宾夺主，影响主营业务的运营，企业若不能深度剖析业务需求和战略发展，是无法做好安全建设的。有的企业独辟他径，将信息安全形成新的业务板块，变型企业需求部门的“乙方”，独立结算、自负盈亏，但是这样其实并不能解决根本问题，却暴露了企业内耗严重的现状。

  企业业务是追求动态发展，高度自由的，且相对于信息安全而言，它的方向是清晰的。另一方面，企业业务是以KPI推崇目标的，而企业安全是追求稳定的，有用户、客户的限制，所以信息安全与KPI有时会出现相悖的情况。

  二者相反，所以企业安全问题是企业未来的发展下的熵增的必然结果，导致了企业安全管理工作时常保持与业务相反的节奏。

  剖析发现，国家期待的是企业拥有相对应的响应能力，但企业会过于关注表征去应对，没有触达本质去洞见企业建设的本质，真正地享受到实战中，整个行动就变成了无谓的重复，成了一种应付。实际上HW行动项目存在的意义之一就是让我们通过外因审视自身存在的问题。

  在更常见的红蓝对抗项目实践中也发现企业重点偏移，他们的目标是不限成本地挖漏洞，企业在对抗中更关注结果，而不关注于本质和怎么样才能解决时态问题。

  多数人认为红蓝对抗包括HW行动，就是一场演习，一场测评，并且认为重点在于攻防结果，也是这样去帮企业落地的，但是企业真正应该从这些项目中得到的应该是自身安全态势，自身人员运转，自身机制设计架构逻辑的问题，这些才是企业要得到的关键结果，否则就是买椟还珠。

  通过大量实践案例发现，企业建设中的存在“执念”，大多数无法触及本质，以及信息安全专业人才深度不足，往往先给问题表层定性，从出发点就偏离真正的“航道”。

  演习真正给你带来的东西是出乎意料的，曾经有一个项目，它的NOC宕机了，罕见地遭遇了双回路断电，导致全片区网络及服务中断，全员历时8个小时才把业务恢复。这场事故后，为了给客户一个交代，戏剧性地诞生了一场演习，呈现出一些不起眼的联系表单和看似无用的恢复顺序，令人drama的是，时隔半个月，NOC再次遭遇断电，演习竟然真的用上了，按照演习，快速汇报链路，只花了5分钟就恢复了网络。这个结果让所有人都震惊，但正是这样信息安全专业人才才意识到，看似复杂的能效背后的简单逻辑，真正的信息安全工作是把复杂的问题简单化，简单的问题数字化。

  一是面向合规以及空间保障。面向合规和监管来建设自己的纵深防御体系，在企业的基础设施建设上，安全的本质就是成本的提升，去相对合理地建设基础设施应对合规，有章法地进行信息安全建设。

  二是面向业务发展诉求。在基础设施建设之前，需要面向业务发展诉求去建设一个弹性能力的体系。大多数企业并不是特别需要把信息安全能力成熟模型建设到100分，只需要把边界构建好，弹性够足，就不需要耗费过多的基础设施。

  在做内部建设的时候，和企业战略官去对话，建立内部咨询体系，关联企业战略官，业务发展负责人、IT负责人……采集利益相关者风险偏好，把企业IT的安全决策和效能与企业业务发展挂钩。

  站在不同职位、不同立场的人的角度，去思考构建治理服务，将散乱的工作整合为服务，将合作模式向服务型利益协同关系出发。

  带来较好的自由度，简洁性。注意别混淆产品和产品化，产品化与流程化，产品化是将一个简单重复的工作形成一个既定的输入和输出，将以往的工作逻辑和模型总结去形成模型，且区别于流程化的产品化是高度自由的。

  产品化的最后一点是通过数字化模型分析，构建成一个弹性的管理体系，这个体系要依托于关键业务、重大风险、未知风险形成演练和演习构建能力体系。

  随着就业人群的改变，企业的管理也慢慢的变难。现在还有一个管理经验，叫内部客户方法论，在商业化的企业里做服务，会形成一个明确的乙方意识，带着谦逊的心态、换位思考的理解，为“用户”满足他的需求，提供合作。在工作过程中，捕捉内部甲方的需求和目标，按照他的优先顺序满足，能给我们的工作带来意想不到的便利。

  很多企业做信息安全建设，分不正需要的是什么，往往把需求和欲望糅杂，鱼与熊掌想兼得。而做业务也好，市场也好，永远第一步是要捕捉需求，一定是先做好该做的，再按部就班地往下做，再去追求欲望、噱头。

  5%~10%用于内/外咨询体系上：咨询服务化让我们去洞见本质，寻找企业的关键发展力、触底企业逻辑，找寻根本方法。

  20%~30%用于内/外服务上：服务能形成企业知识库，形成企业的调研工具，把底层的咨询作为人，人之后形成服务和工具，我们要做的是服务产品化，能够在一定程度上帮助企业寻求规律，把重复的东西形成一个产品化，节约成本，确保服务的有效性。

  50%~60%用于内/外产品上：产品数字化可以帮企业以人为本，建立弹性服务，压缩成本，打通数据，呈现他的价值。

  一说建设企业信息安全，习惯性地万物皆可自研，但是我们做内/外产品时的侧重点该是应用特性的守护和成本的压缩，成本压缩能让企业减少在细枝末节上的注意，当成本有限时，自然而然地会把成本花在刀刃上。

  信息安全是以人为本的，真正的信息安全到最后都是人与人的对抗，我们通过咨询服务化、服务产品化、产品数字化来逐一击破人的弱点。

  企业在做信息安全建设时，内部做企业内训，增加预防措施，降低犯错概率，外部边界做好防黑客，就已经解决了合规以及对抗过程中的大部分问题。而且当成本降到极低后，我们可以有更充裕的资金构建企业弹性能力，包括内/外咨询、内/外服务，构建企业的关键演习演练体系，构建好企业自己的信息安全能力。

  无论是因为行业的新兴发展导致的混乱，逻辑概念的本身难度，还是业务和安全的熵增矛盾，导致我们无法看透企业背后的信息安全问题本质，我们都可以按照如上的方法论梳理，帮企业做出正确的安全决策。

  当你看透本质，找到正确“航道”，企业要做好自身的信息安全建设和管理其实是非常简单的。

  本文部分内容 整理自HW项目安全建设实践嘉宾嘉宾王勘分享返回搜狐，查看更加多