安全建设的原则
前言
安全建设包含的内容很多,其中包含技术、管理、人员、流程等诸多方面。有些特征在很多工作中都比较通用,这些特征包括:任务、工具、原则。这些特征在不同行业、不同规模的企业以及企业中不同的岗位工作都可以适用。本文主要介绍安全建设的一些原则,这些原则可以规范建设任务完成的质量以及工具的使用情况。
我们在做安全建设前可以问一个问题:什么原则是对所有安全建设都需要的?这个原则适用于所有领域、所有行业的、所有规模的公司。要回答这个问题,我先介绍下安全的本质是什么。在之前的《安全的本质》文中介绍了安全的本质是对数据的机密性、完整性、可用性的防护能力,所以安全建设的目标就是围绕提升安全能力而展开的。提升安全建设能力的原则我认为主要有以下几个方面:关注结果,关注整体,最小化原则,发挥优势,保持乐观。
关注结果
对结果的关注是所有成功者共同的思维和行动方向,对安全建设依然适用。每家公司的情况不一样,有大型互联网公司,管理着数万台服务器,他们的主要业务来源都是网上的业务系统,大多数是web系统,他们关注的更多的是业务安全,包括账号安全、交易风控、征信、反价格爬虫、反作弊反bot程序、反欺诈、反钓鱼、反垃圾信息、舆情监控(内容信息安全)、防游戏外挂、打击黑色产业链、安全情报等;有很多传统的设计制造企业,他们的服务器不多,对外也只有一个网站,很多时候还是托管的或者是静态的网站,他们关注的更多的是内部数据安全,有没有人一直惦记着我们的图纸、设计、内部文档等;还有很多中小企业,自身的盈利能力很弱,所以对安全没有啥大的需求,最多就是我的财务软件能用就好,中病毒了大不了重装一下系统,当然最好不要中病毒影响我的工作。
对每家企业来说,首先要制定切实可行的目标,确定一个合理的期望结果,然后重点关注结果。但对大多数人来说,“以结果为导向”不是理所当然的事情吗?其实不是,大多数人的本性更倾向于对投入的重视。相比产出和结果来说,人们更愿意把大部分注意力集中在工作消耗、个人投入的精力和努力上。就算是公司的每个员工都很努力的工作,也不一定能说明他们就一定能取得好结果。
比较不幸的是安全行业的结果是不好衡量的。引用一句安全圈常说的话:世界上有两种企业:一种知道已被黑客入侵,一种还不知道已被黑客入侵。这也是很多企业不重视安全依然感觉状态很好的原因。很多人把安全看成是事件驱动的主要原因,也是因为安全事前不好衡量,但不是不能衡量。所以需要在安全建设的过程中要想好安全的结果如何判断,我们安全建设的目标是否有效,如何从目标实现结果等等。
关注整体
在信息安全的攻防对抗中,攻防是极其不对称的。对攻击者来说,只要找到企业中的一个弱点并加以利用,就可能达到入侵的目标,这个弱点不一定是系统弱点,也可以是人的弱点,比如社工,开发人员无意识的公网备份等。但对于防守人员来说,必须找到企业中的所有弱点,并加以防护,才有可能不被攻击成功。
但也不用过于悲观,不是所有弱点都能被利用,比如漏洞利用,能写EXP的人也不多。大部分人是拿来主义和修正主义,所以判断漏洞是否需要修复的一个重要原则是:是否有公开的POC代码样本,如果有就尽量修复,如果没有就可以暂时不修复。但也不是所有有POC的漏洞都需要修复,当然能修复最好。有些情况是不能修复的,比如一旦修复了需要重启服务器,要影响业务,这个时候是不能修复的,这个时候就要看是否有别的方式来防护,比如前面的WAF是否可以防住这个漏洞。
在《安全的本质#安全是成本》中也介绍了,攻防的成本差异是极其巨大的,比如花费一万元去防护一个价值只有五千元的系统是没有意义的。根据防护价值的高低去选择防护重要的数据,也不一定所有的弱点都需要去处理。由于攻防的不对称,投入资源精力有限的情况下,更要从整体考虑,哪些是最重要的资产,最重要的数据,我们优先把这些问题解决掉。
关注整体最重要的一点是平衡。如何平衡业务和安全,如何平衡各方面的投入,如何平衡投入和利旧,如何平衡自研和购买,如何平衡加人还是加设备,如何平衡优势和劣势等。我们需要从多个视角进行综合考虑,需要做出妥协的地方就做出妥协。需要在无法避免的模糊性和不确定性中求生存。
随着安全产品的分类越来越多,功能越来越交叉,对整体的把握就越来越容易被忽略,因而就越有可能出现结果和整体目标毫无关系的危险情况。为了避免这种情况发生,必须通过不断地复盘,不断地分析进行有意识的调整。所以管理上有句话叫“从正确的做事到做正确的事情”值得借鉴。在整个安全建设过程中,从整体上看个人认为需要最先关注的几点是:资产、业务、重要的事件、重要的数据等几个重点和他们之间的交互等。
最小化原则
最小权限原则在安全建设中有非常重要的作用,很多安全问题对内看是权限滥用和越权访问的问题,它就是违反最小化原则;对外看是开放了不该开放的端口,暴露了不该暴露的接口等等。最小化原则的精神是所有的东西都应该是明确的、有意义的,不要有模糊的放大,因此这种放大很可能会造成滥用或者未知的错误。但遗憾的是,最小权限原则会增加一些成本,但很多时候我感觉是安全意识的问题,而不是成本问题,成本的增加在绝大多数情况下应该是可控的。
下面列出来一些常用的最小化原则:
- 安装操作系统的时候最小化安装;
- 开机自启动服务最小化;
- 操作命令最小化;
- 程序服务运行最小化;
- 公网暴露的端口尽可能的小;
- 数据库查询尽可能增加限制条件;
- 安装软件尽量用权限最小的普通用户安装;
- 后台管理页面尽量用白名单限制;
- 管理权限交叉,几个管理用户动态控制系统管理,互相制约;
- 创建新的账号权限尽量的小;
- 暴露在外面的接口尽量少,接口参数尽量的少;
- Linux系统文件及目录的权限设置最小化;
- 最小化授权时间;
- 安全策略最小化,降低告警误报率;
- 最明确的“用户同意”:收集个人信息的时候一定要说明收集方式、范围,对用户身份号、银行账号、行踪轨迹等敏感信息更要特别说明,这种说明应该以显著的形式确保用户知悉;
- 最少化的信息要素采集:采集信息时需要服务方区分基础性服务和非必要服务,进而区分制定隐私政策和用户告知方式,合法收集用户信息用于自身业务;
- 最安全的存储和传输:减少数据的传输次数,避免明文数据的传输。
发挥优势
每个组织都是不同的,有各自的背景,各自的环境。有的公司创立之日起就有非常强的IT能力,有的公司IT的使用还非常初级,在这种情况下,每个公司在对安全建设的能力上有不同的优势和劣势。正是这种情况,所以发挥优势也是安全建设的一个重要原则。
安全虽然在整个IT建设中占的比例非常小,但安全所包括的内容非常广泛,就像开头说的包括技术、管理、人员、流程等。光信息安全产品按照公安三所的销售许可证分类,大概有77个分类,每个分类下面还有细分,还有些新兴的产品分类没有包含进来。
从安全建设的投入来看,我们发现有很多公司有自己的想法和目标,也有的公司不确定应该怎么做,毕竟安全很难被标准化。
在国内的绝大多数互联网公司在安全投入上都倾向于投人,一来互联网的业务复杂,网络庞大,如果购买商用产品成本很高,而且有的商用产品在互联网上大并发的能力也不够,难以支撑业务,这种互联网公司可以招聘水平非常高的安全人才,安全人才在这种超大规模的网络中利用自己的优势可以管理更多的设备和数据,反而达到降低成本的目标。比如阿里、腾讯、百度、京东等等,他们都倾向于自建,甚至组建了庞大的安全团队。
还有一些中型互联网公司,没有这么大的财力物力,他们更倾向于投人结合专业安全公司的服务包括产品,达到一个平衡。既发挥了人员优势又结合了专业公司的服务。
很多金融类企业由于体制限制,包括人员数量和薪资成本控制。他们更倾向于利用安全公司的服务,比如渗透测试,人员外包,购买安全设备等。
还有更多的中小企业,没人也没有钱,但他们的优势是业务简单,重要程度不高,这时候可以找些免费甚至开源的产品开使用,如果对数据非常不在意甚至可以裸奔。
也有很多公司搞不清楚自己的优势,进行各种尝试,效果也不是特别好,就是没有利用好这个原则。
保持乐观
做安全其实是比较枯燥的,安全的领域看似不大其实包含的内容很多。而且大多数安全人员每天的工作相对比较重复,比如每天查看各类安全设备运行是不是正常,有没有什么高危的告警;主机上的系统日志有没有异常,应用程序、进程、端口是否合理;有高危日志要进行查看和处理,处理的过程中还要和别的部门打交道;根据业务要求开通防火墙策略;系统上线进行安全检查;有新的漏洞报出来要全网扫描是否有此漏洞。长时间做此工作后难免产生厌烦的心态。所以安全建设要保持乐观心态才能更好的做好安全。
任何事情都是具有两面性,再糟糕的事情中也有比较美好的一面,消极态度只会把事情做的更糟糕,只有乐观积极的态度才能带来更大的希望。一方面随着国家的重视、法律的健全,企业对安全的投入也会越来越多。这就是安全行业千载难逢的好机会,在安全建设的过程中保持良好心态,每天能有一点点进步,对个人的职业发展都有非常大的帮助。根据2020年的《网络安全人才市场状况研究报告》显示,九成用人单位对网络安全人才需求“看涨”,认为这一需求将在中长期增长,其中58%的用人单位认为,网络安全人才需求会在短期内大幅增长。目前每年网络安全相关专业毕业生仅2万多人,而中国在这方面的缺口高达50万至100万人,尤其是实战型、实用型人才非常急缺,所以对进入这个行业的人来说都是非常好的机会。
随着产品和技术的进步,在以前比较难以解决的问题,现在都在逐步的进行解决。比如随着大数据技术的发展,之前对海量数据处理分析上难以取得比较好的效果,现在的分析的效果就好了很多。随着html5的发展,之前在可视化上比较难处理的事情,尤其是感知上就取得了非常大的进步,各大地图炮就很炫。简单插一句:过于关注界面的炫除了给领导看之外好像对安全的分析处理并没有太多实质的帮助。
从法律上来看,之前安全野蛮发展,很多人都不重视法律,出现了很多入门者无视法律的情况,这也造成了虚拟世界的乱象丛生。不过随着法律的健全,大家对这块意识都提高了很多,未授权的扫描等行为也减少不少。这些都是比较积极的方面,未来应该会更好。
总结
安全建设的原则到底是什么,每个人的观点可能不太一样。这也很正常,一个健康的行业不应该只有一种声音。当然还有很多的原则也很重要,但我认为这几个原则是安全建设中最重要的一些原则,这些原则适用所有的行业,不同规模的公司。在做安全任务、选择安全工具的时候,可以参考这些原则,在这些原则做好后,再逐步添加其他原则,也是一个非常好是思路。