数据安全相关PPT阅读学习


=Start=

缘由:

简单总结一下最近在看的数据安全相关的各大会议PPT的心得体会,方便后面有需要的时候参考。

重点说明:这里的评价总结仅限于我个人对当前看到的PPT所包含内容的认知,不一定准确(有些分享嘉宾的重点在于现场呈现,PPT只是辅助,所以内容可能会很简单,如果仅看PPT就无法get到全部内容),而且以后有了更多的经验/阅历之后可能又会有不同的看法,有机会的话会不断更新。

正文:

参考解答:

vipread.com_蔡毅.以数据为中心的安全治理实践V1.0.20210421美创蔡毅.pdf

# 评价:整体还算OK,但是里面有一些架构图和数据流向图/系统功能图还不错(第一遍看的时候觉得一般,但是后来再看的时候发现还是有不少可以参考学习的地方)。【🌟🌟🌟】

vipread.com_主论坛.数据安全.保障数据高效合理开发利用的基石.pdf

# 评价:院士的发言,涉及到数据和数据安全的定义(相对而言引用内容比较可靠比较权威),还有数据安全主要威胁的地方可以参考参考。【🌟🌟🌟+】

vipread.com_李洋.金融业数据安全实践与思考.pdf

# 评价:有几张图还不错,比如:整体安全解决方案/企业通用数据流动场景大图等。【🌟🌟🌟】

vipread.com_数据泄密新挑战.pptx

# 评价:很久之前的内容了(吴鲁加都去做知识星球了),大部分的内容太老太简单,不过【加密/权限/管控/审计/虚拟化】这里还可以。【🌟🌟】

vipread.com_数据安全法规及标准建设.pdf

# 评价:现阶段我还没太看明白,不过也许以后能用得着。【🌟🌟🌟+】

vipread.com_NG.DLP.新一代数据泄露防护.pdf

# 评价:之前看过,还挺好的,好在思路,但如果真的想在自己所在企业发挥好DLP的效果,还有很多要注意的地方。【🌟🌟🌟】

vipread.com_企业数据安全体系建设.pdf

# 评价:如果作为一个内部的分享感觉还是OK的,但是在外面分享的话内容过于简陋了,也没有图。【🌟🌟】

vipread.com_对数据安全治理的思考.pdf

# 评价:方兴老板在ISC2020上的一个分享,只有8页,但内容还是OK的,可见/可知/可管/可控。【🌟🌟🌟+】

vipread.com_胡洪涛.数据安全基因.pdf

# 评价:从资本的角度来看待数据安全的机会和问题,简单直接。【🌟🌟🌟+】

vipread.com_4.数据安全标准及创新实践.pdf

# 评价:把涉及到的相关法律法规都列出来了,而且一些架构图画的也还不错。【🌟🌟🌟+】

vipread.com_数据安全白皮书.pdf

# 评价:内容很多,很多我都看不懂,但确实很厉害,有不少值得参考学习的地方。【🌟🌟🌟】

vipread.com_221刘志诚.非结构化数据安全管控实践.pdf

# 评价:内容看上去还是挺丰富的(发现/预防/监测/处置),但是对实际落地情况持观望态度。【🌟🌟🌟】

vipread.com_105秦伟强.甲方安全建设之有效落地安全测试的探索实践.pdf

# 评价:内容还行,不过没什么和数据安全相关的地方,主要是SDL这块的内容,我就不做评价了。

vipread.com_中国数字安全能力图谱.数世咨询.pdf

# 评价:网络安全三元论这个概念很有意思,其它的内容可以在安全产品测试选型的时候参考参考。【🌟🌟🌟】

vipread.com_通过自动化入侵模拟提升威胁狩猎能力.pdf

# 评价:自动化入侵模拟相关的内容,我已经不太懂了,和数据安全也没啥关系,就不做评价了。

vipread.com_应用安全实践.pdf

# 评价:虽然我没怎么做过应用安全,但是这个演示文档的内容看上去还是挺不错的,尤其是‘应用安全执行体系’那一页的内容。

vipread.com_可信防御演讲.pdf

# 评价:网商银行安全负责人的分享,据说网商银行内部是完整落地了零信任。对于前段时间比较火的log4j2漏洞的时间线梳理可以看看。【🌟🌟🌟🌟】

vipread.com_强监管时代下隐合规及数据安全的挑战与应对之道.pdf

# 评价:前顺丰安全负责人的一个分享,内容挺好,对我来说,尤其是“数据安全政策解读”这部分,还有‘数据全生命周期视角审视‘等几页可参考。【🌟🌟🌟🌟】

vipread.com_开发安全体系建设与最佳实践.pdf

# 评价:也是应用安全SDL那块的内容,也挺好,但我就不做评价了。

vipread.com_基于情报的API数据安全防御体系.pdf

# 评价:怎么说呢?API安全很重要大家都知道,但是难点也是明摆着的(流量大/流量加密/流量不全/接口数据血缘/……),企业内部安全团队都不好解决的事情,仅靠外采产品来实现显然是不切实际的。不过借助于厂商的一些能力和案例来对自己所在的企业安全能力进行查漏补缺也是不错的。【🌟🌟🌟】

vipread.com_CSO的综合素质提升.论读书.pdf

# 评价:还行,有点启发,但想要提升,更多的还是实际去做,仅靠看和想是远远不够的。【🌟🌟🌟】


vipread.com_2陈晓.新形势下.企业如何构建数据安全防护体系.pdf

# 评价:PPT的内容色彩过于丰富,第一遍看的时候感觉很一般,但后来又翻了一遍,觉得在数据安全相关产品那里如果没有思路的话还是可以参考一下的。【🌟🌟🌟】

vipread.com_6叶翔.安全之道以人为本.pdf

# 评价:第一遍看的时候感觉这写的都是啥啊,听君一席话如听君一席话的感觉;不过后来又看了一遍,发现人家说的是有道理的,适合自己所在企业的办法才是好办法,搞好网络安全人很关键,借助于企业内部培养和其它部门的借调也很重要。【🌟🌟🌟】

vipread.com_8武天旭.互联网医疗场景下数据安全风险管控的思考.pdf

# 评价:风险识别/评估/处置/监控/案例,风险策略那一部分对我来说还有一定参考性,不过其它的比如评估那块就太简单原始了,全靠人工约谈/沟通(可能和1.医疗这个场景比较特殊2.业务种类不多但具体场景比较复杂有关?)。【🌟🌟🌟】

vipread.com_58沙龙.01.《安全画像在58同城的落地实践》.58.pdf

# 评价:针对用户操作生命周期(注册/登录/发布/活动/投诉)进行全栈式的跟踪,再加上引入图模型,找出黑灰产的聚集/关系情况,再加上对投放蜜罐的追踪分析,基本就差不多了。【🌟🌟🌟】安全风控这块,工程落地开发是个难点,运营也是个难点,(当然了,与钱相关的就没有容易的),主要看相关负责人是如何思考和处理的,如果思路合适/实现到位,最后还可以把难点做成优势护城河。

vipread.com_58沙龙.02.《零信任在中通黑灰产对抗的实践》.中通快递.pdf

# 评价:SDP软件定义边界的概念很早就有,但是能在一个较大型的企业里成功实施的还是少数(中通安全团队在宣传这块做的挺好的,但不清楚实际情况到底如何?),有点“世人都知零信任好,就是落地做不到”的感觉,技术能力和用户体验是主要原因,核心还是在于安全团队的工程实现能力和向上管理的能力(同时也需要上层老板有安全的意识,重视这个,否则也是空谈),才能实现全都接入+全能接好,否则给你做又做不好,还不如不去做。这个PPT的内容还是很全面的,值得推荐。【🌟🌟🌟🌟】

vipread.com_58沙龙.02.《浏流量分析在应用安全中的探索实践》.腾讯.pdf

# 评价:腾讯的分享内容确实还是显著高于业界平均水平的,主要还是因为腾讯比较重视安全而且持续做了这么多年有积累(多说一句,如果个人想做一些前沿有挑战的工作,还是推荐去大厂经历一下,小厂不是不愿意做这些,只是公司还没有那个条件,没能力也没机会去做)。多层防御体系/网络流量雁过留痕(而且很多风险行为在主机层面都不一定能体现出来,比如ppt中提到的icmp木马;以及纯主机层面的信息丰富程度还是弱了一些,关联起来就会好得多)。挑战也是明显的——占比越来越高的加密流量,传统的黑特征算法有效率逐渐降低。未来的希望在统一的解密网关和AI+大数据上。【🌟🌟🌟🌟】

vipread.com_58沙龙.03.《业务漏洞挖掘案例与思考分享》.微博安全.pdf

# 评价:如今传统安全被解决的越来越好(也有一种说法是被框架带到了平均水平上),相应的搞传统安全的从业者的空间也越来越小,业务安全越来越受重视(但需要真正深入业务/理解业务);业务安全的几个分类;事前事中事后业务安全要做的内容和重点,与安全团队在企业内部的定位有关。【🌟🌟🌟+】

vipread.com_58沙龙.04.《快手营销反作弊实践》.快手.pdf

# 评价:大企业的营销活动不可避免的会吸引来黑产,黑产作弊的手段各种各样且更新换代快,对抗的本质是反馈系统,黑产会想办法干扰我们,我们也要想办法干扰黑产(查杀分离/延迟+混淆),以提高他们的成本/降低他们的收益,从而限制黑产的活动;预防为主,防治结合。【🌟🌟🌟+】

vipread.com_58沙龙.04.API安全.快手.pdf

# 评价:廖师傅的分享,我就不做评价了。只是简单说一句,一个企业的API安全能做多深能做多好,主要是由这个公司的基础平台能力(尤其是发布平台)决定的,它决定了你的覆盖率/可扩展功能点等能力(当然了安全自己搞的黑盒/白盒/灰盒扫描能力也一定要能及时跟上,起码不能拖后腿)。【🌟🌟🌟】

vipread.com_刘欢.企业数据安全实践.pdf

# 评价:ppt里没有体现出来什么干货。。。【🌟🌟】

vipread.com_刘志诚.从数据安全到业务安全.pdf

# 评价:数据安全的保障框架这一页还挺有启发性的,ppt整体内容较少,也就不过多评价了。【🌟🌟】

vipread.com_钱君生.基于DevcOps平台的移动APP隐合规实践.pdf

# 评价:几个图还是选择的/做的还不错。【🌟🌟】

vipread.com_宋良杰.基于业务场景下的数据安全建设实践.pdf

# 评价:PPT大概讲清楚了他们业务场景中面临的数据安全风险,整体的风格也是较为务实的,值得有需要想了解的进行参考。租住业务场景下的数据风险那一页的图有一定启发性。【🌟🌟🌟+】

vipread.com_移动端数据防泄露技术.糜波1222.pdf

# 评价:大概讲清楚了企业内部移动端数据安全的风险点和各方案的优劣势,值得后面有需要的再参考参考。【🌟🌟🌟+】

vipread.com_远程办公正在进化到内生安全时代.pdf

# 评价:虽然内容主体是蓝信app的广告,但是也介绍了不少BYOD场景下的安全风险,可以在有需要的时候进行参考。【🌟🌟+】

vipread.com_郑泽文.构建应用数据安全主动防御体系.pdf

# 评价:主要是和web爬虫爬取web/API数据相关的内容(因为它们家就是干这个的),互联网大厂基本不会考虑这个的,先都不用说价格,就说对业务响应耗时的影响都无法接受,不过里面的原理如果有机会的话还是可以学习了解一下。【🌟🌟+】

vipread.com_主论坛.安全.赋能数据开放.激活数据价值.pdf

# 评价:这种大会主论坛的PPT里面最值得学习的是背景介绍/框架大图,因为这些大佬所处的位置比较高,看到的知道的要比一般人知道的要多,观点会有一定的启发性,值得学习参考。【🌟🌟🌟】

vipread.com_A05赵锐.以成果导向的数据安全治理.pdf

# 评价:内容质量一般,但是打码水平挺高。【🌟🌟】

参考链接:

https://vipread.com/

=END=


《“数据安全相关PPT阅读学习”》 有 5 条评论

  1. 如何用量化指标梳理网络安全等级保护系统定级?疫情形势下怎样确保远程工作安全?算法备案与算法安全管理制度建设探讨 | 总第141周
    https://mp.weixin.qq.com/s/0vF2qstK7PZqO-1jh-2M-g
    `
    # 话题1: 有没有大佬用量化指标来梳理网络安全等级保护的系统定级。系统服务安全基于RTO、RPO指标,业务信息安全基于保存的信息内容与信息存储量,如:大于1000万,xx分,在500万-1000万,XX分。系统太多了,有个量化的标准比较好。

    A2:上图猜测肯定是有类似API的能力集成了,绝对不是单个产品或单个阶段搞一下的。另外要在里面写东西,要下载,解压,保存。在大文件里这些动作都需要很长时间,而且你咋保证文件不被破坏。在微软生态体系内,这些相对容易做到。人家就是做office的。

    A3:基础设施是自己的好搞一些,反之要各种兼容适配,还有三方外厂的封闭性….

    A4:之前看到一个博客,即使强如微软,在玩文档加密的时候也玩脱了,后来回退不提供这个能力了。

    A5:文档加密如果控制不精准,可能跑个几年后会发现,满内网的都是加密文档。文件标签也是。

    A6:解密外发的时候就痛苦,其实文档加密当产品没问题的时候 最大的问题就是对效率的影响。

    A10:对,需要动态的做分类分级,加密状态得是可变化的。越是动态 其实越难落地

    A12:求分享心得 有哪些坑呢

    A13:遇到,卡,打不开,文件损坏,流程断点,出去之后对方打不开

    A14:文档管理系统升级,又把这些问题时不时的再点亮一遍。然后文档加密之后,你很多时候的敏感数据文件扫描,一些文档的NLP识别也废掉

    A15:文件没加密前,安全人活在文件泄露的恐惧中,文件全都被加密后,安全人活在密钥泄露、算法破解、文件破坏的恐惧中,安全人咋这么悲催。

    A16:有没有文档加密用了值回票价的。然后有些时候,定密标准改了,那要求所有文件扫描加密,但那个文档本来就只有那个人能看,那么扫描系统也扫不了,就没法重新定密之类的。

    A17:而且搞这么复杂,还不如直接关互联网来的方便。至少对银行来说,断掉文件外泄的风险更容易一点

    A18:对哦,分级也是变化的,过几天再出个新的分类分级要求,国家重要数据,你再弄一遍吧

    A19:求指点,当时觉得不想再这样玩下去了,天天被电话问候

    A20:AWS的是类似vdi,瘦客户端路线,你学不来

    A21:微软以前有RMS,集成office。AD域内可以玩转,公司内部使用很多,邮件文档结合Sharepoint都很方便。即使这样,也只是少数文档邮件使用(相当于人工分级分类了) 另外一个问题,没法发到外面。

    A22:我们也很多VDI,反正核心就文件别出来,国产化了,很多金融单位都已经没有微软了,OS咋办

    A23:UOS啊

    A24:国产化这种不是一次换掉的,都是先把上面的软件给先国产化掉,WEB掉,缩减软件版本数量

    A8:对于重研发,数据沙箱+dlp,实践效果是否更好一些?

    A9:现在很多安全设备都需要解密了,串接的话网络dlp可以解密,或者防火墙能解密,把明文流量发给网络dlp上

    A10:银行基本上两网隔离 只有邮件需要处理 还比较简单

    A11:网络dlp能实现?网络dlp都是概念

    A12:网络dlp的作用不大,终端dlp有一定作用

    A13:网络dlp覆盖范围大些,对于那些安装不了dlp的终端 也能覆盖到

    A14:确实终端dlp、邮件dlp最好实施,但最近有个别新锐厂商在之前网络流量基础上,做更深入的数据接口、传输数据量、账号等分析,概念上也属于网络dlp,效果还可以,能帮助安全人员找到一些影子数据、实际在用的数据…

    A15:嗯,之前用的网络dlp功能简单,对加密流量处理一般,威胁识别很少。现在一些api网关安全产品会有账号梳理,接口监控等功能。

    A16:网络架构如果是内网七层负载解密转发http到后端的话,网络层面的dlp或者ids接明文流量都方便一些

    A17:网络DLP没办法覆盖某些场景风险,比如销售人员在外出差期间的数据泄漏风险,在这点上终端DLP优势就很明显了

    A18:DLP在隐写、图片、非规范化、加密等场景下,发挥的作用有限

    A19:DLP也就合规管控效果还可以 真要是做绕过对抗那是不够看的

    A20:出差期间要靠本地离线dlp策略来限制 相当于要多重手段了

    A21:这种是不是可以让VPN必须走公司再上网

    A22:dlp更多用在事后吧,事前的话有没有可能影响用户体验

    A23:网络dlp概念上蛮好,实际上落不了地,解决不了问题。不如终端dlp

    A24:网络DLP得上证书替换才有效果 就有点重了。全流量比网络DLP更实用一些

    # 话题二:咨询一下大家,关于《互联网信息服务算法推荐管理规定》要求对算法进行备案,涉及到算法安全管理制度的建设。1、算法备案大家推进落地的怎么样?2、算法安全管理制度有具体的文档分享吗,谢谢。

    A1:我们公司内部法务有在做解读,不过,发制度容易,落地难

    A2:制度内容先满足规定要求,落地还得逐步推动。

    A3:恩是的,需要补充发布的算法制度还不少,算法安全这一块涉及的技术性很高,安全制度很难落地。目前算法备案要求的事提供“现行的规章制度”,如果奔着合规去做备案,这样又是形式合规了

    # 话题三:各位大佬请教,现在上海疫情严重,大家是怎样确保远程工作安全的?例如访问办公环境、生产业务系统环境、开发测试环境、生产运维等。传统的vpn,云桌面,新的沙盒产品,大家有哪些使用建议?

    A1:现在应该偏向零信任吧。我们以前是用的VPN,但是应用访问权限很难梳理管控,今年全上SDP了。

    A2:办公网络的接入VDI云桌面相对安全,VPN无法控制个人PC接入,存在脱离准入,dlp,防病毒管控的风险,现在很多零信任产品可以解决这个问题。生产环境的访问可以走堡垒机访问

    A3:零信任SDP是个很好的选择。部分厂商有基于SDP做的产品,好用么?安全性真的能提升吗?还没有使用过。

    A4:我们之前用vpn+vdi,实际使用效果不好,对网络要求很高

    A5:选择头部的大厂,他们基本上都把自己的零信任给商业化了。Vdi对网络要求非常高。

    A6:生产运维vpn+堡垒机?

    A7:嗯嗯,VPN存在个人PC接入的风险,云桌面+堡垒机,零信任+堡垒机会是更好的选择。

    A8:sdp的上手块,但是要是要结合业务看使用vdi 沙箱 堡垒机等其他技术

    A9:我们允许个人pc接入,全司没办法所有人都配备笔记本。我们目前也是多种技术结合在尝试。

    A10:byod的话 更加复杂些,至少要有个端 确认访问环境的基础安全

    A11:可以根据业务部门智能和访问需求来分配最优的访问方式,实现安全和业务的平衡

    A12:我们将环境进行了分离,生产业务、办公业务、开发测试等。终端接入只能访问一种环境,不同环境在pc终端是分离的。但是对我这些产品的安全性,易用性还不是很有底。

    A13:同时有三个场景访问需求的怎么办

    A14:这种比较少,如果有就用不同的接入渠道。

    A15:三台电脑,全部接入办公网络,访问业务系统用虚拟桌面或者零信任

    A16:如何接入办公?vpn?这种套娃式易用性不是很好,对网速要求有点高,延迟高一点就要掉线了

    A17:生产运维 vpn+堡垒机,目前够用

    A18:vpn也就是应急,又不是长期这样办公

    A19:远程办公和运维不一样,vpn加堡垒机体验不好

    A20:我们这段时间在测试某一家头部企业的,和企业的即时通讯软件联动,把一些内网的应用通过零信任给开放到了公网上,方便远程办公,效果还挺好的

    A21:阿里云有把流量镜像出来的官方解决方案,我们调研过。

    A22:这个易用性肯定好,安全性有些没底啊

    A23:我们测过,目前没发现啥问题

    A24:sdp方案还需要考虑数据防泄漏问题,部份byod自己电脑给他安装一些防泄漏系统,可能会担心自己数据被收集

    A25:三家头部的零信任我们也都测了 从使用性上感觉都差不多

    A26:成本这块倒是还没评估,主要是没找到能公有云部署的全流量分析平台,就没往下了

    A27:不同公司行业方案都不同,记得之前厂商办公有thin client + 虚桌的,也有啥都不管的,美团当时是一个Mac行天下 随时随地啥都能干,银行就又严格多了,各种网络隔离 各种环境的VPN虚桌……

    A28:三家头部互联网公司对外输出的零信任产品我都聊过,感觉都差点意思,特别是动态决策引擎的成熟度堪忧

    A29:没办法,不是自己开发,就只能考虑订制

    A30:其实检测下sdp阻断原理就可以确认动态检测做到如何了,大多数都是时间空间纬度去做限制

    A31:互联网直接访问生产业务系统,数据落到本地还有办法管控吗?

    A32:不是生产的业务系统,是内网的一些信息化系统,类似于OA这些
    `

  2. 从CMDB到SCMDB,安全资产管理的实践探讨以及向上管理艺术之如何有效争取资源 | 总第130周
    https://mp.weixin.qq.com/s/mCpkjIY-Nk0Kp1JkiqO63g
    `
    # 话题1:资产管理这块儿有没有比较好的产品或者工具呢?

    A1:资产管理有2大难点,一是数据收集难,HIDS收集服务器信息,桌管收集终端信息,IOT就难一些,看了市面一圈,还是没底。比如有些特殊设备或者操作系统是没法装的HIDS。更重要的是,CMDB现在可以提供的数据也无法保证它是全面的,所以都是网络扫描,HIDS,桌管一起上,然后同进CMDB。

    二是数据关联可能更难。某产品上做安全运营,碰到的难点之一就是数据关联,还是需要自己做很多数据处理、资产富化,把很多信息在日志入库时就做好富化。

    A2:CMDB设计之初最主要目的是做变更影响分析,安全资产管理S-CMDB关注资产的安全属性,越来越多的企业会建设S-CMDB来加强安全资产管理,其数据来自于五部分:
    * CMDB。基础信息如IP、所属系统、负责人等需要从CMDB中同步过来;
    * 主机上数据。终端和服务器agent,特别注意细节;
    * 流量。通过流量监听,能发现很多信息,如:未登记IP、管理后台等; 
    * 扫描。发现未登记的资产信息,以及资产的漏洞信息等;
    * 人工添加。比如每次应急时,将发现的未知资产和资产属性信息不准确的人工更新到S-CMDB中。

    Q:同进CMDB中,是要将哪些信息同步过去呢?资产的安全状态是否需要一并同步过去呢?

    A3:IP,设备类型。至少这些,然后关联责任人,是否能抓版本,就看技术了。如果开发模式是自主的,抓代码仓库的数据,把各类用的开源组件和版本管起来。如果是外包外购,就只能做好管理了,在代码一层能做的有限,只能在部署后通过HIDS,以及扫描、流量等抓取一些资产属性。

    我们CMDB是定位运维的基础数据平台,涉及配置信息,包括自动发现的,应用归属(开发人员、运维人员),账号归属的。状态类的属于变化的,不会放入。

    A4:资产管理难就难在这不仅是技术问题,上了个产品工具,如果不能和组织的管理流程结合,比如资产上下线、检查流程关联起来,没有准确性反馈机制,没有数据指标,那就是摆设。说一个最简单的,分母都有哪些?如果没有扫描的正向检查,你都不知道自己有多少暗资产,流量监控是对他的负向输入补充。

    如果安全来做cmdb,未免太庞大,我个人认为安全应该优先投入资源做边界系统的scmdb,并产出成果,全网的cmdb还是推动基础设施来做,安全去消费它的数据。

    Q:扫描不如用核心交换的流量镜像,nmap精度不能100%,hids也不合适,hids本身就存在覆盖率的问题。如果资产都看不全的话,如何确定能做到有效防护呢?

    A5:是并集,五个维度综合,不是单纯的依赖一个数据。hids和扫描、流量一起上。其实不用太纠结全不全,做事不是做不到一百分就不做,从0分走到60分也是进步。不然坐而论道,永远没进步,因为做事不可能像修仙,一日悟道成仙。

    资产100分,也不可能做到100分的安全。因此,分步走,抓主要矛盾,收口,慢慢捋,在未来10年,你再把那40分也兼顾。收敛,贯标,运营,做事三大原则。

    A6:资产的管理我觉得永远是动态的,不可能时时刻刻都做到100%,常态化到百分之八十九十以上就不错了,对于安全来说,还是优先保证边界资产的梳理,包括终端的安全。

    资产发现,尽量去做,支持取并集:人工填报+主动探测(含组件版本指纹识别,可以分为互联网侧和内网侧)+流量监测+HIDS。但是资产发现后的确认机制、与资产管理的联动机制,如何保证与业务的关联性和更新的及时性,还有很多事要做。

    A7:资产发现其实是个事后的词,都是查漏补缺的。一般来讲,强化的是前面的资产管理,当资产出生的那一刻,在CMDB就应该出现了。资产生成和资产使用流程和平台要强关联,尽量减少无序资产产生。

    Q:话说大家说的资产都具体都包括了哪些?或者说资产颗粒细化到啥程度才算是合格,就是类似于ITSM这种东西吧?

    A8:不止,包括ITSTM,云平台,堡垒机、监控、CMDB、备份等基础运维平台强关联。举例就是即使你用云平台私自生成一个云主机,那你也基本用不了。

    Q:SCMDB和CMDB建设冲突吗,一般是作为CMDB的扩展,还是独立的一套系统?群里有做的成熟的吗?

    A9:如果有cmdb的话,就去消费数据并反哺准确性,尽量不要独立。而且安全资产和运维的CMDB不冲突,可以作为扩展,安全资产的部分数据可以依赖运维CMDB的数据,很多安全比较关注的资产比如中间件、进程、端口开放情况这些需要另外补充,运营安全资产的准确性并反哺cmdb。

    CMDB + hids采集服务器上资产+镜像流量分析的资产+扫描器类的,互相补充,形成安全所需要的资产库。我们现在在按这个搞,已经整合一部分。

    # 话题2:向上管理艺术之如何有效争取资源?

    我在美团的八年,虽然我吐槽它列的十条原则没什么思维体系,但是每一条内容都是非常棒、非常泛用、且给出了标准行为和进阶行为的,作者实践得已经很深,比如其中的,P/PC平衡原则,很多人在做一件事的时候喜欢画一个大而全的蓝图,一口气把问题解决了,但是在组织里投入是要讲回报的,你做的东西半年看不到成果可能老板就会质疑你,所以既要有蓝图,知道自己的路在哪,也要有重点,时不时得到一些产出,要更多资源。

    以上面资产管理话题为例,现阶段,哪怕你没工具,手工excel做,也要把成果拿出来,展示做了的价值,然后体现现在没cmdb的问题,才能有更多资源去自动化地实现。而不是说,我没好的工具,没scmdb,这个我就先不做了。

    有了这个目标,那要什么就很清晰,目标区域内都有哪些ip,端口,服务,业务重要程度,组件(供应链),版本,漏洞,访问控制上下游,进程,计划任务,责任人,出问题的应急预案,都是你想要的东西。

    Q:原型法?先做个原型,展示效果和目的,然后再申请资源扩展。

    A1:什么法就不一而足了,ppt能说服领导要到资源也很好,这看各自情况。抓住关键系统和互联网区域先做,把效果做出来,PPT就行了,画个原型图就好。你怎么做,那是过程,大老板也不关心,只关心结果,把效果描述好,指标定好,持续检测机制定好。老板就OK了。

    我刚加入上一家公司时,安全人员个位数,这时候直接去要HC资源肯定是要不来的。我就分析安全团队能够快速做什么产出,决定第一优先级先保障安全产品的安全性,第二是通过红蓝对抗等模拟真实攻击提升安全产品的安全能力,第三才是大部分公司的反入侵和数据安全。产出有了,就能要到资源了,甚至不需要自己去要,老板自己会给你提更多要求,并主动提出给你加人,后面安全团队人数直奔100人而去,产能的问题也就解决了。

    Q:产出有了,之后就能要到资源,没必然联系吧?

    A2:产出有了,领导就信你了。资源来源于老板对你的信任,信你画的饼。信你能帮忙解决他的问题。所以你画的饼有资源,领导也会给你饼。因为你做了前面两个老板很关心的工作,并且做出一点点成绩,他会觉得如果我给你更多人,你是不是可以做的更大?然后他自己会在前两点工作上提很多要求,自然他就会在最后加一句,我再给你XX人,你把这些工作做完可以承诺吗?

    老板招你来,就是有期待,然后你画了饼,他给你资源了,这是对你的信任也是对你的考验,然后你把饼做出来了,且解决了他的问题,那么你经过了考验,这一切都是来源于他对自已的自信,如果你让他产生了新的期待,那么就是他的惊喜。

    简言之,蓝图是证明做饼方法的科学性和开这个饼铺符合长远发展的,产出是说当下这顿饼能不能让大家不挨饿,并不矛盾。

    A3:管理那块东西,越参加系统化的学习越觉得自己还没入门。比如群里大家很爱说的向上管理这个词,听起来很科学,但是它的成功却是不可复制的,这是因为你的领导不一定按科学的来,你做好了,给不给资源让做更好,其实是取决信任关系,而不是领导的义务,完成任务固然能赢得信任,但获取信任最佳的方法是不要做向上管理,而是直接唯上,站队,甚至打破工作和私人的边界,这就不科学、不实践、不守正了,然而培训分享只能抽取其中科学的那部分来,这也是为什么理论变多了,成功却没变多。

    不仅安全如此,工作都是如此,主要还是信息对称与否,所以高手都是管人的。能自己做好和能带7个人之间有很多科学的方法,没有鸿沟,主要是从个人贡献者向团队管理者的思想与方法与交付结果的转变,但能带7个人的和能管100人的完全不是一个级别。7和100的区别在于将兵还是将将。

    本质是人际关系,这个是很玄的东西,个体差异比较大。
    `

  3. 六种方法评价安全建设水平
    https://mp.weixin.qq.com/s/fpNhw57riItoWFG7Vp9iAQ
    `
    很多安全团队做绩效考核,一把手都会做安全的KPI、OKR、BSC等,当然也可能做MBO、KSF等。这几年,我一直在从事安全运营,也在摸索如何开展数字化安全运营,也在总结安全运营的数据基础及数字化指标集合的经验,希望不久以后可以分享出来。

    在谈到安全绩效考核,不可避免就会谈到如何评价安全水平,换言之,安全建设的度量、评价怎么做?此文根据个人理解,总结六种方法分享给大家:

    1、安全审计。核心思想是从“审计概念”出发,以安全的“最佳实践”的标准、规范为参考,来测量安全性。

    2、风险分析/评估。核心思想是使用“数学概率”来测量安全,通过分析价值、威胁、风险控制、影响等因素来评价安全水平。

    3、安全测评。核心思想是从技术、架构、功能、机制等多个视角来测量安全性。

    4、能力成熟度模型。核心思想是通过“过程评价”来测量安全性。

    5、数据指标。核心思想是通过“指标改善”来测量安全性,既关注实施、效能等测度,也注重结果、影响(ROI、合规)等测度。

    6、概念验证(POC)。核心思想是以“模拟实验”来验证安全性。例如:BAS、安全混沌工程等。上述提到的六种方法以核心思想为区分依据,但也不仅仅只从某一个视角来测量安全性,也会交错、吸收不同思想,例如,能力成熟度模型也有风险分析,安全审计也会有概念验证(穿行测试)。从核心思想来看,他们之间也有一些关联:

    安全审计 vs 数据指标
    前者是以外部的最佳实践(行业)为参照系,后者是以自身历史指标改善(提升)为参照系,可以互为补充。

    风险分析/评估 vs 概念验证
    前者以数学概率统计等理论为基础,后者以模拟实验等实操为基础,可以互相补充。

    安全测评 vs 能力成熟度模型
    二者有一定的相似性,更多基于现状、表象来给出评价,有变数、也有弹性。
    `

  4. 不可能三角、四个明白、安全与人性、四个前提假设、安全句式套路
    https://mp.weixin.qq.com/s/X-NqtIMovq2rlsyAvGIurw
    `
    # part1

    经济学领域有个“不可能三角”的著名概念,也叫三元悖论,这是美国经济学家保罗·克鲁格曼提出的。
    其实,各个领域都有一些无法同时满足的“不可能三角”,如:一只基金的大规模、低风险和高回报;项目管理的范围、时间和成本;职场工作的钱多、事少、离家近;公众号推文的深度、高频、原创等。
    网络安全领域也不例外,如:检测规则的误报、漏报和准确。你还想到了哪些?好好借鉴这一智慧。

    # part2

    企业的网络安全工作开展,一定会面临业务的挑战、多团队的协作、以及不同角色岗位的不理解。安全团队务必要讲清楚四个基本问题,才能让工作顺利的推进。我总结为四个明白:

    明白网络安全是整体的,短板不能太短;明白网络安全是动态的,变化中求提升;明白网络安全是开放的,不能闭门造车;明白网络安全是相对的,威胁是绝对的,没有100%安全。

    # part3

    在每一个安全策略、安全管理决策或每一项安全管控措施的背后,都必然有某些关于人性的、人性本质的、人性行为的假设,发挥着“无形的手”之作用。
    例如:网络攻击事件、员工违规行为、数据泄露调查、内鬼查案、薅羊毛、业务安全风控等诸多安全工作场景。

    # part4

    网络安全从业者,必须认识到一个基本实事:当前环境下企业安全或国家安全,都是基于四个默认的假设,才会存在“网络安全”这一问题。
    假设1:技术连接了现实世界和网络世界的收益和风险。
    假设2:用户不会为与其无关、低效或过于复杂的安全实践买单。
    假设3:攻击者认为攻击行为有性价比和可观效益,攻击便不会停止。
    假设4:防御者认为必须在资源有限且威胁不断发展下,优先保护高价值资产。

    # part5

    在做安全规划时,经常要写一些“务虚内容”,这其实也是有方法论的,下面分享一则我常用的语句套路,即“坚信-坚定-坚持-坚守”句式。

    举例:
    坚信网络与信息安全发展,是人与人的对抗、技术与技术的碰撞。
    坚定安全建设的统筹规划、纵深防御等最佳实践思想。
    坚持积极防控、科学投入、人性管理、确保安全的指导方针。
    坚守信息安全国际行为准则的道德底线。
    `

  5. 安全日历、安全贡献、账号锁定、目的与手段、三板斧、对外高一级、数据分享原则
    https://mp.weixin.qq.com/s/275gH2EadNRg2oTpMZp2aA
    `
    # part1

    在企业中,信息安全部门对于周期性的、例行的工作任务,要擅于提前计划、设计排期。安全演练工作便是此类任务最常见的一类,无论出于监管要求、行业惯例或是自身需要,日历(行事历)都是很好的展现方式之一,直观、简单易懂,并具有全局视角。

    # part2

    一般而言,高层管理对企业的成长和中长期发展负责;中层管理对企业的稳定和效率负责;基层管理对企业的成本、质量和短期绩效负责。

    信息安全部门对三类管理者的贡献相应也有区别:对高层管理者的贡献偏重在安全合规,不违法违规;对中层管理者的贡献偏重在减少安全事件不出事、快速处置降低影响;对基层管理者的贡献偏重在业务或产品漏洞发现修复、提升安全体验等。

    # part3

    安全基线中,登录账号多次失败锁定是一条常见的安全策略,对内部系统而言,多数人是可接受的,但面向To C用户业务时,这并不是一条友好的安全策略,其背后的逻辑是用户应为“自己锁定”负责,无论是否是你造成的,业务方都是“免责”的。

    我的建议是登录账号多次失败后,业务方应增加更多的验证措施,直至确认当前的账号猜测一定非用户本人而是异常或攻击者,然后对其处置。

    # part4

    很多安全厂商的销售或售前,在甲方辛辛苦苦拿了一个项目,却因项目交付延期、产品问题较多、技术支持不足等多种多样的原因,无法验收及时回款。

    安全厂商应该意识到,把钱收回去是目的,而把产品卖出去只是手段,很多安全厂商的做法却二者颠倒、背本趋末。

    # part5

    工作中的实践过程非常重要,不同的环境、不同的人、不同的过程,每个人的感悟和总结也不同。建议所有人都应当根据自己的践行总结自己的“三板斧”。

    例如:管理的三板斧:定目标、追过程、拿结果;运维的三板斧:用好工具、管好行为、简化流程;安全治理的三板斧:全面监视、定期审核、及时报告;安全运营的三板斧:健全体系、提升能力、量化产出;安全服务的三板斧:人员专业、过程规范、客户满意……

    # part6

    《数据安全法》于2021年6月10日颁布后,企业的信息安全团队对数据管控越来越严,不仅是对含客户信息的业务数据,还包括企业的商业数据、员工个人信息等。

    但安全管控不应成为数据使用的绊脚石、拦路虎。建议先定义高价值数据和一般数据,再按照“能开尽开,应关尽关”的原则对待数据的合理使用、分享。
    `

发表评论

您的电子邮箱地址不会被公开。