五六年前,那個時候只有一個人專職做安全。計算機都是(英)會選擇防病毒軟件。這些活很瑣碎,占據了這個人幾乎所有工作,后來又來一個人負責邊界防御,也是理所當然的,辦公筆記本、辦公終端、服務器終端都做了防病毒控制,根據預控做了同步管理。接下來到很傳統的邊界防御過程中,做安全的人都知道防火墻、IPS、IBS逐漸出現網絡安全的事兒。
對于券商來說,有一個比較多的工作量,營業部聯合總部,光是介紹都會覺得活非常多,兩個人占據了所有的工作量。后來又來一個人做安全審計,為什么專門把安全審計放在第三個位置?領導覺得外部(音)的審計、內部的審計、機關審計部的審計工作量越來越多。這個活誰來干?放到安全審計里陪同他們做這件事,還有對IT內部做審計這件事。
再往下才有了應用安全,應用安全這塊是來做的事。之所以寫應用安全,但是沒有說SDL,大家如果做過SDL知道這張圖是SDL圖。為什么寫應用安全?可以裁減的一定要裁減。SDL實現應用安全沒有錯,實現應用安全要全部上,業界實現SDL,這件事對公司來說是裁減的事情,裁減完之后再回來落地,我們是需要控制住幾個關鍵的點。安全審計、安全評估、上線前的測試,再通過流程做控制,這幾個點控制之后,即使沒有整體去過SDL這件事,沒有建大平臺做SDL這件事,但是應用安全建立了全生命周期管控的方式。
現在團隊大概5個人左右,這個時候初步建立起PC的閉環,才有了持續改進的方式,去囊括網絡終端應用等等幾個層面,才會去從整體的安全建設方面去考慮事情。這個時候問題緊接著而來,這個活基本上是以單位為主,人負責領域。這個時候這么多的設備產生告警該怎么做?每一個設備都要去盯著它。現在的量是非常大的,一億三千萬條的安全相關認證,150次年均安全評估,上線之后在我們這兒過流程跟基線碰一下,50+次的上線代碼審計測試。這么多的工作量5個人干嘛?考慮到集中運營、統一管理的方式去做。
最終解決方案是通過“3+1”方式。3是指3個平臺,1是指1套流程。大概看一下3和1分別有什么東西。
首先,兩個平臺關注程度比較高:一個是安全運營平臺、一個是本地威脅情報平臺。安全運營平臺從網絡終端接收日志、告警流量。本地威脅情報是做內部情報和購買外部情報員做外部情報。這兩個是雙輪驅動的方式。同時,安全運營平臺和本地威脅情報平臺是互為驅動的方式,安全運營平臺可以產生聚合的情報吐給本地威脅情報平臺,本地威脅情報平臺作為安全平臺的重要支持,接下來進一步看怎么處理。
辦公終端、服務終端、網絡,不管是設備、硬件、軟件,提供自己的資產信息給安全運營平臺,安全運營平臺接收本地威脅情報作為情報賦能,把這兩塊東西做融合,產生的東西做安全編排。目前是跟防火類的設備做自動化空間。本地威脅平臺是從外部和內部兩個方式接收情報,外部情報員采用的是3+的方式,如果情報之間有相互沖突,以多數為主。安全運營平臺正在打造成為安全工作的唯一入口,需要干什么工作都從這上面。
這套流程是剛才前面講過運營安全的流程,大家都很熟悉這個模型,是傳統的V字型的軟件開發生命周期模型。對于現在經常講的(英),本質上是這個模型的縮寫、精簡以及環節的減少。對于整體的流程來說,現在采取在關鍵點去做控制的方式,而非整體做SCO這件事,SCO對于我們太重,所以選擇可裁減的方式做。
目前在做的是需求分析的做安全評審,項目向安全評審流程,不經過過流程立項立不起來。我們發現有一些廠商實現了自動化方式,點選功能就能夠出現安全機器人,這個功能非常好。在往后走代碼審計安全測試,通過應用系統上線流程和升級包的升級流程做控制。什么意思?自己做代碼審計、自己做安全測試,我們提供平臺和服務,做完把它改了之后放到上線流程和升級包的升級流程里,帶著已經修復問題的報告放到流程里,審核通過沒有問題上線。
ITGRC的平臺,承接前面剛才講過的IT審計主要工作。從三個方面去做:策略管理、審計管理和風險值。策略管理跟下面的設備、終端去做具體策略的收集、指標匯聚,審計管理是流程方面的東西,誰要去填東西,誰要去審批。最后風險值通過幾個指標去做展現。
整體“3+1”的流程是這樣的,ITGRC平臺作為剛才講過的兩個平臺加一套流程的審計,全程審計。ITGRC作為持續改進非常重要的點推動剛才講的安全運營平臺、本地威脅情報平臺,這一套流程的推動不斷優化。
最近剛剛改過上線的(英)證券基金信息技術管理辦法要求重大變更和重大的系統上線工作需要提交相關報告才能做,必須把剛才講過證監會要求報告放到流程里才能通過。通過流程控制,而非簡單通過技術,這是一種傳統的技術,通過流程做控制是一件硬性的事情,必須做,而且介紹工作量。你要帶著已經修復好的問題,到我這兒來才可以通過。
剛才講過“2+1”、“3+1”平臺之后有了初步的PPDR模型,通過情報做預測的功能和安全運營平臺做快速響應方式。安全運營平臺在做進一步優化,每一個安全告警希望通過頁面點選方式后面確認與否和怎么處理的標準化模板。安全運營平臺通過入口更重要,包括預測、預判和全流程過程。
前面用1—5個人方式展現團隊成員的情況,2016年做基礎建設,縱深防御體系建設,建立安全防護體系,2017年初步建立安全運營體系,搭建安全運營中心提升事件響應和發現的能力,對信息文件做了可量化的處理。2019年,也就是今年主要做深耕安全運營中心能力,并且給它威脅情報賦能。到2020年,希望進一步提供加強自主可控方面的能力,能夠組建自有的專業服務團隊,根據公司的實際情況提供服務,安全組件提供可以讓他們很快嵌入自己研發流程里的安全模塊,實現安全器服務方式。
在后面還會講其他的,正好匹配到第一點。剛才講到了團隊一共有五個人,各種原因有五六個是來回。如果沒有這五個人能做更多的事情嗎?當然是不能。從自己運營工作當中每個人工作量非常的飽滿,來一個人要承擔起條線工作的情況。未來還會對安全運營中心做進一步的深耕細化,安全日志、安全的告警事件都是通過規則的方式來做的,今后計劃通過機器學習非規則、沒有明顯特征的方式模型去發現更深層次的事件。這個時候需要招更多的人,這件事也跟領導的關注有很大的關系。在甲方交流群里經常看到有一些交流如何向領導要資源的事,有些方法論,企業話述什么的。
業界最佳實踐好不好?當然好,是不是公司是另外的一件事。流程與技術并用,公司流程是明確的,技術對公司來講,主要是承擔相互管理的職能。這些技術自己沒辦法親自上手去做,流程就變得非常的重要,這是硬性話題,去做具體把控這樣的事。
早接觸、早啟動跟中信建投領導管理有很大的關系,早接觸、早啟動,不要市面上有了成熟的方案再去做。剛才講到證券信息管理辦法提到安全值,業界還沒有全流程、全生命周期的解決方案,已經擺到領導案頭很長時間了,希望通過技術解決或者方法論有沒有新的可以完善的,而不是僅僅通過關鍵詞掃描的簡單方式。
舉個存量盤活的例子,現在已經上了很多的設備和方法發現公司的資產,有些廠商不同的產品通過互聯網掃描、CNBB(音)方式配置去做。上那么多工具沒有用好,為什么沒有用好?領導一直跟我們在推動的事情,存量工具、存量的方法要用起來。
目前業界對于安全服務、咨詢服務提供的時候,我所接觸到的是通用的咨詢方法、解決方法,針對證券行業有沒有針對性的解決方案?很少。剛才講到《證券信息技術管理辦法》里邊一共有60條,每一條都是自己解讀。業界有沒有幫我們解讀?到目前為止還沒有接觸到,這件事是自己在做。具體到每一條而言問到誰要拆開,結合公司自己的特點想一個能夠落地的方案,所以我在這兒提到的是如果有友商或者是服務公司能夠提供有金融特性的服務對我們幫助非常大。解讀監管的文或者是監管要求的時候,需要拿出業界的方案跟公司現狀做結合。如果業界方案這塊有針對性,拿來就可以,這件事對我們都是共同成長的機會。