RSA2016 绿盟君带你看安全管理成熟度

作者: 王延华 万慧星 胡喆骞 李晨

2016年RSA大会CISO研讨会的题目是”Information Security Leadship development:Surviving as a Security Leader“,从某种程度上这个题目本身就反应了企业信息安全管理工作的艰难。大会邀请自于Bruce Bonsall、Malcolm Harkins和JB Rambaud三位CISO演讲,Bruce Bonsall来自一家保险金融机构,两位均来自于提供安全威胁情报服务的安全公司。通过3位具有代表性企业的CISO的演讲,我们不难发现厂商与安全企业在安全管理上存在部分共性,也存在分歧与认知上偏差,整个业界的安全管理成熟度并不高。

分歧 是辅导员还是专家

三位发言人对CISO自身工作的定位与认知就存在分歧。来自于金融机构的Bruce Bonsall先生来自认为CISO是一个辅导员,需要融入企业文化,通过沟通与其他各部门建立一个共同的目标与认知。(见图1)而另外以为来自安全威胁情报服务商cylance的Malcolm Harkins认为CISO需要以专家身份强力推进并指导公司如何达成信息安全管理的目标,甚至认为董事会和CEO应该在法律上为安全灾害后果负责。

Malcolm

Malcolm

两者之所以在CISO的定位出现如此巨大差异的主要原因是服务的企业类型不同导致,信息安全企业在安全风险管理上是有基本共识的,在明确安全风险的前提下,不会有人轻视降低风险所需要做的工作。而站在非安全领域的企业的角度,如果不进行充分沟通,没有其他相关部门的支持,信息安全风险长期治理将是寸步难行。

绿盟君认为,这两个角色的分析从最终服务对象来看,并不存在根本上的分歧,安全厂商和服务商应该更多地站在企业客户视角客观地看待问题。

分歧

分歧

closing

closing

当然,也并不是所有的CISO在安全管理上的认知完全不同,至少有两点三位CISO不约而同地达成共识。

共识 贴业务 管资产

CISO要了解企业商业模型

用业务语言向CEO或董事会阐述安全风险对业务上的损伤,并提出整改方案。
Bruce Bonsall先生认为信息安全是业务问题,需要通过企业自身额业务角度来描述风险。

来自Bruce Bonsall的ppt

来自Bruce Bonsall的ppt

而Malcolm Harkins认为需要用简单易懂的或董事会能听懂的语言来描述攻防上对手会因为什么动机进行攻击。

来自Malcolm Harkins的PPT

来自Malcolm Harkins的PPT

来自JB Rambaud的ppt

来自JB Rambaud的ppt

相似的安全风险管理模型

演讲的CISO们所采用的安全风险管理模型大体相同,并且都强调了资产管理作为安全运营模型基础地位与重要性。

第一位CISO认为信息安全管理前提和需要“牧羊犬”管理好羊只。

安全风险管理

安全风险管理

第二位CISO则认为需要在资产管理基础上管理好脆弱性、威胁、灾害(impact)

安全风险管理1

安全风险管理1

第三位CISO在资产管理的基础上强调了数据资产调查与管理的重要性。

安全风险管理2

安全风险管理2

认知 先建设还是先降险

绿盟君认为三位CISO在安全管理与规划上都没有能彻底解决或者足够重视的问题。

  • 首先是三位CISO提到的运营体系全完是在系统建设完成以后的采取的措施降低风险,并没有提及到如何在系统建设初期打造一个相对合格且风险低的系统。其实,安全实质是IT系统的一个属性,安全管理需要回归到系统建设上,从安全需求介入、安全规格要求、上线测试基线管理、部署后安全运营进行全生命周期的管理。
  • 其次,所有的CISO也没有提及到如何量化安全风险获得与之匹配的安全资源或预算。三位CISO不约而同都讲述需要从业务视角描述安全风险,并根据安全风险现状实施规划,但都没有讲述如何根据量化的安全风险获得相应所需的资源。

未来威胁情报服务应该具备这样的属性,让每一位CISO能合理预测每类安全风险有多少几率出现或发生在自己的企业,并造成多大损失。

未来 威胁情报应该预测风险

风险管理和威胁情报

风险管理与威胁情报,这两个词让人感觉一个是60岁的大爷,一个是10岁正朝阳的小伙伴,两个概结合一起一定非常有意思,RSA议程中,《Bridging the Gap Between Threat Intelligence and Risk Management》专题介绍了两者的定义区别与融合。

简单来说,风险管理(Risk Management)是安全中一个较传统的领域,简单来说,风险管理的首要步骤是对目标业务系统进行风险评估,然后通过适当的方式对风险进行处置,最后对处置效果进行持续的监控。威胁情报或者威胁智能(threat intelligence)是当下的热门,其关键是通过各种渠道搜集安全线索并通过智能模型,分析出攻击链条,并给出机器或者人可以消费的情报。

在RSA上这个议题的讨论中,通过将威胁情报模型(Structured Threat Information eXpression,STIX)与风险分析模型(Risk Analysis,FAIR)进行结合。把威胁情报模型中关键的威胁因素和TTP整合到风险维度的脆弱性中,构成Theat Capability,其中包含了行为、信誉等威胁情报内容。最终应用这个模型,进行了一个给予威胁情报的风险评估案例分享,来说明了模型结合得应用。通过这样的结合,一来将当前新兴的安全技术与经典的模型进行结合,同时也可为一些风险管理解决方案和产品设计提供一些借鉴。

大数据和威胁情报

在提到威胁情报的时候,不得不提到大数据,足够的数据来源和积累是大数据系统的成功的基础,而优质的安全分析模型则是成功的保障。这两者之间是相辅相成、相互促进的。通过数据挖掘建立分析模型,通过分析模型发现新的问题,通过新的问题获取更多的数据。

早些年RSA上大数据还是热议的话题,还是大家关注的焦点,但如今大数据已经工具化,这项技术及相应的工具已经逐步普及开,成为了多项安全领域的基础支撑,这就包括了威胁情报。今年RSA议题上几乎找不到大数据的专项讨论,转而关注威胁情报,大数据的普及趋势可见一斑。

大数据技术领军厂商Splank,在RSA大会上着重展示了其Splunk enterprise security(ES)和Splunk user behavior analytics(UBA)。通过机器学习等方式,对安全事件和用户行为的关联归并,让安全事件可见,并且提供灵活的定义关联搜索、情报、警报、报表和仪表盘,满足特定的客户需求。

splunk

splunk

在这个方面,绿盟科技也在不断成长,此次参展就给大家展示了绿盟大数据安全分析平台,该平台已经积累的近百种安全模型,并完成应用的转换,最终以交付客户各类有价值的安全能力和分析方法,如基于威胁情报的APT分析模型,DDoS攻击溯源分析模型,安全态势分析模型等。

基于绿盟大数据分析平台的态势感知应用

基于绿盟大数据分析平台的态势感知应用

该平台已经为多个运营商提供了网络态势感知解决方案,以及为大型重要信息网络提供攻击溯源解决方案。这些方案和经验也作为现场沟通的内容,与国内外客户进行互动。

绿盟互动

绿盟互动

近年APT检测领域备受关注,绿盟大数据安全平台基于威胁情报的APT分析模型不断完善,2015年12月帮助国内某金融行业客户发现潜伏多年的信息盗取的APT攻击行为,这标志着绿盟大数据安全分析平台有能力帮助用户实现安全事件预警,隐秘攻击挖掘,内部集中审计等方面价值,该平台已经从实验室阶段转入实际应用。

如果您需要了解更多内容,可以
加入QQ群:486207500
直接询问:010-68438880-8669

Spread the word. Share this post!

Meet The Author

Leave Comment