【编者按】网络信息安全负责人需要向公司管理层汇报安全漏洞防治工作的价值,还需要有效的方法兑现价值。安全漏洞防治工作方法最核心的内容是确定工作目标。然后安全负责人需要动员包括安全、开发、运维甚至业务团队,共同解决公司面临的诸多安全漏洞难题。
“治洞 护堤 保安全”7字箴言
我们用“治洞 护堤 保安全”这7个字提炼安全漏洞防治工作的方法与价值。具体说明如下:
首先是价值
清晰地呈现确定的价值,是得到公司管理层支持的必要条件。
安全漏洞防治工作的价值就是“治洞 护堤 保安全”。
-
治洞:安全漏洞得到治理是理想的目标状态。
-
护堤:治理安全漏洞能够确保安全防御边界牢不可破。
-
保安全:防范黑产和敌对势力侵入公司的网络空间,防范重要/敏感/机密数据外泄。
进一步展开说明如下。
“治理安全漏洞”的目标是“有法可依,有法必依,执法必严,违法必究”。
-
有法可依:有一套完整的安全漏洞管理的制度、流程、规范。每年评审修订。
-
有法必依:有配套的激励机制,确保相关团队按章办事,各司其职。定期评估兑现。
-
执法必严:保证检查频率和检查力度高于基准线。跟踪处置每一起安全漏洞事件。
-
违法必究:遵照规则奖罚。规则可以修订,执行不能走样。
“治理安全漏洞”的价值在于“实效、时效、高效”。
-
实效:规避“漏洞被利用,系统被入侵,数据被窃取、破坏、滥用,业务瘫痪、崩溃、终结”等风险。
-
时效:PDR模型,必须赶在攻击者利用漏洞之前修补好。
-
高效:包括时间和金钱在内的预算有限,性价比非常重要。
然后是方法
价值明确之后,所有方法都围绕实现价值。
-
围绕“实效”,“没有漏洞、有漏洞但不能利用”都是可以接受的。在某些情况下,“有漏洞,也能利用,但是能及时检测能及时处置”也是可以接受的。
-
围绕“时效”,加快每个环节。更快发现,更快评估,更快修补,更快验证。发现、评估、验证都可以实现较高程度的自动化,而修补环节风险较高,自动化程度提升较慢,宜采用标准作业程序(SOP)平衡效率与风险。
-
围绕“高效”,主要是降低人员数量、总工时这两个指标。工具和平台的投入相对固定,这部分应看作“沉没成本”。建议将重点放在提升“修补漏洞”的效率。在自动化程度有限的条件下,采用标准作业程序(SOP)能够显著提升效率,同时保证质量,减少返工成本,减少意外事件(带来的成本)。
最后是落实
上述方法要落实到日常工作中才能实现价值。
安全负责人需要发挥领导力,动员安全、运维、开发、业务团队,解决诸多安全漏洞难题。下面举例说明。
常见的三个难题
一、不会修。
安全负责人常常被问到“这个漏洞怎么修?”
二、不想修。
安全负责人经常会因为漏洞责任人不想修补漏洞而感到无助。
三、没时间。
安全负责人要求修补漏洞之后才让投产,业务团队要求必须上线。
如何破局?
也是三句话。
-
统一目标
-
突出价值
-
共商方法
一、统一目标
-
小目标:在规定时限内修补好这批漏洞。
-
中目标:每个季度,高危(含)以上漏洞的及时修复率100%;中危及时修复率95%,超时低于20%;低危漏洞自主判定并承担后果。
-
大目标:每年没有因为漏洞被利用导致安全事故(包括数据被窃取、破坏、滥用,业务瘫痪、崩溃、终结等)。攻击者利用漏洞入侵系统在规定时限内被检测到并且妥当处置的比率为100%。
安全、运维、开发、业务,统一到大目标下
安全、运维、开发,统一到中目标下
安全负责人和漏洞责任人,统一到小目标下
二、突出价值
-
小价值:按时保质完成“发现、评估、修补、验证”漏洞的工作。(证明了我们有能力做到。)
-
中价值:漏洞治理得好,业务运行得畅。(内部宣传为主,结合少量外部宣传。)
-
大价值:暴露到公域的漏洞少,公司的安全品牌价值高。(外部宣传为主,结合内部重大场合汇报。)
小价值靠个人能力、工具、SOP
中价值靠团队协作和制度设计
大价值靠组织支撑和把网络信息安全纳入公司治理
三、共商方法
A、你提供方法,我来执行。我是工具人。
B、我们一起研究出来的方法,我来执行,你帮我复核。我自主,你帮我。
人与人之间的协作,B的效果更好,当然要花更多时间。
团队与团队的协作,也是B的效果更好,当然也要花更多时间。
举个例子:
-
常规做法:安全团队制订《安全漏洞管理办法》,负责监督运维团队和开发团队执行。基本符合约80%的公司的实际情况。
-
优化做法:安全团队起草《安全漏洞治理办法》,邀请运维团队和开发团队一起开会讨论,充分吸纳意见想法,统一中目标、中价值,然后上升到大目标、大价值层面与业务团队沟通交流达成共识。只有不到10%的公司这样做。
总结
“治洞 护堤 保安全”,安全漏洞治理的7字箴言。
安全负责人可参考本文提出的“目标-价值-方法”工作思路,结合自己所在单位的实际情况,尝试破局,优化安全漏洞治理,带领自己所在单位成为Top 10%中的一员。
- End -