网球比分格式怎么看

CSO怎么做(9)信息安全审计应该如何开展?

围观次数:9,299 views

“PDCA”中这个Check是保证安全效果的有力手段,有时候甚至是主要手段。这一章就来说说如何开展信息安全审计工作。感谢我曾经的主管王智,是他带我入门,我对信息安全的认知就是从审计开始做起的 。

 

一、概念和范围

在开展审计工作、设定审计职能之前,首先要明确审计工作的主要目标、效果是什么?是希望尽快、尽量多地发现高风险问题,是希望帮助业务部门发现和解决问题,是希望发现防护应急措施之外的漏洞,还是为了保障已实施的信息安全策略的效果?在企业信息安全发展的不同阶段,目标可以是不一样的,但?#24613;?#39035;由CSO做出这个决定。

在信息安全领域,我理解的“审计”一般包括(1)访谈和走查为主要?#38382;?#30340;检查;(2)渗透测试;(3)后台监控;(4)组织外审。这里我把“审计”和“运营”做了区分,有些企业在实?#35797;?#20316;中很可能会有交叉,这里不赘述。只要在组织结构、内部流程上区?#26234;?#26970;、衔接好即可。

这几块对人员能力的要求差别很大,审计团队不一定能够全面具备,可以将这几个职能分解到团队中的不同人?#20445;?#20294;一定要有人(要么在审计团队中,要么就是CSO本人)来统筹这几项工作。“统筹”一?#23454;?#28085;义是“有?#35797;?#35843;配权、并对最终效果负责的组织、协调?#20445;?#36825;样才能保证统筹者的话语权和管理效果,也保障了最终结果。我以前经常遇到有人用“牵头”这个词,只负责开会、对最终效果不负责,这种做法万万不可提倡。

 

二、访谈走查怎么做

以访谈走查为主要?#38382;?#30340;审计,我又分为2类(1)专项审计;(2)日常巡检。专项审计可能对内、?#37096;?#33021;对外。我在前述章节的描述对此有一点点纰漏,这里纠正一下。

专项审计很好理解,就是有一个阶段性目标、有时间期限?#38469;?#30340;审计,和“项目”的定义差不多。专项审计最重要的是界定审计对象和审计范围(what),进而明确审计目标(why)。比如,这次我们是审计商务部门的信息安全状况,而商务部门实际上是在公司主业务流程里,与生产制造、物流仓储、销售市场有千?#23458;?#32533;的联系,那么审计的边界在哪里一定要定义清楚,否则这个专项审计一辈子都没法完成。

专项审计一般是根据公司业务发展的需要,发现重点业务(高营收业务、高风险业务、竞争激烈业务)存在的信息安全风险、并推动改进,这样就能真正贴合业务、展现信息安全团队的价值。专项审计的方法,说起来简单,无非就是文件审查、现场访谈、现场走查,有时候加个渗透测试,基本每个咨询公司都会跟你来一遍,但是实?#24066;?#26524;却可能千差万别。主要原因在哪里?一对业务的理解深度?#36824;唬?#35753;被访谈者觉得面对的是业余选手;二是不会访谈,只会提问、不会掏心窝子;三嘛,毕竟不是?#32422;?#21592;工,有时候真的没那么用心。这里具体不展开。

日常巡检是信息安全审计中最基础、也是最不可或缺的审计动作,其主要目标在于保证一些重要的或容易被忽视的或容?#36164;?#25928;的信息安全控制点有效,避免小风险演变为大风险,因此其来源必定是制订的信息安全要求、策略;执行周期有每周、每月、?#32771;?#24230;、每年。我在前面的章节描述过“有些信息安全团队一直在做项目、做工作、上工具,但是老板就是不满意。为什么?就是因为缺少审计和结果闭环?#20445;?#37027;么我应对这种问题的办法就是把这些检查项列成checklist,标明具体检查动作、负责人、周期。整个审计团队共享一份checklist,每次在制?#30830;?#24067;、项目结束之后就更新这份checklist,每个月底对着checklist要结果,这样可以确保“日常巡检”也以PDCA的?#38382;阶?#36215;来。在我曾经的checklist?#24076;?#20986;现过“为领导办公室做防窃听窃照扫描”、“检查并保证所有门禁机的时钟保持同步、误差不超过10秒”、“检查数据库审计工具的网络控制策略是否生效”、“检查SIEM工具的日志收集是否完整无丢失”等等。

 

三、渗透测试如何组织和运用

渗透测试是一个非常有效的审计手段,但同时也具有两面性。渗透测试应该不止关注技术漏洞,还要关注业务逻辑漏洞。

刚开始用渗透测试的时候,可能可以发现较多的高危漏洞、影响直接而深刻,可以有效地提升管理层的重视程度。用的多了以后,高危漏洞逐渐减少,管理层的心理承受能力变强,认知上也往往把“技术漏洞”等同于“安全风险?#20445;?#36825;时应逐?#38454;?#21521;业务漏洞和数据安全类漏洞,用对业务的影响来提升、改变管理层的认知。人员意识也应该通过各种钓鱼、社会工程学的手法(比如发个钓鱼?#22987;?#20572;车场扔个U盘,打个“明天到我办公室来”的电话)开展测试,也属于渗透测试的一种。

有能力的话,有一类渗透测试应该是信息安全团队一定要重视的,就是对安全工具和安全人员的渗透。每个管理部门都有极大可能?#28304;?#22312;“灯下黑”的情况,通过这类渗透测试,可以发现安全工具自身及其使用管理上的短板,可以发现安全人员的意识和能力不足,避免安全团队成为公司最短的那块木板。

 

四、后台监控怎么做

为了应对来自于互联网的入侵、数据窃取、攻击和破坏,应对网络边界、应用系?#22330;?#32593;络流量、服务器主机等开展的系统监控、告警分析和响应,我将之归类在“运营类”工作中。这里所说的后台监控,总体目标是为了应对来自内部的信息窃取或泄漏,其实也是“数据防泄漏体系”的一个有机组成部分。必须首先要声明,这里面有一些敏感内容,我做了删减,有兴趣的话当面交流。

既然是为了应对来自内部的信息窃取和泄漏,那其实就是要回答“谁会泄密?”、“谁在泄密?”、“泄密给谁??#20445;?#20854;核心是“谁”—-就是“人”。因此,这样的后台监控可以总结为“以人为中心的内容和行为的监控”。

如果问题是“谁会泄密?#20445;?#24847;味着我们不知道是谁,因此必须要从大量的数据中筛选、缩小范围。一般有几个入手点(1)谁在主观上会造成泄密(即其本身是具有泄密的主观意愿,如对公司有报复情绪者),谁在客观上会造成泄密(即其本身是高价值对象,拥有或可以访问高价值信息?#20160;?#22914;公司高管、财务人?#20445;唬?)谁有异常的数据访?#24066;?#20026;(比如在下班时间大量下载代码或文档,比如在离职前2周频繁访问商务报价数据),或仅仅是异常的行为(比如行为习惯突然发生变化);(3)外?#23458;?#32961;在刺探和接近哪些内部人?#20445;?#27604;如发现竞争对手人员和某个掌?#23637;?#21496;机密的员工经常发送?#22987;?#29978;至在一起吃饭)。有的时候,在老板许可的前提下,对高危人员开展钓鱼测试,甚至能有意外收获。我列举的这些例子未必全部依赖IT类系统或数据,但大致方法如此,我也只点到为止。

如果问题是“谁在泄密”“泄密给谁?#20445;?#24847;味着已经发生了泄密,需要知道泄密的源头或接收者到底是谁。这时通过举报、技术手段分析,往往已经把泄密的范围缩小在一个较小的范围,这时就要回答“谁”、“动机是什么”和“泄密方式”。动机往往不外乎几种:获利、报?#30784;?#31361;破规则的成就感,以前2者居多。?#19994;?#20102;具有可疑动机的人,就基本成功了50%,剩下的50%就看公司的审计手段到底有多强大了。

在这里再强调一点,后台监控的及时响应非常重要,直接影响威慑力的大小。试想,如果有员工违规行为发生10分钟之后就接到了审查通知,那种威慑力足以改变一大帮试图违规的人;而如果是3个月后才接到审查通知,那就可能不是威慑力、而是“促进力”了。

特别要提醒的是,后台监控队伍的建设。由于可能长期处于高度紧张的压力之下,以及需要经常面对人性的阴暗面,心理辅导和物质保障必不可少;这支队伍既要对公司?#39029;希?#21448;要保持主观能动性,说实话,管理挺不容易的。

 

五、如何组织外审

外审用得好,可以作为很好的事件驱动,驱动一些老大难问题得到解决;从外审老师那里不但能学到很多审计技巧,如果足够用心的话,也能得到同行的差距对比。真正做得好的CSO其实不用外审也能知道企业的问题在哪里,于是外审往往会充当CSO解决问题、调动?#35797;?#30340;武器。

外审的套路大致相同,我想关键有2点要组织好(1)总结会一定要邀请管理层参与,这样可以外审老师的身份把问题暴露出来,容易得到关注;(2)对管理层和业务单位高层的访谈要提前?#24613;?#22909;,有时候外审老师可以充当CSO的代言人,毕竟外来的和尚好念经嘛。

 

六、审计团队要不要对改进结果负责?

?#25237;?#20301;同行交流?#20445;?#26366;经都提过这个问题:审计团队发?#33267;?#38382;题之后,要不要对改进结果负责?提这个问题的初衷,大体还是希望能够在发现问题之后形成闭环、确保问题得到解决,同时又希望团队内部形成合力、而不是各扫门前雪。如开头所说,如果定位团队的职能包括“希望帮助业务部门发现和解决问题?#20445;?#37027;么对改进结果的跟踪和落实就必不可少,毕竟,最终解决问题才能实现信息安全团队的价值。

一般的做法是,审计团队发现问题之后,由运营、策略或方案团队制订策略方案,并推动执行,完成后由审计团队来验证问题是否可以关闭。

如果安全团队规模足够大、分工精细,确实可以这么干,但如果团队规模不大,需要锻炼和培养多面手的时候,我有些改进的建议(1)审计团队不但要发现问题,还要提出改进建议?#22351;比唬?#25913;进建议可以不被采纳,但审计团队在这个过程中提升了解决问题的能力;(2)由审计团队来组织问题的改进、定期跟催进展,具体问题的改进可以交由其他团队成员来负责;(3)审计团队和策略团队(或运营团队)共同承担“审计问题发?#32844;?#26102;整改率”?#30446;己?#25351;标,把发现问题、改进问题的人捏成一股绳,可以形成合力。

发表评论

电子?#22987;?#22320;址不会?#36824;?#24320;。 必填项已用*标注

Time limit exceeded. Please complete the captcha once again.

广告赞助

网球比分格式怎么看
特区彩票网七星彩论坛开心网 pk10计划人工在线计划免费 什么叫双面盘 pk10技巧经验 双色球基本走势图表图 谁知道在哪下载幸运飞艇计划软件 七星彩最新包码方法 广西快三怎么玩稳赚 福彩3d胆是什么意思 北京塞车pk10分析软件