跨国企业的CISO平常究竟在做些什么?这个职位对于企业安全来说意味着什么?面对各种无法避免的攻击,CISO又是如何应对的?从企业安全这个严肃的角度来说,CISO(首席信息安全官)或者CSO现如今扮演的角色对任何企业而言都已经越来越重要。他们理应是群不苟言笑,并且应该在高层会议上为安全争取预算拍案而起的人。这一点,在FreeBuf与联想全球CISO Richard Rushing的聊天过程中看来,却并非如此。
我们有机会接触到Richard Rushing是在去年年底的FIT2017大会上,这位来自美国的大个子应邀参加本次大会,分享了他的议题《网络犯罪如何突破企业安全防护》。虽然Rushing看起来是个相当有气势的CISO,我们原以为需要和大佬谈谈“治国方略”和“下一个五年计划”这类型,却没想到职位“C”打头的人也可以这么随性和诙谐。
从创业的过程汲取营养
起初几分钟的严肃被Rushing很快化解,我们询问Rushing,联想在过去一年中是否发生了重大的数据泄露或安全事件。Rushing开口道:“我要想想怎么给你个好的回答,同时保证我的饭碗不会丢。”这一言就将气氛打造得愈发轻松了。
Richard Rushing的职业生涯和很多安全从业人员类似,他也并非在职业生涯伊始就选择了安全行业。“大多数安全从业人员都把它视为一种爱好、一种热情。我先前是学经济学与金融的,跟信息技术没有太大关系。但是我从80年代开始就一直接触PC。”所以Rushing的第一份工作是西门子的高级网络管理员。
但在做了这份工作6年之后,才在通用电气开始从事与安全相关的工作。1996年,他与伙伴共同成立一家名叫SecureIT的公司。自此安全一词开始伴随Rushing至今。SecureIT面向政府、企业和非盈利机构提供网络安全管理咨询和技术服务,涉及相关企业安全的面还相当广泛——这家公司很快被VeriSign收购;Rushing在2002年再度与伙伴携手创办AirDefense,这家公司主营无线网络安全,在Rushing作为公司CSO(首席安全官)的第七个年头,AirDefense被摩托罗拉收购。2009年Rushing升任摩托罗拉移动CISO,自此跟随摩托罗拉几度易主,一直到现在联想麾下。
在此期间,创办SecureIT和AirDefense大概对Rushing产生了莫大的影响。所以Rushing饶有兴致地与我们聊了聊他对初创企业的诸多经验。“创业者可以学到不少东西,比如整个组织架构,从CEO,到销售,到市场,再到物流、财务等等,可以从上至下整体学习。创业是一场竞赛。如果有人告诉你,在创业公司里每周可以只工作20个小时——那是不可能的。初创企业总是在赛跑,因为如果你成功了,你会看到其他竞争者马上就会提出类似的想法,而你必须打败他们。”
创业为Rushing带来的不止是冲劲儿,更在于对变化的洞悉,和对现有条件的平衡把握。这恰巧也是从全局掌控安全必须的重要理念:及时了解攻击者TTP变化,在企业内权衡安全与性能、预算与投入。“初创企业若要成功,就必须在对的时间、地点和环境下,推出对的产品。如果技术过于先进,没有人想买,等到两年后,市场才注意到你的产品,你又得重新评估自己的产品,并进行调整。初创企业要取得成功有很多要素:你的产品必须可行,价格须与市场环境相匹配,而且要有较强的可用性,宣传营销,还得有市场需求。”
另一方面,“初创企业更要考虑优先级的问题,毕竟人员有限,而这些人在开发新功能的同时还需要回过头来解决之前的问题。所以初创企业必须要把握平衡。管理层必须要意识到一点:你是初创企业,做不了太多事情。我们常常会听到初创企业盲目做出承诺,应允客户新产品将很快发布。很多初创企业都没有意识到,作出这样的承诺,也不能赢回客户。”
需要“知己知彼”的CISO
上面这些大概都是CISO达成火候所需的前期准备,而在Rushing看来,安全最重要的还是“热情”。
“先前我大部分时间都在处理与PC相关的问题,搭建网络,保证设备能够正常运转。后来安全就成了我的爱好,很多和我同时代的人也是如此……人们常常会问我对信息技术如何理解。我觉得在信息安全行业取得成功,最重要的就是要有热情,要学习新的事物,学会分享,并且热衷于动手解决问题。热情才是最大的动力。我们常听到有人说,我在某某公司,做某某应用。一做做了20年。这时候就有人觉得,我不想20年如一日地做同样的事情。而在安全这一行,也就是在这里,你会看到许多不同。当你看到新的事物,你就需要去了解它。”
“如果有新的恶意软件,那我就会去做分析,然后再组合起来,去理解它的行为,并不是说打败它就完事儿了。在拆分和重组的过程中,我可以学到黑客的思路,从而了解他们如何利用现有的漏洞等等。这是人们学习新技术的一种重要方式。不管是软件定义的网络,软件定义的无线网络,还是云相关的,你不能沉浸在自己的世界当中,因为现在技术正在蓬勃发展。”
此间Richard Rushing反复提到以黑客的视角来看待问题。在Rushing看来,黑客技术本身就是安全人员的必备技能之一。安全方面的工作很大一部分是由渗透测试等方式构成的。安全从业人员大多理应具备一种心态,即安全从业人员自身会如何攻击某个目标,如何绕过某个安全措施。
“自己尝试之后,就能够了解如何利用和操纵相关的漏洞。如果能像黑客一样思考,就可以预测他们要攻击的位置,相应地去设计防御措施阻止他们获取信息。每次有数据泄露之类的新闻曝出,管理层也总是会问,同样的状况是否会发生在我们身上。而作为信息安全官,就必须要能回答这样的问题——比如我们没有使用相关平台或技术,或者我们也会遇到相似的问题,我们如何缓解或者修复。”
“知己知彼,才能百战不殆。”(You’ve got to understand how attackers are going to attack you to make yourself a better defender.)
在Rushing看来,即便风平浪静、一派祥和的情况下,CISO也不能放松。“没有条件,也要创造条件去了解攻击者的想法。”“你需要创造一些事件,去了解具体的风险是什么,需要知会哪些相关人士,以及如何进一步处理该事件。举例来说,有些数据泄露可能是某人的一台笔记本丢失,有些是恶意软件感染,有些则是攻击者入侵公司系统,企图窃取信息。这些情况所要求的控制程度是不同的,需要通知的人员也不尽相同。”
“没有必要关注攻击本身,因为攻击总会发生”
“CISO的角色在过去几年中已有很大的变化。CISO原先更侧重于合规性的实现,现在则更关注应急响应和与企业管理层之间的沟通,告知管理层,具体的风险是什么,如何缓解威胁,如何事后补救。要做一个成功的CISO,你必须要结合业务,了解企业环境中存在哪些风险,并与执行层沟通。这就是CISO的职责所在。”
如我们所知,当代的CISO经常需要处理各类数据泄露、事件响应和网络攻击。Rushing认为扮演这样的角色,自然不该寄希望于攻击事件的减少和消失,而应当准备好此类事件的频繁发生。所以,CISO需要了解事件响应的常规程序,来明确自己的职责,并且特别重视事件响应这一环节。
先前Gartner的全球研究部门高级副总裁Peter Sondergaard曾经说过:我们每天都会面对新出现的安全漏洞,我们需要对检测和响应做更多的投入,而不是试图完成不可能的完美防护目标;企业组织应该从先前在投入方面90%的防护和10%的检测与响应,过渡到60%的防护和40%的检测与响应。Rushing与我们探讨的大致上也是这个问题。
“作为一家全球性的企业,你必须接受这些事情一定会发生。不管你安全做得多好,总是会有各种软件接入,那么问题就变成如何管控企业内部网络中移动的对象,保证其不会有异常行为。”
Rushing把企业的数据比喻为“王冠”,入侵者的目的就是要拿走王冠。“要阻止他们进来很难,但我可以阻止他们偷走数据。在我看来,人们没有必要关注‘入侵(Breach)’本身,因为入侵事件总是会在某个时间点发生,关键是要了解应急响应的流程,及时阻止数据外流——关键在于尽可能管理和缓解相关事件。”
跨国企业做安全的最大挑战
作为一家跨国企业,联想需要承受的攻击面非常大,在Rushing看来这无疑加大了对攻击面监控的难度。因为跨国企业面对的是全球的环境,“北美、南美、亚洲、欧洲都有不同的交流方式,需要设定相应的角色,来沟通各处发生的不同状况”。这其中最大的挑战在两个方面,其一是动态的变化(或许更多在于Shadow IT),其二则是作为跨国企业,“各地的标准”。
“如果你要了解具体情况,就必须亲自去了解,进出企业网络的流量。你会发现企业网络中总会有新的连接建立起来,每天都需要关注和发现这些连接。这样才能发现企业网络中发生的变化,它不一定是危险的,但却是一些未知的变化。
“比如有一群管理员在你的服务器上做样机试验之类的操作,他们可能忘了给服务器打补丁,就把它留在那里;等到三个月后再回来做测试,就发现出问题了。在企业环境中发现这样的服务器是很关键的。你需要观察公司的流量、分辨好坏、发现异常行为——其实也就是可视化。可视化程度越高,监控起来也越简单。如果可视化程度低,那么你就脱离了环境,就会处于劣势。”这种应对快速变化的能力,大概和Rushing前期的创业经历是分不开的。
另一方面,对Rushing和联想的安全来说,“挑战常常不是来自技术层面,更多的是来自于人和流程。在流程方面,各地各有不同的流程,我们需要做出相应的调整。在人的方面,更多地是文化层面的,特别是人们的隐私观。不同地区的人们,对于隐私信息的看法有很大差别。
“比如说,有些人比较重视私人的电脑,有些人比较重视工作电脑,这的确造成了一些挑战。再者就是时间方面的问题,各国的节假日不同等等。在效率方面,如果是处于同一结构下,就基本没有差别,这里需要两周完成的事情,别的地方同样需要。确实有一些需要注意的地方,但我认为在全球范围内的大多数环境中,流程是均衡的。你可能需要多一些计划性,并留意一些细节,比如运输、税务方面的问题。
“真正的挑战在于各地的标准。”
Rushing眼中的2017年
在谈到技术的未来时,Rushing回归诙谐本性:“我预测2017年,电会停,灯会灭。”这当然只是在开玩笑,不过Rushing的态度似乎的确够悲观。Rushing最关心的是未来技术是IoT:“我认为IoT还是会疯狂发展,会有越来越多的新功能。”…“黑客也会继续活跃,DDoS攻击勒索将增多,类似DNS服务商Dyn遭遇基于Mirai僵尸网络的DDoS攻击而瘫痪的事件也会继续发生,损害企业资产。”
此外,“今年应该会曝出更重大的数据泄露,数据泄露的数量也会越来越多,而且连环的泄露事件也会发生,就像雅虎的事件”,“网络犯罪者会攻击更多人,以勒索钱财。这些都不是什么好事,但却是可能的一些趋势”。这大概也是作为一名安全从业人员,对技术发展在安全方面惯有的悲观态度吧。或许也正是这种悲观的态度,才能让CISO面对企业安全工作时保持时刻警惕。
*FB官方报道,本文作者:kuma,转载请注明来自Freebuf.COM0day
文章评论