“PDCA”中这个Check是保证安全效果的有力手段,有时候甚至是主要手段。这一章就来说说如何开展信息安全审计工作。感谢我曾经的主管王智,是他带我入门,我对信息安全的认知就是从审计开始做起的 。
一、概念和范围
在开展审计工作、设定审计职能之前,首先要明确审计工作的主要目标、效果是什么?是希望尽快、尽量多地发现高风险问题,是希望帮助业务部门发现和解决问题,是希望发现防护应急措施之外的漏洞,还是为了保障已实施的信息安全策略的效果?在企业信息安全发展的不同阶段,目标可以是不一样的,但都必须由CSO做出这个决定。
在信息安全领域,我理解的“审计”一般包括(1)访谈和走查为主要形式的检查;(2)渗透测试;(3)后台监控;(4)组织外审。这里我把“审计”和“运营”做了区分,有些企业在实际运作中很可能会有交叉,这里不赘述。只要在组织结构、内部流程上区分清楚、衔接好即可。
这几块对人员能力的要求差别很大,审计团队不一定能够全面具备,可以将这几个职能分解到团队中的不同人员,但一定要有人(要么在审计团队中,要么就是CSO本人)来统筹这几项工作。“统筹”一词的涵义是“有资源调配权、并对最终效果负责的组织、协调”,这样才能保证统筹者的话语权和管理效果,也保障了最终结果。我以前经常遇到有人用“牵头”这个词,只负责开会、对最终效果不负责,这种做法万万不可提倡。
二、访谈走查怎么做
以访谈走查为主要形式的审计,我又分为2类(1)专项审计;(2)日常巡检。专项审计可能对内、也可能对外。我在前述章节的描述对此有一点点纰漏,这里纠正一下。
专项审计很好理解,就是有一个阶段性目标、有时间期限约束的审计,和“项目”的定义差不多。专项审计最重要的是界定审计对象和审计范围(what),进而明确审计目标(why)。比如,这次我们是审计商务部门的信息安全状况,而商务部门实际上是在公司主业务流程里,与生产制造、物流仓储、销售市场有千丝万缕的联系,那么审计的边界在哪里一定要定义清楚,否则这个专项审计一辈子都没法完成。
专项审计一般是根据公司业务发展的需要,发现重点业务(高营收业务、高风险业务、竞争激烈业务)存在的信息安全风险、并推动改进,这样就能真正贴合业务、展现信息安全团队的价值。专项审计的方法,说起来简单,无非就是文件审查、现场访谈、现场走查,有时候加个渗透测试,基本每个咨询公司都会跟你来一遍,但是实际效果却可能千差万别。主要原因在哪里?一对业务的理解深度不够,让被访谈者觉得面对的是业余选手;二是不会访谈,只会提问、不会掏心窝子;三嘛,毕竟不是自己员工,有时候真的没那么用心。这里具体不展开。
日常巡检是信息安全审计中最基础、也是最不可或缺的审计动作,其主要目标在于保证一些重要的或容易被忽视的或容易失效的信息安全控制点有效,避免小风险演变为大风险,因此其来源必定是制订的信息安全要求、策略;执行周期有每周、每月、每季度、每年。我在前面的章节描述过“有些信息安全团队一直在做项目、做工作、上工具,但是老板就是不满意。为什么?就是因为缺少审计和结果闭环”,那么我应对这种问题的办法就是把这些检查项列成checklist,标明具体检查动作、负责人、周期。整个审计团队共享一份checklist,每次在制度发布、项目结束之后就更新这份checklist,每个月底对着checklist要结果,这样可以确保“日常巡检”也以PDCA的形式转起来。在我曾经的checklist上,出现过“为领导办公室做防窃听窃照扫描”、“检查并保证所有门禁机的时钟保持同步、误差不超过10秒”、“检查数据库审计工具的网络控制策略是否生效”、“检查SIEM工具的日志收集是否完整无丢失”等等。
三、渗透测试如何组织和运用
渗透测试是一个非常有效的审计手段,但同时也具有两面性。渗透测试应该不止关注技术漏洞,还要关注业务逻辑漏洞。
刚开始用渗透测试的时候,可能可以发现较多的高危漏洞、影响直接而深刻,可以有效地提升管理层的重视程度。用的多了以后,高危漏洞逐渐减少,管理层的心理承受能力变强,认知上也往往把“技术漏洞”等同于“安全风险”;这时应逐步转向业务漏洞和数据安全类漏洞,用对业务的影响来提升、改变管理层的认知。人员意识也应该通过各种钓鱼、社会工程学的手法(比如发个钓鱼邮件,停车场扔个U盘,打个“明天到我办公室来”的电话)开展测试,也属于渗透测试的一种。
有能力的话,有一类渗透测试应该是信息安全团队一定要重视的,就是对安全工具和安全人员的渗透。每个管理部门都有极大可能性存在“灯下黑”的情况,通过这类渗透测试,可以发现安全工具自身及其使用管理上的短板,可以发现安全人员的意识和能力不足,避免安全团队成为公司最短的那块木板。
四、后台监控怎么做
为了应对来自于互联网的入侵、数据窃取、攻击和破坏,应对网络边界、应用系统、网络流量、服务器主机等开展的系统监控、告警分析和响应,我将之归类在“运营类”工作中。这里所说的后台监控,总体目标是为了应对来自内部的信息窃取或泄漏,其实也是“数据防泄漏体系”的一个有机组成部分。必须首先要