因为最近接二连三地发生严重安全事故,公司对安全也重视起来,安全工作由 CTO 王总直接负责。在入职 M 公司的第一天,CTO 把我叫到了他的办公室,说:“小陌,现在公司不断遭到网络攻击,业务收入已经受到了影响,投资人和越来越多的客户开始质疑我们,我们的时间很紧迫。你能不能在这周给我讲讲你的安全规划?”

在入职后一周内完成安全规划是一件极其困难的事情,因为制定完善的安全规划之前需要详细地了解公司安全的整体情况,针对不同层面、不同方向、不同阶段的安全风险建立全面周详的防护机制,最终形成覆盖管理、技术和人员的安全体系。显然,短期内我不具备这样的条件,甚至可能连全面摸清现状都无法完成。

但是我也理解,在当前 M 公司安全事故频发的状态下,根本不可能容许我用几周甚至几个月的时间去慢慢摸清现状,再制定出一份看似完善却难以在短期落地的大而全的安全规划。所以,我现在要制定的是适合短期内快速执行的初步安全方案,它应该具备以下几个特点。

  • 简单:干系人可以快速理解并接受,减少沟通成本。
  • 能“救火”:对业务影响最大的风险应该被覆盖,尽快降低损失。
  • 可执行:相关措施必须可以实施落地,避免假大空的概念设计。
  • 有限资源:充分考虑执行环节的资源需求和实际情况,杜绝狮子大开口。

考虑好这些后,我回答道:“好的,王总。您看这样是否可以,我先尽快制定一个比较通用、实施时间大概在两个季度以内的短期规划,虽然做不到面面俱到,但是能基本覆盖主要风险,而且越重大的风险,我们越早越快地解决。”

“好的!”王总道。

小贴士

有相对通用的安全规划吗?当然有!虽然每家企业开展的业务不同,发展的阶段不同,但是它们所面临的风险类型和解决措施是高度相似的,只不过是哪一块投入更多、钻研更深的问题。所以,在安全的架构设计上,是可以产生适配大部分同类企业的通用方案的。基于相对通用的安全方案,在某一特定阶段,自然也可以衍生出相对通用的安全规划来。

在接下来的3天里,我快速地了解公司的组织架构,梳理以往发生过的安全事件,分析当前技术架构的安全隐患,结识短期内可能需要对接的每一位同事并向他们了解之前的工作内容和协作模式。

3天后,我大概有了如下结论。

  • 目前可见的造成实质影响的攻击,几乎全部来自外网。
  • 公司各层级均对安全缺乏认知,后续工作推动必然困难。
  • 缺少基本的检测和审计措施,看似安全的地方未必真安全。
  • 公司各个层面存在大量安全隐患,中短期内必须做出防护取舍。

作为一个初来乍到的新员工,我知道最明智的选择是先展现自己的能力,在获取更多的信任之后再申请更多的资源。所以我决定把短期规划目标设定为优先解决对外暴露的重大安全风险,并把最基础的安全监控与审计能力建立起来。

我先制定了短期规划中需要建立起来的安全框架,如表 1.1 所示。

表1.1 短期安全框架

于是,我交出了“救火”阶段的第一版安全规划,结构如下。

(一)目标

短期内优先解决对外网暴露的重大安全风险,实施基本的安全监控与审计措施,初步建立同时覆盖管理和技术的安全事件事前预防、事中处置和事后审计能力。

(二)现状分析

简要描述当前主要风险和可能造成的影响。描述必须客观准确,切记不能夸大其词,也不能对历史遗留问题过分贬低。试想,如果你的工作被当面说成一文不值,你是否还能正常和对方开展工作?之前安全问题很多,不是因为别人无能,而是因为“隔行如隔山”,对方不了解安全,这也是安全从业者存在的根本原因和意义。

(三)安全职责定义

明确各个相关团队的职责和义务,这是确保将来工作能够稳步推进的上层基础。职责定义需要考虑各个团队的工作任务和资源情况,最好提前进行初步沟通,避免“拍脑门儿”胡乱下达任务。安全工作很大一部分依赖其他团队的支持与配合,如果初期就因为缺少沟通而引发矛盾,那么后面的工作会很难开展。

(四)安全框架设计

根据表 1.1 进行优化完善,但“救火”阶段应尽可能规避大而全,因为时间紧迫,且资源极其有限。

(五)安全管理要求

  1. 安全评估管理规范
  2. 安全应急响应流程
  3. 安全事件定级标准

(六)安全技术建设

  1. 渗透测试与漏洞扫描
  2. 访问控制规则(ACL,优先处理外网边界)
  3. 入侵检测
  4. 日志管理与审计

(七)实施计划

根据实际资源情况确定。能看见的、更严重的问题尽早尽快解决,影响小、复杂度高的问题可以适当置后。一定要区分工作优先级和实施可行性,尽量先用 20% 的资源解决 80% 的问题。

这是一份很简单且覆盖范围极其有限的安全规划。因为对于M公司来说,当务之急是“扑灭明火”,所以这时候没有条件追求完美,也千万不要咬文嚼字,效率才是第一目标。提前说清楚取舍和原因,大部分老板都是能接受的。

上一章目录下一章