首席信息安全官是怎樣煉成的：FreeBuf專訪聯想CISO Richard Rushing

跨國企業的CISO平常究竟在做些什麼？這個職位對於企業安全來說意味著什麼？面對各種無法避免的攻擊，CISO又是如何應對的？

從企業安全這個嚴肅的角度來說，CISO（首席信息安全官）或者CSO現如今扮演的角色對任何企業而言都已經越來越重要。他們理應是群不苟言笑，並且應該在高層會議上為安全爭取預算拍案而起的人。這一點，在FreeBuf與聯想全球CISO Richard Rushing的聊天過程中看來，卻並非如此。

我們有機會接觸到Richard Rushing是在去年年底的FIT2017大會上，這位來自美國的大個子應邀參加本次大會，分享了他的議題《網路犯罪如何突破企業安全防護》。雖然Rushing看起來是個相當有氣勢的CISO，我們原以為需要和大佬談談「治國方略」和「下一個五年計劃」這類型，卻沒想到職位「C」打頭的人也可以這麼隨性和詼諧。

從創業的過程汲取營養

起初幾分鐘的嚴肅被Rushing很快化解，我們詢問Rushing，聯想在過去一年中是否發生了重大的數據泄露或安全事件。Rushing開口道：「我要想想怎麼給你個好的回答，同時保證我的飯碗不會丟。」這一言就將氣氛打造得愈發輕鬆了。

Richard Rushing的職業生涯和很多安全從業人員類似，他也並非在職業生涯伊始就選擇了安全行業。「大多數安全從業人員都把它視為一種愛好、一種熱情。我先前是學經濟學與金融的，跟信息技術沒有太大關係。但是我從80年代開始就一直接觸PC。」所以Rushing的第一份工作是西門子的高級網路管理員。

但在做了這份工作6年之後，才在通用電氣開始從事與安全相關的工作。1996年，他與夥伴共同成立一家名叫SecureIT的公司。自此安全一詞開始伴隨Rushing至今。SecureIT面向政府、企業和非盈利機構提供網路安全管理諮詢和技術服務，涉及相關企業安全的面還相當廣泛——這家公司很快被VeriSign收購；Rushing在2002年再度與夥伴攜手創辦AirDefense，這家公司主營無線網路安全，在Rushing作為公司CSO（首席安全官）的第七個年頭，AirDefense被摩托羅拉收購。2009年Rushing升任摩托羅拉移動CISO，自此跟隨摩托羅拉幾度易主，一直到現在聯想麾下。

在此期間，創辦SecureIT和AirDefense大概對Rushing產生了莫大的影響。所以Rushing饒有興緻地與我們聊了聊他對初創企業的諸多經驗。「創業者可以學到不少東西，比如整個組織架構，從CEO，到銷售，到市場，再到物流、財務等等，可以從上至下整體學習。創業是一場競賽。如果有人告訴你，在創業公司里每周可以只工作20個小時——那是不可能的。初創企業總是在賽跑，因為如果你成功了，你會看到其他競爭者馬上就會提出類似的想法，而你必須打敗他們。」

創業為Rushing帶來的不止是衝勁兒，更在於對變化的洞悉，和對現有條件的平衡把握。這恰巧也是從全局掌控安全必須的重要理念：及時了解攻擊者TTP變化，在企業內權衡安全與性能、預算與投入。「初創企業若要成功，就必須在對的時間、地點和環境下，推出對的產品。如果技術過於先進，沒有人想買，等到兩年後，市場才注意到你的產品，你又得重新評估自己的產品，並進行調整。初創企業要取得成功有很多要素：你的產品必須可行，價格須與市場環境相匹配，而且要有較強的可用性，宣傳營銷，還得有市場需求。」

另一方面，「初創企業更要考慮優先順序的問題，畢竟人員有限，而這些人在開發新功能的同時還需要回過頭來解決之前的問題。所以初創企業必須要把握平衡。管理層必須要意識到一點：你是初創企業，做不了太多事情。我們常常會聽到初創企業盲目做出承諾，應允客戶新產品將很快發布。很多初創企業都沒有意識到，作出這樣的承諾，也不能贏回客戶。」

需要「知己知彼」的CISO

上面這些大概都是CISO達成火候所需的前期準備，而在Rushing看來，安全最重要的還是「熱情」。

「先前我大部分時間都在處理與PC相關的問題，搭建網路，保證設備能夠正常運轉。後來安全就成了我的愛好，很多和我同時代的人也是如此……人們常常會問我對信息技術如何理解。我覺得在信息安全行業取得成功，最重要的就是要有熱情，要學習新的事物，學會分享，並且熱衷於動手解決問題。熱情才是最大的動力。我們常聽到有人說，我在某某公司，做某某應用。一做做了20年。這時候就有人覺得，我不想20年如一日地做同樣的事情。而在安全這一行，也就是在這裡，你會看到許多不同。當你看到新的事物，你就需要去了解它。」

「如果有新的惡意軟體，那我就會去做分析，然後再組合起來，去理解它的行為，並不是說打敗它就完事兒了。在拆分和重組的過程中，我可以學到黑客的思路，從而了解他們如何利用現有的漏洞等等。這是人們學習新技術的一種重要方式。不管是軟體定義的網路，軟體定義的無線網路，還是雲相關的，你不能沉浸在自己的世界當中，因為現在技術正在蓬勃發展。」

此間Richard Rushing反覆提到以黑客的視角來看待問題。在Rushing看來，黑客技術本身就是安全人員的必備技能之一。安全方面的工作很大一部分是由滲透測試等方式構成的。安全從業人員大多理應具備一種心態，即安全從業人員自身會如何攻擊某個目標，如何繞過某個安全措施。

「自己嘗試之後，就能夠了解如何利用和操縱相關的漏洞。如果能像黑客一樣思考，就可以預測他們要攻擊的位置，相應地去設計防禦措施阻止他們獲取信息。每次有數據泄露之類的新聞曝出，管理層也總是會問，同樣的狀況是否會發生在我們身上。而作為信息安全官，就必須要能回答這樣的問題——比如我們沒有使用相關平台或技術，或者我們也會遇到相似的問題，我們如何緩解或者修復。」

「知己知彼，才能百戰不殆。」（You』ve got to understand how attackers are going to attack you to make yourself a better defender.）

在Rushing看來，即便風平浪靜、一派祥和的情況下，CISO也不能放鬆。「沒有條件，也要創造條件去了解攻擊者的想法。」「你需要創造一些事件，去了解具體的風險是什麼，需要知會哪些相關人士，以及如何進一步處理該事件。舉例來說，有些數據泄露可能是某人的一台筆記本丟失，有些是惡意軟體感染，有些則是攻擊者入侵公司系統，企圖竊取信息。這些情況所要求的控制程度是不同的，需要通知的人員也不盡相同。」

「沒有必要關注攻擊本身，因為攻擊總會發生」

「CISO的角色在過去幾年中已有很大的變化。CISO原先更側重於合規性的實現，現在則更關注應急響應和與企業管理層之間的溝通，告知管理層，具體的風險是什麼，如何緩解威脅，如何事後補救。要做一個成功的CISO，你必須要結合業務，了解企業環境中存在哪些風險，並與執行層溝通。這就是CISO的職責所在。」

如我們所知，當代的CISO經常需要處理各類數據泄露、事件響應和網路攻擊。Rushing認為扮演這樣的角色，自然不該寄希望於攻擊事件的減少和消失，而應當準備好此類事件的頻繁發生。所以，CISO需要了解事件響應的常規程序，來明確自己的職責，並且特別重視事件響應這一環節。

先前Gartner的全球研究部門高級副總裁Peter Sondergaard曾經說過：我們每天都會面對新出現的安全漏洞，我們需要對檢測和響應做更多的投入，而不是試圖完成不可能的完美防護目標；企業組織應該從先前在投入方面90%的防護和10%的檢測與響應，過渡到60%的防護和40%的檢測與響應。Rushing與我們探討的大致上也是這個問題。

「作為一家全球性的企業，你必須接受這些事情一定會發生。不管你安全做得多好，總是會有各種軟體接入，那麼問題就變成如何管控企業內部網路中移動的對象，保證其不會有異常行為。」

Rushing把企業的數據比喻為「王冠」，入侵者的目的就是要拿走王冠。「要阻止他們進來很難，但我可以阻止他們偷走數據。在我看來，人們沒有必要關注『入侵（Breach）』本身，因為入侵事件總是會在某個時間點發生，關鍵是要了解應急響應的流程，及時阻止數據外流——關鍵在於儘可能管理和緩解相關事件。」

跨國企業做安全的最大挑戰

作為一家跨國企業，聯想需要承受的攻擊面非常大，在Rushing看來這無疑加大了對攻擊面監控的難度。因為跨國企業面對的是全球的環境，「北美、南美、亞洲、歐洲都有不同的交流方式，需要設定相應的角色，來溝通各處發生的不同狀況」。這其中最大的挑戰在兩個方面，其一是動態的變化（或許更多在於Shadow IT），其二則是作為跨國企業，「各地的標準」。

「如果你要了解具體情況，就必須親自去了解，進出企業網路的流量。你會發現企業網路中總會有新的連接建立起來，每天都需要關注和發現這些連接。這樣才能發現企業網路中發生的變化，它不一定是危險的，但卻是一些未知的變化。

「比如有一群管理員在你的伺服器上做樣機試驗之類的操作，他們可能忘了給伺服器打補丁，就把它留在那裡；等到三個月後再回來做測試，就發現出問題了。在企業環境中發現這樣的伺服器是很關鍵的。你需要觀察公司的流量、分辨好壞、發現異常行為——其實也就是可視化。可視化程度越高，監控起來也越簡單。如果可視化程度低，那麼你就脫離了環境，就會處於劣勢。」這種應對快速變化的能力，大概和Rushing前期的創業經歷是分不開的。

另一方面，對Rushing和聯想的安全來說，「挑戰常常不是來自技術層面，更多的是來自於人和流程。在流程方面，各地各有不同的流程，我們需要做出相應的調整。在人的方面，更多地是文化層面的，特別是人們的隱私觀。不同地區的人們，對於隱私信息的看法有很大差別。

「比如說，有些人比較重視私人的電腦，有些人比較重視工作電腦，這的確造成了一些挑戰。再者就是時間方面的問題，各國的節假日不同等等。在效率方面，如果是處於同一結構下，就基本沒有差別，這裡需要兩周完成的事情，別的地方同樣需要。確實有一些需要注意的地方，但我認為在全球範圍內的大多數環境中，流程是均衡的。你可能需要多一些計劃性，並留意一些細節，比如運輸、稅務方面的問題。

「真正的挑戰在於各地的標準。」

Rushing眼中的2017年

在談到技術的未來時，Rushing回歸詼諧本性：「我預測2017年，電會停，燈會滅。」這當然只是在開玩笑，不過Rushing的態度似乎的確夠悲觀。Rushing最關心的是未來技術是IoT：「我認為IoT還是會瘋狂發展，會有越來越多的新功能。」…「黑客也會繼續活躍，DDoS攻擊勒索將增多，類似DNS服務商Dyn遭遇基於Mirai殭屍網路的DDoS攻擊而癱瘓的事件也會繼續發生，損害企業資產。」

此外，「今年應該會曝出更重大的數據泄露，數據泄露的數量也會越來越多，而且連環的泄露事件也會發生，就像雅虎的事件」，「網路犯罪者會攻擊更多人，以勒索錢財。這些都不是什麼好事，但卻是可能的一些趨勢」。這大概也是作為一名安全從業人員，對技術發展在安全方面慣有的悲觀態度吧。或許也正是這種悲觀的態度，才能讓CISO面對企業安全工作時保持時刻警惕。

*FB官方報道，本文作者：kuma，轉載請註明來自Freebuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！