CISO元素周期表

距離4月19日在美國舉辦的RSA大會，時間過去了一個多月，大會的盛況已經逐漸淡出人們的視線，但是大會上發布的新的理念和產品卻在安全圈逐步發酵，相信未來會對安全市場產生深遠的影響。例如CISO元素周期表，裡面提到了諸多CISO需要關注的重點。

在國外，企業安全負責人的職位通常是CISO，即首席信息安全官，主要負責對機構內的信息安全進行評估、管理和實現，這個角色通常會被設置為與CIO首席信息官平級，或者由CIO直屬，向CIO彙報，但無論如何設置，CISO的重要性都是毋庸置疑的。

在國內，安全的負責人通常還未被提到CISO這個高度，但是隨著網路安全法的頒布以及國家對網路安全的高度重視程度，安全負責人的重要性勢必會越來越高，一定會向CISO的方向去發展。

大會廠商將CISO需要考慮的安全要素匯總提煉，總結成為下面的CISO元素周期表。下面我們對逐個要素做以解釋。

一、業務基礎

Dx (Digital Transformation) 數字化轉型

在任何企業環境中，安全與IT都是服務於企業業務的。數字化時代，數字化轉型可能是CEO/CIO最重要的優先順序。安全即使不直接與Dx相關，但至少不能與其相悖。優秀的安全總監要思考的是安全如何能夠幫助企業實現安全、高效的數字化轉型。很多安全的熱點領域，如數據安全、業務安全都是與Dx直接相關的。

Go (Governance) 治理

治理是個非常大的課題。百度的定義中，治理的關鍵是規範行為方式和建立合理的機制。大到企業治理，小到IT治理，或是安全治理，重點都在如何確定關鍵人在關鍵事上的責權利設置。所以，在安全領域，治理無疑也是非常重要的。

Rm (Risk Management) 風險管理

在Gartner的定義中，Security（安全）和Risk（風險）是兩個不同的維度，「安全」更偏向技術維度，「風險」則更偏向業務維度。在國內，可以看到的趨勢是優秀的安全總監逐漸也在涉及風險領域，因為在數字化的時代，業務和IT本來就越來越緊密，越來越密不可分。如反欺詐這件事情，可以說是個業務問題，也可以說是個風險問題，但還可以說是個安全問題。

Co (Compliance) 合規

合法合規合理。在一些特定的行業，尤其在強監管的行業，合規性是業務必須確保的事務之一。

GDPR (General Data Protection Regulation) 通用數據保護條例

歐盟的通用數據保護條例將數字化時代的數據安全和合規要求提升到了一個新的高度。RSA大會上大部分公司都在強調產品或者解決方案如何匹配GDPR，甚至很多創業或者創新型安全公司主打的就是GDPR。如今年創新沙盒的冠軍BigID。

Ba (Business Alignment) 與業務的協作

安全不是為了純粹的安全，安全是為了保障業務的正常運行。所以安全必須保證業務的連續性，尤其在關鍵部門或者關鍵基礎設施方面。這是一個基礎性的共識。

二、IT基礎

Am (Asset Management) 資產管理

安全是重要的IT資產，也是重要的企業資產。在這點上，國外企業的意識非常領先，國內企業也在迎頭趕上。在這裡小小的硬廣一下，青藤的產品特點之一就是安全資產的細顆粒度梳理、可視化和量化。這在中大型企業或者高度依賴IT的企業中，無論對CISO，還是CIO甚至CEO都是很有意義的。

Cm (Change Management) 變更管理

組織、業務過程、信息基礎設施和系統等的變更極有可能會影響組織的信息安全，需加以控制。這個對變更活動進行控制的過程與內容就是變更管理。

Pm (Patch Management) 補丁管理

無論在國內國外，不同的企業間IT環境差別相當大，甚至同一企業中開發和生產環境也不盡相同，所以補丁管理是不容忽視的重要任務。如果不實施全面的補丁策略，後果可能會很嚴重，如生產系統關鍵任務會執行失敗，安全性敏感系統會受到惡意利用，從而導致時間和業務收入的雙重損失。

Cm (Configuration Management) 配置管理

隨著軟體系統的日益複雜化和用戶需求、軟體更新的頻繁化，配置管理逐漸成為軟體生命周期中的重要控制過程，在軟體開發過程中扮演著越來越來重要的角色。一個好的配置管理過程能覆蓋軟體開發和維護的各個方面，同時對軟體開發過程的宏觀管理，即項目管理，也有重要的支持作用。良好的配置管理能使軟體開發過程有更好的可預測性，使軟體系統具有可重複性，使用戶和主管部門對軟體質量和開發小組更有信心。

Iam (Identity and Access Management) 身份識別與訪問管理

IAM是讓合適的人員在恰當的時間通過統一的方式訪問被授權的信息資產，是提供集中式的數字身份管理、認證、授權、審計的模式和平台。

三、安全項目基礎

Ns (Network Security) 網路安全

傳統的安全多是在網路和流量方面搭建安全防禦體系，但是在面對越來越複雜的網路環境和越來越高級的APT攻擊時，傳統防禦明顯已經不足應付。所以防禦縱深化和檢測端上化，即在伺服器端和桌面端上面深耕安全是個必行趨勢。

Es (Endpoint Security) 終端安全

端可以說是安全的最後一公里，無論網路如何建設，企業的數字資產最終都是存儲在端上。端通常分為桌面端和伺服器端。通常說的Endpoint指的桌面端多一些。Gartner針對雲時代的伺服器端安全服務專門定義了一個命名：CWPP，即Cloud Workload Protection Platform。

Vm (Vulnerability Management) 漏洞管理

漏洞管理就是領先漏洞一步，讓修復動作變得更頻繁更有效的一個過程。待修復漏洞應該按照對網路的威脅級別進行優先排序。各類安全公司的漏洞管理方法不一而足，從培訓和實現最佳實踐，到過濾所有漏洞噪音只關注最危險的威脅。

網路安全領域，漏洞是重點，理論上若是消滅了所有漏洞，企業也就幾乎沒有數據泄露的顧慮了。但是，漏洞本身並非活躍的威脅，但是企業難以分辨哪些是急需填補的漏洞，而這些漏洞又該以何種順序處理。然而當漏洞數量攀升至驚人水平時，該問題就更加突出了。現實環境中，大型網路中的伺服器集群甚至會被掃描出百萬個漏洞的極端情況。

Em(Email Security) 郵件安全

郵件作為企業（特別是傳統和大型企業）的主要溝通工具關鍵程度日益提升，同時安全問題也日益突出。郵件協議缺乏認證和安全鑒別機制，天然具備防追蹤和高性價比的特性，因此郵件已經成為電信詐騙、勒索軟體攻擊的主要途徑。目前大眾普遍認為郵件安全就是釣魚攻擊（phishing），其實郵件安全的領域很廣。

Ws (Web Security) Web安全

隨著Web2.0、社交網路、微博等一系列新型的互聯網產品的誕生，基於Web環境的互聯網應用越來越廣泛，企業信息化的過程中各種應用都架設在Web平台上，Web業務的迅速發展也引起黑客們的強烈關注，接踵而至的就是Web安全威脅的凸顯，黑客利用網站操作系統的漏洞和Web服務程序的SQL注入漏洞等得到Web伺服器的控制許可權，輕則篡改網頁內容，重則竊取重要內部數據，更為嚴重的則是在網頁中植入惡意代碼，使得網站訪問者受到侵害。

AS (Application Security) 應用安全

應用安全，顧名思義就是保障應用程序使用過程和結果的安全。簡言之，就是針對應用程序或工具在使用過程中可能出現的計算、傳輸數據的泄露和失竊，通過其他安全工具或策略來消除隱患。

DP(Data Protection) 數據保護

數據保護/數據安全是今年RSA會議上第一位的熱點。近期關注數據安全的事件很多，GDPR也與數據保護頗有關係。

SOC (Security Operation Center) 安全運營中心

安全運營中心，或者安全管理平台，屬於信息安全領域的辭彙。一般指以資產為核心，以安全事件管理為關鍵流程，採用安全域劃分的思想，建立一套實時的資產風險模型，協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。

SM (Security Info & Event Management) 安全信息與事件管理

即SIEM。收集、監測和分析電腦記錄中與安全有關的數據的方法。安全信息包括由許多源產生的日誌數據，包括防病毒軟體、入侵檢測系統（IDS）、入侵防禦系統（IPS）、文件系統、防火牆、路由器、伺服器和交換機。

安全信息管理系統可以：

實時監控事件；

顯示活動的實時查看；

將來自各種源的事件數據轉成一個共同格式，通常是可擴展標記語言（XML）；

匯總數據；

使來自多個源的數據相關聯；

交叉相關性，以幫助管理員辨別真正威脅與誤報；

提供自動的發生反應；

發送警報和生成報告。

Ir (Incident Response) 事件響應

如果系統安全被攻破了，就有必要進行事件響應。快速有效地對問題採取相應的行動是安全組的職責。

事件響應是對問題和事件有計劃的反應。從信息安全的角度講，它是指安全小組在某個黑客已經攻破了防火牆，當前正在嗅探內部網路時所採取的行動。安全破壞事件是黑客行為對系統安全性的一種破壞。對這類事件的響應應該包括：

安全小組在試圖保證數據完好性的同時如何反應；

他們採取哪些行動來減少損失；

以及他們何時能夠恢復資源。

想一想你自己所在的機構，想一想它在各方各面上有多大程度要依賴於科技和計算機系統。如果其中出現了漏洞或弱點，想像一下潛在的災難性結果。除了最明顯的系統停用和數據失竊以外，還可能會出現數據損害、身份失竊（從在線人事記錄中）、消極媒介宣傳、甚至由於顧客和商業夥伴在獲悉攻擊真相後採取消極態度所導致的災難性財務後果。

對已往安全破壞事件（內部和外部）的研究表明，安全破壞事件會使企業資源不可用，還會導致數據被損或被竊，甚至有時會導致企業破產。同時，我們也不能忽略那些很難用金錢來衡量的問題，如負面宣傳。要真正了解有效的事件響應的重要性，組織機構必須要計算安全破壞事件會給它帶來的損失，以及組織會如何短期和長期地受其影響。

四、高級安全項目

CTI (Cyber Threat Intelligence) 網路威脅情報

威脅情報就是能幫助企業識別安全威脅並做出明智決定的知識庫。

威脅同時來自內部和外部，同時管理威脅的組織都承受著巨大的壓力。儘管信息的原始數據是可用的，但獲取有意義的信息是非常困難且費時的，但是可以通過前期工作來做到這一點。這自然地就把越來越多的用戶吸引到威脅情報這一概念，威脅情報有助於他們在海量數據、警報和攻擊中對它們進行主次排序，並且為他們在可實施性方面提供建議。

Ics (Identity Centric Security) 以身份為中心的安全

身份安全要做的事情是什麼？Gartner報告指出，身份安全要確保正確的人在正確的時間，因為正確的原因訪問了正確的資源。身份安全是信息安全的基石，它的重要性愈加突顯。就以谷歌公司為例，其實施的BeyondCorp計劃就打破了內外網的區隔，這時摒棄了防火牆防護的企業網路靠什麼保障安全？無疑，身份安全與訪問控制是重中之重。從大的環境來說，隨著雲化、移動化的進程加快，網路邊界變得越來越模糊，所以身份安全成為關鍵。

Dso (DevSecOps)

「DevSecOps」，一種全新的安全理念與模式，從DecOps的概念延伸和演變而來，其核心理念為安全是整個IT團隊（包括開發、運維及安全團隊）每個人的責任，需要貫穿從開發到運營整個業務生命周期的每一個環節。過去安全開發跟安全運營總是割裂開，回顧企業和組織機構以往對應用及IT基礎設施安全管理的態度和內容，我們可以將其簡單地劃分為兩個階段——「安全事故管理階段」和「安全風險與合規管理階段」。 如今DevSecOps有希望讓二者展開協作。

Trm (3rd Party Risk Management) 第三方風險管理

雲的時代，是各種連接和協作的時代。外包運營、建立新合作夥伴關係、轉移業務到海外、實現雲計算服務，都是達成業務目標的一部分。與此同時，安全越來越複雜，網路越來越糾纏，第三方風險管理已成為公司戰略的一個重要部分。第三方風險管理包含多種維度，從合同到供應鏈到數據保護。

Ca (Cloud Access Security Broker) 雲訪問安全代理

Gartner對CASB定義：作為部署在雲服務使用者和提供商之間的「經紀人」， CASB(雲安全接入代理，cloud access security broker)能夠嵌入企業安全策略，通過整合雲服務發現&評級，單點登錄，設備&行為識別，加密，憑證化等多種安全技術，在雲上資源被連接訪問的過程中並加以監控和防護。

Cs (Cloud Security) 雲安全

雲安全是個大課題。這裡暫時不展開討論。

Dr (Detection and Response) 檢測與響應

Gartner的自適應安全理論指出，安全方案應該從防禦轉向更為有效的檢測與響應，以及相關的聯動機制。到2020年，用於增強檢測和響應能力的支出預計將成為安全採購者的關鍵優先事項。對於更好的檢測和對安全事件響應的需求，也催生了新的安全產品細分領域，例如欺騙、端點檢測和響應（EDR）、軟體定義細分、雲方案安全代理（CASB）、用戶和實體行為分析（UEBA）。這些新的細分領域引來了新的開支，但也在消耗現有的細分領域例如數據安全、企業保護平台（EPP）網路安全、安全信息和事件管理（SIEM）。

Sr (Security Orch and Automation) 安全編排與自動化

這個用一個具體事件舉例。2018年2月28日——機器數據引擎Splunk公司(NASDAQ: SPLK)宣布收購 Phantom Cyber 公司。Phantom Cyber 是安全編排、自動化和響應(Security Orchestration, Automation and Response, SOAR)領域的領導者。

SOAR平台通過自動執行任務、編排工作流程、改進協作以及使機構以機器速度響應事件來提高安全操作的效率。 根據Gartner的數據，「到2020年年底，擁有5人以上安全團隊的機構中將有15%利用SOAR工具進行編排和自動化操作，今天這一比例不到1%。」客戶將能夠使用Splunk技術進行編排和自動化，作為其安全運營中心(SOC)平台的組成部分，以加速事件響應，同時解決技能短缺問題。

這樣的組合將幫助SecOps團隊：

利用分析驅動的安全性提高網路防禦能力並降低機構面臨的風險；

加速事件響應，加快響應速度；

更聰明地工作，緩解人員配備和技能短缺壓力。

以下概念相對來說，理解起來比較容易，這裡就簡單列舉一下，以供閱讀。

Th (Threat Hunting) 威脅追蹤

對於威脅，要積極主動，要主動出擊，主動查詢和追蹤威脅，而不是被動等待和響應。

Ng (Next Gen SOC) 下一代安全運營中心

個人認為核心是數據、聯動和可視化。

五、前瞻技術

Bd (Big Data) 大數據

MI (Machine Learning) 機器學習

IoT (Internet of Things) 物聯網

Bc (Blockchain) 區塊鏈

Ai (Artificial Intelligence) 人工智慧

六、威脅因素

Mi (Malicious Insiders) 惡意的內部人員威脅

Ni (Negligent Insiders) 玩忽職守的內部人員威脅

Ha (Hacktivist) 黑客行動

Nt (Nation State) 國家之間

Oc (Organized Crime) 有組織的犯罪

七、CISO約束

Ra (Role and Accountability) 角色和責任

CISO的角色和責任

Bu (Budget) 預算

沒錢啥事都幹不了

St (Stuffing) 員工

沒人啥事都落不了地

Te (Technology) 技術

技術是工具

Oz (Optimization) 優化

好好優化，天天向上

作者：青藤雲安全 崔晶煒

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！