信息化觀察網(wǎng)

近期，著名咨詢機(jī)構(gòu)Forrester與終端安全公司Tanium共同發(fā)布了一份題為《安全團(tuán)隊(duì)和IT運(yùn)營(yíng)團(tuán)隊(duì)之間的緊張關(guān)系使企業(yè)面臨風(fēng)險(xiǎn)》的報(bào)告（以下簡(jiǎn)稱《報(bào)告》）。《報(bào)告》認(rèn)為：2020年CIO的關(guān)鍵任務(wù)是將安全和IT運(yùn)營(yíng)整合在一起。這引發(fā)了我們關(guān)于CIO（首席信息官）看待安全視角的思考。

之前“奇安信戰(zhàn)略咨詢規(guī)劃”發(fā)表的文章《以安全規(guī)劃助力CISO建設(shè)新安全體系》，則是從CISO（首席安全官）的視角，提出了安全體系的建設(shè)思路。

毫無疑問，IT和安全運(yùn)營(yíng)的融合與“共生”，是2020年擺在所有企業(yè)CIO和CISO面前的最大難題之一。

一、普遍存在的協(xié)作缺乏與信心錯(cuò)位

01 安全與IT運(yùn)營(yíng)的隔閡由來已久

安全與IT團(tuán)隊(duì)的隔閡由來已久。對(duì)于大多數(shù)組織而言，安全和IT團(tuán)隊(duì)協(xié)作得并不愉快，甚至不太希望進(jìn)行協(xié)作。

IT和安全兩層皮，摩擦和隔閡難以消除。安全團(tuán)隊(duì)常常不能站在業(yè)務(wù)和信息化角度思考安全問題；IT開發(fā)運(yùn)維團(tuán)隊(duì)缺少安全“基因”和思維，難以樹立正確的安全價(jià)值觀，對(duì)安全的看法一直停留在“成本中心”和“拖后腿”的陳舊觀點(diǎn)。《報(bào)告》稱：67％的IT領(lǐng)導(dǎo)者中承認(rèn)，推動(dòng)安全團(tuán)隊(duì)和IT運(yùn)營(yíng)團(tuán)隊(duì)之間的協(xié)作是一項(xiàng)嚴(yán)峻挑戰(zhàn)，并且裂痕在繼續(xù)擴(kuò)大。

02 安全投資增加但回報(bào)值得擔(dān)憂

一方面，IT安全投資經(jīng)費(fèi)明顯增長(zhǎng)。IT領(lǐng)導(dǎo)者面臨來自各方的壓力，必須遵守不斷出現(xiàn)和演進(jìn)的管理法規(guī)，跨不同設(shè)備跟蹤和保護(hù)數(shù)據(jù)，管理物理和虛擬資產(chǎn)的動(dòng)態(tài)庫(kù)存，履行職責(zé)以使技術(shù)成為增長(zhǎng)動(dòng)力。為了應(yīng)對(duì)這些壓力，企業(yè)高級(jí)領(lǐng)導(dǎo)層比過去更加注重安全、IT運(yùn)營(yíng)和法規(guī)遵從性，促使安全預(yù)算和資源明顯增加?！秷?bào)告》稱，在過去兩年里被調(diào)查的企業(yè)中，安全預(yù)算的增幅（18.3%）高于其業(yè)務(wù)預(yù)算的增幅（10.9%）；IT團(tuán)隊(duì)增加了IT安全預(yù)算；增加了資源和工作來修復(fù)環(huán)境中的漏洞和風(fēng)險(xiǎn)；增加了資源和工作來識(shí)別環(huán)境中的漏洞和風(fēng)險(xiǎn)；投資于解決方案和流程以進(jìn)一步富化維護(hù)的端點(diǎn)數(shù)據(jù)。

但另一方面，IT投資的回報(bào)仍值得擔(dān)憂。為了推動(dòng)持續(xù)的合規(guī)性、增強(qiáng)的安全性和高級(jí)的數(shù)字化轉(zhuǎn)型，許多企業(yè)都購(gòu)買了新的安全產(chǎn)品和運(yùn)維工具，但大多數(shù)企業(yè)主要投資于各種單點(diǎn)解決方案。這導(dǎo)致問題仍然存在——這些投資究竟是解決了關(guān)鍵的IT問題，還是進(jìn)一步擴(kuò)大了團(tuán)隊(duì)之間的隔閡？這些投資究竟是為整個(gè)組織提供服務(wù)，還是只為少數(shù)幾個(gè)團(tuán)隊(duì)提供服務(wù)？最重要的是，這些工具是促進(jìn)了跨團(tuán)隊(duì)協(xié)作，還是抑制了跨團(tuán)隊(duì)協(xié)作？

03 普遍存在的信心錯(cuò)位與可見性差距

一方面，大多數(shù)團(tuán)隊(duì)對(duì)其運(yùn)行關(guān)鍵IT流程的能力充滿信心。《報(bào)告》數(shù)據(jù)支撐了CIO對(duì)流程性的過度信心：組織可以在72小時(shí)內(nèi)報(bào)告破壞/違規(guī)行為（89%的被調(diào)查者反饋）；可以根據(jù)漏洞掃描的結(jié)果立即采取行動(dòng)（80%的被調(diào)查者反饋）；漏洞掃描結(jié)果可以由恰當(dāng)?shù)膱F(tuán)隊(duì)看到，并迅速采取行動(dòng)（76%的被調(diào)查者反饋）。

但另一方面，團(tuán)隊(duì)確實(shí)受到了可見性差距的困擾。只有大概一半的組織認(rèn)為他們能夠?qū)ζ洵h(huán)境中的漏洞/風(fēng)險(xiǎn)（51%）以及硬件/軟件資產(chǎn)（49%）具有完全可見性?！秷?bào)告》數(shù)據(jù)揭示了CIO對(duì)可見性的不自信：組織從漏洞掃描中收集的數(shù)據(jù)是最新的（61%）；組織對(duì)環(huán)境中的脆弱性和風(fēng)險(xiǎn)具有完全的可見性（51%）；組織對(duì)IT環(huán)境相關(guān)的所有硬件和軟件資產(chǎn)具有完全的可見性（49%）。

關(guān)于可見性的實(shí)際情況，也許遠(yuǎn)達(dá)不到上述數(shù)據(jù)。據(jù)美國(guó)CIO雜志稱，只有不到10％的公司對(duì)其IT環(huán)境具有完全的可見性。而且隨著物聯(lián)網(wǎng)和邊緣計(jì)算的興起，在更多地方部署了更多設(shè)備，許多IT部門都不知道正在連接這些設(shè)備。而且很多物聯(lián)網(wǎng)設(shè)備正在運(yùn)行具有默認(rèn)用戶名和密碼的較舊的操作系統(tǒng)，有許多漏洞可能多年來未進(jìn)行修補(bǔ)。

《報(bào)告》中的上面兩組數(shù)據(jù)給出了矛盾的結(jié)果：只有51%的企業(yè)對(duì)其風(fēng)險(xiǎn)的可見性有信心，而89%的企業(yè)卻對(duì)基于此數(shù)據(jù)的工具和流程很有信心，即CIO對(duì)IT流程性的過度信心和對(duì)可見性的不自信。問題在于，運(yùn)行流程是基于可見性的。如果運(yùn)行流程所依賴的基礎(chǔ)數(shù)據(jù)不完整，那么流程的效率將難以發(fā)揮作用。既然許多團(tuán)隊(duì)將網(wǎng)絡(luò)安全決策建立在基本不完整的數(shù)據(jù)上，這表明他們對(duì)工具和流程的信心是錯(cuò)誤的。由于只有51%的人對(duì)資產(chǎn)和漏洞的可見性有信心，組織的安全保障基本上是在擲硬幣！

二、缺乏協(xié)作與信心錯(cuò)位導(dǎo)致嚴(yán)重的IT風(fēng)險(xiǎn)

緊張的關(guān)系、錯(cuò)位的信心和復(fù)雜的IT環(huán)境，都會(huì)對(duì)企業(yè)的網(wǎng)絡(luò)安全態(tài)勢(shì)產(chǎn)生嚴(yán)重影響。在IT領(lǐng)導(dǎo)人面臨的重大挑戰(zhàn)中，有很多與可見性和數(shù)據(jù)質(zhì)量有關(guān)。企業(yè)必須具有良好的可見性才能應(yīng)對(duì)威脅，但《報(bào)告》稱71%的企業(yè)在獲得端點(diǎn)和其健康狀態(tài)的完全端到端可見性方面存在挑戰(zhàn)。低可見性可能會(huì)導(dǎo)致IT衛(wèi)生（74%）、業(yè)務(wù)安全的靈活性（68%）、易受網(wǎng)絡(luò)威脅的脆弱性（67%）和團(tuán)隊(duì)之間協(xié)作（65%）相關(guān)的各種不良后果。

《報(bào)告》還稱，三分之二的企業(yè)（67%）認(rèn)為，安全和IT運(yùn)營(yíng)團(tuán)隊(duì)之間的隔閡擴(kuò)大了可見性差距，阻礙了IT問題的解決。當(dāng)考察修補(bǔ)漏洞（包括打漏洞補(bǔ)丁、掃描和重新掃描環(huán)境以及報(bào)告補(bǔ)丁結(jié)果）的平均時(shí)長(zhǎng)時(shí)，關(guān)系緊張的安全和IT運(yùn)營(yíng)團(tuán)隊(duì)需要37個(gè)工作日來修補(bǔ)IT漏洞，比關(guān)系良好的團(tuán)隊(duì)（27.8個(gè)工作日）要多33%，將近兩周時(shí)間。而這種延遲可能會(huì)使企業(yè)面臨重大風(fēng)險(xiǎn)，從而造成商譽(yù)損害甚至組織癱瘓。

此外，安全和IT工具的多樣性降低了整體可見性。IT領(lǐng)導(dǎo)者為了應(yīng)對(duì)合規(guī)和業(yè)務(wù)壓力，已經(jīng)投資了許多單點(diǎn)型解決方案。然而，這些解決方案通常是在豎井中運(yùn)行的，導(dǎo)致組織的一致性變差，并抑制了保護(hù)環(huán)境所需要的可見性和控制力。其結(jié)果是，IT領(lǐng)導(dǎo)者只能勉強(qiáng)接受很不完整的可見性和控制能力，使得企業(yè)自身易受攻擊。進(jìn)一步，可見性差距和工具多樣性使得安全與IT團(tuán)隊(duì)之間的協(xié)作更加困難。

三、CIO整合安全與IT運(yùn)營(yíng)的思路方法

如前所述，安全和IT運(yùn)營(yíng)團(tuán)隊(duì)在不完整的環(huán)境視圖上建立了錯(cuò)誤的信心。由于團(tuán)隊(duì)關(guān)系緊張，這些可見性差距進(jìn)一步擴(kuò)大。鑒于緊張關(guān)系和可見性差距對(duì)企業(yè)的安全態(tài)勢(shì)產(chǎn)生的嚴(yán)重影響，現(xiàn)在是企業(yè)尋求解決安全和IT團(tuán)隊(duì)之間裂痕的時(shí)候了。

01 以一體兩翼為解決之道

堅(jiān)持“一體兩翼”戰(zhàn)略定位。CIO解決隔閡問題的關(guān)鍵是真正落實(shí)網(wǎng)絡(luò)安全與信息化的“一體兩翼”戰(zhàn)略定位，加強(qiáng)網(wǎng)絡(luò)安全頂層設(shè)計(jì)，重構(gòu)企業(yè)級(jí)安全架構(gòu)，開展網(wǎng)絡(luò)安全體系規(guī)劃，明確網(wǎng)絡(luò)安全演進(jìn)路線，加大安全資源投入。即便從企業(yè)架構(gòu)的角度看，IT和安全也是不可分割的。如果CIO了解安全的價(jià)值，將更傾向于看到IT和安全集成的價(jià)值。CIO應(yīng)認(rèn)識(shí)到安全如何幫助業(yè)務(wù)開展，而非工作流中的一個(gè)障礙。CIO應(yīng)完全理解保持強(qiáng)有力安全態(tài)勢(shì)的重要性，并為安全團(tuán)隊(duì)提供強(qiáng)有力的支持。

堅(jiān)持“三同步”和“內(nèi)生安全”理念。過去大多數(shù)的安全規(guī)劃，并未與業(yè)務(wù)規(guī)劃和IT規(guī)劃深度結(jié)合，導(dǎo)致了碎片化、創(chuàng)可貼式的安全防御模式。在面向“十四五”規(guī)劃之際，應(yīng)該努力避免這種情況，確保安全與IT同步規(guī)劃、同步建設(shè)、同步運(yùn)營(yíng)。特別是在規(guī)劃階段，就應(yīng)充分融合安全與IT的需求。吸納“內(nèi)生安全”思想，將安全盡量“左移”至內(nèi)生階段，實(shí)現(xiàn)安全與IT的技術(shù)聚合、數(shù)據(jù)聚合、人才聚合。為IT各個(gè)領(lǐng)域、各個(gè)層面注入安全基因，融入安全機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)安全與信息化的深度結(jié)合，覆蓋信息化環(huán)境的方方面面，實(shí)現(xiàn)全面覆蓋、深度結(jié)合、實(shí)戰(zhàn)運(yùn)行、協(xié)同響應(yīng)。

使用一致性的網(wǎng)絡(luò)安全架構(gòu)。安全架構(gòu)可以為企業(yè)安全環(huán)境設(shè)定目標(biāo)，可以創(chuàng)建一個(gè)安全路線圖，該路線圖可以有效地進(jìn)行優(yōu)先級(jí)劃分，并與IT團(tuán)隊(duì)共享，以設(shè)置階段性目標(biāo)。使用一致性的安全架構(gòu)，除了可以在安全團(tuán)隊(duì)內(nèi)部統(tǒng)一安全目標(biāo)和行動(dòng)，也便于IT團(tuán)隊(duì)了解安全整體視圖并配合安全團(tuán)隊(duì)工作，如在其IT產(chǎn)品中預(yù)設(shè)必要的安全控制。由于安全性通常需要結(jié)合業(yè)務(wù)功能或IT功能來實(shí)現(xiàn)安全目標(biāo)，因此安全與IT的集成是關(guān)鍵。建議企業(yè)逐步向零信任架構(gòu)過渡，以實(shí)現(xiàn)對(duì)核心數(shù)據(jù)和應(yīng)用資產(chǎn)的細(xì)粒度的動(dòng)態(tài)的訪問控制和授權(quán)。

02 以整合溝通為解決之法

轉(zhuǎn)變目標(biāo)導(dǎo)向。許多CIO用來實(shí)現(xiàn)兩個(gè)團(tuán)隊(duì)之間合作的策略之一是轉(zhuǎn)向以業(yè)務(wù)結(jié)果為目標(biāo)。在該目標(biāo)下，整個(gè)IT組織都根據(jù)同一項(xiàng)計(jì)劃的成功來衡量。例如，如果零售商推出了移動(dòng)應(yīng)用程序，并且該應(yīng)用程序可以正常工作并且具有很高的客戶滿意度，那么安全和IT團(tuán)隊(duì)都會(huì)獲得獎(jiǎng)勵(lì)。

授權(quán)最高安全主管。確保CISO（首席信息安全管/信息安全主管）在所有企業(yè)戰(zhàn)略討論（包括年度預(yù)算）中都有一個(gè)席位，在企業(yè)戰(zhàn)略規(guī)劃中應(yīng)該給予他們更多的發(fā)言權(quán)。確保安全職能部門需要處于企業(yè)的適當(dāng)級(jí)別，如果不是向CEO匯報(bào)，至少要向CIO匯報(bào)。獨(dú)立性是確保安全聲音在不被其他IT功能抑制的情況下被聽到的必要條件。

增進(jìn)雙方溝通聯(lián)系。IT和安全團(tuán)隊(duì)需要了解對(duì)方努力想要實(shí)現(xiàn)什么，以及為什么對(duì)企業(yè)很重要。當(dāng)雙方不溝通時(shí)，很容易使風(fēng)險(xiǎn)策略與技術(shù)目標(biāo)不一致。如果沒有持續(xù)的溝通，他們就會(huì)始終不同步。所以應(yīng)該確保IT部門和安全人員經(jīng)常溝通和建立關(guān)系，這對(duì)于有效整合至關(guān)重要。人的因素是當(dāng)今任何IT公司面臨的最大風(fēng)險(xiǎn)。成功的網(wǎng)絡(luò)釣魚活動(dòng)很容易使一家企業(yè)突然陷入困境。為了提供真正的縱深防御，IT和安全部門需要協(xié)同工作，跨攻擊面實(shí)施解決方案，無論是本地解決方案還是基于云的解決方案。由于安全團(tuán)隊(duì)和IT團(tuán)隊(duì)實(shí)現(xiàn)的內(nèi)容可能會(huì)產(chǎn)生相互影響，兩個(gè)團(tuán)隊(duì)真的應(yīng)該攜手共進(jìn)。一種可行的辦法是，IT團(tuán)隊(duì)和安全團(tuán)隊(duì)定期（每月或每個(gè)季度）召開會(huì)議，討論即將發(fā)生的變化、項(xiàng)目、挑戰(zhàn)以及可以讓任何一方受益的其他問題。CIO應(yīng)該支持這類溝通行為，使得安全團(tuán)隊(duì)和IT團(tuán)隊(duì)都從常見的孤立行為中走出來。

03 以統(tǒng)一平臺(tái)為解決之術(shù)

安全和IT運(yùn)維需要一套通用的工具集。一個(gè)同時(shí)用于安全和IT運(yùn)維的通用工具集有助于減輕工具擴(kuò)展和協(xié)作不良帶來的挑戰(zhàn)。擁有單一的數(shù)據(jù)來源將更好地使兩個(gè)團(tuán)隊(duì)保持一致，并提供完整的環(huán)境視圖，消除盲點(diǎn)，通過實(shí)時(shí)數(shù)據(jù)消除可見性差距。這將使團(tuán)隊(duì)能夠做出明智的決定，對(duì)破壞性事件采取行動(dòng)并迅速做出反應(yīng)。

統(tǒng)一端點(diǎn)管理平臺(tái)可增強(qiáng)端點(diǎn)可見性。統(tǒng)一端點(diǎn)管理平臺(tái)使企業(yè)能夠加速運(yùn)行、增強(qiáng)安全性，并推動(dòng)安全和IT運(yùn)營(yíng)團(tuán)隊(duì)之間的協(xié)作?！秷?bào)告》表明，統(tǒng)一端點(diǎn)解決方案可為企業(yè)提供規(guī)?；\(yùn)維的能力（59%），減少了對(duì)攻擊的脆弱性（54%），改善了IT衛(wèi)生（52%），促進(jìn)了業(yè)務(wù)利益。其好處是更快的問題響應(yīng)時(shí)間（53%）、更高效的安全調(diào)查（51%）、改進(jìn)的數(shù)據(jù)集成（49%），從而促進(jìn)了安全運(yùn)營(yíng)（49%）。統(tǒng)一端點(diǎn)解決方案改進(jìn)了安全和IT運(yùn)營(yíng)團(tuán)隊(duì)之間的溝通（52%），增強(qiáng)了安全和IT運(yùn)營(yíng)團(tuán)隊(duì)之間的協(xié)調(diào)與協(xié)作（48%）。最終，這種方法將降低風(fēng)險(xiǎn)，改善公司的安全態(tài)勢(shì)。

態(tài)勢(shì)感知平臺(tái)可極大增強(qiáng)全網(wǎng)可見性并提升安全運(yùn)營(yíng)能力。《報(bào)告》數(shù)據(jù)顯示，安全和IT運(yùn)營(yíng)的挑戰(zhàn)性任務(wù)是：跨IT系統(tǒng)粘合數(shù)據(jù)以產(chǎn)生可行動(dòng)的洞察力（76%），識(shí)別未知的未發(fā)現(xiàn)/未受管的資產(chǎn)（74%），獲取網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)數(shù)據(jù)（71%），從現(xiàn)有的工具和資源中提取投資回報(bào)率（71%），獲得網(wǎng)絡(luò)上端點(diǎn)的完整的端到端的可見性及其健康狀況（71%）。企業(yè)應(yīng)該面向安全實(shí)戰(zhàn)化運(yùn)營(yíng)能力建設(shè)態(tài)勢(shì)感知平臺(tái)，覆蓋所有信息資產(chǎn)的全面實(shí)時(shí)安全監(jiān)測(cè)，持續(xù)檢驗(yàn)縱深防御機(jī)制的有效性，動(dòng)態(tài)分析安全威脅，及時(shí)處置相關(guān)安全風(fēng)險(xiǎn)；依托平臺(tái)實(shí)現(xiàn)數(shù)據(jù)處理、安全分析、自動(dòng)化響應(yīng)、安全運(yùn)行、指揮控制、態(tài)勢(shì)呈現(xiàn)等多層次的安全能力，有效協(xié)同主機(jī)系統(tǒng)安全、網(wǎng)絡(luò)縱深防御、數(shù)據(jù)中心安全、數(shù)據(jù)安全、終端安全等安全子系統(tǒng)，高效支撐全網(wǎng)安全運(yùn)行工作。