安世加EISS企业信息安全峰会-深圳站圆桌论坛上交流的纪要

本文是2024年9月20日安世加EISS企业信息安全峰会-深圳站圆桌论坛上交流的纪要。这几个问题在当下是有现实意义的，几位嘉宾回答的也非常精彩。我们不忍错过，于是记录、发表出来，供行业同仁参考、指正。

现在无论是攻防对抗还是业务创新，变化是永恒的主题，但是IT基础设施的架构、安全的架构其实没有办法很快地发生变化。那么，为了支持业务发展，安全团队应该采取怎样的架构思想、架构设计方法、规划方法，来应对快速变化的局面？这里面有什么经验教训可供参考？

梁博：

1. 借鉴架构方法论。良好的架构实践也是对架构匹配业务快速变化的最佳实践，安全架构完全可以进行借鉴，比如做好解耦、接口化、SDX（软件定义一切），异步、分布式、形态多样（虚拟化容器化）、大数据/数据中台、主数据等最佳实践，有意识有计划的提升安全架构的品味，可以结合公司技术线的业务特点，通过一定组织&流程的抓手进行落地。

2. 构建自己的安全能力“乐高”。对各领域的安全能力进行深度理解和多维度拆解，尽量原子化，借鉴架构的思路（接口化、可扩展），将各种原子化的安全能力进行开放和组合，形成安全乐高。举例来讲，MITRE这两年搞的RE&CT框架，从响应流程和适用环境两个维度出发（即安全风险响应的准备、识别、抑制、消除、恢复、改进等6阶段，以及网络邮件文件进程配置身份账号各种安全域），梳理了几百项原子化的安全操作。我们完全可以借鉴这个方法，对适配我们企业的IPDR各种安全领域结合多维度进行能力拆解，构建适合自身行业&业务特点的安全乐高全景蓝图，并对各原子化的能力进行安全架构进行现代化的改造。

所谓手中有粮，心中不慌，比起不经现代化改造的傻大黑粗安全黑盒，当你掌握丰富且灵活的原子化安全能力集合，应对起各种安全需求的变化，无疑将从容敏捷得多。

3.做好与业务的同频：

（1）业务的预判&规划：了解业务中长期规划，包括与业务建好良好的合作关系，及时掌握风吹草动，便于安全团队在战略层面做好关键安全能力和关键资源的同步规划和提前储备；

（2）实现对业务的安全赋能：建立安全&业务的联合机制，具象化安全工作对公司主营业务的业务价值，以业务视角能理解的语言&指标进行呈现，让业务的变化能快速传递到安全团队，并产生方向正确的变化；

周海刚：

在网络空间安全领域，没有100%的安全，只有100%的对抗，可以说对抗是持续的、变化是永恒的主题。为了适应这种对抗和变化，至少需要从两个方面着手：

一是要形成适合自己的方法论。业界信息安全体系架构、管理架构有很多，如ISO27001/27701、CSF架构等等，再加上对于大型制造型企业而言，涉及到的安全领域就更多，比如工控安全、物联网安全、公有云安全，再加上传统的私有云安全、办公安全等等，所以要形成适合自己的方法论才能融合各种体系架构，建设适合自己的信息安全防护体系架构。我们团队目前总结形成了自己的方法论，称为“五板斧”：进不来、能发现、防泄漏、保合规、重运营，这里就不展开讲了。通过这“五板斧”将各种体系和技术融合进来，做规划、建体系、抓落实、看实效。

二是要非常重视攻防对抗演练，这几乎是检验体系有效性的唯一手段（除了真实黑客攻击外）。这包括行业各种攻防演练、内部自己组织的红蓝对抗、邀请红队参与的攻防演练、钓鱼演练等等。另外，BAS系统不仅可以对防护体系提供量化评估，也可以实施自动化渗透测试，对攻防演练工作也是一个非常大的促进。

李维春：

传统的补丁式、外挂式的安全建设方法，短期内还得继续；从中长期来看，我认为需要在架构上采取一些演进措施，朝着零信任架构、切面架构演进，形成安全架构的升级换代，以更好地适应业务的变化。

同时，为了更好地应对变化，我认为甲方安全团队应该（1）坚持做3年规划，每年滚动更新；规划周期3年即可，太久了也看不清；（2）滚动更新的核心是不断寻找、吸取来自于业务、外部环境的输入，及时感知变化，并在组织架构、技术架构上做好变化的准备。技术架构上我最近一直在研究，我很喜欢零信任、切面、纵深防御这些理念思想，然后在实践中融合贯通。

安全运营已经说了很多年了，我们看到不少甲方也都在加强安全运营的能力。请问如果要做好安全运营，只让你说3个最重要的做法，你认为是哪3个？

梁博：

1、 向上让老板重视运营，对内构建运营的组织文化：做好向上管理，要充分理解老板的风险偏好、利益诉求，从更高层面上将安全运营与公司利益绑定在一起，这样可以让老板认可安全运营的价值，安全运营团队才能获得持续的价值驱动力。运营人员专职化、有专业的管理、日常KPI/OKR要体现运营工作的特点，运营人员要有不亚于其他安全方向人员的职业发展通道。

2、以攻促防的方法论：坚持通过定期高质量攻防演练，做好充分暴露安全风险、红蓝双方联合全面复盘和扎实抓改进闭环等关键工作，是能确定性的驱动安全运营水位上升，并能达到攻防双方教学相长的双赢局面。这里特别要说的是，演练要选好合作伙伴，除了可以帮助甲方保障演练的质量，攻击队/蓝军相当程度上决定了甲方运营迭代成长的速度。攻击队/蓝军的视野、能力、对甲方业务&系统的熟悉和资源投入程度，会导致演练的效果有巨大的差异，特别是在暴露甲方安全风险的前瞻性、全面性和深度上体现得特别明显。

3、建立数据驱动的运营思想，通过数据对安全运营的效果进行科学客观的衡量、评价，确保安全运营前进迭代的方向持续正确。

周海刚：

如果只能说3点，那我认为以下3点是最重要的：

（1）建体系：这里说的体系主要是指组织体系，安全运营首先要建组织体系：比如建立CISO体系，让全集团和各事业部形成由上而下、以及由下而上的通畅的安全管理渠道；建立工控安全管理体系，压实工控安全责任人，会起到事半功倍的效果；建立数据安全管理体系，在每个事业部设立DPR（数据保护代表），让数据安全落实到每个最小的单元。建体系就是要先从人抓起，从责任抓起。

（2）抓重点：要根据企业不同阶段抓重点，比如在建设初期要抓EDR、HIDS、WAF的覆盖率；在中期要抓安全运营数据的融会贯通，通过安全大数据提升安全运营效率；在成熟期要抓全员，通过安全KPI以及无处不在的安全意识宣传，让全员都有意或无意的投入到安全运营的工作中。

（3）重闭环：这对安全运营非常重要，任何一个安全事件，都需要将事件闭环做扎实，强调举一反三。每一个安全事件都是对安全防护体系的一次检验，也是安全防护体系的一次迭代机会。在安全运营过程中强调闭环复盘、举一反三，这样可以持续深挖问题根源、持续消灭问题，积小胜为大胜。

李维春：

我关注的是

1、要有专职做运营的人，或者有这么一拨人，运营的KPI站80%以上。在一个组织内，要通过岗位设置或者考核设置，让这波人专职做运营，否则从人性来说，总是愿意做建设的工作、从0到1的工作、项目型的工作。

2、选拔一个合适的运营负责人，认真、积极、好学、愿意接受改变。安全运营也是需要体系和方法论的，同时需要吸收别人的优秀经验和做法，因此这个负责人要具备这些特质，这样才能基于安全的目标，不断改进、提升，持续发生变化。

3、运营人员承担的目标、KPI要和公司的整体安全目标保持一致，与整体安全的技术架构协调一致。至于具体怎么做运营，放手让运营负责人带着兄弟们干。这里要强调说明我对安全运营的定义或理解，安全运营一定是与组织的安全目标保持一致的，同时，组织在风险控制过程中定义了一系列动作和期望达到的效果，那么安全运营其实就是在运营这些动作以持续逼近和达到这些效果。

围绕数据安全，传统的手段诸如数据库审计、数据脱敏、水印、加密、DLP这些做法以外，你觉得有哪些能够给我们带来新思路、新价值的数据安全措施？有人说，数据安全以前的做法是要管得住，但现在的观念是首先要能看得见，才能有后续的管控措施，你怎么看这个观点？

梁博：

业务不发展是最大的不安全，安全不能成为业务发展的阻碍，支持“数据要先看见”的观点。通过看见数据的存储和流动，才能要发挥使用价值，安全要支撑业务发展。

既守好安全的底线，又逐步加大加快数据使用流动价值：通过企业现有的数据安全管控能力，尤其是数据风险发现对抗能力，结合公司业务和行业特点以及相关数据安全法律法规重大实操风险，再决定数据使用流转的尺度，并通过不断提升数据安全的对抗能力，不断开放数据的使用场景，让安全带给数据流转的摩擦力逐步降低。

周海刚：

我是非常支持“先看见，再管控”的观点。传统做法加上再多的管控措施，如果压根不知道数据在哪儿以及怎么流转的，很大程度上会导致数据安全失控。

目前数据安全有非常多的技术，无论是结构化还是非结构化数据，都有很多非常典型的技术或手段，我觉得解决的都不够好。我在思考的是运用安全大模型的技术，汇聚不同来源的数据，通过大模型理解并画出数据流向，让数据资产全面的展示出来，让数据流动直观的展示出来，在此基础上，分析每一点的管控措施的力度，真正做到“先看见，再管控”。

李维春：

以前觉得“看到”不重要，现在发现“看到”是个很重要的能力，看到之后，才能有效地把数据流转过程中的风险、价值呈现给业务部门、领导，才能更好地驱动数据安全工作，甚至业务部门或者其他技术团队（比如大数据团队）就会主动地参与进来做数据安全工作；而且数据流动与业务特性密切相关，数据该不该这么流动，业务部门比我们技术团队更有发言权，所以我现在特别支持“先看到，再管控”的观点。

关于数据安全的新思想举措，我认为

（1）传统的DLP是没有生命力的，DLP要往“监测+阻断+调查式”DLP发展，尤其是要具备调查能力；

（2）基于切面思想，在数据库驱动、应用、网络流量或操作系统层用类似插桩的方式，实现可观测、可阻断，而且不用改造业务系统，是个很好的思路。我最近很喜欢这个架构思想。它既实现了业务与安全的解耦，也实现了业务与安全的嵌入，是个很有价值的架构思想。

大环境下，几乎所有的企业都在降本增效，甲方的安全团队未来几年估计都会维持这个局面。那么，你认为安全团队应该采取哪些降本增效的做法？

梁博：

有如下几个做法供借鉴

1、在运营落地实操层面，更加看重ROI：更好地利用现有设备的能力，整合利旧复用，提高现有资源的利用效率，比如可以借鉴XDR，通过端到端整合告警聚合研判响应处置全流程上，将相关的各类安全设备DR类能力有机融合，提升安全检测响应能力，并通过XDR安全驾驶舱的良好操作体验，有效提升MTTD/MTTR，提升运营效率，在不加大投入或小成本投入的情况下，有效利旧实现安全价值的明显提升。

2、完整的安全运营团队、SOC\SIEM、包括红蓝演练，要想取得比较好的效果，专家人才人力成本较高，不管是自建团队还是采购服务，中小企业一般都难以承受。但安全行业可以考虑类似团购的商业做法，进行客户群体下沉，举例两个场景：一、类似安全众测一样，通过将特地行业的中小企业的演练需求整合，再加上合理的按效果分摊费用的方式，邀请高质量的攻击队作为蓝军，参加安全团购的中小企业作为防守方的方式，可以把投入产出最大化。因为中小企业的IT资产比较简单，数量也不多，对高水平的攻击队伍而言，2周的攻防周期，完全能够发现足够深度的安全风险和问题。二、已经完成较好安全建设的中小企业数量不在少数，但在之后如何构建合格的安全运营团队和SOC\SIEM，涉及的设备和人员投入的巨大成本，依然是中小企业安全水位升级所无法绕过的拦路虎。换言之，如果安全行业有肯为安全运营结果担责或者至少部分担责MDR供应商，其自身足够规模效益的，从甲方的成本侧考虑，将是一个不错的降本增效选项。