企业信息安全建设的几大误区,你中了几个?
前言:企业安全���有标准的建设模式一说,还有就是专业人才的短缺,作为审查工作合格与否的高层领导更是不懂得信息安全的相关知识,导致很多企业的安全员做安全建设时放飞自我,做了很多无用的工作。那么哪些行为是无用功呢?
()一.对商业软件进行漏洞挖掘
作为企业的信息安全员,评估自有的信息化系统脆弱性是一项正常无比的工作,可以对自研的系统进行漏洞挖掘,但是这里不建议对商业软件进行漏洞挖掘,有几点原因:
1.热门的商业软件都有自己的安全团队,也有很强的脆弱性对抗能力,在他们的基础上进行二次漏洞挖掘费时费力,毕竟工资是老板来发。
()2.对商业软件进行漏洞挖掘,比如对某OA,某ERP,你挖掘出来的漏洞是交原厂还不是不交原厂?交了相当于给原厂白打工,不交你也修复不了。而且这种没有被公开的0day漏洞,对企业的安全威胁其实并不大(千万不要说0day对企业安全威胁大,这么说的话每个企业都有一堆未发现的0day)
3.可能有人说,我挖商业软件,证明我能力很强,老板很喜欢能力强的人。呵呵,我只能说这么想多少有点大病。老板严格的来说只考虑两件事,降本和增效。炫技炫一次可行,炫多了,就离滚粗不远了。
二.大量使用开源安全软件
开源软件和商业软件一定会充斥在企业的信息化过程中,毕竟企业需要在成本和好用之间达到一个平衡,尤其是上市公司,都用商用软件,拖垮一个公司我都信。但是在企业安全建设上,尽量少用开源安全软件。商业软件很多时候并不是购买软件本身,有安全事故的时候,乙方也是真的拍安服来上的。安全建设应该建立在更为保险的机制上,开源软件大多时候不能提供保险机制。而且开源软件也很难做到及时更新病毒库或者POC,各安全软件数据打通,API对接也容易有各种问题,没法做soar编排。
1.防火墙,VPN,主机安全这种防御或者ACL策略类型的安全软件一定不要用开源的
2.检测类工具,旁路类工具可以少量使用开源的,比如漏洞挖掘工具,基线检查工具
3.部分优秀的开源产品也可以使用,比如雷池WAF,微步蜜罐等等
4.有人说开源软件多搭建一些,可以证明我工作量啊。是的说的没错,忽悠老板一两年估计没问题,真出事了,带着你的开源软件滚粗。
5.也有人说我是用开源软件做二开,给公司省钱。呵呵,首先且不说你自己维护开源软件的质量,你有足够的资源维护情报么,有足够的精力维护POC么,有足够的精力维护指纹库么,都拿时间去写代码和研究怎么汇报了,有时间看看企业内部的安全运营状况么,开发不要人啊,有招人的成本,买几套基础版安全软件也够了。
三.安全软件买回来或者部署好就万事大吉
这是很严重的问题,大多数企业,哪怕很专业的信息化企业都有这个问题,就是安全运营靠设备自己处理,其实安全设备买回来,是需要运营的,设备策略调优,日常告警分析,安全事件记录都是要做的,除此之外,公司有多少信息化资产,多少个服务,都是啥版本,哪个网域容易中毒,哪个网中毒也没事,哪个业务不能断,哪个机器太老了不靠谱。作为信息安全员都是要知道的,这不比你每天搞垃圾二开有用?
四.我不懂安全建设,我哪知道信息安全员做的好不好
企业安全到底怎么做?按你的意思难道就是采购一大堆的商业设备吗?当然不是!但是也不能凭自己想的来,其实安全建设还是有一些规则可循。
1.实在不知道怎么做,参考国家等级保护测评,这个不是绝对,但是确实给了一个相对标准,参考里面的去做内部安全。注意这里不是要你去过等保测评,看GBT文档学习即可。
2.安全建设其实是建立在企业安全威胁的基础上的,做安全建设之前,建议做一次企业安全风险评估,找出自身的威胁,进行对应建设。肯定有人说了,不懂评估,你直接说人话!好吧,如果实在不知道怎么评估自身安全,就问老板,你最担心企业出现哪些安全问题?也就是说针对假想敌进行安全建设。如果老板说担心勒索病毒,好了,主机杀毒,EDR,可信DNS来一波。如果老板说担心员工数据泄露,好了DLP,终端加密,终端准入,网络准入来一波。如果老板说担心APT攻击,好了,态势感知,全流量设备,情报产品,可信DNS来一波。如果老板说担心核心数据丢失业务连续性问题,好了存储热备,超融合,虚拟化漂移,磁带离线备份等等搞一波。
五.我需要招聘什么样的信息安全员?
信息安全员,我也不懂招啥样的,我就招工资高的,贵的,一定厉害!错大错特错!
1.优先招聘信息安全管理人才,信息安全管理人才价格相对不高,但是对企业性价比高,做信息安全,管理占70%我是认可的,好的管理能带来的提升比技术带来的安全提升还大。
2.企业规模大于1000人的公司,可以招聘一个安全运营工程师,专门维护安全设备和监控企业安全状况
3.公司主要业务是对外提供软件产品的,可以招聘一个应用安全工程师,解决常见的软件安全建设问题
4.企业公网业务和服务器多的,可以招聘一个应急响应和红蓝对抗工程师,如果是上市公司,强烈建议招聘一个红蓝对抗工程师。
5.企业是知识产权型公司,强烈建议招聘数据安全工程师,对欧美业务多的,强烈建议招聘数据安全合规工程师,同理app多的,建议招聘信息安全合规工程师。同时建议企业有一个内审的安全员角色。
6.企业规模大于10000人的,建议组件独立的安全部门,独立于所有部门之外,而不是从属信息部。并且建立完善的岗位职能。
7.企业规模只有几百人的小公司,建议招聘安全运维工程师,根据需要招聘信息安全管理工程师
8企业规模几十人的,建议买好商业杀毒和防火墙即可。
另外读者有啥问题企业安全建设的管理问题技术问题,都可以留言,没别的我找一下我的软肋!