3.9 关于ISO27001
1. 重建对安全标准的认知
虽然标题用了ISO27001,但实际上这里可以指代所有的安全标准和安全理论。木桶理论安全界的人都知道,但用到实际工作中,没太大用,说到底就是给外行解释安全这件事的一个通俗比喻而已。业内有些声音认为安全标准堵不住漏洞,所以安全标准都是没用的“废物”,这种论据显然是有问题的,首先安全标准的制定就不是为了堵漏洞,所以安全标准跟漏洞没关系,完全两个层面的东西,不能拿来说事,堵漏洞有具体的技术手段,但安全建设并不只有堵漏洞这种微观对抗。
那安全标准到底有什么用,我用最通俗的语言解释一遍,安全标准归根结底是为了给你一个参考和指引,当你把基础的技术防护手段实施之后,过了上任之初的救火阶段之后,就需要停下来思考一下整个企业安全范畴中,哪些事情是短板,哪些领域尚且空白,需要在哪些点上继续深挖才能覆盖公司整体的安全建设,而安全标准的价值就是告诉你,在安全建设的领域里可能有那么100件事情是需要做的,但具体选择只做80件还是99件还是100件全做是你自己的事情,它只告诉你100件事情是什么,但是这100件事情怎么实现,对应的技术方案或流程是什么它不会告诉你,实现和落地是需要自己去想的,它本质上是用于开拓视野,跟堵不堵漏洞完全没冲突,换句话说它是一本书的目录,但对于每个章节怎么写则取决于你自己,你可以买WAF也可以加固容器,也可以像偏执狂一样地做代码审计,至于堵漏洞那只是每个章节里的一段文字而已。
2. 最实用的参考
对互联网公司而言,我认为有几个非常刚需的参考:
ITIL(BS15000/ISO20000)—绝大多数互联网公司的运维流程都是以ITIL为骨架建立的,甚至连内部的运维管理平台,监控系统上都能一眼看出ITIL的特征。而偏运维侧的安全,基础架构与网络安全,这部分的安全建设是以运维活动为主干,在运维活动上添加安全环节来实现安全管理的。所以想在运维侧建立安全流程必须熟悉ITIL,把安全环节衔接到所有的发布、变更、配置、问题和事件管理之上,而不是打破原来既有的运维流程,再去独创一个什么安全流程。
SDL—研发侧的安全管理,绝大多数公司都借鉴了微软的SDL,即便是再有想法的甲方安全团队也离不开它,所以无论如何必须掌握SDL。
ISO27001—企业安全管理领域的基础性安全标准,所谓基础就是不能比这个更加精简了,你可以不碰那些高大上的,但是ISO 27001则相当于入门水准,就好像高等数学线性代数你可以不会,但是如果你连9×9乘法表都背不出来,那只能永远呆在家里不出门了,因为你连买10个苹果找你多少钱都算不来。ISO 27001总体上提供了一个框架性的认知。
3. 广泛的兼容性
学习攻防技术和学习少数几个国际标准一点都不冲突,南向北向都是人为划分的,除非坐地画圈,否则完全不存在这种天然障碍。一个优秀的甲方工程师就是应该系统化又熟悉技术细节的,对于开篇提到的CSO而言,没有视野的人绝对当不了CSO。
4. 局限性
方法论的作用是解决企业整体安全从30分走向50分的问题,这个阶段需要具备普适性的有助于改善基本面全方位提升的东西。但是到了中后期,这些就不太管用了,如果你想从60分上升到80分,不能再依赖于方法论,而是进入安全特性改进的贴身肉搏战状态,很多竞争力也许只有几十条规则,但是这些从表面上是看不出来的,只有依靠专业人士的技能和资源的集中投入才能有所产出。