守好两高一弱很难?
年底盘点发现,两高一弱(注:高危漏洞、高危端口、弱口令的合称)问题持续被监管部门重点关注,案例发了不少。
安全厂商、咨询机构也都在火上浇油,各种大包大揽的整体解决方案估计读者都收集了一大堆。
各家之言均不无是处,但在笔者看来,解决两高一弱问题的关键,着实与落点在技术的安全解决方案有距离。关键还是在于:
管理措施到位了?技术措施能兜住?
笔者:国际注册信息系统审计师、软考系统分析师、软件工程硕士
两高一弱中,最不应该发生但又偏偏是经常发生的就是弱密码问题。
诚然弱密码问题有效的技术解决办法包括基于零信任原则升级改造现有的信息系统/单点登录系统,引入 MFA 和强密码规则,还要加上实施 IAM 实现访问控制等等。
估计不少读者都能背出来了。
但是,在完成这些升级改造之前,要有效防止发生弱密码问题,就是典型的管理要到位和技术能兜底。
什么是管理到位?这就要延伸到等级保护定义的安全管理体系上。
等保标准对安全管理体系的定义是严格和细致的。但落到现实中,其实很多实施了的单位都是流于形式。这一点,从等保定级和测评期间,甲方单位的配合情况便可初见端倪。
甲方单位的负责人和经办人能在等保测评过程中边做边学,就已经是很难得,别谈有无专业背景了。
可想而知更多的会是什么情况。就说能认真完整读过一遍 GB/T 20269-2006 的,估计也没几个人。
当等保管理体系和技术措施基本建立起来,通过了等保测评,转入到日常执行--这才是真正开始考验管理能力的时候。
比如要解决高危端口,首先要进行资产梳理--这实际是资产管理是否到位,而不是资产发现、处置这些具体措施是否到位。
再如要解决高危漏洞,要及时收集漏洞情报和执行打补丁之类的措施--这些措施的本质同样也是资产管理是否到位。
透过现象看本质,否则就会导致本末倒置。
所以本质就是:解决两高一弱问题,不是考验安全运营外包服务商的技术和服务能力,是考验自己的安全管理能力。
等保要求执行的日常管理工作,每一条都真实、按时、保质执行到位的工作量有多饱满,没有亲手干过就根本无法理解需要多少人力资源。
所以,很多单位以为把安全服务外包了,或者随便安排一两个大包大揽就完事了,因为具体工作有人做,安全责任有人背了--这是彻头彻尾的错误认识。
更遑论那些要把网络安全责任平均分给所有部门所有人的无知做法。
等保体系强调基于法人单位集中管理。如果一个法人单位里面信息化资产分散给每个使用部门自行管理,等于放手不管。
还要说说“技术兜底”。
如果一个单位的网络安全管理措施执行到位,那么业界所称的网络安全“七分靠管理,三分靠技术”就是管理和技术达到平衡后的理想结果。
管理到位了,技术手段才能有效发挥作用。如果管理不到位甚至管理错位,但还要想办法维持网络安全不破,就得在技术能力上做文章了。
所以管理能力越弱,技术能力就要越强。而且按笔者经验,这种“越强”不是线性级别,是指数级别。
虽然不可能通过技术能力完全弥补管理的缺失,但不失为以负责任的态度尝试挽狂澜于既倒、扶大厦之将倾的一条路径。
比如弱密码排查,笔者之前就写过这样的方法:
这就是技术兜底的一种做法,诚然这方法比较考验技术能力,通常是甲方做不了,乙方做不来。
所以,有个笔者被问过多次的问题:能依靠安全厂商解决两高一弱问题吗?
答案是不能。
因为甲乙方关系,安全厂商既无责任也无能力干涉或参与到甲方的安全管理事务,只能是“技术上配合、执行上协助”。
其实做事行不行,取决于上不上心,也就是“认真”。
只可惜现实中不少的网络安全责任人,对待网络安全的心态更多地是避和躲,熬过任期调了岗就行。
网络安全的本质依然是计算机科学,而计算机科学是一门实践科学,谁来实践和如何实践,决定了这个单位的信息安全 CIA 三要素能达到的天花板。
注:配图均为笔者自行拍摄。
本站微信订阅号:
本页网址二维码: