这些年我对安全成熟度模型的一点点思考
2020-08-02 21:15 微言晓意 阅读(821) 评论(0) 编辑 收藏 举报在多年安全咨询的职业与项目经历中,一直钟爱并经常使用的一个工具,就是安全成熟度模型。安全成熟度模型既能够清晰地展示安全全貌,又能为安全工作提供明确的努力方向与建设目标。因此,安全成熟度模型不仅是很棒的咨询工具,更是为企业安全建设指引方向的灯塔。
1、传统安全成熟度模型及其存在问题
从安全的组成来说,传统安全架构由技术体系、组织体系、制度体系、运行体系组合而成,其中技术体系由五横(物理、终端、网络、系统、应用)、五纵(身份认证、访问控制、内容安全、监控审计、备份恢复)交叉组成,而组织、制度、运行也可以合为一个大的管理体系。
从安全成熟度来说,一般是技术先行,管理再跟上,进而扩展到IT风险管理、业务风险管理体系,即由安全技术体系、安全管理体系、IT风险综合管控、IT风险与业务风险综合的四个阶段组成成熟度模型。传统安全成熟度非本文重点,不在此进行详细描述,重点说下其中存在的问题。
首先,技术体系、管理体系虽然存在着一定的关系,但绝对不是技术体系全部建设完成,才开始进行安全管理体系建设;其次,安全管理体系建设完成后,直接进入了IT风险、业务风险管理的范畴,将安全局限在风险管理的范畴了;第三,安全的范畴与IT、业务是由交叉重叠的地方,但不是安全被IT、业务包含的关系,这里很显然是把安全理解成了狭义的IT安全了。
2、改造后的安全成熟度模型以及一些思考
在2016年前后,新的安全技术与理念不断出现,下一代安全的解决方案也层出不穷,越来越感觉到传统安全框架局限性越来越大,便开始琢磨怎么去改造构建一个新的安全成熟度模型。最早的一个版本是为了给一个大型房地产企业安全规划来用,见下图-1:
此模型将安全扩展成五个阶段,在阶段命名上参考了CMMI的成熟度,这多少还带有管理体系的味道,反而各阶段括号里的描述比较贴切一点。这里的充分定义阶段相当于建立了基础的安全体系(组织、技术、制度、运行),能够满足监管要求、最佳实践标准的要求,可以理解为到此阶段安全建设都是趋于合规、雷同的。再往上的两个阶段,就要突破合规与最佳实践的限制,深度考虑自己的建设需求,形成一个一个的安全专题,每个安全专题的实现需要融合技术与管理措施。
此后,在局部进行了细微调整,去掉了CMMI成熟度风格的阶段定义,并将第五级不太好解释清楚的“自适应安全”改为了“业务与安全融合”。具体见下图-2:
除了上述的调整,每个阶段的公共特征描述也进行了调整,并且依据公共特征对每个阶段具体的安全技术、安全管理实践进行了定义,在此不进行详细说明,有兴趣可以参见《2.0新防御体系下,网络安全成熟度模型以及各级别安全关键实践》。
当然,这个版本仔细推敲也存在着问题,业务安全属于安全应用范畴,并不是安全程度的描述,在主动性防御阶段可以考虑业务安全,甚至在体系化控制也可以考虑业务安全,前后阶段维度描述不一致。另外一个问题是,第四、第五阶段这些内容,属于安全建设内容专题,各个安全专题建设的前后顺序,更多的需要考虑实际需求,而非在模型阶段就硬性规定出来。
3、做减法进一步调整后的安全成熟度模型**
基于前面两个安全成熟度模型,参考了《网络安全滑动安全标尺模型》内容,结合企业安全运营的实际情况,又进一步进行了调整。最终成熟度模型如下图:
在安全成熟度阶段方面,将第五阶段调整为“进攻性防御”,解决了前面遇到的问题,同时也与“主动性防御”可以相呼应。其它调整细节及一些思考总结如下:
-第三阶段“体系化控制”中,以安全体系建设为核心,描述去掉了“安全合规”的字样。因为安全要合的规也在不断更新,新的法律法规中也有越来越多的高级别的要求。
-
第一、第二阶段的安全建设,是以安全漏洞、弱点为核心进行;第三个阶段的安全建设是以安全体系(内控)为核心建设。这三个阶段的特点是管好自己那点事,对敌人(威胁)来讲是被动防御。
-
第三个阶段所说的“以SOC建设为核心”,实际上是强调安全的智能中枢,是在做好自己的基础上,敢与敌人(威胁)进行一番较量,能够与敌人(威胁)来过过招,能够分清是敌是友,是善意还是恶意,就是所谓的敢于亮剑(主动性防御)。
-
能够真正做到主动性防御,也并不是一件很容易的事情,主动性防御特点与核心要点也不在此进行详细展开,有机会单独作为一篇文章阐述。
-
第五个阶段的“进攻性防御”,更多的是强调进攻而非防御,防御只是表明自卫反击的态度。当然,这个阶段对于绝大多数企业来讲,短期内达不到也没必要达到这个程度。