转载请在文首保留原文出处：EMC中文支持论坛 - https://community.emc.com/go/chinese

    为基于网络边界的安全时代实施的临时流程，无法应对当今的跨国企业管理计算机安全风险时面临的规模和复杂性。为了跟上网络威胁的发展以及最新业务和技术趋势，需要全面的信息安全流程。

    上一篇我们介绍了信息安全组织中，有待改进的关键领域。这次我们将介绍如何修复这些关键流程的建议。

建议:

    这些建议并非用作重新设计安全流程的全面“方法”，而是重点关注如何修复需要关注的部分关键流程，以便解决关键问题、推动信息安全计划向前发展，并为未来做好准备。

1.     将重点从技术资产转移到关键业务流程

    要解决当今安全流程中的缺点，首先要后退一步并重新考虑如何确定问题框架。一直以来，信息安全专业人员是从保护信息资产（如服务器和应用程序）角度进行思考的。这种技术观点虽有必要却并不充分 — 它无法提供有关开展业务过程中信息使用方式的足够的背景信息。此外，对于专为破坏业务流程（如客户订单、金融交易、产品开发或制造流程，或应收帐款规程）而设计的针对性攻击，这种方法取得的成功有限。因此，应该获得更全面的了解，并考虑如何从端到端保护关键业务流程。

    以某一新产品开发流程为例。如果安全团队不了解该流程，他们就不会知道哪些属于“正常”活动，如设计团队的人员如何以及何时访问设计应用程序，如何以及何时使用电子邮件向第三方承包商传达规格，等等。通过深入研究该流程，他们就能做好更完善的准备，以制定控制措施，进而发现和防止不正常状况，并保护知识产权。

    凭借对业务流程的知识，安全团队可从尽量减少冲突着眼，了解安全控制措施如何影响流程。例如，在检查业务流程中的步骤时，可以消除传输机密数据的需要，进而消除加密的需要。在某些情况下，必须对业务流程进行一些微小修改，以使监控更加有效。例如，如果每天在正常使用过程中请求下载数据库中的所有交易，很难检测到入侵者是否正在通过下载交易数据盗窃信息。

    了解业务流程有助于内在构建而不是外在附加安全性。例如，采购流程可能会纳入采购团队的协定，用于筛查一系列安全性和隐私权问题。它还可以帮助安全团队了解技术安全控制措施不一定是保护流程安全的唯一解决方案。例如，如果存在访问认证的问题，则将手动对帐步骤放到该流程中可能是一种有效的解决方案。

2.     制定计算机安全风险的业务评估

    当今有效的信息风险管理要求安全团队担当业务部门和高级管理人员的风险顾问角色。要使风险咨询服务取得成功，安全团队应该开发使用业务术语描述计算机安全风险的方法，并将业务评估的使用集成到风险咨询流程中。

    使用业务术语描述计算机安全风险的一个有效方法是定义详细情形，阐述安全事件的可能性以及业务影响（如声誉损失、不符合监管要求或诉讼）的严重性。在可行或必要情况下（例如对于重大风险的 SEC 10K 备案），安全团队应该能对业务影响开展讨论，以便对风险进行量化。随着时间推移，该团队应磨练其风险量化技术，并逐渐精通推算资金损失的大致数额。通常，这需要与业务部门合作，以确定潜在事件（如业务流程离线、产品设计被盗、受监管数据发生泄露等）的财务影响。

    使用金融术语量化计算机安全风险是一个新兴领域。通常安全专业人员都会担心风险量化可能会导致分析瘫痪，以及为数字辩护而陷入冗长的讨论。请牢记对于其他业务评估（如销售预测），无法进行精确计算。某一数量级的评估通常足矣，例如，风险价值 1 百万美元、1 千万美元还是 1 亿美元？ 对于企业高级管理人员而言，合理但不准确的财务评估要比风险的技术描述提供更丰富的信息。

    财务评估的缺陷之一是对事件的可能性或频率作出过度工程评估。但重要的是重点关注确定财务影响。如果贵组织发生某一事件，则其只是“百年一遇”的事实并不重要。

3.     建立以业务为中心的风险评估流程

    当今，在很多组织中，信息安全风险评估仍然使用电子表格进行。通常，在项目伊始，项目所有者就按照一份电子表格模板填写一份表格，并使用电子邮件将其发送给安全团队。安全团队将使用该表格以及后续讨论中提供的信息评估风险，并提出风险降低战略的建议。借助这种方法，几乎不用规定业务部门中的人员定期保留并审查属于他们的最新风险概况。对于安全团队而言，全面了解整个企业的所有风险也很困难。

    下面的示例对基于一种相对较新方法的风险评估流程进行了说明，这种新方法纳入了外包服务提供商，并将服务与其他的GRC 系统集成在一起。通过使用服务提供商进行单调和重复的评估，该流程可以减轻业务部门和安全团队的负担。

    在此方法中，启动新项目的业务部门需要向安全团队的指定服务提供商购买风险评估服务，并为后续评估编制预算。服务提供商执行评估，并将评估结果直接输入到 GRC 系统中。评估完成后，安全团队和业务部门立即访问评估结果，这些结果还将汇总到信息风险的整体情况中。

    对于更多日常项目，业务部门中的风险官就补救进行协调，确保他们拥有切实可行的计划用于根据安全团队的标准在指定期限内解决已发现的风险。风险官随后向安全团队反馈其进展情况。对于超过指定风险阈值的项目，安全团队会被请进来进行进一步分析，并与业务部门合作开发更多自定义风险补救和接受计划。将风险评估用作服务的另一个好处是它可以根据商品销售成本模型轻松计帐，使用业务部门的预算而不是安全团队的资源。

4.     设定基于证据的控制措施保证的路线

    当今的组织必须确保安全控制措施能够一直符合标准、防止实时威胁、提供投资价值以及实现业务敏捷性。实现这一目标的最有效方法是基于证据的控制措施保证，包括持续收集相关数据以测试控制措施的功效。

    虽然基于证据的控制措施保证需要花费时间进行设置，并且在安全性和IT 流程方面需要较高级别的成熟度，但它正在成为安全团队的一项必备能力。它将提供更高的透明度、便于尽早识别有缺陷的控制措施或控制措施故障，还可通过持续调整实现问题补救和保护战略优化。拥有一连串证据还可以使组织证明法规遵从性变得非常容易。审计将更高效并且中断更少。

5.     开发智能的数据收集方法

    数据分析已经成为网络威胁检测的一项关键功能。如果您部署了数据存储区和分析引擎并招聘了数据分析师，则获得数据分析功能需要对流程进行设置，以确定需要收集哪些数据，以及在哪里查找这些数据。

    一个基本步骤是查看数据分析能够解答的问题类型。问题的一个示例是：“我们如何知道此特定系统上的系统管理员活动是否合法，或者入侵者的活动是否合法？”回答可能是：“前提条件是我们能够发现不正常的行为模式，如在一台计算机上接二连三地使用多组凭据，或者管理员连接到与其任何工作单均无关联的系统。” 通过全面思考与保护关键业务流程有关的关键问题和答案，安全团队可以开始识别相关数据源。

    安全团队应该构建一组数据分析使用情形。对于每种使用情形，您通常需要经过一个迭代过程，其中包含多个轮次的数据收集、算法开发、测试和改进。例如，安全团队可能关注解答问题：“我们如何标记可能的地面速度违规（在此类情形下，用户似乎在很短的时间内在两个相距较远的物理位置活动）？” 该团队可从相应数据开始，如： 大厦内刷卡的地理位置、IP 地址、移动设备连接和静态 VPN 连接；这些日志中的时间戳；以及能够表明该用户应在位置的公司差旅行程。

    随后，数据分析师将开发一种算法，根据计算得出的用户表面移动速度生成风险评分。运行分析并观察结果后，该团队将确定哪些情况可能实际上是正常行为但生成了高风险评分。下一步是改进算法，也许会使用更多数据，以减少误报。

    一个很常见的问题是解答关键问题所需的数据并非随时可供访问。安全团队可能需要返回原始设备，以便重新配置进行日志记录的方式。例如，代理日志可能需要包括来自原始来源的IP 地址，但此数据可能未在日志中报告。数据收集工作可能需要与系统负责人进行有技巧的协商，他们可能不愿增加日志记录，因为这可能会对系统性能造成负面影响。

     在逐步执行特定使用情形的同时，安全团队还应确定对关键系统上的正常活动进行基准测试很有价值的数据。例如，来自多个来源（如防火墙日志和身份认证系统）的几个月的网络历史记录和用户访问模式，对于启动基准测试可能非常有用。

EMC技术白皮书

《Transforming Information Security: Future-Proofing Processes》

信息安全