当笔者在最开始跟朋友说要写这个系列的时候,朋友一脸茫然地看着我,不应该是跟杜X斯学安全么?当然不是,我我们要聊的是现代化学之父伊雷内.杜邦一手创办的百年老店杜邦公司的故事。
为啥要跟杜邦学安全
杜邦是世界上最早制定安全条例和最早成立安全委员会的企业,也是将安全作为企业DNA和核心竞争力并延续两个世纪仍然基业长青的企业。
在工业安全领域,杜邦有两个数据神话:第一是杜邦的安全纪录优于其他企业10倍;第二是杜邦员工上班时比下班后还要安全10倍。杜邦不仅仅是企业自己安全生产管理抓得好,它还形成了一整套的企业文化、管理制度和培训体系,并对外进行输出,也正是基于此,作为信息安全从业者,笔者才有机会跨界从工业安全管理巨头杜邦的身上偷学一式半招。
杜邦认为安全具有显而易见的价值,安全与企业的绩效息息相关,并且安全是习惯化、制度化的行为。
杜邦这位大爷当年为了抓安全管理效率,把自己家房子盖在自家工厂火药仓库旁,如果出事首当其冲的就是杜邦大爷全家,正是这种置之死地而后生的态度奠定了杜邦百年老店的安全基调。
很多时候企业管理者都将信息安全视为业务发展的桎梏,就如同轻狂的少年驾驶着心爱的跑车狂飙在高速公路上,只享受油门一觉到底的快感,却忘记了超速带来的失控和死亡威胁。
另外信息安全也不应该高高在上,虽然复杂庞大,但也应该被分解成恰当的流程和步骤,内构到企业的日常安全工作当中。
按照杜邦企业文化的发展历程,企业信息安全文化同样也会经历4个阶段:
一是自然本能反应阶段,所有人对安全的重视仅仅是一种自然本能保护的反应,员工对信息安全被动服从,安全缺少高级管理层参与,说白了也就是信息安全蛮荒期。
二是严格监督阶段,各级管理层对安全责任做出承诺,员工仍被动执行安全制度,管理人员严格监督员工行为,安全工作有样学样浮于表面。
三是独立自主管理阶段,企业已建立良好的信息安全管理体系,安全意识深入人心,到这个阶段才算是登堂入室。
四是团队互助管理阶段,这个阶段人人都是余则成,员工不但能自觉遵守安全制度,还能帮助他人遵守,具备安全自审能力,乐于分享安全知识和经验。基本实现人人掌握安全知识和技能,人人参与威胁识别和控制。
其实信息安全文化4个阶段也可以映射到企业信息安全成熟度模型,作为成熟度判断的一项重要指标来对待。
可能有人看到文章标题会觉得这是伪命题,因为信息安全发展至今,大家都已经认识一个残酷的真相:任何系统都不能保证%的安全,被黑是必然的。其实这个残酷的真相是基于一个前提,那就是企业都将绝大多数资源和预算投入在安全防护层面,从而导致攻击检测、威胁识别以及响应能力不足影响到整体的安全水平。
“所有的事故都可以避免”是一个安全理念,而不是陈述事实,它代表着企业对信息安全管理的态度和愿景。
事故链
多年前的北向安全代表人物荀子曾经说过:“一曰防,二曰救,三曰戒。先其未然谓之防,发而止之谓之救,行而责之谓之戒。防为上,救次之,戒为下。”
荀子这段话再扩展一下就是信息安全领域经典的PDR模型(防护、检测和响应恢复),而荀子讲的防是预防的意思,包括防护和检测,救则包括响应和恢复,戒则是改进和惩戒。
杜邦一直强调安全管理的对象是风险,而管理的结果要么是安全,要么就是事故,而事故则是一系列事件发生的后果,正如洛马提出的杀伤链(KillChain),将一次成功的攻击过程分解成7个阶段:侦察跟踪-武器构建-载荷投递-突防利用-安装植入-通信控制-达成目标。
安全管理其实还有一条事故链:初始原因-间接原因-直接原因-事故-伤害。这个链条相比较杀伤链而言没有那么专业化,它包含了安全意识、网络环境、人的不安全行为、系统的不安全状态、攻击者行动和事故影响等等,就如同一张张多米诺骨牌,第一张倒下之后,就会导致第二张、第三张的持续倒下,最终导致事故的发生。
换句话说,按照事故链原理解释,信息安全事故是因为某些环节在一段时间周期内出现了缺陷,多个缺陷组合构成了整个安全防护体系的失效,最终造成事故。
比如隔壁老王的网红直播公司被黑,所有网红资料被黑客拿走,其中包括多名圈内知名网红的联系方式家庭住址等敏感信息,事故发生第二天,老王直播公司资料被黑客上传到网盘在社交媒体传阅,事故发生一周,数10位知名网红被竞争对手高价挖走,而平台用户担心安全问题,纷纷转站其它直播平台,从而导致活跃用户锐减,公司营收损失惨重。
老王没有办法选择报警,并通过朋友找来了资深安全工程师老袁,老袁花了两天的时间,最终把整个攻击事件进行了还原。攻击者无法直接访问内网系统,定向给老王公司的网管、系统运维工程师和DBA邮箱都发了钓鱼邮件,恶意附件能过主流杀毒软件的查杀,钓鱼邮件最后被DBA点击执行,攻击者以DBA办公终端为跳板向内网渗透,恰好DBA电脑桌面上有一份excel文件,里边存放着所有数据库的访问路径、实例名、DBA账户口令等信息,攻击者利用这份文件搞定了所有数据库。
那我们再把整个事件用事故链分解一下:
初始原因:公司管理层不够重视信息安全,整体安全管理水平不够,全员安全意识较差,安全控制措施失效
间接原因:DBA安全意识欠缺点击钓鱼邮件恶意附件,终端杀毒软件无法查杀恶意软件
直接原因:DBA办公终端明文存放数据库敏感信息,且DBA终端联通互联网和内网
事故:网红资料库被黑客拖走,共享到互联网
伤害:公司名誉受损,知名网红被竞争对手挖走,用户锐减,营收下降
如果DBA没有点击钓鱼邮件
如果防病毒软件直接干掉了恶意附件
如果内外网进行了逻辑隔离
如果DBA终端上没有明文存放数据库敏感信息
如果老王重视信息安全,加大了信息安全预算
......
假设还有很多,只要其中一个环节的缺陷或漏洞无法被利用,可以事故就不会发生,这就是杜邦公司强调所有事故都可以避免的缘由所在,绝大部分技术环节出现的缺陷或漏洞都可以追溯其管理原因,而安全管理正是可控的手段之一。
海恩法则
德国飞机涡轮发明者帕布斯.海恩提出过一个关于飞行安全的法则:每一起严重事故的背后,必然有29次轻微事故和起未遂先兆以及0起事故隐患。海恩法则强调两点,一是事故的发生是量积累的结果;二是再好的技术,再完美的制度,在实际执行当中,也无法取代人自身的素质和责任心。
其实大多数信息安全事故也是遵循海恩法则的,每次严重信息安全事故的背后,必然存在着多处脆弱性,频繁的扫描行为以及安全管理制度和流程执行不到位等现象,比如中间件有Struts2远程执行命令漏洞、VPN系统对外开放管理端口、边界IPS和WAF存在海量扫描拦截告警等等。
海恩法则对信息安全管理而言是一种警示,同时也可以是安全控制手段的启示,类似威胁情报体系中的IOC,比如你单位某员工由于点击了钓鱼邮件而中招,你分析后得到一个域名abc.xx,你再通过天际友盟的alice平台进行查询,发现abc.xx的同IP解析域名有长长的几页,这些恶意域名对你来说就是事故征兆了。我们安全人员可以通过各种手段来识别并控制事故先兆。
尽管事故是小概率事件,担起事故伤害程度的大小受偶然因素支配,但从概率学来讲,事故是有规律的,不可预测但可以预防。那么参考杜邦的做法,企业信息安全管理者从以下几个步骤来努力:
1.将所有信息化过程标准化程序化(可参考ISO27k和ISO20k),确保可以对考量可以覆盖所有信息化过程,这是基础和前提;
2.针对每个程序流程划分相应的责任,确定责任人,并让责任人认识到信息安全的重要性和利害关系;
3.列举每个程序可能发生的信息安全事故,以及事故发生的征兆,培养员工对事故先兆的敏感性;
4.针对每个程序制定定期的检查制度,确保能及时发现事故征兆;
5.建立有效的通报机制,确保任何程序发现的任何征兆能被及时报告并响应;
当然这里有一个坑大家得避开,好多团队都只针对事故本身进行总结,并进行所谓的有针对性的整改和安全大检查,从而忽略了对事故征兆和事故苗头的排查,而且仍然存在征兆和苗头,恰恰是下一次事故发生的导火索。所以排查工作要横行到边,纵向到底,不留死角,不留盲区。
对所有企业而言,安全也是生产力,在安全方面的投入其实是有效益的,信息安全事故发生率降低,损失就会减少,而且事故预防的投入产出比明显是要高于事后补救和惩戒的投入产出比。
“所有的事故都可以避免”是杜邦的十大安全理念之一,本篇文章就码到这里,下次继续(有兴趣的童鞋可以找杜邦安全的书来读读)。
扩展阅读:
围炉夜话|白帽子和路人甲,从0到1
围炉夜话|漏洞披露,乌鸦还是知更鸟
围炉夜话|渗透测试、人鱼线和补锅匠
雪夜围炉
安全产品和服务的那些事儿
雪夜围炉
谁在和你讲安全?
雪夜围炉
信息安全跑不掉
囊萤夜读|从“要你命0”到态势感知
囊萤夜读|《功夫》里的安全经
孙维赞赏
