1.3　執(zhí)行全面評估

好的制度可以讓協(xié)作變得更規(guī)范、更高效，但并不能直接解決安全問題。要快速減少安全事故，就必須盡快把安全隱患找出來，趕在其引發(fā)事故前完成整改工作，這個過程就是安全評估。

因為 M 公司在此之前幾乎沒有任何安全基礎(chǔ)，所以我需要執(zhí)行一次全面的安全評估工作，盡可能把各個方向、各個層面和各個環(huán)節(jié)的安全隱患排查清楚。全面評估雖然聽起來很簡單，但是執(zhí)行起來存在很多現(xiàn)實問題。

公司業(yè)務(wù)那么復(fù)雜，我能在短期內(nèi)梳理清楚有哪些資產(chǎn)嗎？

安全資源極其有限，我能在各個方面達標(biāo)完成評估任務(wù)嗎？

當(dāng)前安全事故頻發(fā)，公司能堅持到我做完這輪全面評估嗎？

我對以上3個問題的答案是：不能！不能！不能！

既然都是不能，我該如何努力達成我的工作目標(biāo)，同時快速提升公司的安全水平呢？

首先，我決定按業(yè)務(wù)劃分優(yōu)先級。某業(yè)務(wù)發(fā)生安全事故后對公司運營的影響越大，它的優(yōu)先級就越高，我就越早啟動深入的安全評估工作。影響優(yōu)先級的很可能不是單一因素，比如還包括營收層面、信譽層面、法律層面、監(jiān)管層面等。這個優(yōu)先級可以根據(jù)安全專家個人經(jīng)驗做一些劃分，但更重要的是和高級管理層溝通確認，因為不同公司的商業(yè)模式和運營理念可能存在很大區(qū)別。

經(jīng)過初步溝通，我得到了一張大概的業(yè)務(wù)安全優(yōu)先級劃分表，如表 1.5 所示。

雖然業(yè)務(wù)安全優(yōu)先級高的業(yè)務(wù)線同時包含了外網(wǎng)服務(wù)和內(nèi)網(wǎng)系統(tǒng)，但是根據(jù)短期規(guī)劃，在當(dāng)前階段我需要優(yōu)先解決的是暴露在外網(wǎng)的重大安全風(fēng)險，因此我決定暫時擱置財務(wù)、人力、產(chǎn)品文檔、代碼管理等這些內(nèi)部系統(tǒng)的安全評估。我理解這些系統(tǒng)上存在的安全風(fēng)險同樣可能造成“災(zāi)難級”的影響，但是在當(dāng)前安全資源極其有限的情況下，我必須暫時接受一部分風(fēng)險。而且這些內(nèi)部系統(tǒng)在做好基本的網(wǎng)絡(luò)隔離后，風(fēng)險可以很大程度地降低。

小貼士

馬小陌遇到的是一個對外服務(wù)安全事故頻發(fā)但內(nèi)部安全事件較少的公司，所以在資源有限的情況下把會對外暴露風(fēng)險的業(yè)務(wù)作為優(yōu)先處理對象。業(yè)務(wù)安全優(yōu)先級如何設(shè)定，以及先對外還是先防內(nèi)，主要取決于公司的商業(yè)模式、業(yè)務(wù)特點和安全現(xiàn)狀，并沒有一個絕對正確的定論。比如互聯(lián)網(wǎng)公司可能更關(guān)注對外服務(wù)被攻擊的風(fēng)險，高端制造業(yè)可能更關(guān)注內(nèi)部泄密的風(fēng)險，在線教育行業(yè)需要同時關(guān)注對外服務(wù)被攻擊和內(nèi)部員工盜竊販賣學(xué)生資料的風(fēng)險。雖然當(dāng)前安全行業(yè)推崇零信任網(wǎng)絡(luò)安全架構(gòu)，但是在一個初創(chuàng)安全團隊的公司來說根本不具備可行性。因此，讀者需要根據(jù)所處公司及其行業(yè)的實際情況靈活劃分優(yōu)先級。

另一個問題是，在相同優(yōu)先級的情況下，有的業(yè)務(wù)是新增，有的業(yè)務(wù)要變更，有的業(yè)務(wù)已經(jīng)在線上運營，我們先評估哪個呢？

我的決定是，優(yōu)先評估新增業(yè)務(wù)或功能，這樣能把風(fēng)險遏制在萌芽階段，并且各方整改影響最??；其次是即將變更的業(yè)務(wù)或功能，這樣可以減少變更操作，業(yè)務(wù)方的配合成本相對較低；最后才是已在線上運營并且短期內(nèi)沒有變更計劃的業(yè)務(wù)和功能，對它們進行整改需要業(yè)務(wù)方專門排期。

對于新增和變更的業(yè)務(wù)，安全評估比較容易開展，因為根據(jù)之前已經(jīng)發(fā)布的《安全評估管理規(guī)范》，優(yōu)先級高的業(yè)務(wù)必須經(jīng)過安全評審和安全測試才可以上線，對于那些遵守規(guī)范的業(yè)務(wù)線，我只需要等著他們聯(lián)系我就可以了。但是對于那些已經(jīng)上線和沒遵守規(guī)范的業(yè)務(wù)線，我應(yīng)該怎么發(fā)現(xiàn)呢？一般方法有 3 種。

• 大部分運維成熟的企業(yè)會建立 CMDB（configuration management database，配置管理數(shù)據(jù)庫），所以可以直接從 CMDB 中盤點資產(chǎn)信息。
• 通過掃描器或資產(chǎn)探測工具檢查線上的存活系統(tǒng)和設(shè)備。
• 給各個團隊或負責(zé)人發(fā)郵件，收集他們分管的資產(chǎn)信息。

以上 3 種方法都具有一定的局限性，僅僅使用某一方法很可能會出現(xiàn)無法全面收集信息的問題，因此建議大家根據(jù)企業(yè)實際情況混合使用，從多個渠道收集信息，并對結(jié)果進行交叉驗證，最大程度確保數(shù)據(jù)的準(zhǔn)確性。

梳理完資產(chǎn)后，馬上就可以啟動安全評估工作了！

都需要評估哪些問題呢？

我之前的主要工作是滲透測試，所以發(fā)現(xiàn)安全漏洞對我來說輕車熟路，但是我知道，安全評估的范圍遠遠不止這些。為了避免自己有所遺漏，我先擬定了一張“救火”階段必須關(guān)注的檢查表（不包含物理層），如表 1.6 所示。

這份檢查清單并不能覆蓋所有的風(fēng)險點，但是它能解決大部分常見問題。安全工作確實需要全面的思考和布局，但是當(dāng)后院正在“起火”的時候，你要的不是一紙完美的“消防方案”，而是趕緊“救火”，用最短的時間能救多少救多少。

即使我已經(jīng)盡可能精簡了檢查清單，但是因為只有我一個安全專家，要全部執(zhí)行完畢，依然需要很長時間。評估方法無外乎人工評審、自動化掃描和外部采購安全評估能力3種方法，其中人工評審的成本最高（主要指時間），風(fēng)險挖掘最徹底；自動化的掃描成本最低，但結(jié)果很難保證，而外部采購安全評估能力則可以在兩者之間靈活調(diào)配，但成本相對內(nèi)部執(zhí)行更高（主要指金錢）。于是，我從發(fā)生事故后對業(yè)務(wù)的影響程度和當(dāng)前發(fā)生事故概率的緊迫程度兩個維度出發(fā)，確定了“救火”階段各個系統(tǒng)安全評估的執(zhí)行方法，如表 1.7 所示。

我制定表 1.7 的基本思路如下。

• 對于可能發(fā)生的、對業(yè)務(wù)影響程度大的事故，盡可能自己人工評審，畢竟自己執(zhí)行的工作自己最有把握；實在來不及的話，外部采購安全評估能力。
• 對于可能發(fā)生的、緊迫度高的事故，如果影響一般，盡量外部采購安全能力，把自己的時間留給影響大的業(yè)務(wù)。
• 對于影響不大、緊迫度也不高的業(yè)務(wù)，可以交給自動化掃描，即使存在一定的誤報和漏報，也可以接受，把時間留給安全團隊，做更有價值和意義的工作。