3.10 流程與「反流程」
1. 人的問題
在傳統安全領域一直是強調流程的,但是網際網路行業有一點反流程,甚至像facebook這樣的公司還表示除非萬不得已否則不會新建一條流程來解決問題。那安全建設到底要不要流程。首先有流程肯定能解決問題,但流程化是不是最佳實踐則不確定。
於是先解決第乙個問題:有沒有可能沒有流程,什麼情況下可能很少或接近於沒有流程。假如公司的人很少,從工位上站起來就能看到全公司的人,要發布版本吼一嗓子全員都能聽到,這種情況下確實不需要什麼流程,不只是安全流程,其他的流程也沒必要。
如果組織比較大,單純乙個發布行為會涉及很多跨部門的人,甚至地域上都是分布式的團隊,參與活動的人員行為即便是都掛在公司內部的im工具上一致性也無法保證,那這個時候為了盡可能規避人犯錯,就會制定一些流程。隨著組織越來越大,流程會越來越多,並且流程大都不是「進取和開放」型的,而是「錯誤規避」型的,整個組織的流程都會表現為在某個方向上高度優化,從而進入基因決定理論的影響範疇,流程的製作者為了保護既有權益,大多會僵化執行流程,開始走向自己的反面。作為安全負責人,必須周期性地審視安全和it治理的流程是不是太冗餘了,是否可以精簡一下,或者在公司業務擴張、新建業務線的時候考慮一下原有的流程是否適用於新的領域。如果安全負責人對這些問題比較漠視,要麼對業務不敏感,要麼自身提前進入不受激勵的保烏紗帽狀態了。
2. 機器的問題
流程是用來解決人容易犯錯的問題,而不是用來解決機器犯錯的問題,如果把流程用於解決機器犯錯的問題那就會鬧出笑話來。比如程式發布前,需要有乙個安全檢查的環節,如果不約定流程,很容易漏掉,這是在解決人步驟錯誤的問題。但是10000臺機器打同乙個補丁,有9990臺都打上了沒問題,剩下10臺補丁有問題,這種問題應該通過技術手段解決,而不是通過流程來解決,如何讓系統和程式返回人所期望的結果是技術需要解決的問題,跟流程沒關係,當然有人說跟程式的執行流程(routine)有關係,是的此流程非彼流程。通過人為的流程來解決,人的工作會越來越多,忙於救火之中不堪重負,通過技術途徑解決,組織的自動化程度會越來越高,生產力會越來越強,兩條路最終會使團隊走向兩極分化,選哪一極就看團隊的基因了。在前面的例子中為了衡量流程的執行結果,我們通常會引入一些技術的自動化手段來檢測,例如被動式掃瞄,有些開發和運維漏掉安全審計環節直接上線了,也能把這些程式的url找到抓下來掃,當然它並不能替代流程本身的作用。
網際網路企業安全高階指南1 1切入「企業安全」的視角
第1章 安全大環境與背景 如果從乙個很微觀的角度切入企業安全這個話題,那麼大多數人會像一葉孤舟跌進大海茫茫然找不到方向,所以本章從安全領域整體環境入手,以便於讀者找到系統性的那種感覺。儘管筆者沒有致力於提供關於企業安全的乙個非常完整的 上帝視角 但也盡可能地兼顧了這方面的需求。1.1 切入 企業安全...
網際網路企業安全高階指南讀書筆記(2)
第一版讀書筆記的內容太多,方式不行,嚴重影響看書效率,第二版 重新寫。第七章網路安全 網路入侵檢測 傳統nids 出口處部署,可以在1day披露的時候做虛擬補丁用 nids可以為字眼nids爭取時間。開源snort 全流量nids idc規模決定nids架構。d還是p 對於門檻而言,發現遠低於保護。...
網際網路企業安全高階指南讀書筆記(3)
第八章 入侵感知體系 主機入侵檢測 1.開源 ossec mig 救火利器 osquery 有一定idc規模,有一定安全開發能力,對入侵檢測有基於大資料理解的公司 2.自研 架構設計 行業法規需求 基礎安全需求 企業自身的特殊安全風險需求 運維體系 網路環境適應 agent功能模組 基線安全 日誌採...