一句话概括
:从审计管理员的职责延伸到甲方(企业、组织)整体的网络安全审计成效,需要持续地进行而不是固定间隔甚或是偶尔才打一枪。
持续审计其实是正在发展中的、为了应对新的风险威胁形势下产生的新型审计策略,适用于内审,需要一些前提条件和资源支撑才能有效实施。
在深入讨论之前,我们先来重温基于等级保护体系的网络安全审计。它是由三个主要步骤组成的连贯过程。
首先,等级保护体系定义的安全管理员按合规要求(各级法律法规、信息安全管理标准体系、等级保护标准体系等),基于业务产生的网络安全风险因素(包括部分属于信息系统可持续运行的风险),对风险的影响程度进行评估,采取应对风险的适当措施。
【eg
,甲方为了保护信息系统而采购了一台WAF设备,并由安全管理员对其进行配置实现保护作用。】
然后,等级保护体系中定义的审计管理员,对安全管理员所执行的措施进行复核,确认措施有效性,确保相关审计记录合规留存,定期组织开展审计并负责与审计方对接。
【eg
,相应配置的WAF设备,审计管理员需要复核安全管理员实施了WAF设备的配置过程,且具备各种可供以后审计翻查的设备登录日志、操作日志、日志备份、配置备份、事前审批程序、事后文档记录等等。】
最后,内部或者外部审计人员结合业务影响情况对这些措施的实施效果进行评判,给出综合了整体合规水平、风险控制措施的有效性、遗留风险的影响程度等各方面情况的审计结论和证据的过程。
【eg
,对于配置的WAF设备,审计管理员需要在下一次网络安全审计期间,按信息安全审计师的要求提供相关的审计证据。】
以上是网络安全审计从产生审计要素到完成审计的基本过程,以及审计管理员在其中要做的事。
如果需要再详细一点,可以把例子在刚才的基础上提升一下。
甲方为保护信息系统而采购了WAF设备,并已经为信息系统配置了特定的规则。现在出现了新的风险因素,安全管理员在对风险因素进行识别后调整了WAF设备的规则。
接下来,轮到审计管理员对安全管理员执行的配置工作进行复核:
-
1、检查确认WAF设备的管理日志具备安全管理员的访问记录。
-
2、检查确认日志集中存储设备上具备安全管理员对WAF设备的访问记录,且和第1点得到的访问记录相一致。
-
3、根据安全设备的管理制度,复核安全管理员本次配置操作是否已经得到了授权,确认授权记录完整有效并得到了妥善保管。
-
4、根据WAF设备配置操作规程,复核安全管理员的操作过程是否遵循了该规程,是否具备完整的操作记录。
-
5、核查操作规程中的风险控制细节,例如规程中应包括在配置前和配置后均需要对WAF设备的配置进行备份,检查是否存在所要求的配置备份文件。
-
6、在有能力时,对安全管理员实施的配置进行测试确认其有效。若无能力,则安排外部力量进行测试。
-
7、将本次调整的情况纳入下一次网络安全审计范围。
-
8、在开展网络安全审计时,向审计师提供在前述过程中收集各种工作记录证据、相应的规章制度、操作规程文档,并接受审计师的质询。
在当前大多数合规建立网络安全管理体系的甲方,审计管理员的工作基本就是这个套路。
但这个过程有个关键点在于,“下一次
”网络安全审计究竟是在什么时候开展。
按等保要求,网络安全审计需要定期开展。但风险因素不仅层出不穷,还根本无法预测何时突然出现新的风险因素。一些众所周知的风险因素,比如信息系统遗留或潜在的漏洞,还会受到法律法规发布实施产生的合规影响和甲方对风险控制措施投资情况的影响。
因此,网络安全审计如果是定期进行,就无法避免因为与安全态势脱节而滞后。
再回顾刚才的过程。网络安全审计所确认的,并不仅仅是安全管理员为应对新的风险因素时对规则进行的调整的有效性,而是在出现新的风险因素时,甲方网络安全管理体系包括制度、规程以及相关人员应对措施等整个体系全部要素的有效性。
因此,正式审计的过程,是专业审计人员以观察、测试的结果和甲方提供的设备配置、日志等信息的记录为依据,结合其他方面因素比如网络安全管理体系的有效性、风险控制措施投资有效性等,形成审计结论的过程。很显然,结论不会是现场就能出的,需要时间。
为了解决滞后问题,网络安全审计必须从定期执行转变为持续进行的过程,才能有效应对风险因素变化。于是,持续审计,就成为了甲方网络安全管理人员所应当具备的主观意识。
由于网络安全持续审计是个新概念,我在参考了一些关于网络安全持续审计的观点文章后,大约整理概括出要实施持续审计,需要关注的7个要点。
1、定期审计已经得到良好执行。
首先
前提是甲方
已经开展了网络安全定期审计。
持续审计并不取代阶段性的定期审计,如果定期审计没有开展,持续审计就是无本之木。
良好的定期审计需要甲方已经建立起网络安全管理体系,体系内人员对自身角色职责均清晰理解和履行。负责组织审计的人员应具备良好的项目、过程管理推进能力。甲方还应配置有一些用于项目过程管理的工具软件,以辅助支持定期审计的顺利执行。
2、区分持续审计和定期审计并确定审计目标
实施持续审计,需要设计针对性的持续审计过程计划,并与仍然需要实施的定期审计区分开来。这两者的区别在于,定期审计是全面性的,而持续审计是运用软硬件工具,有针对性地判定特定的某些控制措施的有效性,这些控制措施所应对的,应该是关键的、易变的、具有重大影响的风险因素。
由于持续审计是针对性地进行的,所以审计目标同样需要有针对性。应该选择对控制措施的某一项或若干项能力和作用的组合进行,比如有:技术措施的有效性(有效拦截)、合规程度(日志留存6个月)、欺诈检测能力(钓鱼邮件拦截)、例外情况的辨识能力(非正常的远程协助)、薄弱环节的甄别能力(公共机房出入监控)、风险暴露面的收敛情况(对公网敞开的端口)等。
上面的每个括号都是故事甚至事故,熟悉运维的读者都懂。
但持续审计并不是全面审计,尤其是在刚开始实施时,建议只选择某一项控制措施的某一种能力作用作为试点进行,随后一圈圈地扩大试点外沿,直到把关键核心业务完全包裹其中。
贸贸然全面铺开,不仅资源可能无法承受,还容易顾此失彼。一步到位不是不可行,而是不可取。
3、和定期审计的审计对象兼容和交错
审计是需要投入资源的,既然有了针对性的持续审计,就要避免在定期审计中对同一事项重复审计。
被审计项是否属于重复审计,需要根据控制措施所应对的风险因素的特性(关键性、易变性等)、持续审计的项目能否代表控制措施的全部,被审计的项目其实质是否能支撑持续审计、持续审计的实施运行是否确实有效等等情况进行甄别。
在甄别确定了需要重复审计与否后,在定期审计的安排中要予以明确是重复审计还是直接确认持续审计有效。如果是外部审计,还需要由外部审计师按持续审计的实施情况综合判定。
由于持续审计策略尚在发展中,所以现阶段没有很明确的甄别方法直接认定持续审计的项目是否需要重复审计。
在笔者认为,甄别的方法可以按上述的几种情况或自己设计的更多情况进行加权统计后定出基线的方式去判断是否需要在定期审计中对持续审计的事项再次审计。加权要侧重于持续审计的必要性,而其中权重最大的,必须是风险因素的指标。
4、风险因素指标的关键性
风险因素的判断、定义和管理,国内外都有多种方法和标准,比如2023年12月1日实施的GB/T 24364-2023 信息安全技术 信息安全风险管理实施指南(替代 GB/Z 24364-2009 信息安全技术 信息安全风险管理指南)[1]、FAIR[2]、NIST RMF[3]等。
无论是否实施持续审计,风险管理都是甲方必须完成的指定动作。而对于持续审计而言,甲方能否正确的分辨和定义关键风险指标,直接影响到持续审计的有效性。
风险因素指标的定义过程,必须与甲方的风险偏好和业务策略相结合,更适当的做法是叠加上财务指标、行动指标等可以把风险和效率联系在一起的要素共同构成风险因素的指标。
至于风险因素的加权的科学性,来自于风险因素指标是否可以量化。不能量化的,要有系统性的加权设计,并且能把可量化的指标同等纳入,实现指标之间的一致性。
风险评估中最常见的方式是把风险的承受能力量化为数值,甲方在实施时务必注意量化结果的客观性和业务关联性
,量化过程应进行充分的讨论和寻求外部咨询建议。
5、跟踪风险威胁的能力
实施持续审计需要有跟踪风险威胁并及时作出应对变化的能力。这也是等级保护里面明确的要求。
比如每月第二个完整周的周二,是微软的补丁日。持续审计就应该跟踪这些发布的补丁是否已经及时地得到了应用,未能应用的是否有特定的排期或暂缓应用的审批流程。
在具备足够技术手段时,还可以测试补丁应用后是否能应对POC代码,甚至已经在野的攻击手段。
跟踪风险威胁并持续审计,最直接的判定就是主动落实防御措施这一点究竟做到了没有
,如果甲方缺乏跟踪风险威胁的能力,其网络安全管理体系实际就流于形式,持续审计就不可能取得成效。
6、持续审计的资源投入
审计必然需要资源,虽然续审计肯定不可能完靠人力,但人力始终是需要首先考虑的资源。就如上一点所述,甲方要能跟踪风险威胁就必然需要投入资源。
甲方需要先行评估能维持持续审计过程所需要的人员数量和人员能力,尤其是后者。
持续审计需要通过软硬件工具进行数据采集、分析、形成结果和预警,工具需要有能掌握和运用的人才能发挥最大的效果
。
在网络安全业界,此类工具正在发展中,部分工具已经能实现全自动的审计过程。但此类工具目前的缺点主要在于其审计对象主要集中在服务器内的操作系统、中间件、数据库等软件环境。对于网络环境、固件环境的支持能力并不完备,对于信息系统本身更不具备支持能力,无疑是影响了持续审计概念的落地。
希望随着AIGC的出现,此类工具能扩展到直接支持对信息系统本身进行持续审计。
但关键还是在于,要有能正确运用工具的人员队伍。
7、持续审计支持人员的培训和宣贯
就如我在前面两篇中所述,审计管理员的责任重大。当持续审计落地,审计管理员将会首当其冲。因此,对审计管理员,应以网络安全内审员的要求进行培训,持续提高审计管理员的能力水平。
同时,随着《数据安全法》颁布实施,数据安全要求日趋严格,对数据保护措施的审计已经成为当前审计工作的新热点。尤其是如果甲方实现了数据资产入表,相关的审计要求会更加严格
。审计管理员在数据分类分级保护也需要抓紧补充技能。
对于安全管理员等其它被审计的岗位角色,需要着重培训其正确理解持续审计的概念。持续审计必然会对被审计的岗位角色构成工作压力,第一反应永远会是反感先行。但必须让其理解,持续审计并不是针对个人,而是更好地支持和保护相关角色人员免因工作疏忽而遭受到更大的问题影响。
持续审计所需要增加投入的各种资源,对高层管理者也会存在不理解,通常高层管理者更关注的是成本和收益的关系。这同样需要解释清楚持续审计带来的通过有效缓解风险而实现的收益。理性的高层管理者会从业务发展和确保合规的角度对此给予考虑。
最后概括实施持续审计
的全过程计划内容:
(1)为持续审计设计或应用风险评估方法,确定审计起点、审计扩展方向和范围;
(2)确定跟踪持续审计结果的人员职责、程序流程;
(3)研究、采购或研发、部署适用的持续审计手段;
(4)及时研判持续审计所发现的情况,并回归提升被审计对象的风险防御能力;
(5)定期评审持续审计的实施情况,调整和优化各个要素;
(6)重复(3)~(5)并逐步扩大持续审计范围;
(7)定期进行持续审计的整体评审,结合业务环境变化、风险水平变化,技术能力提升等要素进行整体调整。
(8)最后可以由管理层研究确定是否把持续审计的审计效果纳入到网络安全工作的KPI中,典型地是纳入IT平衡记分卡。但必须要注意的是,审计结论不等于网络安全工作整体成效的结论,只能是构成网络安全工作整体KPI的其中一项因素。
[1] GB/T 24364-2023 信息安全技术 信息安全风险管理实施指南
https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=24DB172E929C1DD3A1134C6505A3829F
[2] FAIR:Factor Analysis of Information Risk
https://www.fairinstitute.org/what-is-fair
[3] NIST Risk Management Framework (RMF)
https://csrc.nist.gov/Projects/risk-management/about-rmf