【SDL最初实践】安全培训
“ 在企业信息安全建设的工作中,安全培训具备相对易做、效果显著、对业务系统影响较小等特点,常常会被列为首先要做的事情。作为SDL的第一个环节,其内容应该贯穿整个SDL,可以根据不同的环节选择性制作相关培训内容,针对不同的人群进行“专业”持续培训。”
在甲方,强大的安全团队拥有专职人员开展培训工作,产出物更加贴近企业自身特点,总体效果丝毫不逊色于专业公司;不少乙方公司也有不错的信息安全培训服务,虽说针对不同行业,但交付物与业务契合度可能还是会和预期有所差距。
安全培训应该贯穿整个SDL,可以根据不同的环节选择性制作相关培训内容,针对不同的人群进行“专业”培训。即:
1)针对不同人群,设置不同的培训内容。比如:从岗位职责的出发,可以划分为技术和非技术;针对不同的职级,可以分为领导和普通员工;…
2)针对不同人群,邀请不同的培训讲师。比如:针对公司领导层,可以与外部厂商合作,聘请专业的、说话水平能到达领导level的高级讲师,亦或邀请公安部领导或其他上级部门领导进行相关法制法规的讲解;针对公司技术人员,可以借助自身在安全圈的人缘,邀请行业知名大佬进行相关安全技术的培训;…
在企业的安全培训中,由于SDL涉及内容较多且较为专业、健全且高效的安全培训体系会涉及更多的内容等因素,实际并不会按照SDL各环节顺序进行开展。在我的最初实践中,依据公司组织架构、安全团队规模、实际安全需求等多个维度,大致把安全培训分为三大块:安全意识培训、安全技术培训、安全制度宣贯。
01
—
关键词
持续、提升、赋能
持续:培训内容需要做到系统化、有规划、有针对性并且迭代更新轻快;
提升:培训对象应该覆盖到全体员工,具体到不同岗位相关的专属技能;
赋能:培训结果达到为业务系统保驾护航,人人为公司信息安全贡献力量。
简而言之,即持续不断地对内输出安全能力,提升全员信息安全意识(能力),为业务系统安全(公司信息安全)赋能。
02
—
常见问题
在做之前以及做的时候,肯定会被以下问题困扰:
Q:人不够用怎么办?
能力不够怎么办?
培训不能持续怎么办?
A:善于发现内部力量并进行整合,主动引入外部优质资源。
内部资源:
1)培训组织:公司内部学院专门做员工的培训、人力资源部有人负责做员工培训;
2)奖励机制:融入人力资源部门的培训体系,使用已有的积分奖励机制;
3)UI设计:协调公司的UI资源,设计各类海报、易拉宝等宣传材料。
外部资源:
1)安全项目培训模块:在现有的移动安全加固项目中,抽取出移动安全培训加入安全技术培训;
2)安全意识提供商:经过考量投入与产出比,偏向于选择合适的信息安全意识服务提供商来做信息安全意识相关的事情,其中有一块比较重要的是对领导层的信息安全意识。
03
—
安全意识培训
通过线上与线下相结合,升级信息安全小贴士并新增内容,扩展信息安全意识宣传渠道。
(1)信息安全小贴士
为了走亲民路线吸引更多的普通员工阅览且避免审美疲劳,已将去年制作的信息安全小贴士模板改版升级为信息安全快讯,并加入实时重大安全新闻、漏洞预警、公司信息安全相关制度与事件等内容。制作流程为:
信息安全组提出需求并申请UI资源-->多番沟通后设计师完成模板,交付安全组-->安全人员收集宣传素材,并编辑模板输出海报-->每周一、三、五通过各通讯渠道(信息安全组邮箱、内部即使沟通工具、企业微信公众号)进行全员推送。
(上图为信息安全小贴士)
(上图为信息安全快讯)
(2)信息安全意识培训
最开始做的时候比较艰难,由于安全组是虚拟组织未形成实体,在组织架构中的位置比较尴尬,再加上当时的领导是测试出身对这方面似乎也没有那么重视,信息安全意识培训PPT做了好几遍,也在组内进行过评审与分享,最终还是因为不知如何“下手”导致一直没有做起来。后来将切入点聚焦到新员工入职环节,于是就找到内部学院(专门负责员工的入职培训、各种培训)沟通,在提升新员工信息安全意识的同时还能丰富他们的培训内容,最终顺利去讲了一期新员工的安全意识培训。
由于培训效果及反响还不错,信息安全意识培训已经被纳入新员工的必学课程,培训视频上架内部学堂形成稳定输出,另追加十道信息安全意识选择题,正式顺利打响了第一枪。
后续,信息安全意识还被邀请到集团人力专门组织的新员工培训、智能技术服务事业部定期组织的技术条线中,培训内容也进行了改变和优化,比如针对技术的信息安全意识除了基本安全意识外还会添加技术部分:
随着公司对信息安全的重视、信息安全意识出现在大家眼前的次数增多,有更多的环节都加入安全元素。目前已实现:
• 信息安全意识培训(领导层)
• 新员工信息安全意识培训(在线学堂)
• 新员工信息安全意识培训(技术条线、现场培训)
• 应届生信息安全意识培训(现场培训)
标红部分是想做但还没有落地,针对领导层的信息安全意识要求较高,最好是邀请外部专家(一方面是外来的和尚好念经,另一方面是他们更加专业更能从高层角度出发)。这一块通常可以通过购买外部服务,挑选专业的高级培训讲师,同时也可以请上级单位的领导走进公司宣讲相关法律法规与政策。另附,外部信息安全意识厂商部分服务内容:
(3)信息安全小报
每季度一次,一般根据安全测试结果按照出现频率进行漏洞排名,将专业的漏洞成因与危害白话化,让技术更懂安全技术,让非技术看懂安全技术。
安全组提供原素材:
需由UI进行设计完成:
04
—
安全技术培训
安全技术相关的培训源于SDL又超于SDL,可以分为五大部分:安全设计、安全测试、安全开发、安全运维与移动安全。
(1)安全设计
培训对象为产品设计人员,提升安全设计能力,在软件设计过程中预留安全检查时间,避免后期出现安全问题进行返工而影响系统上线。该部分的主要内容:一是安全设计checklist,参考《软件安全开发指南》、《OWASP 安全编码规范快速参考指南》,提取出其中比较实用且具体的要点,编写出安全设计checklist并进行培训推广。
第二部分是威胁分析,参考业界知名的STRIDE方法论,从S欺骗(认证、会话管理安全、口令安全、未公开接口等)、T篡改(访问通道安全、数据后台校验、完整性校验)、R抵赖(认证、日志审计等)、I信息泄露(敏感数据加密与保护,包括安全传输、加密算法安全、敏感数据加密存储、证书可替换、隐私保护、合法监听等)、D拒绝服务(协议健壮性、fuzz测试等)、E权限提升(越权测试、权限最小化、访问控制、配置管理等)进行实例化分析讲解。以某线上业务系统分析为例:
(2)安全测试
针对公司测试人员,为测试赋能安全。让测试掌握一般的安全测试方法与工具使用,常见简单的安全问题在功能测试时就能解决,减轻安全人员的测试压力。
关于课程方面的设计,建议从测试的角度出发,以他们熟悉思路和工具来看待安全问题,推动慢慢培养安全思维。
目前已经进行:
- 安全测试进击之路
- 安全测试培训-中危漏洞篇
- 安全测试培训-高危漏洞篇I
(3)安全开发
依据安全测试结果,分析漏洞产生原因追溯到代码层,反向提取出公司业务系统常见漏洞对应的开发规范,通过参考外部知名大公司的安全规范,邀请架构组进行评审最终输出公司本地化的安全开发规范。
这便是安全开发规范的诞生流程,此外让规范落地需要运营推广、检查开发是否参照安全开发规范写代码需要工具支撑,由此安全开发规范的讲解、代码审计系统的使用,便成为安全开发培训中的两个重要环节。
(图为安全开发规范讲解)
(图为代码审计系统使用指南)
(4)安全运维
最近身处运维团队,也很清楚内部分为网络组、应用组、数据库组及他们主要的工作任务。除了分享曾今编写的《安全运维那些洞》之外,恰逢有一批安全设备新上线,协调厂商工程师对内部安全人员、相关运维人员进行技术与运维培训。合理的分工合作,同样在运维团队适行:把数据库审计系统交付给数据库组,安全配置核查系统交给应用组管理,再次弥补了安全组人员不够的窘境,也为运维安全赋能。
(5)移动安全
安全团队中没有人专研移动安全,但并不影响公司对移动客户端安全性的重视,由此引入了第三方移动安全公司的加固服务,项目中随之而来的也有相关的安全培训服务:
在外部厂商的培训服务中,服务内容还是相对较为灵活,可以在不同阶段针对不同情况,与厂商对接沟通、安排合适的内容培训。总体来说培训效果还不错,但在讲师的选择上要严格把关,避免厂商将不熟悉技术原理、培训经验欠佳的工程师推过来讲课,对内对上都不太好交代。
05
—
安全制度宣贯
安全制度宣贯不仅仅是让大家能“分次”阅读枯燥无味的信息安全相关制度与规范,也可以将SDL流程精简出来推广到各业务线。安全提测流程宣贯是SDL各环节的缩影,告诉软件开发相关的所有人:应该做些什么、做到什么程度可以过安全关卡顺利上线发布。
(1)安全提测流程宣贯
当前计划为每月15日(周末与节假日后延),由安全组在安全接口人群中通知各部门安全接口人培训信息,安全接口人向下传达,要求不知道安全提测、不清楚安全提测流程、对安全提测有质疑的同事参会。除此之外,在日常的业务系统安全评估过程中,被安全组发现不清楚流程的同学,也会被直接通知到参加宣贯会。主讲人由安全组成员担任,考量每位成员对落地版的SDL掌握熟练程度,因为只有自己人清楚了才不会误导业务方。在宣贯的过程中,可能会受到不少挑战,因此也需要一位比较熟悉的成员参加解答疑难杂症,保障信息安全组免受质疑。以下是由同事制作的宣贯ppt节选:
(2)信息安全管理办法
为了打破制度类文章的枯燥无味,结合现有资源与渠道,通过信息安全快讯(信息安全小贴士)进行宣传。在使用模板制作海报时,需要避免大段文字的粘贴给人带来视觉疲劳。如果片段很长,需要把制度中的文字稍微进行缩句;如果缩句后意思发生变化或仍然很长,则可以考虑忽视该段内容。因为我们想要获得的结果是:让员工知晓公司有信息安全制度这一回事儿,期望他们了解其中的部分内容即可。需要值得关注的是,制度类的安全快讯不能连续推广,两次之间应该插入其他的内容,否则不仅起不到宣贯效果甚至可能导致信息安全快讯失关。合理的制定推广内容、频率、渠道,是相关负责人需要重点考虑的问题。
安全培训告一段落,后续将是安全需求的最初实践...