在2017年6个月的时间里，首席信息安全官Eric Schlesinger眼看着他的公司北极星阿尔法（Polaris Alpha）在经历了三家公司合并以及三家公司被收购后，从150名员工急速扩张到1500名员工。Schlesinger面临严峻的挑战，公司成为网络攻击的主要目标，因为该公司为国防、情报和安全客户（包括联邦政府）提供任务解决方案。

Schlesinger说：“这种快速的IT整合在一定程度上也伴随着固有的风险。发展如此之快，有时安全部门不一定能跟上IT部门的步伐。”他怎样才能带着六家不同的公司，6个不同的网络和安全部门，实现统一、专门的安全功能，而且当北极星阿尔法公司网络扩展时，还能兼容和扩展安全职能？

与大多数中小型企业一样，被收购企业的网络安全依赖于对工具的投入。但是整合来自六家公司的多种工具是行不通的。

Schlesinger说：“我们很早就意识到，工具只是投入的一部分，但并不能推动我们的安全工作。只有全面的考虑人员、方法、工作员工和流程，才能使我们从500人扩展到1500人，而现在我们是15000人——Parsons于2019年5月收购了我们。”

需 要 策 略

Schlesinger在最初的几个月里首先是熟悉新组织。他有合适的人吗？有哪些工具可以重新调整使用？

接下来，公司的综合网络安全部门采用了标准的美国国防部（DoD）/国防信息系统局（DISA）模型，并将其应用于公司保护企业网络的过程中。他说：“这创建了一种员工组织结构，明确生态系统必须怎样工作，并为个人提供了明确的目标、明确的程序和工作流程。”

这次大规模合并只是代表了安全部门扩张的极端情况，但企业仍然需要快速扩展安全职能的能力，其原因不仅仅是并购、新业务创新或者与客户交互的新方法等。

德勤风险和金融咨询部主管兼网络风险咨询和实施负责人Emily Mossburg表示：“我们处在高度相互依存的环境中，被攻击的可能性非常大，而且攻击面不断变化和不断增长，从网络角度看，要开展的工作的范围和规模都在不断扩大。”

请参考首席信息安全官和安全顾问提供的以下建议，帮助你组织好安全运营的扩展。

01

建立“战斗节奏”

DoD模型的采用为Schlesinger的部门建立了“战斗节奏”，使其工作由被动变为主动。联合安全行动中心（SOC，Security Operations Center）现在有4个“象限”——保护、检测、响应和维持，每一象限分配了2个全职网络防御人员。

在“保护”象限中，分析师进行风险评估和漏洞管理。

检测小组的分析人员通过警报或者手动检查日志来发现被攻破的迹象，寻找任何异常情况。

Schlesinger说：“在最初的15分钟内，如果他们认为异常情况比较严重，应进一步作出反应，那么他们就将其发送给响应小组。”我们的目标是迅速把被攻破的事件送到安全事件处理链上，这样，检测小组就可以继续深入寻找其他问题——因为犯罪分子经常利用较小的安全事件作为转移注意力的策略，在安全部门全神贯注地处理这些小事件时，发起更大的攻击。然后，响应分析人员采取一切必要措施来阻止威胁。

他说：“至关重要的是要有正确的检测功能，即，查找、记录和移动。如果做不到这一点，就堵不上安全漏洞。”

最后，维持小组的工程师支持这3个功能，保证所有工具和基础设施都能够很好的维护和运行。

当然，使用了所有的传统安全工具——端点保护、入侵检测和预防、数据丢失预防、传统防火墙等，但Schlesinger所做的最关键的投入是其安全事件和事件管理（SIEM）工具。“我们收集所有这些日志，分析它们，然后决定我们是否有被攻破的地方，是否需要对此做出反应——真的是万事开头难。”

Parsons在5月份收购了北极星阿尔法公司，新的网络防御模式将作为Parsons公司安全部门内部员工结构的一部分。Schlesinger说：“Parsons的网络比北极星阿尔法大10倍，但通过完善的流程和方法，再加上合适的工具，我不用把部门规模扩大1倍或者3倍了。”

02

削减工具

Kevin Richards是埃森哲全球安全战略负责人，他帮助重组和扩大了一家制药公司的安全运营部门，这家公司收购了另一家药厂，该药厂是从第三家仍与其有服务关系的制药公司分拆出来的。

Richards现在是Marsh有限公司的董事总经理兼网络风险全球主管，他说：“过于复杂不利于安全。我们都同意不能有3个SIEM和四种防病毒软件以及三类不同的身份管理产品，但是每个部门都有自己喜欢的供应商。我们想要共同的、全局性的、简单的产品，所以当我们确定了2~3种竞争产品后，就有了共识，可以开始选择了。”

联合小组消减了近60%的安全工具。额外的好处：Richards说，消减了工具后，也就不需要多个冗余的许可，节省了100多万美元。

03

人员重新定位

作为收购的一部分，母公司创建了一个新的层次结构，以便更好地与新业务相结合，从而开辟了许多新的产品领域和地区。这也给了Richards一个机会，面向未来重新组建安全部门——除了两名首席信息安全官中的一个，不会失去任何网络安全人员。

Richards说：“每个人都被同化了，但他们的角色不一定相同。例如，我们不需要2个SecOps主管，所以一个负责体系结构，另一个负责更多的运营任务。”

Richards说，他们还创造了一些新职位，包括一位网络创新主管，他负责运用新技术，明确在我们的新架构中怎样使用这些技术。”

随着公司在全球的扩张，他们还围绕政府和监管关系创造了一个新职位，以便更好地把握全球制药行业的所有新数据保护和隐私监管要求。

04

考虑外包

网络安全的广度和范围不断扩大，往往会超出很多企业的安全能力。Mossburg说，这些企业应该考虑新的渠道来弥补安全漏洞，包括第三方安全提供商。

Mossburg说：“很多企业认为他们不一定要维护他们所有的网络和基础设施，我看到很多人都有了同样的网络意识。”借助于承包商，或者外包所有功能，可以更高效，而且通常服务水平会更高。

一份2019年德勤关于网络未来的调查显示，企业更倾向于通过第三方来帮助解决安全问题。将近2/3的首席信息安全官（65%）外包了21%~30%的网络运营业务。外包给第三方的主要网络安全工作包括减小攻击面等漏洞管理职能，还有威胁搜索和威胁情报、安全培训和安全意识、内部威胁检测和应用程序安全，等等。

报告称，很多企业在很多方面都需要一点帮助。为制订全面的网络安全计划，企业应与供应商、行业协会、政府机构、学术机构、研究人员和其他商业伙伴密切合作。

05

涉及整个企业

为了检测和阻止网络攻击，安全部门需要企业其他部门的帮助。Mossburg说：“它不能独立运作。在安全部门之外，面对风险，应教育、培训和推动与风险相关的意识，并建立某种程度的问责制。”

Schlesinger说：“所有这些步骤都要求安全部门与业务部门之间建立良好的关系。有时你必须隔离某些处理敏感信息的部门，但我们是一家客户服务机构。我们不想成为‘业务预防部门’，只会说不，而是要教育员工，并满足业务需求。要知道工具总是变来变去的，重要的是要投资于人。”

作者：Stacy Collett是《计算机世界》、CSO和《网络世界》的特约撰稿人，他的文章涉及各种安全和风险问题。

编译：Charles

原文网址：https://www.csoonline.com/article/3430718/built-to-scale-5-tips-for-structuring-your-security-organization-for-growth.html

责任编辑：周星如