第8节
第一篇　持续审计概念

提要

·　安全控制措施始终需要短周期的关注。

·　传统的年度审计周期已无法满足快速变化的信息世界对安全保障的需求。

·　本文提出3种相互促进的解决方案：提高审计频率、安全设计和持续审计。

阅读指南

本节介绍了持续审计的概念，首先，我们将引入这一概念，然后分析当前存在的问题。接着，我们将提出3种解决方案，最终聚焦于持续审计作为理想的解决方案，并给出结论。

本文于2021年4月19日在《IT经理》（ IT Executive ）杂志中发表，标题为“持续交付需要持续设计”(Continuous Delirery Reauires Continuous Design)。由“安全设计联盟”（Security by Design Guild）出品，Jan-Willem Hordijk授权发布。作者包括：

·　Bart de Best

·　Dennis Boersen（ArgisIT）

·　Freeke de Cloet（smartdocuments）

·　Jan-Willem Hordijk（Nordcloud，IBM公司）

·　Willem Kok（ArgisIT）

·　Niels Talens

一、简介

传统安全控制措施始终需要频繁的短期关注。在持续审计领域，这一做法已被应用于生产流程和生产环境，与软件的持续集成和持续交付理念相呼应。传统的以一年为期的审计周期难以跟上信息世界日新月异的步伐，无法提供充足的信息安全信心。那么，应该如何在瞬息万变的IT环境中保持对安全的控制？持续审计又是否是可行的解决方案？

本书的这部分讨论了将持续审计集成到CI/CD安全流水线中的3种方法。虽然这三种方法仍面临挑战和问题，但结果是有希望的。它们将审计与DevOps的开发速度相匹配，帮助企业保持保持控制力和市场竞争力。本节的目的是解释持续审计的概念。

新的敏捷交付范例导致IT环境变化越来越快。由于这种动态性，仅进行周期性的、回顾性的安全策略审计已经不再足够。跟上持续集成和部署的步伐，需要对IT环境中每一个变化进行持续监控。持续审计的概念可以解决这个问题，但它的可行性如何呢？

二、问题的定义

传统审计机构面临一系列新技术带来的挑战，这些挑战使得现有的审计方式难以充分满足信息安全认证的需求。首先，当前的审计周期为一年一次，加上后续的审查，对于快速变化的IT环境来说周期过于冗长。此外，敏捷开发的应用导致高频次的微小改动，这些改动不一定能得到充分的控制有效性测试。

信息系统之间的接口、云服务或云服务之间的接口也具有高度灵活性和快速变化的特点。最后，希望持续掌控信息安全状况的公司无法证明其IT环境符合监管要求或存在已经暴露的漏洞。这意味着无法立即得知信息安全控制的有效性，只有在审计过程中才能确认。

三、解决方案

要确保信息安全，关键在于持续不断地测试安全控制措施的有效性。

对此，我们可以采用3种相互促进的解决方案：提高审计频率、安全设计和持续审计。

1．提高审计频率

解决问题的第一种也是最简单的方法是提高审计的频率，例如从每年一次改为每月一次。这可以通过更频繁地收集证据、减少收集和验证证据中的浪费来实现。

（1）局限性

这种解决方案相对容易应用，但提高审计频率的成本会显著增加，远高于年度审计。此外，一个月仍然是一段相对较长的时间，单靠这一方法并不能完全解决问题。

2．安全设计

第二个解决方案是安全设计理念。该理念的核心是通过将必要的安全控制措施融入信息系统整个生命周期，从而从源头上防止安全缺陷出现。这些控制措施基于信息安全风险分析，并结合如图1.8.1所示的DVS、SVS、ISVS和BVS 4个集成的价值体系，主动确保控制措施的有效性。

（1）DVS

DVS是软件设计和构建的价值体系。信息安全控制是设计的一部分，例如使用oauth2身份验证方法的REST API。

（2）SVS

SVS是软件维护和部署的价值体系。CI/CD安全流水线包括对信息安全的自动化检查，例如扫描代码是否包含恶意软件。

（3）ISVS

ISVS是一个价值体系，在其中定义信息安全控制并验证这些控制在DVS、SVS和BVS价值系统中的有效性，例如ISO 27001:2013的114个控制。

（4）BVS

BVS是一个价值体系，用于以安全的方式使用信息系统，例如导出的电子表格和报告。所有价值系统都是通过使用用例图和用例设计的价值流进行定义的。例如，它们用Gherkin语言编写用来表达用例的行为。这使得价值流具有敏捷性，解决瓶颈并减少浪费，从而增加业务价值（BVS）。

这种价值体系的集成类似于汽车行业。例如，DVS是汽车工厂，安全性被整合到汽车设计中，例如空气动力学、车架、碰撞检测等。SVS是检查汽车控制装置（如车轮、制动器）是否有效并消除漏洞的车库。ISVS代表法律要求的控制措施，由车库定期检查并向政府报告。最后，BVS由安全措施代表，观察驾驶员是否饮酒、是否过度疲劳。

这些价值体系的集成保证了控制的有效性。例如，SVS的IT服务连续性的价值流与需要灾难恢复的ISVS相关。这些控制措施基于已识别的信息安全风险。这产生了一种积极主动的信息安全管理方式。这种主动的安全设计方法可用于敏捷和非敏捷环境。这种方法是在Sprint A-Z AB（哥德堡）开发的，并将在Sprint A-Z网络研讨会和后续出版物中进行推广。

（5）局限性

组织越来越多地倾向于使用云中提供的信息服务，这也带来了（安全）风险。这些信息系统是黑匣子，可以在一定程度上进行控制，但最终仍然是黑匣子。这意味着必须测试通过从供应商处购买软件和硬件获得的控制措施的有效性。

然而，在这些云环境中，当黑匣子堆叠在云中（例如IaaS、PaaS和SaaS）时，这种测试变得更加困难。当然，有SLA条款要求黑匣子保持透明，并且在一定程度上可以进行更改报告。SLA中还可以包括要求，例如ISO 27001:2013、ISAE 3402和网络安全领域的认证，例如NOREA CSA & ICR。

3．持续审计

第三种选择是通过从用于向客户提供信息系统即服务的托管对象中提取所有信息，来实现整个审计流程的自动化。所接收的信息是实时性的，如果检测到偏差，会立即发出信号，并可能采取纠正措施。但是，必须在所有相关的旧组件和新实现的组件中实现信息提取的可能性。

（1）局限性

所有服务组件都必须以标准信息结构（JSON格式）导出其信息。问题在于，每个产品实现此导出的成本是多少，以及这些对象的实际覆盖范围如何。理解服务的组件也不容易。对于云服务，除非互联网服务提供商支持，否则这甚至不可能实现。

四、持续审计解决方案

这3个提议的替代方案各自具备价值，并且可以相互结合。但最后一个方案被许多组织视为解决问题的特效药。接下来，我们将进一步解释持续审计的概念，并得出结论。

1．持续审计概念

持续审计的概念如图1.8.2所示。

（1）管理对象

基础设施管理涵盖了硬件（网络组件、刀片服务器等）和系统软件（操作系统、数据库管理系统等）。应用管理则涵盖了包含业务逻辑的组件，如应用程序、数据库、报告等。所有这些对象都需要进行管理，并实施相应的控制措施，例如身份验证和授权。

基于受管对象（Manuged Object, MO）提供的服务也可以被视为受管对象。

（2）控制证据导出

所有属于信息系统一部分的受管对象的控制有效性都必须得到验证，因此必须从受管对象中提取信息。然而，用于验证控制有效性的控制措施和所需信息因受管对象而异。例如，从防火墙导出的信息与从数据库导出的信息不同。对于防火墙，必须有控制措施来验证端口和路由配置的有效性。这些控制措施不适用于数据库。然而，数据库存储业务数据，需要控制措施来验证访问权限的有效性。

（3）控制数据库

控制措施有效性测试的业务规则记录在控制数据库中。针对每种受管对象对业务规则的信息进行了定义和记录。此外，受管对象对风险的敏感性并不相同，因此不需要通过控制进行测试。

（4）控制证据

所有收集的信息都被集中存储。这些信息已被标准化，可与存储在控制数据库中的控制措施进行轻松核对。

（5）持续审计引擎

必须对控制证据数据库中的信息进行分析、筛选和聚合，以便将其与控制数据库中的相关控制措施进行比较。这在持续审计引擎中进行了定义。

（6）审计仪表板

控制措施的有效性在控制仪表板上直观呈现。可以通过多个视图查看数据，例如按价值体系、价值流、信息服务和托管服务划分的有效性，以及最终根据ISO 27001:2013控制措施的有效性查看。

2．有哪些挑战？

持续审计的概念有很多陷阱。

（1）所需技能

为了监控服务受管对象，需要将服务分解为各个组件。分析这些服务所需的技术知识涵盖面较广，往往需要具备全栈工程师或E型人才的技能。

（2）缺乏证据

并非所有受管对象都能导出必要的审计证据。

（3）手动控制

将控制措施分配给受管对象需要进行定义。对于市场上的标准产品，这项工作可以一次性完成，但对于定制解决方案则需要手动配置。

（4）漏洞

与所有监控工具一样，这种方法将所有不合规信息集中在一个地方，从而创造了一个新的需要保护的漏洞。设计安全的和根据定义的控制措施选择信息服务的受管对象是应对这一挑战的积极措施。

五、结论

持续审计尽管仍处于起步阶段，其理念尚未完全成熟，但对于任何想要缩短解决方案上市时间的组织而言，持续审计都应该被纳入发展蓝图。

然而，要想成功实施持续审计方案，需要具备以下前提条件：

·　控制需求或愿景（需管理的信息安全风险）。

·　将控制标准转化为组织背景下的实际操作能力（ISO 27001:2013或其他框架）。

·　定义验证控制措施有效性的信息需求能力。

·　将服务转化为底层的受管对象（如应用程序和基础设施），并针对这些受管对象的风险选择合适的控制措施。

·　导出受管对象控制有效性证据的能力。收集证据以验证和可视化控制的有效性。

在第二篇文章中，我们会通过展示ISO 27001：2013控制措施的部分实施案例更详细地展开讨论。本节的最后对采用单敏捷WOW进行了解释。

六、为什么选择单敏捷工作方式？

本节讨论了基于一个匿名案例的单敏捷工作方式（One Agile Way of Working，OAWOW）的应用。Sprint A-Z是一家专注于媒体世界的媒体服务公司，为本地和国际公司制作广告媒体。在这个领域，快速响应客户需求非常重要。Sprint A-Z始终致力于探索如何为客户的商业价值流创造最大价值。广告媒体不仅要快速准确地交付，而且其信息也必须与客户的营销策略保持一致。这就是Sprint A-Z引入单敏捷工作方式的原因。

Sprint A-Z是一家非正式组织，业务主要建立在关系和合作伙伴的基础上。随着公司发展壮大，准确定义和满足不同客户需求的难度也越来越大。例如，培训一名新的IT员工需要长达6个月的时间。

但是，实现新功能的速度也在不断下降，而由于快速实施的临时变更，信息系统的脆弱性也在增加。可以猜测，技术债务非常高。公司急需一种业务DevOps方法来扭转局面。公司选择了价值流体系方法，将整个组织的工作转化为价值流，并通过用例图和用例进行详细描述。

如图1.8.3左上角所示，使用一个立方体可以最直观地进行可视化。这个立方体代表了Sprint A-Z组织。我们只能看到立方体的个面，Sprint A-Z的客户也是如此。对Sprint A-Z而言，这些面构成“Sprint A-Z价值体系”（BVS），形成商业价值流。服务管理则基于ITIL 4 SVS进行细化。第3个面是DVS，基于DevOps和敏捷Scrum进行细化。

图中右上角展示了立方体的背面。这3面由ISVS、合规性和治理方面组成。与立方体这6个面相关的术语显示在立方体的第2行。

通过赋予这些价值体系实质内容，Sprint A-Z成功设计了一座“Sprint A-Z工厂”，能够洞察业务的工作方式（BVS），并通过整合DVS、SVS和ISVS来满足来自价值流的需求。这种整合使得控制变更过程成为可能，为应对脆弱性和技术负债腾出了空间。这个过程一共耗时两年，并将再持续两年。最终的成果是令人惊叹的，在2020年，Sprint A-Z获得了ISO 27001:2013认证。

1．什么是ISO 27001？

国际标准化组织（ISO）是发布ISO 27001标准的国际标准化机构。该标准旨在定义信息安全的概念，并提供114项控制措施来管理信息安全风险。

2．什么是审计？

审计是由独立审计师进行的一项活动，旨在评估信息系统（设计）的存在性、信息系统的管理（责任制）以及信息系统的正确运行（性能）是否符合已定义的一套标准（例如ISO 27001:2013或SoX）。

3．“持续”意味着什么？

这个术语经常出现在DevOps领域，指的是IT领域的变化是以高频率进行的，而且往往是很小的变化。其中心思想是提供快速反馈以进行改进。

4．什么是敏捷开发？

敏捷开发是软件开发领域的一种动作，它描述了如何通过坚持精益原则为公司创造价值，如减少开发过程中的浪费和避免延长上市时间，以增加业务价值流的成果。

5．什么是价值体系？

价值体系是一组连贯的价值流（流程、业务流程），它们共同直接或间接地增加业务成果。

6．什么是设计安全？

服务（或产品）以协议的方式持续输出信息的能力，表明该服务在可用性、完整性和保密性方面符合给定的信息安全标准（ISO 27001:2013），以确定针对该服务的定义风险的设计控制是有效的。 bOEEfLvVc8fhYKG4t7cpOAaajctGVu79SWD5q5w608X7BhYFxQwVyAKeSEjQSEl/