這是我第一次在這個論壇上發言，以前一直是一個潛水員。

 

個人背景：職業生涯做過的公司有軟件開發公司/系統集成商/IT咨詢和服務商，從事過程序開發/系統集成/項目管理/市場營銷和管理工作，加入Big4之前工作了8年，在某Big4工作了2年多，今年離開的。職務一直是Manager。

 

業 績：Peak Season要做近80家客戶/110多個GAMx（我服務對象是Local Finance Industry），Audit Quarlity得到廣泛認同，1年AQR抽中3個，都是No Finding，Slack Season半年完成近200萬的Revenue，從build relation，Proposal，FieldWork做到最后Archive file和收錢落袋。沒有一個項目是所謂Partner給的或者是從別的地方現成的Transfer過來的（倒是Transfer了兩個項目給了BJ，所 以在BJ IT Audit department口碑很好），其中成功撬走了另外兩家Big4的銀行客戶的IT Advisory單子。

 

關于我在這家Big4的故事可以再寫一本《圈子圈套》4，用小朋友們的話就是屬于傳奇人物的那種，這里就按下不表。

 

Topic1 IT審計相對于審計來說，要輕松一些，但不會輕松很多

 

My Opinion：認同，IT審計項目小而多，GCR沒有多少技術含量的，但是基本一個Staff一周要做2個以上的GCR（個別銀行和超大型企業除外）， 所以小朋友的事情很多，不輕松的。07年Peak Season的時候，我們部門Staff Uti個人單個月最高的是180%左右，就是每個月OT charge 22×8×0.8=140小時，我們當時還特意了解了一下這個Staff的情況，他還真沒有虛報OT。一直是一個人同時做2-3個項目。每天2-3點下 班，早上9點就下Field的。結果落下腰一直不好的毛病。一般最忙的幾個月平均是在120%左右，所以某人說的一個月charge 300小時OT是不靠譜的，08年開始就幾乎沒有什么OT可以charge了。

 

Topic2 IT審計價格太高

 

My Opinion：這里面有一些誤解，舉個例子，假設財審一個項目的預算是100萬，成交價可能是30萬，recovery rate30%，IT審計給財審的報價30萬，財審會complaint說全給你，我都沒有錢賺了，其實不是的，IT 審計的報價是沒有乘Recovery Rate（因為IT審計沒有參與和客戶的Budget Negotiation，是不知道Recovery Rate）所以IT審計的實際價格應該是30×30%=9萬，很多財審的Staff可能忽略了這個乘Recovery Rate的步驟。

 

Topic3 省IT審計成本的辦法

 

My Opinion：作為IT審計經理，我給客戶IT經理打一個電話，不用半小時，我都基本能夠感覺出這個客戶ITGC的evaluation的結果了。所以 針對那種利潤率不高，entity死多，IT水平很低，到處用用友金蝶（甚至更爛）的財務軟件的非IPO項目，往年ITGC Ineffective客戶不怎么改的，或者初步評估ITGC 結論很可能是Ineffective的，你就讓IT審計和做個preliminary Understanding + Walkthrough，TOC完全不用做，而且做一小部分Walkthrough就能得出ITGCCatagory Ineffective的，也不用把Walkthrough做全。你們自己直接按照ITGC Ineffective來做，自己小心一下ITGC對自己的審計procedure的影響就可以了。這樣可以少不少Budget。審計風險也很低（都 Ineffective了還有什么風險，而且Audit Efficiency也不錯，不用花一大把的IT Audit Budget再作出一個Ineffective的結論，但是要讓IT Audit Manager簽好字），千萬不要自作聰明按照ITGC Effective來做，那樣你AQR抽中了話會死的很難看的。ITGC Ineffective沒有什么大不了的！只要你熟悉Audit Procedure，知道ITGC Ineffective影響那些ACR和Electronic Evidence，知道采取什么樣的措施來Cover這個Risk就可以了。有些項目，你和IT審計經理簽個Memo，認為經過IT Professional的Preliminary Understanding，能夠得出客戶的ITGC Ineffective的話，成本更低。當然，這里就看財審經理的Soft Skill了。

 

Topic4 IT audit出了四大沒有前途

 

My Opinion：完全同意。其實IT Audit在四大里面也是越來越沒有前途。如果一個人整天拿著一個checklist看看汽車方向盤好不好，輪胎有沒有氣，簽字蓋章。他敢說他是汽車方面 的專家，要到汽車廠做總工，這個人一定是腦殘了（就象某個中了北斗神拳的號稱IT Audit manager出去做CIO一樣）。ITGC只是“General”的東西，相對IT只能稱之為“毛”，連“皮”都沒有資格。一般企業找IT Audit一定要有“實踐”經驗的+有Audit經驗的人才要。

 

IT Audit的職務，除了大型金融機構和Fortune100里面的部分企業外，不會有公司設立這種職務的。而且就算你在四大做IT Audit，到企業里面也不是很對路子的，因為他們很清楚ITGC是個垃圾（來自我的某個客戶和后來曾經面試過的金融企業資深內部審計高管的評語），他們 也要很多IT HandOn的經驗和Security方面很Technical的經驗，這些四大出來的大部分是不具備的。IT Audit在Big 4是附屬地位，而且地位只會越來越低，所以這個時候大學一畢業來做這個真是個人職業生涯的自殺行為。當一個職務在市場上只有很狹隘的空間，還能有很好的薪 水的話，大批人進來只會讓它崩盤直至打回原形。

 

Topic5 IT Audit能做好IT Advisory

 

My Opinion：笑話。一個只懂得“毛”的人就敢給客戶做advisory，看在公司名字的份上，客戶才沒一腳把你踢出門去。IT Audit的Executive很多人不直接Touch Client，因為他們超過一半的利潤來自IT Audit（至于沙丁貓說的轉型到以IT Advisory為主，我不認同，因為他們是不敢放棄IT audit那么好賺的錢的）。他們還以為客戶是“人傻錢多速來”的那種，人家天天IBM/HP/Accenture的顧問泡著。看到你BIG 4會熱淚盈眶，以為你是來給他傳授先進經驗的傳道士？清醒一點吧，除了個別Compliance的要求，見你們只是浪費他的時間。

 

很多 Partner在公司里面橫著走，出了大門什么都不是，還社會中高層，再中一記北斗神拳！傳說中某Partner見某銀行的科長，科長是腳擱到桌子上和他 說話的。另一個Partner，客戶的CIO直接在很多人的會議上把報告扔在地上，說這種垃圾不要放到我的會議上來討論，還得賠笑臉。自身沒什么 Skill，不懂如何Handle Client。Advisory是要幫助客戶解決問題的，不是你效力的公司很牛，客戶見到你就叫Daddie了。你給個不痛不癢，牛頭不對馬嘴的 report就付錢的。除了給Regulator的報告以外，BIG 4自身培養出來的力量是不可能做好Advisory的。

 

有時候看看我以前的一些經歷，覺得就是《大腕》里瘋人院那段的現實生活版。

 

 

-=-=-=- 以下內容由 馬甲8個2 在 2009年12月06日 01:33am 時添加 -=-=-=- 

先回答Cooldog的一句話

 

關于“科長是腳擱到桌子上和他說話”是我一手的信息，沒有中轉過。

 

很多Partner見完客戶回來的路上會發牢騷，說客戶素質差，其實這些客戶才是真正的老江湖，人家根本不會被名片上的合伙人三個字就忽悠住的，他們關注的是你真正的價值。不會為那些虛頭八腦的東西浪費時間的。

 

再 回答anaesthetist關于我Topic3的一個疑問，就是為什么要IT Manager簽一個Memo的問題。你們有沒有想過，為什么IT Audit會爆炸性地生意擴展，為什么財審要分一塊budget給IT Audit（盡管心里不爽）？我原來的公司就有一個IT Audit Integration Policy，強制要求大部分有賺頭的項目必須Involve IT Audit，如果不Involve，Audit Quarlity Review要被Q的，所以財審才不得不加入IT AUdit。回到前面的問題，如果財審自己下結論說Ineffective，審計風險很低，AQR風險極高，因為Audit Methodology里面說下這種結論的人必須是“IT Professional”，顯然財審不是“IT Professional”，中招了。所以降低IT Audit Budget而且降低AQR風險的最好辦法就是壓縮IT Audit Scope同時讓IT Audit Manager簽memo的方式降低你們自身的AQR風險。

 

關于IT Advisory，可以說的很多，為了保證質量且不影響寶寶的睡眠，我準備明天寫一個長篇大論給大家分享一下，今天先到這里為止，睡覺去也。

 

-=-=-=- 以下內容由 馬甲8個2 在 2009年12月06日 07:29pm 時添加 -=-=-=- 

從事IT Audit部門里面的IT Advisory兩年多來的體會

 

引言

 

曾 經聽說過一個很經典的冷笑話，說某Big4的面試問題如下：如何把一頭大象塞進1個冰箱里，標準答案是Step1. 打開冰箱的門 Step2. 把大象塞進去 Step3 把冰箱門關起來。一直覺得很奇怪，這個居然是笑話？直到在某Firm里面工作了一段Advisory時間后，才深刻體會設計這個笑話的達人后面的深刻意 思。

 

上面這個笑話反應做Advisory工作的一些潛規則：

 

1.一定不要理會客戶的需求，盡量把它們忽悠到你自己的路子 上，笑話里客戶的挑戰是把大象塞進冰箱（一個明顯的問題就是體積的問題），用Firm的思路就是完全回避這個問題，盡量把客戶忽悠到自己的路子上，變成大 號ITGC或者ACR，很多客戶已經被Firm光輝燦爛的名字砸暈了，我們說啥就是啥，如果你提出說客戶其實想要別的東西，你會被你老板罵死的，敢說皇帝 沒穿衣服的人一定被老板列入黑名單（不過這種客戶已經越來越少了，而且在客戶付錢之前突然意識到自己被忽悠了，還款也就成為一個麻煩事情了）；

2.Deliverable 一定要是Finding And Recommendation，千萬不要去Implement什么東西，更加不要出具什么承擔責任的東西。所以只能交付這些Step1/Step2的東 西，千萬不要下手真去幫客戶把大象塞進冰箱里，更不能做塞進去我收多少錢，塞不進就不收錢的事情。

3.Deliverable一定要很漂亮，要很有邏輯性，PPT要讓老板覺得astonishing，老板就Q這些東西。

4.Deliverable一定是放之四海皆正確的道理，除了可以借鑒的Bible上的話，千萬不要有自己的觀點，千萬不要和客戶的實際情況做任何customize的工作

5.客戶氣的吐血也不要緊，罵到狗血領頭也無所謂，只要錢到手，一錘子買賣也無所謂，反正還有Client Service Partner來搽屁股

 

 

-=-=-=- 以下內容由 馬甲8個2 在 2009年12月08日 11:51am 時添加 -=-=-=- 

IT Advisory能干些什么？

 

一 類是Sox/CSox/SAS70等類似項目，這類項目是IT Advisory的主流收入來源之一，工作思路很吻合IT Audit的方法，不需要特別額外的知識，一般Senior來做基本沒有問題，我原來部門大部分這類項目不用自己去打客戶，跟在BRS或者AABS后面就 可以。我沒法對這類工作做什么評價，因為我只是個別看過他們的工作內容和交付品，沒有做過這種項目。我沒有做這類項目的經驗。

 

IT Security，我倒是可以說一些內容，給你們解釋各類項目的內容/我的經驗以及知識點。IT Security大約可以分為兩個領域，Information Security management方面和Information Security Technical方面。

 

Information Security Management的核心是ISO27000系列（一般人喜歡稱為27001，其實是有區別的。27001只是27000系列的總綱，具體的某些方面的 內容有002/003……很多內容，部分還在Draft中）。27000項目的后半部分實施和IT Audit思路相似，根據前期Risk Analysis的結果，Draft RCM，所有的Control是從27002里面選，不用自己想，需要補充一個Statement（SOA， Statement of Applicable）來解釋為什么不選擇27002中某些Control，然后把這些Control和客戶現有環境中的Control對應起來，做一個 Gap Analysis和Recommendation。然后讓客戶把這個Management System Run起來就可以了。當然，前期還有Draft一個很High Level的ISMS文件，ISMS文件的框架和必須包括的內容在27001里面有定義的。

 

27000系列項目對EIC/FIC的最大挑戰有兩個：

 

1. 定義范圍和管理層Buy-in，這個活是前期做的，但是范圍沒有定義好，事后進行修改，會累死人的。好的EIC會在這里階段很好地引導客戶來做Scope 和Buy-In，同樣，客戶往往在這個階段來評判Vendor是不是有經驗。如果業務部門沒有Buy-In，想做好這件事情會很難，業務部門很多時候會想 當然的，這是一個IT項目，只是IT部門的事情，這是一個理解誤區。舉個例子：我曾經做過的一個客戶的核心信息資產之一是它的工藝流程圖（PID），在服 務器上了很多的Control，但是打印出來的PID卻攤在總工的辦工桌上，門的鑰匙掃地阿姨有一份，阿姨每天提早半小時來打掃衛生，競爭對手是一墻之 隔，使用同一家清潔公司。當時我們只能把范圍擴大到把工廠里面可能會出現PID的部門和場所都放進來，否則單Review 服務器是沒有意義的，說服他們當時還是費了一些力氣的；

2.清晰描述出范圍內信息資產和流程/系統/業務部門之間的關系，然后在理出原有的流程/系統/部門已有的控制手段，同時和業務部門進行Risk Rating以及Risk Analysis。這個活很費勁的，但是很漲經驗值

 

做好上述兩點，后續的工作IT Audit小朋友就可以輕松地干活了。EIC只要在Deliverable的Quarlity上能夠控制好就可以了。

 

常見的錯誤：

很多人上手把注意力放到清點信息資產（數數電腦/服務器什么的），絕對是錯誤的。27000保護的是信息資產而不是存放信息資產的設備(但是你必須把所有可能存放這個信息資產的設備全部羅列出來)。

從 頭幫客戶Draft一套Information Security Management System，大部分客戶有一堆的Policy，很討厭又添加了一堆的Policy，所以在邏輯關系上要幫他整理出一套成系統的ISMS管理體系，從 Policy的制定上，適當做原有Policy的調整和增補就可以了。

 

另：

啟動27000系列的項目，很多是以Security Awareness和Security Survey開始的。做這類項目的技巧在于熟悉各類企業常見的Incident，Common Weakness, 和對27000的熟悉，難點在于如何Draft和customize一些Survey的Questionary，在inquire的時候，如何能夠緩解客 戶的心理壓力，如何進行合理有效的問題詢問并一步步深入和展開。因為往往A部門的線索可以引導你去問B部門一些額外的問題。往往好的Survey的結論是 很Astonishing的，特別是你能夠做出一些明顯的統計圖來。除非客戶沒有錢，否則他都會讓你來做27000項目的。當然，里面有很多Soft Skill。

 

總結一下：

 

從事Information Security Management Advisory工作，首先熟悉ISO27000系列的內容，對客戶所在行業的Industry的特點要理解，平時收集和積累一些information Security的案例，然后對一些工具使用和設計要比較熟悉（比如SOA / RCM / Risk Analysis），強調工作步驟中前后內容的一致性和邏輯性（誰么內容推導出什么結論再推到出什么方案），不需要太多的Tech方面的知識，如果為了做 27000系列的服務，考CISSP是多余的。

 

 

 

-=-=-=- 以下內容由 馬甲8個2 在 2009年12月08日 01:17pm 時添加 -=-=-=- 

IT Security Technical方面： 

 

System Hacking

 

曾 經有一個小朋友下field時候打電話問我，說他碰到一個麻煩事情，客戶系統跑在Windows98系統上，但是公司的Knowledge庫里面沒有 Review 98的腳本，問我怎么辦？一句話，不用review，直接判定System Fail。這個有趣的問題就衍生出很多的問題了：

 

1.黑客是怎么攻擊系統用的？

黑客攻擊系統的基本原理就一條：利用系統的漏洞，拿到系統管理員權限。萬變不離其宗。

2.什么是安全的操作系統，或者說不容易被黑客攻擊的？或者憑什么認為某些系統天生就是不安全的？

在 CC（Common Criteria）文件里面，對一定安全的操作系統的級別定義是C2級，在CC后續的一些規范里面，好像是定義成EAL4級以上才是安全的操作系統（好久 沒有時間讀這些東東了）。C2級別的一個重要特征是操作系統具備這樣的控制：當非系統管理員登錄到系統，是無法獲得系統管理員權限或者口令的。 Window2000/XP以前的操作系統雖然微軟自己說是C2級別的，但是習慣上大家都不認為它是C2級別，因為它有安全漏洞。

3.什么樣的安全漏洞？

大家在登錄Window XP的時候，有沒有想過系統存在什么樣的機制，來保護我輸入對的口令可以進入，輸入錯的口令就不能進入？是不是有個什么地方放了我的口令文件，驗證的時候拿來比對？

對 了，Unix和Windows系統都有一個文件是存放所有系統用戶口令的，一般被成為SAM文件或者PSAM文件，一般系統提供一種加密機制（通常為 Hash）來將這個文件進行加密，否則大家都能打開這個文件，豈不是沒有秘密可言了？C2的操作系統，它能夠提供一種控制，只有系統管理員才能讀到這個加 密文件，普通用戶是不能讀SAM的。所以小朋友仔細想想你們review System的腳本第一個Control就是讀某個文件的屬性，看Password有沒有被加密成“******”，還要看系統是不是配置成 TBC（Trust Base Computing）的，就是這個道理。

Windows2000以前的操作系統，是個普通用戶都能讀這個加密文件SAM，所以他們被拒絕列為C2的安全級別的操作系統。

4.SAM文件在哪里？

很多人想問SAM文件在哪里？我記不住了，但是有很多腳本工具能夠幫你從系統中直接導出加密的SAM文件，會Google就可以了。

5.SAM文件如何解密？

Hash算法是單向算法，理論上你拿到hash值是無法逆向導出密碼明文的。但是全世界最頂級的加密算法都擋不住一種密碼破解算法，就是我拿口令從00000000開始一個一個試，這種笨辦法才是無敵的破解加密的算法。

6.如何使用笨辦法來破解？

有 很多的工具可以來破解SAM，當時開發這些工具的人員主要出于以下的目的，很多用戶忘記自己的密碼，這些密碼和某些文件的權限有關，所以要求系統管理員幫 助恢復密碼。這些工具就采用了上面我說的笨辦法來蠻力破解，你們要是Google一些Top100的安全工具，里面至少有5-6個，但是名稱都是系統管理 員密碼恢復工具，不會說自己是黑客工具，這些工具非常傻瓜化了，如JtR（John the Ripper），連界面都是Windows話的。

 

分享一個我在Firm里做過的System Hacking的案例：

 

情況：客戶提供一臺他們IT標準配置的機器，準許我介入內部網

目標：證明給他們異地的CIO，他們的內網管理有漏洞導致我可以使用這臺機器獲控制CIO機器

 

客 戶的系統是Windows XP，完了，傻眼了，因為客戶給我的是普通用戶帳號，我是沒有辦法導出SAM的。但是，在2000年左右，有一個著名的黑客大會叫Back Orifice（針對MS的BackOffice）里面專門開發了一個腳本，當你用普通用戶權限進去的時候，啟動這個腳本去替換系統里面某一個無關緊要的 進程（你只要按“Ctrl+Alt+Del”就能看到系統進程的窗口了），然后退出系統，然后再次用普通帳戶的權限進去系統，你的權限能自動升級成系統管 理員了。當然幾乎所有的殺毒軟件把這個腳本列入惡意代碼的范圍，但是你只要給它稍微改頭換面一下就能解決問題了。我在此之前只是聽說過這個腳本，后來是從 Firm里面海外的某大師手里獲得的。百年招牌就是百年招牌，有理由的啊！

 

然后就是導出SAM，Crack SAM，得到系統管理員的口令。

 

其 實大家看看自己的筆記本，你登錄的時候你都可以看到有一個Administrator的帳戶，這個就是系統管理員的帳戶，所有人的機器上都有，有這個帳戶 和密碼，只要你能被連接的上，可以遠程控制你的機器做任何事情。我當時的事情是放了一首立波啤酒的廣告歌到CIO的桌面上并播放了一下，以紀念英年早逝的 歌曲原創者，這首MP3是他送的。老外認為這首歌還挺好聽的。

 

7.這種系統管理員密碼恢復工具不是無敵了？

不是的，這種工具的工 作原理就是老老實實一步一步打黑虎掏心，所以它的最大問題是效率。05年前后，國內一家加密所的朋友做過測試，長度為7，有復雜度要求的口令，用IBM RS6000破解時間約為7小時，長度為8以后時間長度是以指數級別上去的，據說要用月計算。所以想想Firm的口令復雜度和時間有效性的要求就明白了。 我曾經試圖破解FIRM的SA的密碼，用T60算了3天就沒有信心了，后來一問邊上的小朋友都知道，看看了它的復雜度，估計有生之年都不行了。

 

 

-=-=-=- 以下內容由 馬甲8個2 在 2009年12月08日 02:04pm 時添加 -=-=-=- 

Information Security 2 

 

Social Engineering

 

接上篇，我試圖花費很長時間Crack的超長又復雜的密碼其實坐在Batch上的小朋友都知道，多么荒謬啊！這在information Security領域稱之為Social Engineering，這是公認的最省力最有效的Hacking。

 

報 紙上常有報道，說某IT大亨告另外的IT大亨，說他雇人整天翻自己公司的垃圾來找有價值的文件，這也是Social Engineering Hacking。簡而言之，Social Engineering是采用一些社交技巧來獲得企業的商業密碼。關鍵是：人是那么好騙的嗎？

 

這 里涉及到另外一個技巧，稱之為Risk Accrue，我和一些Senior在做Security項目時，進行Risk Analysis時，通常提醒他們，Risk Accrue是一個需要重點關注的地方。很多人因為做ITGC多了，很慣性地去思維一些Risk，認為是Low Risk，輕松放過，其實不是的。一個低的Risk1+低的Risk2+低的Risk3就會Accrue成一個High Risk。而這種High Risk往往是要命的。

 

分享一個案例：

 

某公司雇傭我們做一個Social engineering的測試。它的CIO在系統里面給我們開了一個測試帳號（假設名叫AAA），不告訴我密碼。整個測試只有CIO知情。

目標：要求我們無論采用任何方式，拿到這個帳戶的密碼。

 

我 除了這個帳戶名稱/公司名稱和客戶的系統管理員在上海外一無所有。首先上網了解公司的背景和電話號碼，我清楚地知道，我絕對不能直接打電話給客戶的IT系 統管理員，因為一般你打電話給系統管理員，他是要驗證你的個人信息的。我很有可能露餡。而且有一點可以明確，一般管理較好的公司，系統管理員是無論如何不 會告訴你，你自己設定的密碼的。

 

我做的第一件事情是打電話到他們北京Office！！！我和前臺的小姑娘聊了一下，知道他們上海的系統管 理員叫BBB，北京這邊相對應的人叫CCC，當然關于密碼設置還是要找