前几天,与安全圈的一位专家前辈聊天,谈到企业内部的安全工作开展情况,产生了很多共鸣之处。尤有两点想拿出来分享一下。
- 是捍卫安全基线,还是做业务的守护者
这是两种不一样的做事思路,前者你满眼都是“安全”,你所有的一切都围绕着安全这个中心,它成为你评价事情的标准、开展工作的出发点:这个业务不安全、这个选型不安全、这个做法不安全......然后慢慢的,开始抱怨为什么大家都那么不重视安全。
而后者,你满眼都是业务,只不过你从安全角度去关心——业务会不会被攻击、会不会被伤害、会不会被欺负、穿的暖不暖、吃的够不够、过的好不好?需不需要我再为你做点什么?
相比前者,后者,其实才需要更大的安全投入。举个实际的例子:
想象你是企业的安全人员,有一个具有特殊意义的项目这两天就要上线(也许每个项目都会说自己比较特殊),研发人员连夜加班终于在Deadline的前两天完成,但在安全测试环节发现很多高危的漏洞,而这些漏洞根本无法在一两天内完成。
上线,则直接把问题暴露在了外面,被拿下就是概率问题了;不上线,则业务无法正常开展。这些这种情况下要怎么办?
1)截住、必须修复,然后才可以上线,为“安全”负责,捍卫安全底线;
2)业务优先,先上线,同时做好安全防护,包括:巡检升级安全设备,以确保能覆盖已知的攻击方式;安排好值守和日志监控;制定同步修复升级计划等一系列保障措施,将被攻击概率降到最低。为“业务”负责,守护业务。
选的话肯定是选2,但身体很诚实,在企业内部大概率是先 1(不给上),然后闹到领导那去,得到领导背书,上,并同时让业务做好监控。最后既不是1,也不是2,先称为3。
1 肯定是不行,但 2 的成本高,较强大的安全分析基础设施是必要的前提,加上一定的安全人员配置,这些人要包括 盯事件的安全分析人员,对外部的攻击、扫描、爬虫、薅羊毛进行监控和处置,在某些情况下还需要应急处置;安全基础设施的运维人员,根据业务系统的需求调整监控指标、更新配置策略,巡检设备,及时覆盖风险;应用安全或安全研发专家,深入各业务系统,确保使用安全的框架、组件和规范的代码,或制定升级修复建议。
这种给业务伴随式或者守护式的安全工作,必然需要一定的投入,如果只有这一个系统,1-2个人也可以,但系统多了,肯定不行,想做也无法做到。最后结果一定会变形成 3。这里面还不算安全自动化、智能化建设中,产品经理、专职研发、以及时下数据安全需要的安全合规、隐私保护的人员配置。
3 应该是大部分企业现实的情况,迫于资源的限制,无法做到每个业务的守护者,抓住一些主要矛盾,慢慢的守护的是自己“安全”的职责。
安全能做成业务守护者的公司,其实也有很多,甚至超越了守护者的角色——安全自己发展成了业务。最典型的就是支付宝,“你敢付,我敢赔”,这是支付宝安全部门发起的,已经成为了支付宝宣传推广的口号之一,此外还有它的反诈、延迟到账、隐私保护等,都成为了品牌的加分项。
有人说支付宝是电子钱包,钱包的安全性肯定比较重要,天然具有品牌效应。但仔细想想,同体量的微信支付,有听说过什么安全slogan吗?更别说云闪付、壹钱包等了(满减活动倒是经常有)。
另一个把安全做出品牌效益的,就是苹果公司。安全性也是 iPhone 经常推出的宣传口号。
在苹果之后,国内的手机厂商也开始重视安全:
2. 是要技术大拿,还是项目协调者
在企业内部做安全,是技术重要还是对项目的管理、协调能力更重要?我们觉得还是后者更重要。因为安全工作天然是 “附着” 在其他职能之上的,所以一方面,内部的协调、推进工作是它的常态:
- 应用的安全,与研发线协同开发过程中的安全;
- 数据的安全,与大数据/数据科学/数据中台协同数据的存储、使用、脱敏、分级分类等工作;
- 基础资源的安全,与网络和基础平台协同保障网络、系统、主机得到安全的设置和监控;
- 安全合规,与APP、相关产品业务、IT合规等协同,确保符合相关合规要求,如个人隐私保护、内容安全等;
- 业务安全,与相关产品业务协同,确保新业务推荐设置了一定的防薅羊毛策略,以及上线后的监控措施
- 再说到日常的安全运营,更需要与各团队保持协同,及时发现入侵风险,组织修复缺陷和问题;
- ......
另一方面,外部的沟通也很重要,安全生态的产品已经很丰富了,而且新产品日新月异,没必要重复造轮子,保持对新产品形态的研究和跟进,同时也要保持和外部情报、监管、同业机构等的沟通。
所以企业内部的安全工作,更需要沟通协调、以及对项目的管理和把控能力。但这并不是说技术就不重要,做为安全人员,基础的安全技能还是要有的:
应用安全要知道主流应用框架、组件的风险点和安全方案;网络和基础资源安全要熟悉网络协议,了解边界安全设备的产品类型和架构;数据安全了解敏感数据的识别(分级分类)、防泄露,了解数据滥用的主要场景,了解相关法律法规的重点方向;运营分析人员需要掌握一些数据的分析方法和工具,从海量日志和告警中找出真正高危的事件,还有一些数据的加工、清洗和丰富化的技能,但不是必选项。
最后一点共鸣是,现在想找一位兼具项目协调能力和技术能力的安全人员,太不容易了。