对企业安全建设的一些思考(一) – 作者:made in Internet

前言

不知道应该聊一些什么也就随意写写。今天还是想聊聊在企业安全建设中应该如何体现安全部门的重要性,在领导的一次次”失望“中及时止损。

一、做为管理层面考量,“有用户才有需求,有需求才有技术”

管理层面考量。在甲方安全中大多数领导认为安全无足轻重,这是因为安全建设是一项很难体现工作成果的事情。单单做渗透攻防安全合规很难体现安全的价值,对于你的渗透技术厉不厉害领导是丝毫不关心的。很多从事甲方安全的工程师基本都是从乙方跳槽的,除了具备渗透和部分移动端逆向能力对于业务是丝毫不懂得。讲到这里,可能有人会反驳。“我们是做安全的,需要了解什么业务。开发自己代码写不好杀了祭天不就行了”。但是我想说的是在领导眼里你可能还没有研发重要,是的,现实就是这么残酷。凭什么?凭的就是业务能给公司创造价值并且是可见的,而安全不行。安全是一件吃力不讨好得事情。

资金,这点来看没有足够得资金支撑是做不起来的,在互联网行业尤其明显。在互联网行业中由于业务需求多变,混合云环境业务复杂,微服务,大数据各类系统上线多导致安全部门在招收人才时需要了解各种技术要点,做到能人善用。这也因为业务催生出了安全部门既要有大数据安全人才,也需要微服务安全人才,甚至是流量检测、云安全、机器学习对抗、风控安全的人才。对于甲方渗透测试外包出去可以节约大量的重复性工作成本,企业安全建设自己做。这是对人才建设的资金(人力成本)投入。在安全架构方面,因为涉及到后期态势感知系统的自研以及大数据平台建设这方面在资金投入也是最多的,设备测试方面也是耗费时间精力人力资金。设备的测试离不开功能测试(元数据日志模块测试尤其重要,对于后期的态势感知项目具有基础数据支撑的能力)、安全测试、性能测试。这边的资金投入主要是几个方面,设备采购,售后维保,软硬件服务器,以及存储硬盘等。满足分布式大数据的架构规划和系统建设为业务赋能安全。说到这里

可以看出安全部门的投入和回报不成正比。对于领导来说钱拿出来了什么都没有看到,安全部门在公司地位越来越低了,这也就衍生出来了为什么安全部门需要做风控安全,因为风控安全是离业务最近的。领导不关心你的网络安全成果但是一定会关心能不能对抗黑灰产。为公司带来价值(涉及到金钱的安全交易公司投入从来不扣的好么)。这也就为什么说做安全要跟着业务跑,谁离业务近,谁就更能为公司带来价值。安全部门的存在是用户需求带来了公司价值催生出了技术才泯生出安全需要。

二、做为技术层面考量,“熟知业务,赋能安全”

技术层面考量。作为安全从业者一定要有扎实的技术基础,这里的技术基础不单是渗透测试,更多指的是云、大数据、微服务和机器学习深度学习这些业务相关性极强的IT技术,这些相关技术是催生安全行业发展的重要因素,举个例子你要建设态势感知平台包括风控安全体系建设你就需要懂efk、spark、kafka、深度学习、数据科学。如果你要做好安全运维的职责你就需要了解正则表达式、各种开源组件osquery、ossec、suricata优化好策略。如果你要做微服务安全你就需要懂什么是API网关、kong网关、apisix网关等等。业务技术的学习是决定你能在甲方安全做到多远的关键因素,做安全不是你想如何便如何。而是你对相关业务全部熟知后你才能如何。我这里也不提倡所有东西进行自研,成本和时间的考量需要根据公司业务进行。小体量业务公司WAF、NIPS就不建议自研。部分需要自研的像HIDS、态势感知平台、风控安全平台等重要的可以自研,成果出来了领导才会觉得你们安全部门是有成果的是有价值的。

三、“业务驱动技术,技术驱动安全”

结尾我想说的是以上论述皆是与一线互联网大厂的一位朋友讨论后有感而发,仅代表自身观点。但是也希望那些在乙方几年就贸然去甲方的。和在甲方急着招渗透测试人才的细细考量一下。信息安全是否就是渗透攻防。做为想向阿里、谷歌这些公司看齐的各大单位安全部门是否做到了认清以“业务驱动技术,技术驱动安全”这句话的真正含义,而做为已经进入甲方的朋友是否已经在排除渗透一片天的情况下对业务烂熟于心。

来源:freebuf.com 2020-08-25 17:56:15 by: made in Internet

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论