首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >是捍卫安全基线,还是做业务的守护者

是捍卫安全基线,还是做业务的守护者

作者头像
数说君
发布2022-10-08 12:41:28
1690
发布2022-10-08 12:41:28
举报
文章被收录于专栏:数说工作室数说工作室

前几天,与安全圈的一位专家前辈聊天,谈到企业内部的安全工作开展情况,产生了很多共鸣之处。尤有两点想拿出来分享一下。

  1. 是捍卫安全基线,还是做业务的守护者

这是两种不一样的做事思路,前者你满眼都是“安全”,你所有的一切都围绕着安全这个中心,它成为你评价事情的标准、开展工作的出发点:这个业务不安全、这个选型不安全、这个做法不安全......然后慢慢的,开始抱怨为什么大家都那么不重视安全。

而后者,你满眼都是业务,只不过你从安全角度去关心——业务会不会被攻击、会不会被伤害、会不会被欺负、穿的暖不暖、吃的够不够、过的好不好?需不需要我再为你做点什么?

相比前者,后者,其实才需要更大的安全投入。举个实际的例子:

想象你是企业的安全人员,有一个具有特殊意义的项目这两天就要上线(也许每个项目都会说自己比较特殊),研发人员连夜加班终于在Deadline的前两天完成,但在安全测试环节发现很多高危的漏洞,而这些漏洞根本无法在一两天内完成。

上线,则直接把问题暴露在了外面,被拿下就是概率问题了;不上线,则业务无法正常开展。这些这种情况下要怎么办?

1)截住、必须修复,然后才可以上线,为“安全”负责,捍卫安全底线;

2)业务优先,先上线,同时做好安全防护,包括:巡检升级安全设备,以确保能覆盖已知的攻击方式;安排好值守和日志监控;制定同步修复升级计划等一系列保障措施,将被攻击概率降到最低。为“业务”负责,守护业务。

选的话肯定是选2,但身体很诚实,在企业内部大概率是先 1(不给上),然后闹到领导那去,得到领导背书,上,并同时让业务做好监控。最后既不是1,也不是2,先称为3。

1 肯定是不行,但 2 的成本高,较强大的安全分析基础设施是必要的前提,加上一定的安全人员配置,这些人要包括 盯事件的安全分析人员,对外部的攻击、扫描、爬虫、薅羊毛进行监控和处置,在某些情况下还需要应急处置;安全基础设施的运维人员,根据业务系统的需求调整监控指标、更新配置策略,巡检设备,及时覆盖风险;应用安全或安全研发专家,深入各业务系统,确保使用安全的框架、组件和规范的代码,或制定升级修复建议。

这种给业务伴随式或者守护式的安全工作,必然需要一定的投入,如果只有这一个系统,1-2个人也可以,但系统多了,肯定不行,想做也无法做到。最后结果一定会变形成 3。这里面还不算安全自动化、智能化建设中,产品经理、专职研发、以及时下数据安全需要的安全合规、隐私保护的人员配置。

3 应该是大部分企业现实的情况,迫于资源的限制,无法做到每个业务的守护者,抓住一些主要矛盾,慢慢的守护的是自己“安全”的职责。

安全能做成业务守护者的公司,其实也有很多,甚至超越了守护者的角色——安全自己发展成了业务。最典型的就是支付宝,“你敢付,我敢赔”,这是支付宝安全部门发起的,已经成为了支付宝宣传推广的口号之一,此外还有它的反诈、延迟到账、隐私保护等,都成为了品牌的加分项。

有人说支付宝是电子钱包,钱包的安全性肯定比较重要,天然具有品牌效应。但仔细想想,同体量的微信支付,有听说过什么安全slogan吗?更别说云闪付、壹钱包等了(满减活动倒是经常有)。

另一个把安全做出品牌效益的,就是苹果公司。安全性也是 iPhone 经常推出的宣传口号。

在苹果之后,国内的手机厂商也开始重视安全:

2. 是要技术大拿,还是项目协调者

在企业内部做安全,是技术重要还是对项目的管理、协调能力更重要?我们觉得还是后者更重要。因为安全工作天然是 “附着” 在其他职能之上的,所以一方面,内部的协调、推进工作是它的常态:

  • 应用的安全,与研发线协同开发过程中的安全;
  • 数据的安全,与大数据/数据科学/数据中台协同数据的存储、使用、脱敏、分级分类等工作;   
  • 基础资源的安全,与网络和基础平台协同保障网络、系统、主机得到安全的设置和监控;
  • 安全合规,与APP、相关产品业务、IT合规等协同,确保符合相关合规要求,如个人隐私保护、内容安全等;
  • 业务安全,与相关产品业务协同,确保新业务推荐设置了一定的防薅羊毛策略,以及上线后的监控措施
  • 再说到日常的安全运营,更需要与各团队保持协同,及时发现入侵风险,组织修复缺陷和问题;
  • ......

另一方面,外部的沟通也很重要,安全生态的产品已经很丰富了,而且新产品日新月异,没必要重复造轮子,保持对新产品形态的研究和跟进,同时也要保持和外部情报、监管、同业机构等的沟通。

所以企业内部的安全工作,更需要沟通协调、以及对项目的管理和把控能力。但这并不是说技术就不重要,做为安全人员,基础的安全技能还是要有的:

应用安全要知道主流应用框架、组件的风险点和安全方案;网络和基础资源安全要熟悉网络协议,了解边界安全设备的产品类型和架构;数据安全了解敏感数据的识别(分级分类)、防泄露,了解数据滥用的主要场景,了解相关法律法规的重点方向;运营分析人员需要掌握一些数据的分析方法和工具,从海量日志和告警中找出真正高危的事件,还有一些数据的加工、清洗和丰富化的技能,但不是必选项。

最后一点共鸣是,现在想找一位兼具项目协调能力和技术能力的安全人员,太不容易了。

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2022-09-28,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 数说工作室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
应用安全开发
应用安全开发(Application Security Development,下文中也叫 Xcheck)为您提供优质的代码分析服务。Xcheck 凭借优秀的算法和工程实现,能在极低的误报率和漏报率前提下,以极快的速度发现代码中存在的安全漏洞。Xcheck 采用私有化部署的模式,所以产品使用的整个生命周期,源码都不会流出公司网络,杜绝源码泄露风险。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档