安全服务是几乎所有甲方公司都会采购的一项重要的服务,其内容涵盖很广。从漏洞扫描到管理制度制定,从安全监控到安全培训,都可能通过专业安全公司进行服务。笔者所在企业每年都有大量资金投入到安全服务上,以弥补自身安全团队的不足。但如何利用好安全服务,使之能给企业带来足够好的效果,这需要甲方安全管理人员投入较大的精力对具体工作进行调整和梳理。
目前市场上能提供安全服务的公司很多,好处是甲方对这类公司有很丰富的选择,问题是目前没有统一的标准评价这些公司整体的服务质量。换句话说产品是可以从市场上买到标准品然后进行客观评测的,而安全服务的核心是人,A公司总体实力强不代表A公司所有人都很强。这也是安全服务和安全产品之间的一个本质的区别。我们来梳理几个常见的问题。
屁股决定脑袋
目前安全服务比较多的方式是服务商作为甲方策略的执行者,不主导任何事,只负责将甲方所制定的目标进行落地。一般来说,如果能真正做到这一点就很不错了,毕竟屁股决定脑袋。但其中的问题也是有的,对于没有自己安全团队的甲方(或者人数少事情很多的甲方),如果服务公司只负责执行,结果就是安全工作的效果取决于甲方安全管理者的思维高度。这种情况很难体现安全公司的核心价值,尤其对于能力较强的大公司来说。
对策
这类问题解决起来比较麻烦,原因是很多服务商技术人员习惯性的将甲方的一些想法当做需求,不假思索的执行,反正错了也是甲方的思路,执行起来没风险。解决这种情况的关键主要是让服务人员卸下包袱,对了是你的,错了我负责,针对所有问题充分讨论。笔者和所在企业目前的服务经理就经常争论一些具体问题,虽然有时候把气氛搞得比较火爆,但总体上执行效果还是不错的,至少不会出现一味顺从的情况。
执行效果不佳
无论总体策略层面是甲方主导还是服务商主导,最终都要落实到执行层面,掌控执行效果是甲方必须要面对的工作。如漏洞找的全不全,培训效果好不好,攻击监测是否及时准确,应急响应是否有效果,这些问题是我们时刻需要面对的,而且这涉及到很多细节的问题。我们就层因为资产范围同步问题,导致服务商漏扫的时候很多资产被漏掉,最终导致病毒传播。
对策
上面提到的一些问题主要是日常工作不够细致,或者服务商因为资源或者能力的问题导致的。对于工作细致性问题只能是日常多上心,配合一些策略(比如:文件通过内部网盘同步等)解决。针对服务商的问题一般是采用不只一家服务商,一方面不同的公司擅长的领域不同,可以有针对性的进行选择;另一方面有些重要的工作可以有两个服务商分别来做,即有结果的对比又带入了竞争机制。
中立性问题
按照常理,安全服务商应该站在中立的角度看待一切工作。但如果服务商同时是安全产品生产商,就难免面临中立性问题。从服务商角度来说,我的工程师对自己所在厂商的产品使用最为熟悉,所以采购自己厂商的产品对未来安全服务也有帮助。从甲方角度来说,购买安全产品就是为了解决实际问题,以性价比最高的产品为好。
对策
面临中立性问题,对服务商产品完全否决和完全接受都是会产生问题的。面临这个问题笔者目前唯一的办法就是,甲方管理者需要对业内安全产品的情况有一个整体的了解,再加上一个中立的态度,就能基本保证安全服务和安全产品的最优配置。
服务需求的潮汐效应
由于目前安全行业人才缺口很大,在面临全国范围的重要保障期的情况下,安全服务需求爆发增长,这就会产生服务质量下降的情况。
对策
面对服务资源短缺的情况,甲方可以在重要保障期前与服务商进行充分沟通,同时部分工作可以提前一段时间准备,以缓解压力。另一方面,甲方需要有一定程度的自主安全队伍建设,这不仅有助于在重要时期保证安全工作质量,也对日常工作有很大帮助。这方面内容笔者将在后续的文章中进行详细的探讨。
写在最后
相比开发产品,安全服务的入行门槛相对较低,同时因为甲方安全需求千差万别,又不太可能有统一的评价标准。这给甲方的管理者提出了很高的要求,完全听取服务商意见,或者完全自己主导工作(服务商只是作为执行者),这两种方法都有偏颇之处。笔者认为这类服务工作还是要在充分沟通和相互理解的基础上。所以,对于日常安全服务工作,甲方管理者必须站在更高的维度思考和实践。
声明:本文来自小黄的安全工作实录,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
