写作背景:安全运营工作正越来越受到企业的关注,近期笔者酝酿的新书也正在写关于安全运营的内容。正巧耀疆总在千聊的“安在讲堂”发起了网络安全公益讲座,第一讲就是聂君总的安全运营课程,听完之后很受启发。笔者也不禁回想了一下笔者团队是如何从懵懵懂懂向持续运营演变的,本文就从笔者团队的视角回顾一下从0到1的历程。先宣传一下安在讲堂,有兴趣的同学可以免费收听。
在早期(2008年前后)技术体系没有专职的安全人员,只通过安服务商租了一个安全工程师驻场,没有人规定安全工程师需要发现多少问题或者做哪些类的工作,发现的问题也不能完全处置,当时作为网络工程师的我对安全工作配合程度就不高,对于乙方工程师来说积极性也不可能太高。这是安全工作的第一阶段,安全岗可以说是聊胜于无,这是起步阶段。
进入第二阶段,我们成立了安全部门,也从安全厂商挖了一个工程师过来。有了专职的人,挖漏洞、入侵检测的工作就有了持续推进的动力。但一方面人手太少,另一方面技术部门的人都没有形成配合安全工作的习惯,所以那个时候安全工作推进速度都很慢,但这是很重要的积累阶段。
之后我们就进入第三阶段,安全团队扩编,安全团队与技术体系经历一个漫长的磨合期。渐渐的,大家形成了与安全团队配合的习惯,一些基础的工作(如:漏洞修复、清除后门甚至重装系统、封堵恶意IP等)可以正常推进。在这个阶段,我们本以为安全做的已经不错了,但是安全事件的发生概率还是没有质的下降。究其原因,是非安全部门的工程师将安全工作当成是低优先级的、锦上添花的工作,没事的时候可以去做,但是一旦忙起来安全相关的工作肯定是往后推的,不幸的是,他们一般来说都很忙。而安全部门的工程师只关注工作量,还没有对结果负责的想法。比如,渗透测试工程师只关注今天挖了几个洞,而不关心修复漏洞的情况,因为这是运维和开发的事,你就是不修我也没办法。而负责威胁检测的工程师在多次提示同一个恶意IP而得不到回应后也就把这个IP加白名单了。这种情况下,安全事件当然是无法避免的。
经过思考,我们进入了第四阶段,从关注工作量到关注结果。简单的关注点的变化引发了我们大量的思考和实践。笔者经常用“苦劳”和“功劳”来类比“工作量”和“结果”,企业投入大量资源建设安全团队需要的是“功劳”,而非苦劳。引用职业欠钱在《我理解的安全运营》一文中的话,“企业多数情况下是为产出付费,而不是为知识付费。”而我想补充的是,企业在多数情况下也不会为工作量付费。再引用薛兆丰老师在经济学课中举的一个例子:一辆破烂的自行车,被一个大学教授刷漆之后,是不会因为凝结了一位大学教授的劳动而大幅增值的。物品的价值取决于供需关系,而不是劳动量。同理,一个成熟的团队不能每天告诉企业我们有多忙有多累,而应该向企业证明,这个团队创造了多少价值。
,我们反复强调结果的重要性,不是因为过程不重要,而是笔者见过太多人将注意力过多的放到过程,也就是“苦劳”上,而忽略了“功劳”的价值。
进入第四个阶段,需要做的工作就是大家在网上能搜到大部分运营文章的内容了。这个阶段可以用excel表格来管理,也可以开发系统来管理,但一定需要工具辅助,不能随性。理由是这个阶段上到公司高层,下到工程师都需要明确安全团队的目标和指标。另外,我们一直在说的安全运营工作并不一定要设置专人专岗,在没有专人专岗的情况下安全团队的负责人应该承担起这方面职责。最后,根据我们现在的思路,整理了一张安全运营工作的思维导图,随着不断地实践,很多部分会不断变化,这张供大家参考。
声明:本文来自企业安全工作实录,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
