这是笔者第一次用这么标题党的名字给文章起名,原因是最近笔者被好多朋友问到这个问题。刚开始的时候想到哪说到哪,但是被问多了,自己也不禁开始思考这个问题。其实本文的主题应该是:如何寻找一家优秀的安全服务商,并与之展开靠谱的合作?
类似话题笔者曾经在文章《安全服务那些事》中简要的分析过,现在回看还有不足之处,所以准备再写一篇文章补充论述,也算是思想的一个升华。
针对标题的问题,这里先给出答案:决定安全服务效果的不是乙方,而是甲方!为什么这么说?听我慢慢道来。
甲方的“自我修养”
要说安全服务商,谁家都有高手,但这些高手成本很高,当然要用到更有价值的地方去。我们换位思考一下,如果你是一家安全服务商的老板,要是遇到对服务内容要求不明确、对安全服务不重视、甚至完全不懂的用户,我们会把大牛放到这个项目上吗?这跟甲方预算都没有直接的关系,因为没必要浪费这个成本。
但如果甲方本身就对安全非常重视,希望通过安全服务提升甲方某些方面的能力,技术上又能主导服务商的具体工作,这时作为服务商来说,在预算允许的情况下一定要派出能力较强的人来提供服务。否则就有可能丢掉这个生意。
所以,想要获得一个靠谱的安全服务,首先要看企业安全团队有没有能力把服务商的能力“逼”出来。
甲乙双方的配合
有些情况下,甲乙双方必须通力配合才能把事情做好,并不是严格要求就可以的。这里举个例子:
笔者的企业之前与服务商签署了一个安全监控的服务,目的是监测8个节点的内外网威胁。这个需求我们很好写,但是作为服务商每天面对超过500万条日志,几乎没法处理,我要求的再严格都没用。这种情况下,我们的做法是,服务商提供安全分析的方法和数据需求,甲方安全团队负责获取数据,并投入一定的开发力量配合服务团队实现安全分析工具的开发。这样,即能将实现安全服务目标,又能将安全能力落地。当人这个方法不是对所有企业都适用,但这里说的是一种思路,一种相互配合共同完成任务的思路。任何由于安全服务不到位所产生的安全问题,最终承担责任的一定是企业安全团队,我们没办法把“锅”甩给安全服务商,他们最多跟你一起背锅,所以相互配合和事情做好很重要。
甲方的手段
对于堂堂甲方来说,前两条可能会让大家觉得有点“软”,这部分我们来点“硬”的!对于很多安全服务来说,服务细节很难事无巨细完全写清楚,而且就算写清楚了也涉及到执行效果的问题。这就需要在验收环节多下功夫了,这并不是说要挑毛病,企业安全团队要根据服务内容和自身需求制定验收标准。下面笔者举几个安全服务验收方法的例子,帮大家找找感觉:
安全监控:前文提到了,有了工具之后,我们考核服务方的就是场景落地的能力,而不是在几百万条数据里发现多少个有效攻击;
渗透测试:我们要求渗透测试服务一定要拿到我们预定的目标权限,否则认为不成功。也就是说渗透者仅拿到了比较边缘的服务器权限,在这种要求下是没有意义的,这类工作我们放到了漏洞扫描中;
安全培训:无论是安全意识培训还是安全技术培训,我们都需要参训者对培训内容打分,这是比较简单的办法。复杂点的,也可以通过一些考核来判断培训的标准。
再次说明,这些方法并不通用,只是帮助大家找找感觉,安全服务项目验收的关键是可以抓住一些关键点,从而可以忽略一些执行过程中繁冗的细节。当然也可以增加一些主观评价,这就需要甲乙双方有一个基本的信任关系。
乙方的团队
前文说了很多对甲方的要求,在安全服务商选择中并不是完全不需要考虑乙方的情况。在对服务商的众多考察项中最简单的就是资质,一方面是企业的资质,更主要的事安全服务人员的资质。通过资质证书来判断一个人并不算客观,但这种方式性价比最高。有资质证书的人并不一定都是高手,但一般来说不会是小白。除了判断资质外,就是与他们的服务团队坐下来聊聊,面对面的沟通有助于你更好的判断服务团队的各方面能力,尤其是技术之外的能力。最后需要注意的是,务必要求服务商承诺日后服务的团队就是你考察的这个团队。
写在最后
笔者常说一句话“预算是给别人的,服务是给自己的”,企业安全服务的效果一定要安全团队自己来掌控。如果企业安全团队做到了自己有能力、对外能配合、验收有手段。再加上《安全服务那些事》中提到的,甲方的担当、引入竞争机制以及相对中立的态度,相信会得到自己想要的安全服务,也不用再纠结安全类似于“安全服务哪家强”的问题了。上述是笔者对安全服务的一些粗浅认识,任何甲方或者乙方的朋友对此有更深的见解欢迎关注公众号(xiaohuangsec)或者加我微信(huangle0914)与我沟通!
声明:本文来自小黄的安全工作实录,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
