作者介绍:西小姐,某国企安全运营专员。从0到1搭建了该企业安全运营体系,主导了多次内部运营活动。在内部培训、团队管理、SRC建设、危机公关等方面有大量的经验和思考。企业安全实录将连载其三篇安全运营文章,从观念、实践和愿景三个方面完整的分析企业安全运营工作的方方面面。

前言:安全运营三部曲,最后一部安全生态与安全国际,主要从立体化安全运营、情报联盟建立、安全运营国际接轨和未来安全运营的畅想四个方面写出了对安全运营工作整体、立体和国际化的愿景。当前,笔者认为安全运营的工作只是一个起步阶段,它在企业中的定位和能够给企业带来的价值都未完全地被企业所认可,所以,当下和未来的工作都会很多,空间也非常大。希望在可预见的未来里,更多远识的企业能够肯定安全运营的存在、更多有识之士加入到安全运营工作中来。

1、企业的立体化运营

1.1重资产轻响应

1.1.1资产是什么 ?

关于资产的话题,虽然实际工作中各家企业都肯定涉及,安全的负责人也都积极争取在资产方面的投入,但是,系统化的讨论并不十分多,而且也并没有一个统一的结论。每家企业都希望投放最少的资金获取最多的收益,人之常情,无可厚非;我们先来讨论一下安全运营视角下的“资产”都包括什么?这里所讨论的资产,主要是分有形与无形两类。有形资产包含了传统的服务器、交换机和路由器等,简言之“看得着摸得到”的硬件设备;无形资产包含了各类IT系统、带有各种安全功能的系统、数据管理系统、备份与恢复系统和加密系统等,同时还包括了各类设备与系统运维过程中处理以下工作所涉及的系统或者工具,包括病毒防护、审计、网络、访问和鉴别等。

1.1.2为什么重资产?在企业信息化脚步如此之快的互联网时代,安全的工作,已经绝不能只靠人来解决,即使这个人是一个顶级的安全高手。传统的硬件设备肯定要有,另外,也绝对不能忽视安全设备(有形与无形)在安全工作中所起到的重要作用。近几年提倡的“自动化”“信息化”慢慢地实现在工作中的各个领域,安全自动化与信息化也随之而来,无论是安全设备或是安全产品,都是很多顶级安全技术人的技术能力输出的结果,并解决着通常情况下的安全问题。“人”是最不可控的因素,人性本身的变量因素不可否认。如果做这样的选择,到底是将安全防御能力寄希望于安全资产,还是寄希望于顶级安全专家?笔者更希望是安全资产的比重更大一些,从企业的角度来说,这样的选择风险会降低。所以,重资产的本质是相对稳定地将顶级安全技术能力为企业所用,一定程度上规避“人”的风险,去解决一般性的或是通用性的安全问题,余下的、特殊的安全问题我们可以依靠人来解决。当然,重资产也要看“重”的程度,如果企业非常重视资产的投入,解决的也可以是个性化安全问题。

1.1.3为什么轻响应?这里的轻响应,是相对于重资产而言。我一直觉得,无论是工作还是生活,未雨绸缪优于亡羊补牢。“未雨绸缪”主要是事前防御,“亡羊补牢”更多指事中响应、事后补救。安全的工作,最理想的状态是做到风险可控,风险不可能百分之百避免,但是,如果风险可控,在可接受的范围之内,即使发生了,有提前准备好的预案。相对来说,意料之中的事情就好解决多了。当我们在上面“重资产“环节已经做到充分,那么,大多数的风险已经被排除了,余下的便是例如”0day”这样的小概率事件了。即使发生了,也是行业问题,而非某个企业自已的安全问题了。因为有了上面的重资产,所以,可以在响应的环节做到适量的放轻,工作的压力也会变小,来自于人员要求的压力也会变小。据我了解,国有企业更重资产,而互联网企业更重响应,现在互联网企业也在不断地把资产这一块增加,有时候也因企业规模大小,行业差异等诸多因素不同而不同。

1.2员工安全态势

这里讨论的员工安全态势,主要是从安全运营的角度讨论员工的管理问题,可能会与人力资源方面存在交集,包括从人才筛选、背景调查、入职培训、岗位培养、晋升机制和离职脱敏等。

1.2.1人才筛选,大致包含HR简历筛选和内部推荐。在上一篇我们曾经提到过,通过社区运营等外部渠道可以积累很多安全人才资源,同时,在企业内部,也可以通过活动或者是虚拟组织方式挖掘出对于安全感兴趣或是在安全技术方面有一定能力的人才。当企业需要扩充自己的安全团队的时候,这些人才资源便有了用武之地。就我个人曾帮助过老板组建安全团队的经验而看,成功率最高的,也是目前负责人最喜欢的方式便是内部推荐或者是圈内人士推荐,首先推荐人对候选人有一定的了解,甚至有一些可能共事过或者是朋友,包括人品、技术能力以及职业规划;所以,可以有的放矢的推荐给目标企业或是负责人,免去了很多在筛选简历方面的时间;相对于其他技术领域的行业,安全的起步其实不晚,但是,进步缓慢,并不是因为人才本身,而是安全行业的发展受限于计算机行业的发展,只有当计算机行业发展到一定程度,企业达到一定规模的时候,安全随之才有一定的认可度。所以,至今,安全人才的缺口仍然是非常大,瞬间的安全行业爆发给这个行业带来了发展的契机,但是同时人才的大量短缺也是必须面对的窘境。

1.2.2背景调查,背景多指一个人的过往经历,经常被作为判定这个人未来可能会发生情况的参考。安全行业是一个特殊的行业,会涉及大量数据、隐私、权限、法律等带有保密色彩的领域,尤其是《网络安全法》出台以后,从事安全工作的人由于工作原因,轻则失业,重则犯罪,但又由于无论是高校还是各类培训学校,与安全相关的专业出现的较晚,发展的并不十分成熟,很多从事安全行业的人并非科班出身,而是半路出家,所以,安全行业的人无论从学历、专业、经历等都比较复杂。为了避免一个人入职以后,产生的劳动纠纷,所以,在入职前,企业应该对候选人进行彻底的背景调查,这对企业负责,同时也对候选人负责,如果双方选择的并不匹配,对谁都是一种损失。传统意义的背景调查通常来自于人力资源方面,包括学历查验真伪,前一家或几家公司工作经历真伪,各类所持证书有效性等;但安全视角下的背景调查在传统背景调查的基础上,应该增加政审或是无犯罪证明、安全圈内灰度调查、失信记录、人际关系、绩效水平等等,通过灰度手段进行非正常渠道调查,得到最真实的数据,避免在源头增加了企业的风险。

1.2.3入职培训,其实传统意义上的入职培训由人力资源部门进行,会培训一些企业的文化,公司价值观一类的等等通用性知识。安全岗位的入职培训则需加入安全教育的内容,包括安全意识、安全操作、合规、法律、安全企业文化等内容,同时管理层需要有安全管理方面的培训,技术岗需要有技术专项培训等,培训之后,需要有对应的考核标准及分数,应该计入转正考核之内。岗位培养,这应该是被计入人力资源范围之内的,但是,由于人力并不懂具体安全技术,所以,此项工作通常由安全部门自己进行了。安全部门的人员岗位,其实和其他技术部门相差不多,通常分为技术(开发、运维)、产品、项目和运营。需要针对不同的岗位,制定规范性的岗位培训手册,不定期进行培训及考核,此考核也将计入KPI之内。晋升机制,此处讨论的晋升机制是在人力资源要求的符合企业原有晋升机制基础之上,增加了安全独特的部分,应当包括工作期间是否有违反安全规则的行为,是否出现忠诚问题,是否人品问题等。在我认为,安全工作,人品第一,能力第二,如果本末倒置,一定会出大事,只是时间问题。

1.2.4离职脱敏,这个要求应该是安全工作或者是涉及保密信息岗位所特有的。安全工作有可能涉密,权限相对也比较大,所以,建议企业一定要设立离职后的脱敏期或者签署离职脱敏协议,避免给企业造成较大的损失,此处每家企业各有不同,可以再议。

1.3企业态势感知

在这个话题里面,展开说,可以说的很多很细,概括说也可以说的笼统简单。当企业发展到一定规模的时候,安全的工作已经不只是救火的问题,需要提前感知,纵深防御。可能从行业说起,清晰一些。传统行业倾向于直接购买安全厂商的态势感知产品,减少了自己技术人员的投入,同时采购相对成熟的态势感知产品,直接解决问题;而互联网企业正好相反,会投入大量的成本在技术人员身上,通过技术人员的力量研发适合企业的产品,降低数据安全方面的风险,也研发出带有个性化功能的系统或产品,迭代等后续问题也方便解决。在这里,我还是建议,成熟的企业应该采用系统或者产品来做到态势感知这个工作,而并非依靠人。目前,态势感知已经趋于成熟,很多企业也已经有成熟的系统和产品,去解决自己企业的安全态势问题。

2、安全运营情报联盟

2.1漏洞情报感知

做安全工作的人都知道一句话,没有无漏洞的系统,所以无论是多么完美的系统都无法绕开“漏洞”一词,既然无法避免,那就面对和解决。建立行业内共享的漏洞情报感知系统可以缩短漏洞发现的时间,减少高昂的挖掘漏洞的费用,互补企业间的优势资源;当然也要克服不同企业之间管理模式和方式的不同。

2.2负面新闻、情报共享平台

每家企业都希望有一个正面的市场形象,但是,若安全出了问题,企业的负面新闻直接导致形象尽毁,造成不可估量的损失;一旦损失造成,是无法消除的,只能是及时止损。建立统一的负面新闻情报联盟,各家企业的负面新闻第一时间通报给对方,追赶时间就是止损的第一个关键因素。在这个情报联盟里面,负面新闻可以互通有无,第一时间获取,采取对应的解决方式。

2.3管理安全风险解决方案

各家企业,可以共同探讨出一套成熟的安全风险解决方案,包括技术、公关、法务等。当遇到不同类型的安全问题,通常采用什么样的解决思路、解决方案,关键时间点和事件处理规范等。不同的行业、不同的领域、不同的阶段都会有不同特点的安全问题,大家都本着开放的心态、取长补短、相互帮助才能形成一个健康的安全生态。

3、安全运营国际接轨

3.1白帽子国际化

近几年白帽子群体的发展速度很快,白帽子为整个安全行业也做出了巨大的贡献。技术是不分国界的。我们的白帽子应该“走出去”,同时也欢迎国外的白帽子“走进来”。一方面,企业应该投资人力和物力带领白帽子走向国际,提供更多白帽子国际交流的机会,现在有一些企业已经开启了这样一扇门,以游学的方式、技术交流的方式、参加国外大会的方式等等。同时,也有一些企业开启了招募国外白帽子为自己企业提漏洞的平台,弥补了国内安全技术能力的不同,同时也收获了外国人挖洞的技术思路。

3.2安全合规国际化 中国企业在国际化经营的道路上,应该将“合规”性摆在首位,重视合规风险的管理。有一定规模的中国企业,现在都已经将经营不断地发展到国外,在项目实施地需要遵守当地国的法律法规和公共利益,安全合规也无法绕开,只有在合规国际化下经营,中国的企业才会得到当地国的保护,避免造成名誉损失、财务损失,甚至是法律制裁。于安全行业而言,例如2018年5月25日取代《数据保护指令》正式生效的《欧盟通用数据保护条例》,扩大了用户个人数据的定义,对个人信息的保护及监管达到了前所未有的细致程度,对企业保护个人信息提出了更高的要求。只有充分地研究国外相关的法律、规章、规则,才能提高企业合规风险管理的能力,建立完善的合规管理体系,降低合规管理体系的漏洞,避免遇到不可控问题,即使遇到了也有对应的解决方案。

3.3技术交流、技术情况国际化

技术交流是企业之间、技术人之间展现自己的技术实力、分享技术成果、发表技术观点以及传递技术精神的一种活动。有时候,可能是一些自己的新书、新理念、新产品等等。单纯从技术的层面,是没有国界之分的。真正先进的技术理论、观点或者是产品可以走遍全世界,让所有的技术人受益。笔者倡导技术交流的活动应该走向国际化,与国外先进的企业、技术专家对接,看看外面的世界是什么样子的,外面的人现在关注的是什么,得到最直接、第一手的资料,感受他们先进的技术实力、学习先进的技术成果、参考他们的技术观点,从中弥补我们技术领域的不足,发展我们的强项,规避我们的短板,当然,如果我们在某些技术方面领先的话,我们同样引领国外企业和技术人,展现我们的技术实力和水平,推进技术交流国际化的生态发展。

4、未来安全运营

未来的安全运营并不久远,有一些愿景已经慢慢在实现。

4.1安全运营可视化

三篇文章讨论下来,安全运营的价值到底如何体现?笔者认为,只有将安全运营的价值让大家看到、脉象让大家清楚、风险让大家了解,做到安全运营可视化,这会是安全运营工作一个突破性的成果。

4.1.1价值可视,脉象可视,风险可视

重视安全运营的企业,笔者认为可以搭建安全运营平台,可以将人的资源、技术的资源、项目资源等等都放在这个平台上面。通过一定的方法论将企业里面所有的资源都整合运营起来,做到资源最优合理使用,将每一块资源的可利用率达到最高。同时,也将安全运营工作的价值通过一定的分析方法,用数据体现出来,展示在大屏上。在这个平台上面,还需要体现出来脉象,安全运营工作中每一项工作开展的节奏、工作开展的程度、工作开展的进度。通过对脉象,安全运营工作的情况、安全部门资源使用的情况、安全运营工作的价值、安全部门的价值都可以得到很好的判定,并且可以预测风险性。使风险达到了可视化。

4.2信任机制成熟

信任机制的成熟度与否体现了一个国家、一个行业的成熟度,信任机制能够促进行业发展,同时行业的良性发展也促进信任机制不断走向成熟。

4.2.1信任机制体系

建立完善的信任机制体系,可以成为风险规避的一种手段。完善的信任机制体系包括信任评估标准体系、信任值计算模型、信任值应用场景、信任管理等。目前,对于信任机制应用较为的领域一般在金融行业,例如各大银行发放的信用卡、支付宝的芝麻信用等,可以根据一个人的各种背景、通过一定的方法论来评估对应的信用值,从而决定一个人的消费领域和消费范围。事实上,信任机制的问题也是安全运营工作的一个很重要的组成部分,当社会的进步程度越高,信任机制的体系也会随之变得完善。

4.3运营服务化

4.3.1众测

安全运营的工作,我们更多讨论的是对于企业内部自己的价值。通过对人、技术资源的整合与运营,使企业看到安全运营工作存在的意义。试想,如果我们可以将运营服务化,不仅仅是对于企业内部、还有整个行业,发挥更大的价值,是这运营服务化的畅想。众测,是一个方向。众测,简言之,一家企业需要在固定期限内,通过外部可信力量,发现内部存在的风险。目前,市场中能够提供众测服务的机构需要具有一定的资质,所以,并不是十分多。例如大家所知的威客众测、补天众测、先知众测等,都可以为企业提供专业的众测服务。其实,众测可以是企业与企业之间的,也可以是企业内部安全部门与其他部门之间的。例如,安全部门可以发起这样一个运营服务化的项目,号召自己社区的白帽子为业务部门的用户是云租户(如果是云企业的话)发现安全风险,当然从中需要做到的安全监控工作是必须的,一方面为白帽子提供了额外的福利,另外一方面输出了白帽子的安全能力,为用户或云租户提供了安全服务。众测,只是安全运营服务化的一个项目,未来,希望更多的企业会有更多的想法并付诸实现。

4.3.2一键安全运营体系

未来,笔者愿意看到安全运营工作是这样的,“一键”便可以快速地、完整地、清晰地看到安全运营工作的全部。一键可以看到在安全运营体系之下,人的资源使用率、技术资源使用率,人与技术相结合达到的效果,脉络清晰,进程明确。通过可视化的数据与图像,展现出为企业创造了多少价值、为行业做了哪些工作,安全运营工作绝不是单一的只审核漏洞、只维系社区、只做几次活动或大会、只应对检查写几个制度.....安全运营需要成一个体系,从整个安全部门的存在意义出发,建立安全工作的框架、设计人员组成与运作机制、评估安全工作的成果、推进安全工作的改革、对人与技术整体运营负责。

声明:本文来自企业安全工作实录,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。