这一年,
“安全运营四杰”走上了历史舞台,旗帜鲜明亮出自家观点:这一年,从BCS(北京互联网大会)到ISC(互联网安全大会),从Insec World(世界信息安全大会)到CIS(网络安全创新大会),在“安全运营四杰”及追随者的不懈努力下,“安全运营”已成燎原之势,好不热闹。
以至于当笔者翻开桌上那本已经泛黄的、2011年出版的《白帽子讲WEB安全》看到第十八章标题“安全运营”时,突然有点恍惚,原来刺总在十年前就给“安全运营”写下了这段文字:
……安全是一个持续的过程,而“安全运营”的目的,就是把这个“持续的过程”执行起来,健康的企业安全,需要依靠“安全运营”来保持新陈代谢,保持活力。
看来,安全运营并不是什么新冒出来的名词。难怪lake2在Insec World 2020大会做《安全运营体系建设--理论与实践》演讲,讲到团队在复盘阶段,如何根据蓝军的攻击路径梳理红军防御点有效性时,贴了一张“黑客入侵场景检测能力审计表”,表格左上角写着制作日期 -- “2010年7月”,并感叹道“原来我们做的这件事就叫安全运营啊,只是当时没这个概念”。
你看,专家的观点在本质上并没有分歧,都认为安全运营是一个过程,只是对过程中所做的事情,在表述上有差异。有人认为是解决风险,或者严谨一点,风险不可能完全消除,只能在特定ROI下予以控制;有人认为是解决问题,风险是问题的子集,还可以包括组织架构、流程管理等;有人认为是提升安全能力,因为能力这个词更为宽泛,所以可解释性更强,可谓上天揽地,无所不包。
遇到很多人:1)既要开展团队内部运营。你要做好人员的去任留用,如何培养新员工,如何让新员工尽快融入团队并立足,如何进行知识传承确保不因一个人的离开造成工作瘫痪,如何在下属造成定级事故时“高举轻放”,如何在资源有限的情况下对成员进行激励,如何凝聚人心营造良好范围。2)也要做好团队外部关系运营。如何向上争取资源,如何和平级团队处理好关系,如何开展跨部门协作,如何与供应商打交道,如何与行业同仁建立交流渠道,如何与白帽子建立合作关系等等。
经历很多事:如何在风险事件应急响应之后完成根因改进,如何进行资产管理确保资产能保持实时状态,如何进行漏洞管理并提高漏洞修复速度,如何建设日志收集分析系统并保持Agent在线率,如何在发现业务有重大漏洞但今天必须上线时“共进退”,如何在没人没钱没时间的情况下顺利完成重大演习等等
有很多感悟:如何建立安全的大局观,如何制作一份领导认可的安全规划,如何设计一份充分融合开发、运维能力的安全架构,如何实现业务、技术与安全的共赢,如何让安全的价值可见可感,如何突破安全从业人员的天花板,如何在困境中看到希望、在迷雾中看到方向等等。
类型 | 涵盖内容 | 运营指标 |
业务安全 | 防止垃圾注册、批量登录、薅羊毛、恶意刷单、裂变拉新作弊 | 调用量、拒绝率、人审率、PSI、规则命中PSI指标等。 |
数据安全 | GRC与隐私保护、防止数据泄露、越权使用、数据安全传输等 | 合规事件、数据泄露次数和条数、越权比例等。 |
基础安全 | OSI 7层模型,覆盖网络层、虚拟化层、主机层、应用层等。 | 流量覆盖比例、Agent安装率、漏洞修复率、MTTD/MTTR等 |
最后,本文并没有给出“安全运营”的定义。笔者认同任何一个行业或职业,从出现、兴起到成熟,中间必定会经历一个从最早的认知混乱,到渐渐有一批人开始百花齐放、七嘴八舌地跳出来去谈论它、分析它、建设它,再到最后围绕着它逐渐趋近于有一套较为完善且大家一致认可的方法论的过程。
“安全运营”的概念正处在这样一个百花齐放的阶段,每一个团队的每一次探索,取得的一些成绩和突破,都是行业的宝贵财富。不用吝啬与保留,发挥安全行业热爱分享的优良传统,一起守望相助吧。
如有侵权请联系:admin#unsafe.sh