我是从 2018 年 5 月开始进入甲方,开始从事甲方安全工作的,进入甲方之前以为技术是安全的全部,进来甲方才知道,解决安全问题才是安全的核心,七分管理三分技术,很多安全事件的发生不是因为技术问题,而是管理不到位,制度落实不到位等等,在甲方,技术是作为规范和制度的补充来推动制度和规范的落地,从而保障企业的安全。
评判一个甲方安全做的好与坏,不是说你所保护的企业,最长的板有多长,而是最短的板有多长,而对于攻击者而言,攻击企业是否成功,取决于攻击者技术最长的板子是否比企业最短的板子长,如果是,那么攻击成功的可能性就很大,所以作为攻击者和防御者,关注的内容以及所做的事情是不一样的。
对于防御者而言,大局观和经验是非常重要的,能够识别公司的短板,并将其加长是甲方安全从业者不断完善的方面,提升攻击成本,增加攻击难度,快速发现入侵,及时止损,在必要的时候可以溯源,这都是对安全防御者的要求。
对于安全从业者而言,技术方面的资料数不胜数,而经验是非常可贵的,尤其是有多年安全经验的作者,比如赵彦写的《互联网企业安全高级指南》,是我进入甲方之后,从一个懵懂的小白,知道了在甲方安全需要做什么,开拓了安全的视野。今天给大家推荐的是石祖文写的《大型互联网企业安全架构》
国家漏洞库特聘专家,有着近 20 年的信息安全行业从业经验,早年参加过中美红客大战,并参与过政府机构、电信行业、奥运会等组织的大型信息安全建设项目。先后工作于奇虎 360、安全宝、华为等知名企业,担任过技术负责人、首席科学家、首席安全官等,现任华为首席安全专家/架构师。参加过 XDef、OWASP、WOT 等多个知名安全大会并进行演讲。培养的技术人员遍布各大互联网企业,并且有多位担任 CSO 等高层职位。既负责过具有千人规模的互联网公司整体安全体系的从零建设,也参与过具有十几万人规模的全球化企业在走向国际化的进程中进行的云安全体系建设。
这类书籍属于指导性质的书籍,你可能不会看完书,就能直接提升企业的安全能力,通过阅读前辈多年的经验积累,提升我们对于安全的视野,做到用最小的资源达到安全最大的效果,因为安全的投入不是源源不断的,在如今这个大环境不好加疫情期间,企业在投入方面更加谨慎,考验一个安全负责人优不优秀就在于是否可以利用最少的资源发挥最大的价值。因为大家都知道做什么,安全建设不就是买买买嘛,在有钱的时候,大家都能做的像模像样,而在穷的时候,大家的安全建设高度就参差不齐了,安全负责人优秀不优秀就显而易见了。
这本书既然是讲安全架构的,大家觉得可能比较适合企业的安全负责人或者架构师之类的人群。其实不然,因为安全架构讲的是思想不是实现方式,你能得到的不是跟着流程一步一走,而是安全的思想境界的提升,如何让自己的安全价值在企业得到体现,即然选择安全这个行业,那么我们就应该知道,我们的价值什么,如何体现我们的价值,尽可能帮助企业解决安全问题,实现自己的价值,得到我们应得的报酬。
大型互联网企业安全架构的最佳实践为主旨的综合性图书,汇集了作者近20年的安全实践工作经验,既覆盖了IPDRR 模型、IACD、网络韧性架构等国际著名安全架构理论,又讲解了 ISMS 管理体系、BSIMM 工程体系、Google 技术体系等业界知名安全建设体系,并且对一般互联网企业必备的技术体系,如基础安全运营平台、安全开发、企业办公安全、互联网业务安全、全栈云安全等,也做了深入剖析,最后还展望了前沿安全技术。
企业安全建设初期,是在救火,case by case 的解决问题,而这种方式是指标不治本的,你可能很长时间没有遇到救火的事情,不是因为安全做的好,也可能是因为你没有发现火在哪里,所以安全建设该怎么做?所有安全负责人公认的方式就是安全体系化建设,把风险扼杀在摇篮里,让火熄灭在萌芽期,所以这本书也可以帮助我们提升体系化的思想,从根本上解决问题。
这本书你想要吗?如果是我的话,我一定想看看,毕竟经验是最难能可贵的,如果你想买来看看,请点击文末阅读原文购买。
无论你从事安全的任何岗位,对于安全一定有自己的理解,我相信只要你愿意分享,一定可以写出一些感悟。
活动分享主题:谈一谈你对安全攻防的理解
奖励方案(时间截止 2020 年 3 月 15 日 24 点 00 分 00 秒):
1、信安之路公众号读者(留言板留言,选择分享内容中最优的三条,每人奖励一本)
2、信安之路知识星球成员(完成知识星球作业,点赞数量前七名,每人奖励一本)
购买链接:https://u.jd.com/63vmcD
相关文章:
如有侵权请联系:admin#unsafe.sh