FreeBuf甲方群讨论 | 年度总结,甲方网安人的2021
2021-12-31 15:19:43 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

2021年即将过去,回顾这一年,诸如滴滴泄露用户信息、Log4j漏洞等大大小小的安全事件让整个行业波澜起伏,但同时,《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法规的密集出台,也让行业面对复杂问题和乱象的同时有了更加科学的规范和指导。对于即将到来的2022年,Gartner也提出了生成式人工智能、云原生平台、决策智能等在内的12大趋势,行业的机遇与挑战势必更加激烈。
作为本年度的收官话题,想请大家畅所欲言,聊聊自己作为甲方网安人的2021:

1.这一年有哪些令你印象深刻的事件,带给你怎样的思考?
2.亦或是对行业现状及发展态势的探讨
3.甚至聊聊职业本身,今年你是否有升职加薪?对自己职业发展有何规划?

以上问题仅供参考,只要是你能想到和行业相关的,都可进行讨论~

1.这一年有哪些令你印象深刻的事件,带给你怎样的思考?

@苍晓Adam

最深刻就是隐私保护法和log4j事件,安全法规要求逐步正轨和严格。同时大量开源特别是国外开源软件漏洞带了更多的问题和挑战。相关领域甲方需要投入更多,细分领域乙方机会更多。

@扎西小强

各种开源系暴雷,企业在使用开源和商业应用的利与弊。

@胡

印象深刻的是两个,一个是安全厂商的拉胯情况,我们真的见到了,渗透确实有,防守基本就是说说看,天天被打穿,还是需要自己养人,自己做安全运营。第二个,是安全自动化,见识了非常多自动化攻击平台,感觉防守更难做了。

@两块

今年最印象深刻的是在群里学到了很趁手的技能。

@小空

安全方面的事件好像没有啥特别印象深刻的,log4j也还好,反正躺平了,其他的事件吃瓜吃完就过了,没有啥特别的,主要是今年书和群里大佬们的思路,给了不少启发吧,毕竟对比各位十几二十年大佬我还是个萌新,接触的少,认识少,需要多多学习。

@cǒu kē !

地产行业的暴雷,企业的抗风险能力较弱,由此要提高个人抗风险能力,在大环境不好的情况下,自己有快速适应能力。

@Collins

美国加油管道供应商被勒索软件攻击的事 印象最深, 还是用社工方式从内部攻击,加强内部培训。

@安平不太平

最深刻就是年中我的预算因为公司业务重挫导致被压了,没钱用,反思了一下就是有钱就要快点花。

2.对行业现状及发展态势的探讨

@苍晓Adam

上云对于传统安全厂商有一定冲击,更多的安全解决方案需要结合云端方案进行部署联动。行业里安全人才增长迅速,更多的专业人才加入,同时内卷同步加剧,对于人员要求逐步提高。

@扎西小强

安全行业目前还是雷声大雨点小,除非政策监管带动,否则没人愿意吧安全搞得太夸张,毕竟在企业看来外部环境还是比较安全,安全目前就是个成本部门,很难短时间产生收益。

@have faith

在log4j2漏洞中体现的是供应链当中存在的第三方组件的一个可靠性和安全性的思考。在系统引用嵌套的情况下。开发者可能也不清楚其引入了不安全的第三方组件。在开发过程当中去普及SCA第三方组件安全审查的必要性我觉得是非常有必要性的。

@胡

网络安全从业人员水平普遍比较低,脚本小子过多,生产力大佬太少,缺乏比较完整的体系。

@两块

认为行业前景广阔,但是如果有某一行业研究背景应用到业务,安全之路会更远。

@小空

法律法规的完善,安全这个方向没有啥问题,最近了解到很多传统厂商也开始给自己贴点安全属性,传统的机构也在往安全这边靠,混两口饭还是可以的,企业安全来说,大部分还是要靠法律法规鞭笞吧,刑九赏一,不过应付式应该还是常态。

@cǒu kē !

最近和朋友聊,如果只是吧基础的安全做好只需要三件套:WAF+HIDS+全流量,但是如何将安全做的更多更好,需要对业务有更深入的了解,从而在安全开发、安全运营、主机安全等不同方面进行优化。

@Collins

明年会进入全民信息安全时代, 越来越多的公司会考虑部署EDR,部署DLP 部署XXXX等。

@安平不太平

安全越来越重视吧,尤其是个人信息保护以及安全意识这一块,我觉得零信任还是可以在炒一下的。

3.聊聊职业本身,今年你是否有升职加薪?对自己职业发展有何规划?

@扎西小强

安全职业可以说是分布在一个企业和一个组织所有部门岗位得系统工程,不是单单得一个部门和一个岗位。市场需求乱七八糟,规划还还是走一步看一步,谁知道下一个风口有是啥,计划赶不上变化。升值加薪就别想了,保住饭碗最重要。

@两块

今年没有升职加薪,感觉遇到了瓶颈期,很难提升,开始变得佛系躺平。

职业规划,希望换一个为人类社会能有贡献的新兴行业,技术专家路线太难了放弃了,希望做一个只提建议不负责的安全负责人。

@小空

主要看的方向是安全合规和安全运营。

@cǒu kē !

今年算是职业转变比较大,1月份从乙方转到甲方,做PMO+安全运营方案,9月份再次工作变化,目前做甲方安全对外输出的工作。自己的职业规划更想从事甲方安全的运营工作,从业务侧考虑甲方安全应该如何建设。

@Collins

不会加薪,公司本身不会重视安全,只要年终奖正常1:1发放就万岁了。

@安平不太平

22年3月有加薪,已经和领导谈好了,具体多少明年再细谈,个人职业规划,走管理路线,统筹规划体系化建设,偶尔做点渗透工作。

其它讨论

一、关于预算

@Kiki

现在竞争力越来越大,不过总觉得竞争的都是在人员上,有没有在预算上竞争的,比如明年多给点预算什么的,好像没听说涨预算的事情,好多都是在削减预算。

@千域千寻

预算申请感觉可分为两种:主动预算和被动预算。主动预算按照限定规划在领导能接受的合理区间申请;被动预算是由团队leader规划好项目,并陈述项目必要性后争取来的。最难的应该是被动预算部分。那么被动预算就会涉及到向上汇报的问题。

例如:你今年要购买SOC,那么SOC引入的必要性、投入产出比、是否有进行过市场调研这些都是需要考虑的因素,阐述明白这些,领导才有可能给预算吧。

二、如何成为安全圈大佬

@安平不太平

起码成体系化,我说的0到1那种。

@千域千寻

体系化是基于现有资源联动,0-1是从无到有的过程。当然这个0-1可以一个新环境的从无到有(前提业内有方案);另一种是你作为某一垂直领域进行突破创新,从0-1。

@4river

有所长,在提升企业安全水平上有举足轻重的贡献,在我这就可以定义为大佬。

@安平不太平

体系化只能说是安全建设达到一定成熟度,从0-1我觉得做成这样就是厉害了,0-1是基于从企业本身的安全建设进度来说的。

我更佩服的是那种真正能够在现有的理论下落地的实操选手,因为大家在做其实发现很多东西有预算都能去做,但是真正在落地阶段就会出现很多阻力。

@?

挖出来 log4j 这种。

@安平不太平

log4j 本质并不难,只是一直都没人去注意。

@七月流火

我觉得还是有难度的吧,其实现在java web安全的入门门槛挺高的了。

@?

0到1 建立制度或开源软件可以,没问题,只是堆厂商设备我感觉不大能行,发生新型 APT 的时候,能响应的了吗,资产管理做的怎么样、做的什么程度都体现出来了,可能一般攻击,依靠安全设备能做,这种指标,做不到。

@七月流火

新型APT,也离不开攻击的本质,安全不是一个特征签名,是体系化的,从你的权限、隔离、终端、网络、意识方方面面,总有突破口,但这些不是新的玩意。

反应你安全做的怎么样,就是你多久能响应,没安全的时候可能连服务器被控了发现能力都没有,做到1了可能我几天几小时能发现,再往上呢,是不是能做到分钟级响应。

@Kiki

目前整合的大佬必备技能点:

1.有从0-1的经历

2.技术流

3.个人名气

4.响应排查速度

本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码申请加入FreeBuf甲方群,小助手周周送福利,获取最新行业秘籍,还不赶快行动?

如有疑问,也可扫码添加小助手微信哦!


文章来源: https://www.freebuf.com/articles/neopoints/318045.html
如有侵权请联系:admin#unsafe.sh