大家好,我是赛博老周,从互联网甲方出来1年多了,回顾过去的8年信安职场,从最开始在安全公司做技术交付,干过渗透,干过应急响应。后面自认为技术很牛了,而且当时认为甲方才是安全工程师最好的归宿,所以毅然决然的投身互联网企业的怀抱。但到了互联网企业后,发现做的事情完全和想象中的不一样。
很多人没在甲方做过,这里我只说私企甲方。国企或者是事业编或许才是很多网安人想象中的那样,不需要做技术研究,只需知道要做什么,其它都可以买买买。少什么防御能力,买。少什么检测能力,买。少什么运营能力,买。总之一个字:买。这才是真正的豪横的甲方爸爸。
因为我以前在乙方一直做攻防,做渗透相关的事情,在安全工程里更专业的叫法应该是:进攻性验证。现在回头看,其实进攻也是为了验证防御的有效性。比如渗透测试、或者是漏洞分析,最终的目的都是帮客户验证他们的系统是否安全,说白了还是防御中的一环。而到了甲方后,我发现啥事都要干,一开始是给公司自己的业务系统挖漏洞,几个月挖了一大堆洞,后面就开始遇到别人不积极修复的情况了(毕竟互联网企业每个人都很忙),然后就思考怎么样让人家愿意修复?思来想去,自己还真没办法,安全在公司的地位我相信很多甲方的人感同身受,所以就找到了上面领导反馈:“领导,我们安全团队的职责是发现问题,但人家不愿意配合解决问题怎么办,您能不能给点支持啊?”。然后就开启了漫长的安全制度建设,逐步将安全纳入绩效考核,回想起来这个过程是非常难搞的,因为有些企业的领导并不真正的懂安全,或者有意识到信息安全在组织中的重要性,所以经常是口头说:“好,我支持你”,但实际情况却一言难尽。
后来慢慢完善了安全制度,有了漏洞管理,安全事件管理。所以专心搞进攻的日子就一去不复返了。任何事情想要规范化,就必须管理。包括到后面的公司,我做事都是尽量向规范化靠拢。如果啥规范都没有,做啥事情都没参考依据,做啥事情都不留痕,做事情之前都不考虑投资回报率等等,没计划漫无目的的去做,今天这里打一枪,明天那里放一炮,安全建设怎么做的好?特别是学习cissp过程中,我意识到,一家企业安全做的好不好并不是取决于安全人员的技术牛不牛比。有没有健全的安全制度,领导够不够支持才是关键因素。但现实是残酷的,大部分企业高层并没有意识到这一点,或许招几个安全团队只是为了应付监管,为了合规上市之类的,或者是出了问题招个背锅侠或者是救火员,只有极少的企业高层会把企业信息安全和业务一样放在战略层,别看有些公司口号喊得响,但是真的和业务战略一样重视?
信息安全是一个工程,和建筑工程、软件工程等等工程一样,都是非常复杂的。需要规划、设计、实施、验证、优化,而不仅仅是救火。不管是数据安全还是应用安全,都应该将安全尽可能的左移。比如在软件开发生命周期SDLC中,仍然有很多企业等到软件开发完之后再进行安全测试,为什么不再需求的时候就来找我们咨询需要加哪些安全需求,只考虑业务需求而忽略到安全需求,虽然交付时间更短了,但后期遇到各种各样的安全问题,改起来难道就不麻烦吗,有些甚至需要大改。
安全前置真的真的非常重要,但不管是软件生命周期还是数据生命周期,也不能一味的追求安全前置而落下其它阶段的安全工作,比如应用安全工程师要和软件架构师一起参与设计,再不济也要对软件架构师的设计做威胁分析。验证这个我就不多说了,很多公司都有在这个阶段做事,不管是devsecops(sast、sca、iast)也好,还是人工挖洞也罢,或者自己搞个src平台让白帽子帮忙挖洞,这些手段都是验证阶段的事情。
最后讲个段子吧,之前我面试了一家安全公司(安全解决方案专家)。面试官问我:“如果你是企业安全负责人,你会怎么开展安全工作”?我:“当然先要对企业现在的安全情况做一个评估了,然后再决定怎么开展?”。面试官沉默几秒后又问:“那你怎么做安全评估”?我:“参考业内评估标准,比如ISO27001、Cobit5”。面试官沉默了几秒又问道:“除了参考标准,你还有其它办法吗”?我沉默了半秒:“不参考标准去做也行,但评估的结果或许不够全面和准确,而且效率少可能是比较低的。您不觉得沿着别人造好的桥走过去比自己摸着石头过河更好吗?有更好的选择为什么不选?”。面试官:“今天的面试先到这里”。。。
原文始发于微信公众号(信息安全笔记):8年老网安关于职场的一点思考