本文来自一位名为“HunZ1”的不愿透漏姓名的，具有两年半渗透测试经验的安服生的一些转岗经验思考

安服仔对安全运营的一点思考

最开始其实对安全运营毫无概念，慢慢有了一些思考

1. 安全的三个维度

根据工作和经验理解吧，三个维度分别是：安全运维、安全服务、安全运营

1.1 安全运维

所谓的运维，就是对某个具体的厂商（比如 360、绿盟、青藤云）的产品进行使用，这种运维就比较单调，工作也比较无聊，且机械化。有些时候可能用一些脚本工具就可以完成这些事情（对一些任务进行扫描），这可能也是最低级别的安全维度吧（个人理解）。可能这就是工具人吧。主要就是查看产品有没有正常运行，工作职责就是保障产品的正常运转。

1.2 安全服务

从事安全行业两年多了，最开始就是做安全服务的，虽然没有做出啥成绩，但是接触的东西就是渗透测试。客户给网站，然后对网站进行渗透测试，这种东西真的就是一锤子买卖。完全不能从根本上解决问题。渗透测试能找到漏洞，然后修复。开发人员又不懂安全，可能下次产品更新迭代还是会出现同样的问题。对开发人员进行安全培训？这是一条路，但是开发本来就那么累了，开发人员还会想着去学安全吗？不过这条路还会增加到安全这个行业的竞争，开发人员懂代码，再突然来学习安全，是很容易的，一不小心就把专门做安全的人给卷死了。

1.3 安全运营

其实安全运营说得更加直白点就是产品运营，产品+人工的方式对整体的安全态势进行把握，把所有的产品日志集合起来，终端日志、服务器日志、waf日志、防火墙日志，这些日志集中到一起，然后通过一些规则、语法，在某些非正常的操作就会触发告警，通过这样的方式来实时监控着安全态势。在这个过程中，很多问题在于日志的解析，产品的字段不一样，使用手册不一样，需要把他们的维度做到一致，并且相关字段的意义要弄明白。建立一个整体的体系，能够监控着整个公司的实时状况，整体来说就是公司的任何一个人在什么时候干了什么操作都是知道的，当然，这就代表着没有隐私可言，也能在一定程度上规范人员的工作内容吧。但是这个前提得是接入了足够多的设备日志，才能够监控到人员的一举一动。

2. 安全与业务

2.1 业务

首先得弄明白，一个公司，能挣钱的永远都是他的业务这块，安全都是为业务进行服务的， 安全是为了业务能够正常开展。安全为业务保驾护航。

2.2 安全

怎么样才能安全？能够监控到网络实时的流向，公司中网络的一举一动，这样并不一定会安全，但是这样做能够在一定程度上给我们一个途径去回溯发生事故的流程。找出其中的问题和原因，让我们可以亡羊补牢。

2.3 安全与业务

当我们在业务中考虑到了安全的因素，使得安全变得更安全了，那么其实也会需要额外的安全，因为业务的更新迭代需要考虑到很多的因素，这样的情况下我们有一个额外的，独立的安全流程，那么就能够保障业务的进行。

3. 产品运营的现状

3.1 客户不太认可

基于工作角度分析，目前所遇到的客户感觉对这个东西不是特别感冒，很多甲方的安全设备买了一大堆放着吃灰，所以再怎么推也不是那么容易得到认可。客户还是会认为这个产品只是一个态势感知平台，虽然从实质出发，这确实只是一个态势感知平台。其实从两家从业的公司角度出发，这个态势感知平台真的是天差地别。感觉一个是虚假的态势平台，另外一个就是真实的态势感知平台。需要得到客户的认可，真的需要让产品在客户现场有很多出彩的地方，但是现在的产品基本上都是误报误报误报。其实从我的理解来说，也不算是误报吧，因为产品使用的方式是：宁可错杀不放过 。只能说产品的精确度太低了，所以这些东西需要专业的安全分析人员来进行优化。

3.2 沟通不顺畅

现在我所做的安全运营是 MDR，也就是远程的安全运营服务，远程会出现的问题就是沟通问题，在编写规则的时候很多时候需要和客户进行沟通，因为毕竟只是一个乙方人员并不能完全了解甲方客户的现场环境、业务内容。在编写规则的时候经常会畏手畏脚的，需要客户的配合。遇到问题需要及时和客户沟通。

3.3 产品过多

客户现场会有很多产品，其实首先需要了解到每个产品的作用，然后把这些产品引用为数据源的时候把日志解析出来，但是其实更多的时候都是用以致学。当客户提出需求，再去找相对应的产品的日志字段。有些时候客户提出的问题并不能找到解决办法，因为他们只是从自己的角度出发，会认为运营工程师全能，产品也是全能的。当然这也是对工程师技能方面的补全，也是对产品进步的方向的延伸。在这个过程中也能学到甲方客户希望得到的东西，为以后从事甲方工作积累一定的经验。

4. 期望的安全运营

4.1 工程师

工程师能够懂安全、能够懂产品。所谓懂安全就是能够看得懂攻击告警，能够判断什么正常访问，什么是攻击流量，至于懂产品，那就是能够熟悉产品的功能，利用自己的安全知识结合产品把工作做的更好

4.2 产品

产品这块就是能够不断收集客户的需求，针对客户的需求能够进一步优化产品，让产品变得更加智能化，然后逐渐实现自动化。并且产品也能够降低很多误报，提高准确率

4.3 客户

熟悉业务的人永远只客户自己，所以客户需要自己有自己的安全团队来运营，前期的话肯定是买厂商的产品来使用，逐渐上手之后可以自己根据业务和现场的安全产品编写规则，实时监控着内部的安全。