技術很重要,但攻防只解決了一半問題,安全的工程化以及體系化的安全架構設計能力是業內普遍的軟肋,多數人不擅此道
大多數乙方安全公司的顧問或者工程師其實都沒有企業安全管理的真正經驗,雖不能把這些直接等價於紙上談兵,不過確實是乙方的軟肋
產品線安全裏,一切都會更進一步,不只是像互聯網企業那樣關注入侵檢測、漏洞掃描等,而是從設計和威脅建模的角度去看整體和細節的安全
不想當將軍的士兵不是好士兵,雖然有人想走純技術路線,但是仍有很多人想過要當 CSO。在技術層面,CSO 不會只停留在微觀對抗上,而是會關注系統性建設更多一點
企業安全
- 網絡安全
- 平臺與業務安全
- 廣義信息安全
- IT 風險管理、IT 審計&內控
- 業務持續性管理
- 安全品牌營銷、渠道維護
- CXO 們的其他需求
任何以安全團隊自我爲中心的安全建設都難以落地
對乙方而言,你可以在某個單點領域上無限深挖,而不會遇到天花板,因爲你始終是在滿足主營業務的需求,即使你成爲骨灰級的專家啊,公司也會對你在某方面創新有所期待而給你持續發展的可能性
以狹義的安全垂直拓展去發展甲方安全團隊的思路本質上是個不可控的想法,籌碼不在 CSO 或者 CTO 手中,而是看主營業務的晴雨表
有想法的安全團隊在網絡安全方面做得比較成熟時會轉向平臺和業務安全,平臺和業務安全是一個很大的領域,發展的好,團隊規模可以擴大2、3倍,並且在企業價值鏈中的地位會逐漸前移,成爲運營性質的職能,結合 BCM 真正成爲一個和運維、開發並駕齊驅的大職能
互聯網行業的安全工作
- 信息安全管理(佔 10% 工作量)
- 基礎架構與網絡安全(佔 30% 工作量)
- 應用與交付安全(佔 30% 工作量)
- 業務安全(佔 30% 工作量)
大部分甲方團隊都沒有足夠的人力去應付產品線交付的數量龐大的代碼,沒有能力去實踐完整的 SDL
互聯網企業應對的問題
- 海量 IDC 和海量數據
- 完全的分佈式架構
- 應對業務的頻繁發佈與變更
同時在架構上要關注:高性能、高可用、(水平)擴展性、TCO(ROI)
與傳統企業在安全建設上的差別
從安全建設上來看,傳統企業的安全建設是:在邊界部署硬件防火牆、IPS/IDS、WAF、商業掃描器、堡壘機,在服務器上安裝防病毒軟件,集成各種設備、終端的安全日誌建設 SOC。當然購買的安全硬件設備可能遠不止這些,在管理手段上比較重視 ISMS(信息安全管理體系)的建設,重視制度流程、重視審計,有些行業也必須做等級保護以及滿足大量的合規性需求
互聯網公司一般可分爲生產網絡和辦公網絡,即便最近 Google 聲稱取消內網也是針對辦公網絡而非生產網絡。互聯網行業的大部分安全建設都圍繞生產網絡,而辦公網絡的安全通常只佔整體的較小比重,但是某些傳統企業可能完全沒有生產網絡而只有限公網絡,那麼網絡安全也就變成辦公網絡的網絡安全
互聯網企業的生產網絡中,安全解決方案基本上都是以攻防爲驅動的,怕被黑、怕拖庫、怕被劫持就是安全建設的最直接的驅動力。互聯網公司基本不太會考慮等保、合規這種形而上的需求,只從最實際的角度出發,這一點是比傳統企業更務實的地方
很多標準說到底都是各廠商參與編寫,博弈並達成妥協,有利於自己產品銷售的代言白皮書,並不是完全站在建設性的角度的,作爲乙方給政企客戶寫解決方案建議書無可厚豐,但在互聯網公司做企業安全,生搬硬套某些標準就會鬧出笑話來
大型互聯網企業安全建設方法論
自研或對開源軟件進行二次開發 + 無限水平擴展的軟件架構 + 構建於普通中低端硬件之上(PC服務器葚至是白牌)+ 大數據機器學習的方式,是目前大型互聯網公司用來應對業務持續性增長的主流安全解決方案
隨着 IDC 的規模擴張,安全的成本越來越大,最後被自己巨大的成本”毒死”。對於做慣傳統行業解決方案且客戶手裏都有大把預算的顧問來說,對這一點是沒感覺的,幾千萬元的安全整體方案信手拈來,但是放到互聯網中,一旦業務規模成倍增長,這些方案最終都會走入死衚衕。不止是成本,如果不能做到兼顧宿主的性能,安全架構隨整個業務架構水平擴展,保證高可用性,最終安全措施都會走進死衚衕
以安全集成爲自身職業亮點的人如果不積極學習,會有很大貶值風險,因爲以後不需要堆硬件盒子式的解決方案了,就算堆也不是原來的堆法
很多行業(比如金融)的安全投入很大,但這些解決方案大都是靠花錢就能買來的,而極其複雜的安全建設花錢不一定能買得到,很多都需要自己動手去打造
對於很多實際上依靠業務和線下資源驅動而非技術驅動的互聯網公司而言,安全建設去做太多高大上的事情顯然是沒有必要的
假如乙方公司能推出既能支撐業務規模,又有性價比的方案,甲方安全團隊就沒必要再去造輪子了
雲環境下的安全變遷
安全產品或者解決方案本身需要支持虛擬化、軟件化、分佈式、可擴展,並且利用大數據和人工智能,利用雲端無限的計算和存儲能力,緩解傳統安全解決方案中數據的離散、單點的計算能容不足,信息孤島和無法聯動等問題
在傳統的安全方案中,安全廠商以提供硬件安全產品和安全服務爲主,而在雲環境下,硬件形式的安全方案會越來越不合拍。與之相比,把競爭力構建在軟件層面的安全方案會成爲雲上的主流