一、背景介绍
就职某保险公司,为信息安全部门负责人,职责归纳起来是负责控制整个公司内外部风险,应对新领域的安全挑战和对抗。
自身的经历:从研发,攻防实验室,业务安全,数据安全,安全架构和开发一路走来,也是一种非常有意思的体验。
二、冲突和挑战
金融行业是一个非常有挑战的行业,基本任何一个行业都跟金融行业多多少少有关系,现实来讲没有一个行业能够离开资金的支持,无论以什么形式,也就决定了金融行业复杂和挑战,它基本可以对接任何行业,各行业的业务模式和技术架构的对接就更增加了它的复杂性,金融行业为了支持业务的发展又会引入各种新技术来增加自身业务优势,使得他们业务系统和技术架构在复杂度上更上一层楼,作为一个安全负责人同时要支持技术线,业务线,数据线等多条线,要面临太多太多的挑战,传统的安全模式和服务已经远不能满足现实的情况,这也是为什么很多互联网公司或甲方公司要建设自己的安全部门或团队的原因,自己的问题自己解决。
2.1 各种新技术带来的挑战
2.1.1. 问题和挑战
随着业务线的不断发展以及各种互联网技术的引进,各种新技术占比越来越高,安全部门是否能跟进新技術的演进,并提供这些新技术架构的安全支持,甚至走在其它科技部门前面,这是一个无法回避的问题。
我们本身就在一个不断变化的时代,IT技术因为这几年还联网业务发展更新换代的步伐就更加快,安全又是一个特例,科技线可以分成多个部门,如IT技术(细分:开发,运维,数据),大数据(数仓,模型,数据治理,AI等等),风控,终端,合规等,而安全很多时候它要同时面对他们,安全又是一个小部门大责任的部门,用极为有限的人员支撑这些部门的安全工作,对每个人技术业务能力都有很大的挑战(同时你还要不断迭代这些新的技术),
如果安全人员如果不能了解相关技术栈和业务模式(如:如:容器管理,微服务架构,实时流计算,图数据库,Deep/Machine Learning 等),很难支持整各个科技和业务线(IT/大数据/风控/业务等),这也是很多乙方安全公司人员转型到甲方面临的很重大的一个挑战,也是目前很多甲方安全人员要迫切面临的问题。
2.1.2. 解决方案
1. 终身学习
就我个人来讲终身学习是我个人比较喜欢的一件事,不断的学习各种的知识(同时个人要有判断,哪个领域知识技术是你值得投入的)不断的学习可以给技术人员一种满足感或者安全感,这样的你不会被行业淘汰,不会担心自身价值随时间而流失,保持对新鲜事物的一种兴趣,也许你没有办法深入了解所有事,但是保持新事物的兴趣会极大扩展你自身的广度,同时对加强你自身在某个领域的深度也是有极大好处的,触类旁通就是指的如此。
2. 善于团队互补
一个人始终精力有限,不可能兼顾所有方向,要善于发挥团队的力量,安全也分为很多领域,每个人方向不一,自身知识领域也不一样,把每个人用到合适的岗位是很重要的,部门成员之间也能够互相交流,定期对自身领域的成果进行交流复盘,大家也都能了解对方在做什么,价值在哪里,也能弥补各自可能存在的短板。也能够在工作量较大时可以相互支撑对方部分工作。
3. 开阔视野聚焦方向
安全人员除了要了解安全行业各种信息外,也可对各个相关领域多投入时间去关注一下,这些都不会白费,笔者的岗位工作需要接触各个领域的人员,有技术的也有业务的,既有大数据,也有法律合规,所以需要多个领域的知识和积累,多和不同领域的人员交流沟通,除了能够更加了解不同领域的情况,也能加深自身技术积累,行业的资深人员永远是最好的老师,很多行业水非常深,如果自己去了解没有几年没有人带根本摸不清,但如过有资深人员肯带你,短时间内你就能够把握一个行业或领域的脉搏(有点像投行的行研报告,但远比这个深入),这些知识一方面能够帮助你更加深入发现一个条业务线或一个领域可能存在的风险(这种业务或由人造成的风险你没有足够经验是无法发现的),更加重要的是拓宽你个人的视野,知道清晰知道未来自己该走的方向。
笔者曾经面试过很多安全从业人员,有很多人对新领域有浓烈兴趣的,也有人持续抱着多年前技术抱残守缺(聊的东西还是6,7年前的),似乎认为这个可以用一辈子,这个世界上哪有一辈子的事情,更何况还是IT这个更新最快的行业,这样他自己怎能不为将来担心。
4. 敢于挑战,学以致用
安全向后期演进就是数据量的对抗,数据分析能力的对抗,安全人员除了要了解业界的安全风险,也要了解新的知识体系,也要考虑将这些新领域(如:IT/大数据/AI),引入到自身安全能力中去,如将实时计算框架(如:Flink/Beam 等技术)引入到的安全平台中,通过实时流技术解决大量数据下的实时告警/处理问题。通过不断学习,不断将它们用于实践中,解决现实中的难题(新的技术诞生就是为了解决难题的),通过解决一个问题或完成一个项目,你能更加充分了解驾驭这些新的技术。
5 掌握一门或者多门开发语言
笔者很幸运,从一个研发人员转型到安全,直至目前也一直没有离代码,也在职业生涯中经历了多个大型软件的开发,但是我目前看走技术路线的安全人员(一般:渗透,安服)都不太懂或者说没有开发过或参与过真正的项目,有很多安全人员多数了解的是Python(主要用Python 做一些小工具),更进一步了解Java(Java 体系本身确实也比较复杂)还是比较少的,无论从找漏洞或是分析系统风险,做过开发和没有做过开发发现问题的深度和广度完全不一样,个人以为安全人员最好有过开发的经验,在做安全工作时能力会倍增,在开发的过程中能够真正接触多个方面的技术知识,对加强自身了解整个应用系统环境和架构是非常有好处的。另外安全人员也越来越需要自己动手开发工具或相应安全平台,早晚都避免不了和开发打交道,所以赶早不赶晚,早日学起来吧。
2.2 小团队支撑大业务
2.2.1. 问题和挑战
安全部门或团队通常来讲在每个公司规模都不会太大,都是小团队来支撑大业务,多部门,全公司,这个是现状短时间内也没有太好的办法,各种黑客/黑产(金融行业的高价值数据是很多黑色产业垂涎的目标),监管部门的检查(如这几年的护网行动),各种监管条例和法规遵循,信息安全部门的工作量和风险可想而知。
另一方面因各业务自身演进较快,业务需求变化频繁,多个业务线每周发版频率较高,安全部门人员有限,无法跟进所有业务变化,也没有足够的人力对上线前的系统进行全覆盖测试(仅仅还只是较大变化的版本和关键性系统),这些给安全带来全方位的挑战。
2.2.2. 解决方案
1. 自动化,工具化,平台化
其实最快的解决方案就是招人,但是一方面人员编制不是那么好要的,另一方面随着公司业务的发展多少安全人员才够呢?一个人或者一个部门能力再强如果让它支撑其上千台服务器或几百条业务线的安全单纯靠人力也没有任何可能性。笔者自身是研发出身,比较喜欢DevOPS,目前又是软件定义一切的时代(如:SAN,SDN),将安全能力自动化,工具化,平台化是大势所趋,再复杂的系统,数量再多主机,如果有自动化程度足够高的平台,支撑这一切是很轻松,而安全人员自身也有足够的时间去从事其它重点工作。
2. 规范的流程和体系
笔者将多个涉及安全的多个资源/权限的申请在OA中线上化,通过规范化,标准化的流程能够大大提供工作效率,任何部门无论想申请什么权限,提取什么样的数据,配置什么样的服务,各个部门人员可根据创建的标注流程去申请,避免了人工沟通确认的大量成本和各种重复工作。
2.3 业务业务深入度不够
2.3.1. 问题和挑战
安全人员比较注重漏洞风险,系统底层的研究,很多人最大的关注就是挖各种漏洞,收集各种0Day,当然这些固然很重要,可是对一个甲方的安全人员来讲是远远不够的,有很多严重的漏洞都在来自于业务本身,不是业务流程上的,就是业务模式上的,恶意用户或黑产人员只要觉得攻击目标足够有价值,舍得花时间,吃透了业务,从撸羊毛到各种流量劫持,从数据污染到新媒体欺诈,已经远超单纯的数据脱库,买卖数据那种简单的模式了,现在黑产的复杂度远胜从前,很多攻击手段和获利模式都是一般人很难想到,很多时候整黑色产链条里面有各种利用金融工具结合技术手段来变现和获利的方法,如果你仅仅只是了解安全本身,你很难进行对抗。
安全从来不止是单纯的技术,对业务了解的深度某种程度上也决定了你安全的深度,安全从未离开业务,。
2.3.2. 解决方案
1. 贴近业务
可以多和业务部门,风控部门多多沟通,了解一手的业务模式和流程,一线业务人员他们一般是整个公司最了解某条业务线的人,另外公司在都有业务评审,这个时候业务部门和IT部门也会提交详细的需求文档,安全部门通过评审详细了解业务系统的细节以及和业务部门进行沟通。
2. 轮岗
这种方式不具有普遍性,如果你能在业务的岗位上工作一段时间这个将是你最快也是最好了解业务的方式,但是很多公司不具备这个模式,所以还得看具体情况。
3. 了解行业动态
安全人员不要只埋头苦干,也要了解行业趋势,安全技术能力固然重要,但是很也要把握行业趋势,老话说的好“不要只埋头拉车,也要抬头看路”,很多时候方向错了,也就离目标越来越远了。知道该向那个方向努力其实很重要,业务和IT的发展方向永远是你要关注的,了解行业趋势能让你更清晰的知道大家都在关注什么,也能使你站的更高看的更清楚,更容易找到你自己的道路和方向。
笔者见过很多这样的场景,安全技术本身演示的时候很炫酷,大家会上都说好,但是事后一直没什么结果呢,关键是你不能创造价值,不能够解决关键问题,这个是目前安全从业人很多都会面临的问题,自身的价值点在哪?(不单单是传统安全所做的工作)笔者也在一直在思考,也在寻找,了解业务趋势和发展方向对你找到自己的价值点肯定是非常有帮助的,也欢迎大家一起多多交流,能够碰撞出火花。
三、结束语
我大概简述了一个安全人的烦恼和忧虑,因为限于时间和篇幅的关系,很多问题也没有展开讲或者还没来得急讲(如:数据安全和客户隐私保护,传统安全问题的刨析,编码/架构设计能力等问题),很多答案也仅仅基于我自己实践和思考,肯定也也有很多局限性,我挑了几个有代表性的问题,也许这不仅仅是安全从业人员的挑战,可能是很多IT人面临的挑战,面临挑战怎么办?只要还在行业中,躲是躲不了的,那就只能迎难而上,直面挑战,引用一句老话这个时代唯一不变的就是变化本身。另外我个人很喜欢交流,所以欢迎大家随时沟通,一人计短,众人计长,希望能找到更好的道路和答案。另外这篇文章首发在TWT社区,在此说明一下。
*本文作者:nexpose,转载请注明来自FreeBuf.COM