前言

近来“企业安全”这个话题比较火热,一个人的安全部、甲方安全建设相关文章倍受大家欢迎。网上已经有不少甲方安全建设相关文章,其中不乏身经百战之后的填坑解读,也有不少成功的安全项目分享,但大多都是非常体系化的结构。然而本文与之大相径庭,仅从甲方“搬砖工人”的角色出发看待整个企业的安全,结合切身负责或参与的项目,对自己平时工作中的所见+所闻+所思+所感进行记录总结。
之前在国内某老牌安全乙方公司,并没有体系化的做过企业安全建设相关项目;今年刚实现从乙方到甲方的角色转变,甲方安全建设之路也刚开始不久,没有经过系统化、工程化的安全资质培训;仅凭借自身的项目经历(渗透测试、APP安全评估、风险评估、代码审计、应急响应、安全培训等)+平时积累(甲方安全建设相关文章与书籍、向其他甲方安全大佬请教问题等)+最近甲方工作积累,出发视角较为狭小&高度不够,如果出现不足与错误之处,还望指出并劳驾见谅与包涵。

企业安全需求

除了没有被外部黑客攻击造成财产损失外,影响企业难以花费成本在安全建设方面的因素还有很多,比如企业业务还没有到达一定规模、没有相关部门的监管、没有第三方的合作监督等。如果要想把公司的安全做好,首先需要获得领导的支持与重视,通常较为常见的有以下几种方式。

1) 安全事件
公司主页被纂改造成不良声誉影响,业务场景存在安全缺陷导致被恶意攻击造成财产损失,内网服务器被远程植入挖矿脚本占用大量系统资源,...各种安全事件层出不穷。作为甲方的安全人员,除了需要掌握必备的安全技能来应对安全事件的发生外,还应该充分认识到每次安全事件的宝贵性,合理、充分的利用安全事件。首先是对产生的原因、影响、危害等进行分析、评估、止血,其次是对原因进行深挖与扩展,联想到企业当前的安全威胁,使之与当前进行的安全项目甚至即将开展的、潜在的安全项目结合,发挥“一次安全事件,一波安全整改,一次企业安全能力提升”的实质效果。

2) 合规检查
不少行业都会有相关机构的安全检查,比如拥有支付牌照的支付公司而言,每年多次的人民银行安全检查,各种合规性要求各种指标都需要达标。此外针对部分系统还要求过等级保护,这无疑又是一层安全的壁垒。
先从乙方公司的角度来看,之前参与过很多安全评估与等级保护的项目,大到运营商与巨头银行,小到基金公司与高等院校,觉得等级保护就那么几个常用招式:技术(漏洞扫描+渗透测试)+咨询(根据企业特点多个checklist走一遍),然后就是项目经理套路式的思维输出在固定模板的报告,交付甲方轻松+愉快。对于中小型公司而言,一般都是这样操作,但也遇到过一些真心想把安全做好的公司,即使不太懂但是头脑思路清晰、逻辑能力很强,每一个得出的结果都需要从头推论,甚至是常对得出的结果产生质疑,乙方人员要是说不出个一二三,别想蒙混过关。不过个人还是比较喜欢这样的客户,因为会使自己的服务水平和专业能力得到不断提升。最难忘的是想吐槽乙方安全公司销售为了单子,让安服工程师听从甲方要求任意篡改漏洞扫描报告,修改高、中危漏洞数量来达到上级部门的检查标准,这种活儿不禁会使人怀疑职业生涯。
站在甲方的角度考虑,各种合规检查无疑是目前来说具备效果的方法之一。因为没有统一详细落地的行业安全标杆,所以很难甄别是否具备足够的安全防御水平。基本需求是“有,总比没有好”,更高的渴望是“充分利用合规检查”落实企业安全建设。企业的安全能力与相关负责人、安全团队息息相关,究竟是务实还是专心搞政治分心做安全,往往取决于人。

3) 企业内鬼
当手握企业大量敏感数据,当工作不再那么负责与忠诚,当个人价值观远远高于企业价值观,再受到外部的金钱诱惑,企业内鬼很容易就会产生。“日防夜防,家贼难防”这句话说的很有道理,唯有进行一些安全建设,比如让员工远离敏感数据(敏感数据分级管理)、对重要文件进行严密保护或监控、员工上网行为管理等,才能减少该类事件的发生,从而避免企业遭受损失。

4) 产品竞争力
安全不是业务发展的阻力,而是产品的竞争力。这句话听起耳熟,说起容易,做起来难。不过无疑也是企业安全项目实施的推动力,从产品的角度出发,让安全成为产品的一个重要特性甚至是闪光点,吸引用户并使用户放心。这部分向客户介绍产品的安全设计理念、先进技术、安全架构甚至提供第三方权威机构的安全评估报告证明。

5) 三方合作要求
如果企业与其他大型互联网合作,一般都会对安全性有所要求。这种情况下,业务会主动找到安全人员为其做安全测试、安全评估,这算是企业安全需求中,业务方最主动的一种情形。这不难说明两个真相:

对外部第三方推动业务安全,对内业务呈现主动趋势

业务为主,凡是业务上需要的都会想办法实现与完成

所以在推动安全项目与公司各部门对接、沟通时,应主动足够去了解其业务特点,抓住他们的痛点和难点及时插入安全因素,甚至为其业务量身打造安全铠甲。

6) 网络安全法实施
从”企业出安全事故,请领导喝茶“的结果去推动安全项目也是十分有效的途径,从法律的角度出发,业务产品、开发会信服,领导也会听取。《网络安全法》条目较多,引用下面一条表明立场。

未完待续

本文首发于个人公众号(我的安全视界观),更多文章敬请期待。

点击收藏 | 0 关注 | 1
登录 后跟帖