2.1 解決實(shí)際問題

相信絕大部分企業(yè)組建安全團(tuán)隊(duì)不會(huì)僅僅為了組建而組建，我們站在企業(yè)管理者的角度思考一下為什么要組建安全團(tuán)隊(duì)？

一定是有問題需要這個(gè)團(tuán)隊(duì)來解決。這看似是句廢話，但是繼續(xù)深究呢？所有在甲方工作的安全工程師或主管，是否非常明確公司組建這個(gè)團(tuán)隊(duì)最想解決的是什么問題？這個(gè)問題會(huì)不會(huì)隨著形勢的變化而變化。之前提到過，企業(yè)安全工作是一個(gè)二級(jí)混沌系統(tǒng)，這類系統(tǒng)的最大特點(diǎn)就是不斷變化，而且是隨著你的行為而變化。

所以，對(duì)于安全團(tuán)隊(duì)來說，最大的考驗(yàn)不是一次性識(shí)別核心問題，而是不斷更新這個(gè)（或這些）問題。

設(shè)想這樣一個(gè)場景：

剛接手安全工作的時(shí)候幾乎每天都會(huì)遭受DDoS（分布式拒絕服務(wù)攻擊），這個(gè)階段的核心問題就是解決DDoS攻擊，讓企業(yè)的IT系統(tǒng)可以正常工作。在經(jīng)過一番艱苦卓絕的工作之后，DDoS的問題基本解決了。這個(gè)時(shí)候發(fā)現(xiàn)，雖然網(wǎng)站運(yùn)行情況非常好，但是“羊毛黨”來了，所有運(yùn)營支出都被人薅走，這個(gè)階段的核心問題就變成了對(duì)抗羊毛黨。又一番艱苦卓絕的工作之后羊毛黨的問題也基本解決，薅網(wǎng)站“羊毛”的成本已經(jīng)高于平均水平很多了。這個(gè)時(shí)候發(fā)現(xiàn)幾個(gè)黑產(chǎn)都在盯著公司的數(shù)據(jù)，甚至在暗網(wǎng)中有人兜售我們的數(shù)據(jù)，第三個(gè)任務(wù)又來了……

如上所述，如果系統(tǒng)每天都在DDoS中掛掉，就根本不涉及薅“羊毛”的情況，但是薅羊毛和數(shù)據(jù)竊取是可以并行的，這說明了核心問題可能不止一個(gè)，很多時(shí)候需要多線作戰(zhàn)。

上述這個(gè)例子還算是比較好的情況，還可以通過一些具體的安全事件明確核心問題在哪，但我們?nèi)绾未_定運(yùn)營經(jīng)費(fèi)被“羊毛黨”薅走了？數(shù)據(jù)要是不在暗網(wǎng)上兜售，而是通過其他更隱秘的方式交易，我們?nèi)绾伟l(fā)現(xiàn)這些行為？所以，識(shí)別核心問題并沒有想象中那么簡單。但這是安全工作的第一步，也是安全團(tuán)隊(duì)存在的基礎(chǔ)。有些安全團(tuán)隊(duì)完全是為了救火而創(chuàng)建的，這類團(tuán)隊(duì)在初期就規(guī)避了這個(gè)問題，但在初期的問題解決之后，還是要找到下一步切入點(diǎn)。總體來說，識(shí)別企業(yè)核心問題可以從如下幾個(gè)方面入手。

（1）對(duì)標(biāo)同行

盡量多與同行交流，他們面臨的問題很可能是你可能遇到，或者是遇到了還不知道的問題。即使你在圈子里沒有那么多人脈也沒關(guān)系，現(xiàn)在很多安全媒體已經(jīng)做得非常好了，可以多關(guān)注這些媒體的報(bào)道，這是一個(gè)經(jīng)濟(jì)、快捷的渠道。

（2）貼近業(yè)務(wù)

如果你所在的行業(yè)比較冷門，甚至是涉密的，安全團(tuán)隊(duì)就不能再只埋頭研究技術(shù)。用更多時(shí)間了解你所在企業(yè)的業(yè)務(wù)，跟業(yè)務(wù)專家一起分析系統(tǒng)的風(fēng)險(xiǎn)在哪。這時(shí)如果你的團(tuán)隊(duì)有良好的群眾基礎(chǔ)就有了非常大的優(yōu)勢。

（3）參考標(biāo)準(zhǔn)

安全行業(yè)內(nèi)有很多標(biāo)準(zhǔn)可以參考，如ISO 27000、等級(jí)保護(hù)等（標(biāo)準(zhǔn)的話題在2.2節(jié)會(huì)展開討論）。參考標(biāo)準(zhǔn)的意義是提供一個(gè)更全局的視角，標(biāo)準(zhǔn)的描述是宏觀的、概括的，讀者可以根據(jù)自己企業(yè)的情況對(duì)標(biāo)標(biāo)準(zhǔn)的描述，從而找到自己需要關(guān)注的核心問題。

識(shí)別出核心問題后，下一步就是解決這些問題。解決的過程可以歸納為分步實(shí)施，逐步解決，先到及格，再到優(yōu)秀。

如果要解決DDoS，最直接的就是先買服務(wù)，不管是運(yùn)營商的還是云廠商的，先保證服務(wù)正常，再考慮自己是否囤積帶寬研發(fā)抗D平臺(tái)，或者采購抗D產(chǎn)品。

如果對(duì)抗“羊毛黨”，前期可以先用商業(yè)反垃圾的接口，讓這方面的防御能力達(dá)到一個(gè)及格線，然后再根據(jù)企業(yè)的實(shí)際情況組建研發(fā)團(tuán)隊(duì)，研發(fā)自己的識(shí)別能力，從而進(jìn)一步提高門檻。

如果做威脅感知，前期可以直接采用開源分析模型或商業(yè)產(chǎn)品實(shí)現(xiàn)標(biāo)準(zhǔn)場景的分析，讓安全分析能力也達(dá)到一個(gè)及格線。然后再根據(jù)應(yīng)急事件實(shí)現(xiàn)對(duì)定制化場景的分析。

這種階段性步驟也支撐了前文提到的階段性匯報(bào)工作的需求。當(dāng)然，每個(gè)企業(yè)的實(shí)際情況都不一樣，不能生搬硬套。有的企業(yè)可能強(qiáng)調(diào)自主可控，寧可扛一段時(shí)間，也不會(huì)直接采購商業(yè)產(chǎn)品或服務(wù)。出現(xiàn)這種情況一般來說無非有兩種可能，要么這個(gè)痛點(diǎn)還不夠痛，可以忍；要么就是企業(yè)認(rèn)為組建團(tuán)隊(duì)的目的就是自主解決問題，如果采購安全產(chǎn)品還要安全團(tuán)隊(duì)做什么？

對(duì)于前者，安全團(tuán)隊(duì)負(fù)責(zé)人的任務(wù)就是快速啟動(dòng)研發(fā)，從簡單的環(huán)節(jié)入手逐步解決問題。

后者的情況比較復(fù)雜，這種情況下安全團(tuán)隊(duì)負(fù)責(zé)人需要與公司管理層深入溝通，陳述自己方案的合理性。比如，“商業(yè)產(chǎn)品只是整體方案的一部分而非所有，而且從目前每天的損失來看，前期采購的成本遠(yuǎn)小于等待研發(fā)這個(gè)時(shí)間窗口的損失。”這就要求負(fù)責(zé)人有較強(qiáng)的溝通能力。

如果能順利到達(dá)實(shí)施階段，相信這個(gè)階段是很多技術(shù)團(tuán)隊(duì)的舒適區(qū)。但舒適區(qū)往往意味著危險(xiǎn)。這個(gè)階段最容易陷入某個(gè)細(xì)節(jié)出不來。我們要做的是低頭走路的同時(shí)要抬頭看路，所有的技術(shù)手段都是為了實(shí)現(xiàn)一個(gè)終極（或階段性）目標(biāo)，任何偏離了目標(biāo)的技術(shù)路線，再好都是不完美的，甚至是錯(cuò)誤的。這里不是要求僵化地按照預(yù)先制定的技術(shù)路線前進(jìn)，而是在某些細(xì)節(jié)上可以有很多靈活的方案，但總體目標(biāo)一定要符合企業(yè)利益。其實(shí)筆者在制定某些目標(biāo)的時(shí)候，就會(huì)提出相對(duì)模糊的目標(biāo)，留給技術(shù)人員發(fā)揮的空間，但是一定要在可控范圍之內(nèi)。