2.4 安全團隊在企業中的幾個身份

這一節主要討論安全部門在企業內的幾個身份，在1.4節曾介紹過，我們的甲方是運維&開發部門、運營等業務部門，甚至是公司全員。本節將從一個更宏觀的視角來看安全部門的幾個身份。①能力的提供者；②一類問題的解決者；③服務+協作者。

2.4.1 能力的提供者

安全團隊具備的最直接的能力當然是專業的安全能力，包括漏洞挖掘、安全策略制定、應急響應、代碼審計甚至是安全開發生命周期（Security Development Lifecycle，SDL）等。這些不用多說，這一節的關鍵詞不是“安全能力”，而是“專業”。既然公司有了專職的安全團隊，大家對這個團隊的期望一定是專業的。專業不僅僅指的是專業知識，也包括視角的專業。

舉個例子，一個業務即將上線，業務場景是這樣的，用戶上傳一張照片，這個應用將這個照片轉變成特定風格。在這個場景里，我們不僅要對這個應用做漏洞掃描、源碼審核等常規安全手段。還要考慮到用戶是否會上傳色情照片、政治敏感照片？我們的審核流程是什么樣的？是先審后發，還是先發后審？如果是先發后審，我們的風險有多大？

如果是先審后發，是人工審核還是利用圖片識別接口審核？一旦出現圖片識別接口失效或漏報，有沒有應急策略？面對可能的風險選擇接受還是放棄這個業務上線？

上述問題都是需要安全部門提出并解答的，就算不能解答也要給出選項，并說明每個選項帶來的后果，以便高層領導選擇。

一般來說，在企業其他部門眼里，安全部門的人不僅應該具備專業能力，還應該具備專業視角。圖2-5所示的例子就是專業視角的展現。所以在提供安全基礎能力的同時，安全團隊還應該以類似顧問的身份給公司日常運行提供專業的安全視角。

2.4.2 一類問題的解決者

我們從一個簡短的故事開始。

我的一個朋友公司的系統中有一個后門在運行，這個事件由運維無意中發現，通知我的這位朋友之后，又由運維主導解決了這次事件。事后，運維部門的同事提出了這樣一個問題：事件是我們發現的，也是我們解決的。那要你安全團隊有什么用？

聽他講到這之后，筆者心中一驚。暗想如果自己遇到這種情況可能就跟人家杠上了，說公司不投資源啊，政策跟不上啊之類的。反正不是我的問題。但是那個朋友云淡風輕地說了一句“我的責任是讓這類事兒不再發生”。

是的，安全部門有時候看起來用處確實不大，但我們要對內樹立自己的價值，之前說的識別并解決公司核心問題是一個。這里又提出一點，我們要根據已經發生的事，制定安全策略，讓這類事件不再發生。

雖然事后補救總是感覺不完美，但是從個人經驗來看，在大多數企業內，如果安全團隊真的能保證任何一類（可以是很細的分類）安全事件都只發生一次。那絕對可以把安全做得非常好。

再分享一個筆者的親身經歷——威脅感知。

在啟動這項工作的時候，我的要求是先把之前的安全事件都分析一遍，為什么黑客能繞過我們的檢測策略。第一步開發任務就是把這方面的工作補齊，這一步做完之后我就可以對內宣布，之前所有發生過的入侵事件，如果再次發生，我會第一時間發現。也就是說，就算我們可能被入侵，也不會跟之前的一樣（這就是ISO 27001第10章的要求）。然后我們再根據數據分析的全景圖，進行有一定前瞻性的開發。這么做的好處有兩個。

一是之前發生過的問題，一般來說都是大概率再發生的，除非事件之后可以通過防御手段100%實現防御（這里探討的是數據分析工作，所以暫不探討防御問題）。針對大概率事件做數據分析性價比就比較高。

二是解決之前發生過的問題，在匯報工作的時候比較容易體現價值。畢竟你徹底解決了一個曾經發生過的問題，和你試圖想解決一個可能發生的問題相比，前者價值一定更高。

解決一類問題是筆者目前很重要的工作方式之一，它不是一種具體的方法或策略，而是貫穿始終的一種解決問題的思路。在本書第4章漏洞管理，以及第6章威脅管理，第7章應急響應的部分，都會不同程度地運用這種思路。但是有些類型的問題很難快速、全面地解決，要從某些點的問題開始，慢慢地由點到線。也就是遇到復雜問題，先解決某個問題，再解決某類問題。

2.4.3 服務+協作者

安全團隊對內本質上是一個服務團隊，服務心態說起來簡單，做起來還是很難的。因為甲方安全團隊很多時間都在跟服務商或者廠商這類乙方打交道，一不小心就被捧得飄飄然，就算沒那么嚴重也可能習慣于以俯視的視角看問題。所以，我們需要做的不僅僅是認清對內服務者的身份，還要調整好心態。

一旦我們回到服務者的心態，很多事情其實就沒有那么復雜了。我們提供的服務需要被服務者的認可。被認可的方式有很多種，1.4節中已經詳細論述過，在此不再贅述。

但服務者不代表萬事順從，我們只需要稍稍放下身段達成自己的目標而已。最終實現目標是要靠協作的。尤其是安全部門，很少有什么工作可以部門內獨立完成。比如：安全策略，需要運維部門配合下發，就算邊界安全設備也歸安全管，主機IPtable也需要運維團隊配合；漏洞掃描就更是如此，運維和開發不修，安全團隊除了催辦沒有其他辦法。即使能明確責任主體，一旦發生安全事件，最好的結局也只是不受罰；威脅感知也一樣，分析到的任何事件，除非邊界策略一條能搞定（前提還得是邊界安全設備歸安全管），其他的都得運維配合；風控就更不用多說了，需要協調的都不僅僅是技術部門了。

從筆者的經驗上看，沒有哪個技術部門像安全部門一樣面對如此大量的協作工作。所以，以服務者的心態和協作者的身份在公司內部溝通工作是非常重要的。總之，安全團隊在企業中的角色應該是一個不卑不亢的協作者，為我們的“甲方”服務，互惠互利達成共贏效果。