- 互聯網企業安全高級指南
- 趙彥 江虎 胡乾威
- 1956字
- 2019-01-03 20:53:01
2.2 如何建立一支安全團隊
如果要去一家公司領銜安全建設,第一個問題就是如何建立安全團隊。上面提到不同的公司狀況對應的安全建設需求是不一樣的,需要的安全團隊也是不一樣的,所以我按不同的場景來深入分析這個問題。
在目前國內的市場中,BAT這種公司基本是不需要組團隊的,對安全負責人有需求的公司大約是從準生態級互聯網公司、平臺級互聯網公司、大型集團的互聯網+,到千千萬萬的互聯網創業型公司。
1.極客團隊
如果你在一個小型極客型團隊,例如Youtube被Google收購前只有17個人,在這樣的公司里你自己就是安全團隊,俗稱“one man army”。此時一切頭銜皆浮云,需要的只是一個全棧工程師。
2.創業型企業
對于絕大多數創業型企業而言,就像之前所說的,CSO不一定需要,你拉兩個小伙伴一起去干活就行了,今天BAT的安全總監們,當年也都是干活的工程師小伙伴,10多年過去了,工程師熬成了“CSO大叔”。當你的公司變成BAT時,只要你成長得夠快,也許下一個“CSO大叔”就是你自己。
3.不同的能力類型
搞安全的人現在其實不好招,很多企業都招不到安全負責人,所以會有一堆沒有甲方安全實操經驗或者沒有整體安全經驗的人被推上安全團隊領導的崗位。對絕大多數公司而言,安全建設的需求都是聚焦于應用的,所以安全團隊必然也是需要偏網絡和應用的人。大牛顯然是沒必要的,而懂滲透,有一定網絡系統應用攻防理論基礎的人是最具培養價值的。除此之外乙方的咨詢顧問、搞安全標準的、售前售后等在這個場景下的培養成本都很高,不具有短期ROI,所以都不會是潛在的候選者。在安全技術領域里,其實只有兩類人會有長期發展潛力:第一類是酷愛攻防的人,對繞過與阻斷有著天生的興趣;第二類就是可能不是很熱愛安全,但是CS基礎極好的程序員,這一類人放哪里都是牛人,第一類則跟行業相關。粗俗一點兒的說法找幾個小黑客就能做企業安全了?這種觀點是不是有人會覺得偏科的厲害了。確實我也認為會滲透跟做企業安全的系統性建設之間還是有比較大的鴻溝的。僅僅是說在有限選擇的情況下,假如你不像某些土豪公司一樣隨便就能招到高手,那么可選的替代方案中最具可行性和性價比的是什么,之所以選會滲透懂攻防的人,那是因為這類人具備了在實踐層面而不是理論層面真正理解安全工作的基礎,在此基礎上去培養是非常快的,策略、流程、標準、方法論可以慢慢學,因為這些都不是救火時最需要的技能,而是在和平年代且規模較大的公司才需要的東西。看有些公司的招聘工程師的要求里還寫著要證書什么的,不禁感慨一下,很多能做事的“少年”其實根本沒有證書,有證書的人通常適合去做乙方的售前而不是甲方的安全工程師。甲方招聘要求證書的,基本上都是傳統企業,互聯網企業這么寫的應該懷疑一下那里的整體水平。當然,這個說法對安全負責人的招聘不成立,因為國內的CTO很少有懂安全的,招聘者其實也不知道安全總監到底需要哪些技能,隨便拷貝了一個也很正常,高端職位的JD(職位描述)很多時候都是模糊的,除了一個頭銜之外,其他都要聊了才知道,這時候你就不要去嫌棄JD怎么寫的這么差,畢竟老板也不懂這事該怎么做,找你就是為了解決這個問題。
單純攻防型的人在前期培養比較快,但當安全團隊隨著公司規模和業務快速成長時,思維過于單點的人可能會出現“瓶頸”。后面會提到安全建設實際上是分階段的,而且是系統性的,視野和思路開闊的人會從工程師中脫穎出來,成為安全團隊的領導。
4.大型企業
對于比較大型的平臺級公司而言,安全團隊會有些規模,不只是需要工程師,還需要有經驗的Leader,必須要有在運維安全,PC端Web應用安全以及移動端App安全能獨當一面的人,如果業務安全尚有空白地帶的話,還需要籌建業務安全團隊。
5.超大型企業
準生態級公司建安全團隊這種需求比較少,但因為筆者曾被問及這樣的問題,所以就把思考的結果寫出來。對于這種級別的公司,由于其業務線比較長,研發團隊規模通常也比較龐大,整個基礎架構也構建于類似云計算的底層架構之上(姑且稱之為私有云吧),光有應用安全的人是不夠的,安全的領頭人必須自己對企業安全理解夠深,Leader這一級必須對系統性的方法論有足夠的了解。隨便舉些例子,1)在出安全事件時如果Leader的第一反應是直接讓人上機器去查后門的;2)對運維系統變更風險不了解的;3)對在哪一層做防御性價比最高不熟悉的;4)不明白救火和治病的區別的(這種思路會一度體現在提的安全整改建議上),諸如此類的狀態去擔任Leader就會比較吃力(Leader上面的安全老大自然也會很吃力)。另外Leader的跨組織溝通能力應該比較高,在這種規模的公司,不是你的安全策略提的正確就一定會被人接受的。團隊里還應該有1~2個大牛級人物,所以帶隊人自己應該是在圈內有影響力的人,否則這些事情實踐起來都很難。
實際上當你進入一個平臺級公司開始,安全建設早已不是一項純技術的工作,而技術管理上的系統性思路會影響整個安全團隊的投入產出比。
- 腦洞大開:滲透測試另類實戰攻略
- API安全實戰
- Mastering Kali Linux for Advanced Penetration Testing
- 安全技術運營:方法與實踐
- 網絡安全技術及應用(第3版)
- 數據安全實踐指南
- Kali Linux Network Scanning Cookbook(Second Edition)
- 諸神之眼:Nmap網絡安全審計技術揭秘
- 網絡空間安全實驗
- Falco云原生安全:Falco原理、實踐與擴展
- Advanced Penetration Testing for Highly:Secured Environments(Second Edition)
- 數據要素安全:新技術、新安全激活新質生產力
- 網絡用戶行為的安全可信分析與控制
- Learning Pentesting for Android Devices
- VMware vCloud Security