一、背景介绍曾就职于某保险公司,任信息安全部负责人。他的职责是控制整个公司的内外部风险,应对新领域的安全挑战和对抗。我自己的经历:从研发、攻防实验室、业务安全、数据安全、安全架构一路开发,也是很有意思的经历。2、矛盾与挑战金融业是一个极具挑战性的行业。基本上任何行业都或多或少与金融业有关。实际上,任何行业都离不开资金的支持。无论采取何种形式,都将被确定。金融业复杂而充满挑战。它基本上可以连接到任何行业。各个行业的商业模式和技术架构之间的联系增加了其复杂性。为了支持业务的发展,金融业会引入各种新技术来增加自身的业务。优势使得他们的业务系统和技术架构更加复杂。作为安全官,他要同时支撑技术线、业务线、数据线等多条线。他要面对太多的挑战。传统的安全模式和服务目前还远远不能满足实际情况,这也是为什么很多互联网公司或者甲方公司要自己搭建安全部门或者团队,自己解决自己的问题。1、各类新技术带来的挑战(一)问题与挑战随着业务线的不断发展和各种互联网技术的引入,各种新技术的占比越来越高。安全部门能否跟进新技术?为这些新技术架构提供安全支持,甚至走在其他技术部门的前面,是一个无法回避的问题。我们自己正处于一个不断变化的时代。近年来,IT技术由于与互联网的连接,加快了业务发展和升级的步伐。安全是另一个特例。技术线可分为多个部门,如IT技术(细分:开发、运维、数据)、大数据(数仓、模型、数据治理、AI等)、风控、终端、合规、等等,而安全往往要同时面对,而安全是一个小部门带着一个大的责任部门,用极其有限的人员来支撑这些部门的安全工作,这对大家的技术和业务提出了很大的挑战能力(同时还要不断迭代这些新技术),如果安全人员无法理解相关的技术栈和业务模型(如:容器管理、微服务架构、实时流计算、图数据库,Deep/MachineLearning等),很难支撑整个技术和业务线(IT/大数据/风控/业务等),这也是对man非常重要的挑战乙方保安公司的y人员过渡到甲方,也是很多甲方保安人员目前急需解决的问题。(2)解决方案a.终身学习就我个人而言,终身学习是我个人喜欢的事情,不断学习各种知识(同时我也要做出判断,哪个领域的知识和技术值得投资)持续学习可以给技术人员带来满足感或安全感。这样,你就不会被行业淘汰,也不会担心自己的价值会随着时间的推移而流失。你会对新事物保持兴趣。或许你无法深入理解所有,但是,保持对新事物的兴趣,会大大拓展自己的广度,同时,对于加强自己在某个领域的深度也大有裨益,这就是意思是举一反三。b.善于团队互补。一个人的精力总是有限的,不可能兼顾四面八方。你必须善于利用团队的力量。安全也分很多领域。每个人都有不同的方向和自己的知识领域。适当地使用每个人的位置非常重要。部门成员也可以相互交流,定期交流和回顾各自领域的成果。大家也可以了解到对方在做什么,自己的价值在哪里,也可以弥补自己可能存在的不足。.工作量大的时候也可以互相支持对方的部分工作。C。开阔视野,聚焦方向。安保人员除了了解安防行业的各种信息,还可以花更多的时间去关注各个相关领域。还有业务,既有大数据,也有法律合规,所以需要多领域的知识和积累,多和不同领域的人交流和沟通,不仅可以帮助你更好地了解不同领域的情况,也可以加深自己技术积累。行业资深人士永远是最好的老师。很多行业都很深。自己去学,没人带你几年,你也想不通。行业或领域的脉搏(有点像投行的研报,但远不止于此),一方面,这些知识可以帮助你发现一个业务线或一个领域可能存在的风险(这个业务可能是人为造成的)经验不足是无法发现风险的),更重要的是开阔个人视野,清楚自己未来应该往哪个方向走。笔者采访过很多安全从业者。他们中的很多人对新的领域感兴趣,也有一些人继续死守着很多年前的技术(谈的还是6、7年前的事情)。他们似乎认为这可以用一辈子。这世上没有一辈子的事,更何况是IT这个变化最快的行业,他怎么能不为未来担忧。d.敢于挑战并应用所学知识。安全的后期演进是数据量和数据分析能力的对抗。安全人员除了了解行业的安全风险,还必须了解新的知识体系,考虑这些新的领域(如:IT/大数据/AI),引入到自身的安全能力中,比如引入实时将计算框架(如:Flink/Beam等技术)引入安全平台,通过实时流技术解决大数据量下的实时告警/解决问题。通过不断学习,在实践中不断使用它们,解决现实世界的问题(新技术是为解决难题而诞生的),通过解决一个问题或完成一个项目,你就可以充分理解和掌握这些新技术。e.掌握一种或多种开发语言。作者很幸运。我从研发人员转型到安全,到现在也没有离开过代码。职业生涯中也经历过很多大型软件的开发,但是目前看到的技术路线的安全人员(泛指:渗透、安全服务)了解不多或者没有开发、参与过真实的项目。很多安全人员大多懂Python(主要是用Python做一些小工具),多学Java(Java系统本身确实比较复杂)的还是比较少的。无论是从发现漏洞还是分析系统风险,开发后和未开发后发现问题的深度和广度是完全不同的。我个人认为,安全人员最好有通过开发经验,做安全工作的能力会翻倍。在开发过程中,可以真正接触到各种技术知识,对于加强对整个应用系统环境和架构的理解是非常有益的。此外,安全人员也越来越需要自行开发工具或相应的安全平台。迟早,他们将不可避免地处理开发,所以学习宜早不宜迟。2.小团队支撑大业务(1)问题与挑战每个公司的安全部门或团队一般都不会太大。这是一个支持大业务、多部门和整个公司的小团队。这是目前的情况。没有及时很好的解决办法,各种黑客/黑产品(金融行业的高价值数据是很多黑产业垂涎的目标),监管部门的检查(比如近几年的网络保护操作),各种监管规定而法规遵从性,信息安全部门的工作量和风险可想而知。另一方面,由于各业务自身演进速度快,业务需求变化频繁,多个业务线周发布频率高,安全部门人员有限,无法跟进所有业务变化,以及在系统上线之前没有足够的人力来更新系统。进行全覆盖测试(只针对有重大变化的版本和关键系统),这些都给安全带来了全方位的挑战。(2)解决方案a.自动化、工具化、平台化其实最快的解决办法就是招人,但是一方面人员的数量不是很好,另一方面随着公司的发展需要多少安全人员才够用商业??再强大的个人或部门,如果要支撑上千台服务器或上百条业务线的安全,光靠人力是不可能的。作者本人是研发出身,比较喜欢DevOPS。现在是软件定义一切(如:SAN、SDN)的时代。自动化、工具化、平台化安全能力是大势所趋。不管系统有多复杂,不管主机有多少,如果有一个自动化程度足够高的平台可以轻松支持这一切,而安全人员本身也有足够的时间专注于其他优先事项。b.标准化的流程和制度作者在OA中将多个资源/权限的多个安全相关应用上线。通过标准化,标准化流程可以大大提高工作效率。不管哪个部门要申请什么权限,能提取出什么样的权限?根据数据和配置什么样的服务,各部门人员可以根据创建的标签流程进行申请,避免人工沟通和确认的大量成本和各种重复性工作。3、业务深度不够(1)问题与挑战安全人员更加关注漏洞风险。对于系统底层的研究,很多人最关心的就是挖掘各种漏洞,收集各种0Days。当然,这些都很重要,但是对于一个当地的安保人员来说是远远不够的。许多严重的漏洞来自于业务本身,或者在业务流程中,或者在业务模型中。只要恶意用户或者黑客觉得攻击目标足够有价值,我就愿意花时间去深入了解业务,从拔羊毛到各种流量劫持,从数据污染到新媒体造假,它已经远超越了数据离库、买卖数据的简单模式,现在黑产的复杂度远超以往,很多攻击方式和盈利模式是普通人难以想到的。很多时候,在整个黑色生产链中,存在着各种利用金融工具结合技术手段变现获利的方式。如果只了解安全本身,你是很难打的。安全从来都不是单纯的技术,对业务理解的深度也在一定程度上决定了你的安全深度。安全永远不会离开企业。(2)解决方案a.更贴近业务,可以多与业务部门、风控部门沟通,了解第一手的业务模式和流程。一线业务人员一般是整个公司最了解某条业务线的人。有一个业务审查。这个时候业务部门和IT部门也会提交详细的需求文档。安全部门会通过审核进一步了解业务系统的细节,并与业务部门进行沟通。b.工作轮换不是普遍的。如果你能在一个业务岗位上工作一段时间,这将是你了解业务最快最好的方式。但是很多公司没有这个模式,所以要看具体的Condition。C。了解行业动态安防人员不仅要努力工作,更要了解行业动态。安全技术能力固然重要,但也要把握行业趋势。古语有云:“勿只埋头于车,更要仰望路”,很多时候方向不对,离目标越来越远。知道朝哪个方向努力其实很重要。时刻关注业务和IT的发展方向。了解行业趋势,会让你更清楚地知道大家在关注什么,也会让你站得更高,更好看。有了清晰,就更容易找到自己的道路和方向。这样的场景笔者见过不少。安全技术本身在演示时非常酷。开会大家都同意,后来一直没有结果。关键是你不能创造价值,不能解决关键问题。这是当前的安全实践。很多人都会面临这样的问题,自己的价值在哪里?(不仅仅是传统安全所做的工作)作者一直在思考和寻找。了解商业趋势和发展方向,一定会帮助你找到自己的价值。很有帮助,欢迎大家相互交流,碰撞出火花。3.结束语我简单描述了一个保安人员的烦恼和担忧。由于时间和篇幅所限,很多问题没有讨论或还没有紧急讨论(如:数据安全和客户隐私保护、传统安全问题分析、编码/架构设计能力等),很多答案都是仅基于自己的实践和思考,肯定有很多局限性。我挑了几个有代表性的问题,也许这不只是针对安全从业者的。挑战可能是许多IT人员面临的挑战。面对挑战我们应该怎么做?只要我们还在这个行业,就躲不过他们,只能迎难而上,直面挑战。套用一句老话,这个时代唯一不变的就是变化本身。
