傳統(tǒng)崗位新挑戰(zhàn):信息安全之路
一、背景介紹
就職某保險(xiǎn)公司,為信息安全部門負(fù)責(zé)人,職責(zé)歸納起來是負(fù)責(zé)控制整個(gè)公司內(nèi)外部風(fēng)險(xiǎn),應(yīng)對(duì)新領(lǐng)域的安全挑戰(zhàn)和對(duì)抗。
自身的經(jīng)歷:從研發(fā),攻防實(shí)驗(yàn)室,業(yè)務(wù)安全,數(shù)據(jù)安全,安全架構(gòu)和開發(fā)一路走來,也是一種非常有意思的體驗(yàn)。
二、沖突和挑戰(zhàn)
金融行業(yè)是一個(gè)非常有挑戰(zhàn)的行業(yè),基本任何一個(gè)行業(yè)都跟金融行業(yè)多多少少有關(guān)系,現(xiàn)實(shí)來講沒有一個(gè)行業(yè)能夠離開資金的支持,無論以什么形式,也就決定了金融行業(yè)復(fù)雜和挑戰(zhàn),它基本可以對(duì)接任何行業(yè),各行業(yè)的業(yè)務(wù)模式和技術(shù)架構(gòu)的對(duì)接就更增加了它的復(fù)雜性,金融行業(yè)為了支持業(yè)務(wù)的發(fā)展又會(huì)引入各種新技術(shù)來增加自身業(yè)務(wù)優(yōu)勢(shì),使得他們業(yè)務(wù)系統(tǒng)和技術(shù)架構(gòu)在復(fù)雜度上更上一層樓,作為一個(gè)安全負(fù)責(zé)人同時(shí)要支持技術(shù)線,業(yè)務(wù)線,數(shù)據(jù)線等多條線,要面臨太多太多的挑戰(zhàn),傳統(tǒng)的安全模式和服務(wù)已經(jīng)遠(yuǎn)不能滿足現(xiàn)實(shí)的情況,這也是為什么很多互聯(lián)網(wǎng)公司或甲方公司要建設(shè)自己的安全部門或團(tuán)隊(duì)的原因,自己的問題自己解決。
1. 各種新技術(shù)帶來的挑戰(zhàn)
(1) 問題和挑戰(zhàn)
隨著業(yè)務(wù)線的不斷發(fā)展以及各種互聯(lián)網(wǎng)技術(shù)的引進(jìn),各種新技術(shù)占比越來越高,安全部門是否能跟進(jìn)新技術(shù)的演進(jìn),并提供這些新技術(shù)架構(gòu)的安全支持,甚至走在其它科技部門前面,這是一個(gè)無法回避的問題。
我們本身就在一個(gè)不斷變化的時(shí)代,IT技術(shù)因?yàn)檫@幾年還聯(lián)網(wǎng)業(yè)務(wù)發(fā)展更新?lián)Q代的步伐就更加快,安全又是一個(gè)特例,科技線可以分成多個(gè)部門,如IT技術(shù)(細(xì)分:開發(fā),運(yùn)維,數(shù)據(jù)),大數(shù)據(jù)(數(shù)倉(cāng),模型,數(shù)據(jù)治理,AI等等),風(fēng)控,終端,合規(guī)等,而安全很多時(shí)候它要同時(shí)面對(duì)他們,安全又是一個(gè)小部門大責(zé)任的部門,用極為有限的人員支撐這些部門的安全工作,對(duì)每個(gè)人技術(shù)業(yè)務(wù)能力都有很大的挑戰(zhàn)(同時(shí)你還要不斷迭代這些新的技術(shù)),
如果安全人員如果不能了解相關(guān)技術(shù)棧和業(yè)務(wù)模式(如:如:容器管理,微服務(wù)架構(gòu),實(shí)時(shí)流計(jì)算,圖數(shù)據(jù)庫(kù),Deep/Machine Learning 等),很難支持整各個(gè)科技和業(yè)務(wù)線(IT/大數(shù)據(jù)/風(fēng)控/業(yè)務(wù)等),這也是很多乙方安全公司人員轉(zhuǎn)型到甲方面臨的很重大的一個(gè)挑戰(zhàn),也是目前很多甲方安全人員要迫切面臨的問題。
(2) 解決方案
a. 終身學(xué)習(xí)
就我個(gè)人來講終身學(xué)習(xí)是我個(gè)人比較喜歡的一件事,不斷的學(xué)習(xí)各種的知識(shí)(同時(shí)個(gè)人要有判斷,哪個(gè)領(lǐng)域知識(shí)技術(shù)是你值得投入的)不斷的學(xué)習(xí)可以給技術(shù)人員一種滿足感或者安全感,這樣的你不會(huì)被行業(yè)淘汰,不會(huì)擔(dān)心自身價(jià)值隨時(shí)間而流失,保持對(duì)新鮮事物的一種興趣,也許你沒有辦法深入了解所有事,但是保持新事物的興趣會(huì)極大擴(kuò)展你自身的廣度,同時(shí)對(duì)加強(qiáng)你自身在某個(gè)領(lǐng)域的深度也是有極大好處的,觸類旁通就是指的如此。
b. 善于團(tuán)隊(duì)互補(bǔ)
一個(gè)人始終精力有限,不可能兼顧所有方向,要善于發(fā)揮團(tuán)隊(duì)的力量,安全也分為很多領(lǐng)域,每個(gè)人方向不一,自身知識(shí)領(lǐng)域也不一樣,把每個(gè)人用到合適的崗位是很重要的,部門成員之間也能夠互相交流,定期對(duì)自身領(lǐng)域的成果進(jìn)行交流復(fù)盤,大家也都能了解對(duì)方在做什么,價(jià)值在哪里,也能彌補(bǔ)各自可能存在的短板。也能夠在工作量較大時(shí)可以相互支撐對(duì)方部分工作。
c. 開闊視野聚焦方向
安全人員除了要了解安全行業(yè)各種信息外,也可對(duì)各個(gè)相關(guān)領(lǐng)域多投入時(shí)間去關(guān)注一下,這些都不會(huì)白費(fèi),筆者的崗位工作需要接觸各個(gè)領(lǐng)域的人員,有技術(shù)的也有業(yè)務(wù)的,既有大數(shù)據(jù),也有法律合規(guī),所以需要多個(gè)領(lǐng)域的知識(shí)和積累,多和不同領(lǐng)域的人員交流溝通,除了能夠更加了解不同領(lǐng)域的情況,也能加深自身技術(shù)積累,行業(yè)的資深人員永遠(yuǎn)是最好的老師,很多行業(yè)水非常深,如果自己去了解沒有幾年沒有人帶根本摸不清,但如過有資深人員肯帶你,短時(shí)間內(nèi)你就能夠把握一個(gè)行業(yè)或領(lǐng)域的脈搏(有點(diǎn)像投行的行研報(bào)告,但遠(yuǎn)比這個(gè)深入),這些知識(shí)一方面能夠幫助你更加深入發(fā)現(xiàn)一個(gè)條業(yè)務(wù)線或一個(gè)領(lǐng)域可能存在的風(fēng)險(xiǎn)(這種業(yè)務(wù)或由人造成的風(fēng)險(xiǎn)你沒有足夠經(jīng)驗(yàn)是無法發(fā)現(xiàn)的),更加重要的是拓寬你個(gè)人的視野,知道清晰知道未來自己該走的方向。
筆者曾經(jīng)面試過很多安全從業(yè)人員,有很多人對(duì)新領(lǐng)域有濃烈興趣的,也有人持續(xù)抱著多年前技術(shù)抱殘守缺(聊的東西還是6,7年前的),似乎認(rèn)為這個(gè)可以用一輩子,這個(gè)世界上哪有一輩子的事情,更何況還是IT這個(gè)更新最快的行業(yè),這樣他自己怎能不為將來?yè)?dān)心。
d. 敢于挑戰(zhàn),學(xué)以致用
安全向后期演進(jìn)就是數(shù)據(jù)量的對(duì)抗,數(shù)據(jù)分析能力的對(duì)抗,安全人員除了要了解業(yè)界的安全風(fēng)險(xiǎn),也要了解新的知識(shí)體系,也要考慮將這些新領(lǐng)域(如:IT/大數(shù)據(jù)/AI),引入到自身安全能力中去,如將實(shí)時(shí)計(jì)算框架(如:Flink/Beam 等技術(shù))引入到的安全平臺(tái)中,通過實(shí)時(shí)流技術(shù)解決大量數(shù)據(jù)下的實(shí)時(shí)告警/處理問題。通過不斷學(xué)習(xí),不斷將它們用于實(shí)踐中,解決現(xiàn)實(shí)中的難題(新的技術(shù)誕生就是為了解決難題的),通過解決一個(gè)問題或完成一個(gè)項(xiàng)目,你能更加充分了解駕馭這些新的技術(shù)。
e. 掌握一門或者多門開發(fā)語(yǔ)言
筆者很幸運(yùn),從一個(gè)研發(fā)人員轉(zhuǎn)型到安全,直至目前也一直沒有離代碼,也在職業(yè)生涯中經(jīng)歷了多個(gè)大型軟件的開發(fā),但是我目前看走技術(shù)路線的安全人員(一般:滲透,安服)都不太懂或者說沒有開發(fā)過或參與過真正的項(xiàng)目,有很多安全人員多數(shù)了解的是Python(主要用Python 做一些小工具),更進(jìn)一步了解Java(Java 體系本身確實(shí)也比較復(fù)雜)還是比較少的,無論從找漏洞或是分析系統(tǒng)風(fēng)險(xiǎn),做過開發(fā)和沒有做過開發(fā)發(fā)現(xiàn)問題的深度和廣度完全不一樣,個(gè)人以為安全人員最好有過開發(fā)的經(jīng)驗(yàn),在做安全工作時(shí)能力會(huì)倍增,在開發(fā)的過程中能夠真正接觸多個(gè)方面的技術(shù)知識(shí),對(duì)加強(qiáng)自身了解整個(gè)應(yīng)用系統(tǒng)環(huán)境和架構(gòu)是非常有好處的。另外安全人員也越來越需要自己動(dòng)手開發(fā)工具或相應(yīng)安全平臺(tái),早晚都避免不了和開發(fā)打交道,所以趕早不趕晚,早日學(xué)起來吧。
2. 小團(tuán)隊(duì)支撐大業(yè)務(wù)
(1) 問題和挑戰(zhàn)
安全部門或團(tuán)隊(duì)通常來講在每個(gè)公司規(guī)模都不會(huì)太大,都是小團(tuán)隊(duì)來支撐大業(yè)務(wù),多部門,全公司,這個(gè)是現(xiàn)狀短時(shí)間內(nèi)也沒有太好的辦法,各種黑客/黑產(chǎn)(金融行業(yè)的高價(jià)值數(shù)據(jù)是很多黑色產(chǎn)業(yè)垂涎的目標(biāo)),監(jiān)管部門的檢查(如這幾年的護(hù)網(wǎng)行動(dòng)),各種監(jiān)管條例和法規(guī)遵循,信息安全部門的工作量和風(fēng)險(xiǎn)可想而知。
另一方面因各業(yè)務(wù)自身演進(jìn)較快,業(yè)務(wù)需求變化頻繁,多個(gè)業(yè)務(wù)線每周發(fā)版頻率較高,安全部門人員有限,無法跟進(jìn)所有業(yè)務(wù)變化,也沒有足夠的人力對(duì)上線前的系統(tǒng)進(jìn)行全覆蓋測(cè)試(僅僅還只是較大變化的版本和關(guān)鍵性系統(tǒng)),這些給安全帶來全方位的挑戰(zhàn)。
(2) 解決方案
a. 自動(dòng)化,工具化,平臺(tái)化
其實(shí)最快的解決方案就是招人,但是一方面人員編制不是那么好要的,另一方面隨著公司業(yè)務(wù)的發(fā)展多少安全人員才夠呢?一個(gè)人或者一個(gè)部門能力再?gòu)?qiáng)如果讓它支撐其上千臺(tái)服務(wù)器或幾百條業(yè)務(wù)線的安全單純靠人力也沒有任何可能性。筆者自身是研發(fā)出身,比較喜歡DevOPS,目前又是軟件定義一切的時(shí)代(如:SAN,SDN),將安全能力自動(dòng)化,工具化,平臺(tái)化是大勢(shì)所趨,再?gòu)?fù)雜的系統(tǒng),數(shù)量再多主機(jī),如果有自動(dòng)化程度足夠高的平臺(tái),支撐這一切是很輕松,而安全人員自身也有足夠的時(shí)間去從事其它重點(diǎn)工作。
b. 規(guī)范的流程和體系
筆者將多個(gè)涉及安全的多個(gè)資源/權(quán)限的申請(qǐng)?jiān)贠A中線上化,通過規(guī)范化,標(biāo)準(zhǔn)化的流程能夠大大提供工作效率,任何部門無論想申請(qǐng)什么權(quán)限,提取什么樣的數(shù)據(jù),配置什么樣的服務(wù),各個(gè)部門人員可根據(jù)創(chuàng)建的標(biāo)注流程去申請(qǐng),避免了人工溝通確認(rèn)的大量成本和各種重復(fù)工作。
3. 業(yè)務(wù)深入度不夠
(1) 問題和挑戰(zhàn)
安全人員比較注重漏洞風(fēng)險(xiǎn),系統(tǒng)底層的研究,很多人最大的關(guān)注就是挖各種漏洞,收集各種0Day,當(dāng)然這些固然很重要,可是對(duì)一個(gè)甲方的安全人員來講是遠(yuǎn)遠(yuǎn)不夠的,有很多嚴(yán)重的漏洞都在來自于業(yè)務(wù)本身,不是業(yè)務(wù)流程上的,就是業(yè)務(wù)模式上的,惡意用戶或黑產(chǎn)人員只要覺得攻擊目標(biāo)足夠有價(jià)值,舍得花時(shí)間,吃透了業(yè)務(wù),從擼羊毛到各種流量劫持,從數(shù)據(jù)污染到新媒體欺詐,已經(jīng)遠(yuǎn)超單純的數(shù)據(jù)脫庫(kù),買賣數(shù)據(jù)那種簡(jiǎn)單的模式了,現(xiàn)在黑產(chǎn)的復(fù)雜度遠(yuǎn)勝?gòu)那埃芏喙羰侄魏瞳@利模式都是一般人很難想到,很多時(shí)候整黑色產(chǎn)鏈條里面有各種利用金融工具結(jié)合技術(shù)手段來變現(xiàn)和獲利的方法,如果你僅僅只是了解安全本身,你很難進(jìn)行對(duì)抗。
安全從來不止是單純的技術(shù),對(duì)業(yè)務(wù)了解的深度某種程度上也決定了你安全的深度,安全從未離開業(yè)務(wù),。
(2) 解決方案
a. 貼近業(yè)務(wù)
可以多和業(yè)務(wù)部門,風(fēng)控部門多多溝通,了解一手的業(yè)務(wù)模式和流程,一線業(yè)務(wù)人員他們一般是整個(gè)公司最了解某條業(yè)務(wù)線的人,另外公司在都有業(yè)務(wù)評(píng)審,這個(gè)時(shí)候業(yè)務(wù)部門和IT部門也會(huì)提交詳細(xì)的需求文檔,安全部門通過評(píng)審詳細(xì)了解業(yè)務(wù)系統(tǒng)的細(xì)節(jié)以及和業(yè)務(wù)部門進(jìn)行溝通。
b. 輪崗
這種方式不具有普遍性,如果你能在業(yè)務(wù)的崗位上工作一段時(shí)間這個(gè)將是你最快也是最好了解業(yè)務(wù)的方式,但是很多公司不具備這個(gè)模式,所以還得看具體情況。
c. 了解行業(yè)動(dòng)態(tài)
安全人員不要只埋頭苦干,也要了解行業(yè)趨勢(shì),安全技術(shù)能力固然重要,但是很也要把握行業(yè)趨勢(shì),老話說的好“不要只埋頭拉車,也要抬頭看路”,很多時(shí)候方向錯(cuò)了,也就離目標(biāo)越來越遠(yuǎn)了。知道該向那個(gè)方向努力其實(shí)很重要,業(yè)務(wù)和IT的發(fā)展方向永遠(yuǎn)是你要關(guān)注的,了解行業(yè)趨勢(shì)能讓你更清晰的知道大家都在關(guān)注什么,也能使你站的更高看的更清楚,更容易找到你自己的道路和方向。
筆者見過很多這樣的場(chǎng)景,安全技術(shù)本身演示的時(shí)候很炫酷,大家會(huì)上都說好,但是事后一直沒什么結(jié)果呢,關(guān)鍵是你不能創(chuàng)造價(jià)值,不能夠解決關(guān)鍵問題,這個(gè)是目前安全從業(yè)人很多都會(huì)面臨的問題,自身的價(jià)值點(diǎn)在哪?(不單單是傳統(tǒng)安全所做的工作)筆者也在一直在思考,也在尋找,了解業(yè)務(wù)趨勢(shì)和發(fā)展方向?qū)δ阏业阶约旱膬r(jià)值點(diǎn)肯定是非常有幫助的,也歡迎大家一起多多交流,能夠碰撞出火花。
三、結(jié)束語(yǔ)
我大概簡(jiǎn)述了一個(gè)安全人的煩惱和憂慮,因?yàn)橄抻跁r(shí)間和篇幅的關(guān)系,很多問題也沒有展開講或者還沒來得急講(如:數(shù)據(jù)安全和客戶隱私保護(hù),傳統(tǒng)安全問題的刨析,編碼/架構(gòu)設(shè)計(jì)能力等問題),很多答案也僅僅基于我自己實(shí)踐和思考,肯定也也有很多局限性,我挑了幾個(gè)有代表性的問題,也許這不僅僅是安全從業(yè)人員的挑戰(zhàn),可能是很多IT人面臨的挑戰(zhàn),面臨挑戰(zhàn)怎么辦?只要還在行業(yè)中,躲是躲不了的,那就只能迎難而上,直面挑戰(zhàn),引用一句老話這個(gè)時(shí)代唯一不變的就是變化本身。
