如何评价防黑客入侵攻击的安全岗位

这个问题思考了很久,到目前为止我自己还没有标准答案。评价是工作中不可避免的动作。虽然字面上有很高的审视意味,但人们往往无法避免自我评价。尤其是职业生涯发展到中后期,随着等级的提高,你的上级注定无法在专业领域超越你。上级对高P有一个潜在的期望,就是你最好告诉我,我应该如何评价你的工作,让外行听起来符合逻辑。不能做好这件事的高P注定不会舒服,至少不能得到期待的信任、资源,以致不能开展自己认为正确的工作,进而导致工作效果不佳,背锅黯然神伤。


因此,这些年来,我一直在拷问自己。当我只负责一个小工厂的大部分安全功能时,我觉得我没有被这个问题困扰太多,因为人够少,所以任何问题都可以用安全不是绝对的来搪塞过去不是绝对的100分,这是当时的通用答案。当我负责一个大工厂的垂直功能时,我并没有被这个问题所困扰。因为我的上级大概会给我一个通俗易懂的目标。比如反入侵,需要xx%以上的真实发现率。有一次,我设身处地的幻想,如果我当时承接了隔壁的团队,比如SDL团队,那么他们的目标也比较简单,当公司业务高速发展时,漏洞的绝对量是否能够持续稳定地控制。与乌云相似的平台相比,对比得出我们比同规模的公司更少(相应的资源相似)。然而,当我负责整体基本安全(传统安全)时,我突然发现这个答案变得困难了。



所以,在刚入职不久的半年报告中,我遇到了这个问题,CTO问我,你给自己打了多少分?我仔细评估了当时的状态,一切都刚刚开始。虽然有阶段性的进展,但离我心目中能做到的目标还是很远的。因此,我回答说,根据施工效率和质量,80分以上,但根据实际的风险控制能力,我认为还不及格。后来,我得到了上级的指导:好不好,不仅要看实际的风险控制能力,还要看跟谁比。恍然大悟,但为时已晚。有时,面对公司高层的沟通机会并不多,印象分一旦错过,就很难再找机会来弥补。因此,今天,我试图将这段时间的思考,做一个简单的记录。首先,结论:安全工作的质量取决于认知的准确性、投资的合理性和实施效果的综合评估。它不仅要结合公司的实际情况,还要横向对行业进行对标,这是有意义的。认识的准确性,投入的合理性。执行效果。行业对标一是认知的准确性。



安全工作100%的安全工作,这句老生常谈成了许多明明能做好,却没做好的劣质工作挡箭牌。四哥有一句经典的话,在安全圈老一辈从业人员中很受欢迎,叫你真的尽力了吗?,尽力与否,并不完全取决于个人是否努力。曾有一段鸡汤段子,说小男孩被要求处理一块石头,这块石头明显超出了自己的能力范围,而大人说,他还没有尽力,因为至少小男孩没有向大人求助。比方说,在处理公司安全漏洞时,经常有人说我一开扫描器,生意就闹,出了事故,不让我扫,所以我不敢扫。可是公司出了漏洞,明明扫描器可以找到,他们不让我扫,却怪我没用。因此我委屈,因此安全工作做得不好。那是一件经典的明明能做好,却做不好。

我刚加入现在的团队,扫描器的安全运营同学就这样反馈给我,扫描器的开发成功后,我进公司前的两个月,做了一次国庆节前的保障临时扫描。实际上,如果知道变更管理上述工作可以遵循变更流程,进行风险提示,变更知识,灰度进行,通过业务改造监视逻辑,事情可以继续。最后,我们很快就完成了黑盒扫描器定期开启运营的工作,就像很多优秀的同行一样。最后,公司有了相应的漏洞检测能力,在SRC反馈新漏洞时,有了复盘的基础——如果没有定期运营,我们甚至没有资格复盘。


分享: