关于网站防入侵的安全运营岗位定义研究

曾有一次,安全圈将从业人员分为剑宗和气宗。“剑宗”就是掌握一些招式,不需要长时间积累内力,有时还会出人意料,搞Web安全的脚本小子就属于这一类,而“气宗”就需要从汇编、编译原理等晦涩的知识入手,学习曲线比较陡峭,大器晚成,遇到什么不懂的地方就去反编译看汇编源码,总会知道为什么搞二进制就属于这一类。这两种情况,共同看不起的是一类安全工程师和安全管理人员。


所谓文职安全工程师,往往是了解一些技术的基本概念(但不需要太深入),考CISSP,学ISO29001,或者啃一些等级保护体系的要求,了解一些大概的安全领域和常规安全概念和解决方案的术语,负责企业安全合规审查的配合,安全规范体系的编写,或者与乙方供应商联系。最近GDPR的普及,以及早期上市公司对SOX404合规性的需求,也让各大咨询服务提供商培养了大量类似的员工。业内也因此热议是三分技术、七分管理、七分技术、三分管理。如今,一些大型互联网企业开始招聘一种叫做安全运营工程师的新物种。这是什么角色?是做技术的还是管理的?我打算从个人经历中解释和分享一些,请纠正。


安全运营的定义。先看看运营的定义,作者曾从事过网络游戏行业,这个行业有一个专门的职位叫运营,是老板最喜欢找的人。她们的日常工作是什么?在项目研发的早期阶段,运营商将根据自己的经验向研发提供项目的一些常见需求。此时,他们是需求提出者或一定程度的设计师,但他们不是产品经理。项目在线后,运营会反复体验产品,发现问题,进行小范围的灰度测试,征求意见,但最重要的是分析数据(有专业的数据分析团队根据需求支持),诊断问题,优化目标反馈。按照拉新、留存、促销的场景,不断策划一些宣传(有市场策划同学配合),广告投放,节日活动等。最后,一款产品本身做得好不好,项目收益好不好,生命力强不强,主要看运营同学是否专业。



这种角色,也许有些同学会觉得像产品经理,不一定是独立存在的组织实体,但他们的职责比较明确,这是一群对项目的最终目标负责,从而不断地诊断分析问题,提出需求,协调各方资源,共同实现目标的人。

在安全领域,我们也有类似的要求:自我研究或购买一些安全产品,引进一些安全解决方案,只是手段,真正的需求就是解决安全隐患。




例如,一些安全工程师喜欢写扫描器,制作HIDS的DEMO,构建大数据分析的平台,分析漏洞的细节,研究POC,这些工作都是有意义的,但这并全部。我的前领导经常说手段不是目标,写扫描器是手段,目标是事先检测出漏洞,减少公司漏洞带来的安全风险,写HIDS也是手段,目标是发现入侵事件,立即停止损害,构建大数据分析平台。站在对目标负责的角度,你确实写了一个扫描器,但是我也用开源产品或者商业产品拥有一个扫描器。除了让自己有成就感,增加下一份工作的求职筹码,对目标有什么贡献?我做了扫描器,但没有例行跑起来啊,因为一跑起来,就把生意扫挂了/生意报警了。我的扫描器有例行跑,但测试用例没有人家的全啊,很多漏洞都检测不出来啊,我的测试用例特别全,集众家之所长,就是误报多了一点,多到什么程度?我可以检测到每个漏洞,但伴随着数百个误报,所以人肉必须逐个筛选才能转发给RD修复,我的扫描器很厉害,就是目标URL不在扫描列表里,经常不在列表里。



我的扫描器很好,但SRC收到的漏洞并没有减少,它们都是逻辑漏洞,越权漏洞,这不是技术上可以自动解决的事情啊,所以我不需要改进,我做了HIDS,只是兼容性差一点,上次搞挂业务机器,覆盖率没有上升,被入侵的机器也没有安装。我做了HIDS,收集的数据特别全,后台无法存储,无法分析。我做了HIDS,入侵检测规则特别严重,就是误报稍多,一天一万单吧,所以只是看不过来,碰巧没有发现入侵.我做了HIDS,也报警了,只是没人跟进,他们也不明白我的警告意味着什么,如果我亲自处理,就可以抓到黑客.



在太多的企业中,一个团队拥有上述素质的安全工程师真的很难,但是企业真的的扫描器、HIDS等手段付费吗?在大多数情况下,企业都是为产出付费,而非为知识付费。花钱雇一个安全工程师,工程师只沉浸在自己做事的快感中,不能为公司降低安全风险,这是一个尴尬的局面。仿佛有人雇了一名保镖,武艺高强,但小混混上来欺负主人时,保镖漠不关心,主人每天都被欺负,主人应该为这名保镖付钱吗?因此,企业花钱雇用安全技术人员的目标是解决问题,解决问题不仅仅是购买安全产品,做什么就结束了。对于大型企业来说,解决问题的需求非常强烈,安全技术、安全管理、安全开发等角色都具备了,老板发现某些安全问题总是不能收敛,最后,引进一类新角色,对问题进行分析、诊断,发现症结后,协调资源,最终实现目标。从此以后,安全运营工程师就出现在世人面前。


分享: