卧底「一個人的安全部」,我發現了某些大秘密
不久前雷鋒網編輯加進一個群,群里集合了天南海北的小哥哥,他們在群里開車,吐槽,撩妹(沒有妹,假裝撩),攪基,斗圖,求助,分享乾貨,討論技術啊……
別誤會,都是正經銀。他們身上有著相似之處:都在做或曾經做過一個人的安全部。
幾天前某阿里面試官的一條微博把這群低調之人推向了大眾,不明真相的群眾們開始發射關切目光:一個人的安全部到底是什麼樣的?聽起來很慘的樣子,期間有什麼美好(狗血)經歷?
(目前此條微博已刪除)
這就來聽他們聊一聊。
黑暗哥——如果人生還有選擇,我一定做個碼農!
黑暗哥一個人干安全部一年多了,從事的主要是安全產品運維、開源安全產品的測試和搭建、安全應急響應、應用安全測試、安全培訓以及兼任運維工程師。(他在這個崗位後面添加了N個感嘆號表示不滿)
期間出現過種種奇葩事件,比如同事找你修電腦、裝系統、修印表機、拉網線,還有人真誠地請教為什麼電腦會卡。
「說多了都是淚,孤獨啊,我和同事沒什麼共同話題,更多時間都在自己學習。」
黑暗哥考慮過跳槽嗎?
如果是有團隊的甲方或者重視安全的甲方,他肯定願意去的。但跳槽後待遇如何,要看對方是怎樣的公司了,很難說得清楚。據黑暗哥透露,之前有家甲方公司叫他去應聘,對方十分滿意黑暗哥,表示公司很重視安全,不僅要大力購買安全產品還要做等保,要做體系建設,承諾絕不讓黑暗哥做非安全相關之事,但薪資……
「呵呵,我從薪資預算裡面就知道,他們口中所謂的安全預算根本不存在,跳槽過去也是從一個坑跳到另一個坑而已,果斷放棄了!」
如何點評這一行?
黑暗哥借用了某大佬的一句話,架構師的知識量,實習生的工資!雖說裡面有誇張成分,但安全行業工資偏低也是不爭的事實。「如果人生還有選擇,我一定做個碼農!」
BUG哥——真不是我的故事,純是別人吐槽認識BUG哥幾經周轉,聽說我要問「一個人的安全部」這事兒,他擼起袖子說要分享一波朋友經歷,原話是這樣的:
一個人負責整個企業或者單位的內網和外網安全,每天都要擔心系統被黑客日,連看到掃描都心裡一顫(但是做的時間長了,基本就麻木了)。系統被日了,頂上去,殺馬,刪後門,打補丁……
同事電腦中毒了,給他殺毒重裝系統去(有時候真不是病毒的原因,就是因為電腦太老了,卡了……)。
上級單位要檢查了,做個自己都看不懂的但是領導喜歡看的安全報告交上去。
有時候還要去做運維的活,要是單位的系統是廉價的開發公司做的,估計還得負責系統的功能微調。
時不時會有公司里你喜歡的妹子添加微信好友,上來寒暄幾句,然後問你能不能破解QQ密碼或者盜號,她懷疑她男朋友出軌了,順便再讓你給她看看她手機和電腦里有沒有她男朋友給她發的病毒,手機桌面是她和她男朋友親親的照片,從此你就不喜歡她了……
我:你知道這麼清楚?(疑惑臉)
BUG哥:別這麼看我,真是的聽說,聽說。
我:好的繼續。
由於是一個人的安全部,這個部門情況好的話是一個邊緣部門中的邊緣部門,情況不好的屬於信息中心下屬的網路部的運維部的安全部。
所以綜上,一年給你部門的投入也就一台華為的防火牆了(華為表示不關華為的事,華為不知道),運氣好的話還能給採購一個IDS或者IPS。
要是問出了問題怎麼辦?肯定你背鍋啊,你一個搞安全的,系統被日了,難道要去找研發么?(正確答案:是的)
要是沒出問題呢?領導會覺得你在這也沒啥用,工資就不漲了,年終獎也算了,要是明年有應屆生來上班,就把你開了得了,能省則省嘛。
好了,故事說完了,BUG哥收起小桌板,意味深長地總結,有這樣的經歷也未必不好,如果你一個人搞定了企業內外網安全,滲透、運維、工具或者設備使用熟練,條理清晰,有自己的見解,那在下家還是很受歡迎的。但如果只是去混日子,看天吃飯,靠運氣躲開攻擊的話,可能連受到下家diss的機會都沒有……
風哥——沒出安全事件:要安全有什麼用?出了安全事件:要安全有什麼用?風哥最近心情不錯,原因是招了一個小夥伴,終結了他一年多「光桿司令」的時光。
我:為什麼之前一直沒招人啊?是不好招嗎?
風哥:(捂臉)安全沒投入,領導不給人啊。
我:那為什麼現在給人了,是因為前段時間Facebook數據泄露給老闆們敲了警鐘嗎?
風哥:……並不是,因為我提了離職啊。
(整段垮掉沒關係,我們重新來過。)
據風哥說他乾的事有這麼幾塊:安全管理、網路安全、系統安全、應用安全、業務安全、數據安全、內部安全(含辦公網)……當然這是從安全形度,在運維、研發同事眼裡他就是掃地僧,專掃漏洞。有人覺得他管的寬,有的人覺得他管的窄。
「這也是一個人安全部的弊端吧,沒有一個高級別的人比如CSO給你說話,給你劃分職責範圍,反正一句話:我覺得跟安全相關的就是你的事,我覺得無關的就跟你沒半毛錢關係。」
更扯的是領導。公司不被黑,領導覺得安全沒事做,公司被黑了虧了一大筆,又說安全沒做好,天知道他們給領導講過多少次facebook虧了幾個億的例子,但領導不為所動。總結起來就是:沒出安全事件——要安全有什麼用?出了安全事件——要安全有什麼用?
風哥寫過文章,只不過寫完文章後有人留言說「兄弟以後不許寫一個人的什麼什麼了,上次有一篇文章叫一個人的安全部,我單位有位XXO就認為他啥都知道了,自那以後買兩本書看看目錄就開始和我們講安全了,當你和他講技術的時候,他給你講管理,當你和他講管理的時候,他給你講情懷,完了,估計下周開會又要墨跡了!」。
回到風哥提離職這事,他其實沒怎麼糾結,「說白了,每個人在拿薪資的同時都想提升個人價值,如果大公司有專業團隊我可以考慮降薪過去,但如果小公司讓我抗事背鍋從頭開始,薪資就得給高點。當然還有一種情懷在裡面,乾的爽了多干會,乾的不爽早點撤。」
嚯,俠客即視感。
基哥——來,說行話
「一個人的安全部啊,」基哥點了根煙,說起了行話:
日常要做的就是日站:挖漏洞,修漏洞;當安全運維狗:配置維護防火牆、入侵檢測、日誌審計等等各類安全產品。做等級保護合規建設和測評等;沒預算時客串碼農:公司沒錢採購安全產品,要自己搭建開源或者自己開發;薅羊毛:先(測試)薅自己公司的羊毛,再防止羊毛黨薅羊毛;吵架:與產品經理吵架、與開發吵架、與運維吵架,給我排期需求,修復漏洞;背鍋和甩鍋:鍋是必須有人背的,不是自己的鍋,要甩出去。
基哥現在不是一個人了,他背後站著三、四個男人,是一支小規模的安全團隊。不過說起之前單打獨鬥的經歷他依然吐槽滿滿,「最大的困難是沒人 and 沒錢 (有一樣兒也行啊)。要是仔細說,那就多了去。」
比如什麼呢?
每次迭代時產品經理不給安全的需求排高優先順序開發,安全需求推不動;
開發不按時修復漏洞,或者認為某些漏洞沒必要修,漏洞需求推不動;
運維不及時修改安全配置,運維安全推不動;
業務、開發、運維部門認為:安全怎麼那麼多事兒,總提影響進度要求,或者給他們找活干。
財務做預算時:沒錢。HR做Headcount時:沒招聘指標(沒人)。
領導:要出業績,出看得見的KPI。
普通同事:你們不是黑客大神,復仇者聯盟滅霸級別的嗎?怎麼還能被XXX?
此處基哥舉個栗子:某次運營和抽獎活動後,運營和產品經理妹子找我們哭訴:又(劃重點:又字)被薅羊毛了,這個月的活動預算都被薅沒了。前端見到我們一臉詭笑:聽說你們被薅羊毛了……後端見到:又被薅羊毛了?廠家一臉鄙視(被一個製造業鄙視了互聯網公司……)
當然,這都過去了,現在有了小團隊的基哥舒心多了。在他看來大多企業的安全工作與企業核心業務的距離比較遠,除了業務風控崗位和業務距離近一些,業務安全直接影響收益和利潤,其他安全崗位被認為是後台保障工作,所以,沒有業務風控的安全團隊,通常人比較少(4人以下),有業務風控的團隊(業務需要才有),通常人在4人以上,投入的預算高一些,這時能做的事情就比較多了,也容易出安全業績。
「互聯網大廠的安全團隊少說都30+人、50+人了,很多安全系統也都是自己開發,人多錢多的時候,安全工作相對會順暢很多。」
77——你之所以看不見黑暗,是因為有人拚命把它擋在你看不見的地方。
一年前77師傅乾的還是一個人的安全部,一年後他換了公司身邊出現了不少並肩作戰的夥伴。
77師傅寫過不少文章,寫文章後也認識了不少一個人做安全工作的小夥伴,其中更多的是在金融公司工作,涉及到等保等需求公司會招聘安全相關崗位。在互聯網中小型公司中,有安全崗位的真的不多,更多的業務都往雲上進行遷移通過雲廠商的安全服務進行安全防護,在業務沒有碰到大規模黑產/黑客攻擊導致損失錢的情況下,很少會有公司對安全開始重視。
而根據他以前的經驗,很多初創公司因為代碼的不嚴謹存在越權、跨站、注入等高危漏洞被攻擊者利用造成了無法挽回的損失導致公司無法繼續運營。
另外在發現漏洞後的修複流程中,公司業務快速迭代新功能的緊急發布總會存在一些安全隱患,中小公司很少會有PMO這樣的崗位對項目進度進行跟進排期,一般都是個人和對方業務溝通告知漏洞詳情和修復建議,碰到關係好的開發可以讓他排期儘快修復,當然也會碰到比較耿直的開發。
比如77師傅之前就遇到過一個開發,寫了一個公網訪問的一個網站,在做資料庫交互的時候沒有用框架自帶的過濾用的是SQL拼接的方式導致了SQL注入的存在,當時判定優先順序為最高需要馬上修復,但是這哥們對這個並不在意給出的修復時間是一個星期以後,經過一頓操作將修復日期調整成了當日。(具體怎麼操作的可以問問77師傅。)
77師傅把安全工程師們收到一個通用漏洞的心情比做產房外等待的丈夫,要儘快確認公司是否在使用這個服務,這個服務是否可以對外訪問,如何修復漏洞,補丁是否支持熱更新,灰度發布方案是怎麼樣的,如何做到回滾等等,晚一秒被攻擊的可能性就會增加,每次修復都是在於時間賽跑。
同樣的,發現漏洞會儘快聯繫對應開發組織修復,提供修復建議在修復完成後進行再次測試等等。
說到最後,77師傅真誠說道,「如果公司有安全從業者請善待他們。你之所以看不見黑暗,是因為有人拚命把它擋在你看不見的地方,向所有做安全的好同志致敬。」
熊貓哥——我來拔高主題前幾天微博有一個女生投稿,內容是求助網友怎樣說服肌肉猛男(友)不用熊貓頭像,反差太大了。不少網友對這位投稿博主進行了diss,用熊貓頭像怎麼了,誰還不能買個萌。
熊貓哥在群里是萌寶,頂著熊貓頭像公然撩漢是他,有理有據給群友出謀劃策也是他。
在我問出問題後,熊貓哥一臉壞笑,「是不是收到很多群友們的瘋狂吐槽?」
我:是是是,你有什麼要吐槽的嗎?
熊貓哥:不,我是來和你說為什麼大家這麼吐槽的。
以下是熊貓哥一本正經的回答:
IT治理的目的是使IT與組織業務有效融合,其出發點首先是組織的發展戰略,以組織發展戰略為起點,遵循組織的風險與內控體系,制定相應的IT建設運行的管理機制。IT治理的關鍵要素涵蓋IT組織、IT戰略、IT架構、IT基礎設施、業務需求、IT投資、信息安全等。說白了一套強壯的IT管理制度和完全對應的制度落地才是一個IT部門的核心競爭力。
現在很多公司招聘的管理層完全不懂IT治理,很多都是經驗多一點,簡歷好看的程序員,一旦從控制代碼到控制一整個IT部門,他們的能力就捉襟見肘。信息安全十分依賴一套健康的IT體系,才能穩步的推進工作,不管是運維安全,代碼審計安全,以及內部安全控制等等。
正因為如此,群里的甲方工程師各種吐槽的本質原因是因為IT部門的基礎沒有紮實。
所以為了開展工作,甲方安全工程師在權力結構不對等的情況下,在建設IT部門的基礎性架構,在完成技術建設後再開展安全工作。
這就是為什麼甲方安全工程師往往要多得罪人,被人嫌棄多管閑事。
領導層不懂IT治理(我懷疑他們連IT治理是啥都不知道),就會覺得安全工程師不務正業,為什麼做這麼多和安全無關的事情。
現在甲方信息安全工程師面臨的本質矛盾是IT建設基礎不紮實甚至沒有,甲方安全工程師為了完成職業目標,必須越權額外完成工作,導致職場人際關係和職業發展目標雙輸。
在熊貓哥把這段話同樣發到群里後,群友紛紛開始了「商業吹捧」……
群友甲:熊貓大哥的立場很有高度啊;
群友乙:我把這話轉發給我們IT總經理,他一臉尷尬又不失禮貌地微笑;
群友丙:貓哥這是站在信息化角度詮釋;
群友丁:(想不出誇你的話,那就發幾個表情包吧)
……
P神——其實沒什麼特別之處
和P神聊天之前我先詢問了群友為什麼送他這麼一個稱呼,他表示沒什麼特殊含義,不過是自己昵稱首字母是P而已,但據我觀察很可能和他熱衷於P圖有關,畢竟我親眼見證了他曬戒指也用美圖秀秀P了一波手毛……
P神曾在一家電商從事過將近半年的甲方安全工作。按照他的經驗,有安全需求的公司,要麼自己被黑過,要麼是企業發展到一定規模需要這樣一個角色。而一個人的安全部這一角色,通常依附在運維部門下面或者是QA質量測試下面,你的領導可能是質量測試的老大、運維部門的某個小leader或者是運維總監,少數會直接將工作彙報到CTO那裡,從這點就可以看出安全在公司中的位置。
而安全工作要順利推進是需要話語權的,需要一定的安全預算,因為安全工作常常是在發現別人的問題,從點(一個漏洞)到面(系統網路架構業務風險)的風險發現和治理多數情況下是與人打交道,大家往往因為各種原因會有不同的抵觸情緒,職場的溝通協調能力是一方面,而有制度和權利的保證會讓工作有理有據的順利開展。否則這些工作定義了一個人的安全部是自顧自嗨,慢慢就會缺乏認同,沒有成就感,失去積極性,變成一條鹹魚。
你在的部門和領導決定了安全的角色可以做什麼,什麼可以做的更好,什麼事情想做而做不了,什麼事情讓你感到壓抑。
但這些都是因人而異,一個人能夠在甲方經歷安全廣度上的磨練,如果自己也懂得思考,並在公司有價值和聲音的體現,以及在安全的某一方面有深度能力,完全可以跳到合適的甲方組建自己的安全團隊或跳到已有安全團隊的互聯網明星企業。但當自己的想法和行動力被不懂安全的人束縛時就會回憶乙方的團隊氛圍……
實際上在P神看來,一個人的安全部的經歷沒什麼特別之處,閃光的地方更多在於你做出的成績和積累或對圈子的貢獻。
夜深了,吐槽星人們都開始潛水搬磚,明天起來又是一個人的安全部,誰也不知道會出現什麼雞飛狗跳的事情……
文章為雷鋒網宅客頻道原創,歡迎關注雷鋒網宅客頻道(微信公眾號:letshome)
※對話飛利浦、神州醫療專家:讓AI技術上雲,實現疾病全流程管理
※前央行司長盛松成:區塊鏈最好不要和貨幣結合,可與金融沾邊丨博鰲2018
TAG:雷鋒網 |