诸子笔会2022 | 杨文斌:换个视角看网络安全
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
换个视角看网络安全
文 | 杨文斌
杨文斌
某电商公司安全管理
12年网络安全从业经验,熟悉网络安全、数据安全及安全运营等领域,擅长企业网络架构和安全架构设计。近期一直在深耕开源安全相关工作,并持续开展SRC平台运营推广。
从常规视角看网络安全,网络安全的首要任务是保护企业不发生网络安全事件,网络安全人员只会承担成本公摊,网络安全部门是职能部门,网络安全工作是背锅的专属。貌似外界对网络安全的认知比较固化,所以本文尝试换个视角,来看看会不会产生不一样的理解和认识。
企业发展离不开业务,业务是直接给企业创收盈利的核心,从理论思维考虑,任何阻碍业务发展的因素都应该被裁剪掉,这就是业务部门看待网络安全的视角。网络安全工作是在原有快速前进的汽车中加上了刹车,会增加业务迭代的工作量,会成为业务发展的负担。但不可忽视的是,刹车会在汽车行驶时发挥重要作用,汽车行进的路线不可能一直是笔直的,行进的路况也不可能是平坦的,需要适当地刹车确保汽车的安全。网络安全可以跟业务进行融合,解决掉业务在高速发展过程中遇到的各种隐患,驱使业务可以健康稳定发展。
业务发展应优先考虑网络安全因素,就像汽车的刹车不会等到发现不可控因素时再去安装,安全左移和预防为主的思维应扎根于业务建设初期。网络安全不应该是孤立的,应该紧贴业务流程,将网络安全措施贯穿于业务的各个阶段,有效地完成网络安全和业务融合,驱使业务在运营过程中遇到风险时会第一时间想到网络安全,使得网络安全成为被需要的角色。网络安全可以更好地保障业务的发展,业务的发展可以更好地润滑网络安全建设。
从财务指标或经营发展指标的角度看,网络安全部门是成本分担部门,而且是看不见、摸不着的虚成本部门。财务在月度核算时,网络安全部门没有收入,只有成本支出;经营发展部门在月度核算时也看不到网络安全部门的毛利。在企业每个月的各类费用指标报表中,网络安全部门除了人工成本和差旅费等支出外,收入一直默默贡献着“0”。从经营发展视角看,每个月对网络安全的观感都不会太好,也从心底里“鄙视”。
网络安全部门需要想办法体现出自身的经营价值。首先可以对安全工作进行成本量化,比如安全测试工作可以从业务部门进行工作量和成本化转,安全保障工作可以用巡检、漏洞等进行工作量转化,在内部工作支撑方面明确网络安全部门工作的“盈利指标”,跨部门赚的钱也可以体现为收入。网络安全团队能力发展到一定阶段,可以通过科技成果、对外服务、保障支撑等方式实现经济效益,或通过隐性奖励的方式转化,这些都可以作为经营成果的体现。
企业在内部能组建发展一支有规模的网络安全团队,可以看出管理层起码是重视网络安全建设的,从心底希望网络安全在企业发展过程中发挥作用。安全可以融入业务,将原先的两张皮融为一张网。管理层不希望安全做成企业成本,而是转化成“利润”,打造成可以为企业降本增效的融合能力,通过投入有限的资源发挥出无限的作用。
作为安全负责人,需要将安全成果转化为管理层容易理解的展示方式,将安全价值量化成为企业发展助力的各种指标,使得安全工作从企业视角看得见、摸得着。管理层感受到安全工作的成效不再是不出现安全问题这么简单,安全事件仅是安全工作的结果,需要让安全价值体现在各个方面。让管理层从网络安全角度获得满意的ROI,才能更加有信心地在网络安全方向增加资源投入,进而推进网络安全建设良性运转。
这里主要指的是安全供应商,为企业提供安全产品或安全解决方案。随着技术和场景的发展演进,衍生出的安全供应商错综复杂、琳琅满目,企业本身是希望能够在有限的时间内选择出满足安全需求的供应商,在选择供应商之前会将调研交流工作看得非常重要,也非常希望在较少的交流次数中确定好令人满意的供应商。
目前安全供应商在交流过程中存在不少问题,特别是在前几次的产品展示或技术沟通时,通常都是拿着固定的宣传PPT或者其他文稿,将自己的产品讲解得天花乱坠,一直在强调自己公司的产品非常优秀,却忽略了甲方公司在交流之前提出的需求。结果直接导致宣讲和听众不在一个频道,讲的人很激情,听的人很无聊。供应商一直在强调可以提供一门大炮,但可能企业的需求却是驱蚊。相信不少人看过《华尔街之狼》中小李子让员工推销钢笔的镜头,打动客户的不是你的产品方案多么优秀,重点是满足需求。
特别是业务高速发展的企业,在和客户洽谈过程中,如果被核查到发生过重大网络安全事故,将被标上企业不靠谱的标签。当下企业之间合作最重要的就是诚信和安全,如果出现了不安全因素,在谈判过程中难免会产生疑虑。企业卖给我的产品本身会不会存在安全漏洞,引发供应链安全风险?甚至会不会留有后门这种暗风险?再者会不会因监管不到位或者权限管控不足造成重要数据泄露?一系列的问题都会随之摆上台面。
特别是众多大型央国企招标流程比较规范,在招标采购文件中会明确诚信和违规事件的限制条件,如果发现存在违规事件牵连,直接否决参与投标资格。在国家和行业都将网络安全提升到一个认知高度的前提下,各企业对网络安全的重视程度也随之加强,上下游关联客户的安全意识也应逐渐提高。
网络安全行业的门槛比较高,网络安全是个相对神秘的职业,从业者要么是黑客,要么就是在找黑客的路上。网络安全对学历的要求很高,想从事网络安全工作望而却步等等现象是行业外人员的普遍认知。这里可以确切地告诉远观的朋友们,准备入行的可以大胆踏步,这个行业和其他行业相比,没有任何特殊性,不会歧视任何低学历和先前从事的行业领域。笔者身边存在学历高中、大专的网络安全大佬确实一抓一大把,以前从事厨师、化工、开出租的网络安全大牛也大有人在。
在进入网络安全圈子后,会发现网络安全行业的同仁都比较朴实热心,既有IT人员的专注,还有市场思维的灵动。当然网络安全从业者也会存在压力,网络安全行业的技术迭代速度奇快,网络安全的服务对象较多,导致衍生出的要求也高,需要时刻补充完善知识体系,拓展技术边界。
在网络安全行业摸爬滚打多年后,你将发现网络安全岗位是非常充实的职业,也是包容性很强的职业,是在发展后期横向可选择性较多的职业。虽然圈里一直在说职业天花板,但毕竟天花板的机会不多,还是做好当下。机会是留给有准备的人的,希望每个人都可以触碰行业天花板,但更多的是去体验努力奋斗本身。
【12月主题:回顾与展望,无题】
【11月主题:考场,战场与职场】
孙瑜 王忠惠 朱文义 陈圣 回顾【10月主题:过与不及】
【9月主题:查漏补缺】
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦
肖文棣 孙瑜 杨文斌 陈圣 回顾
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在