安在｜为什么安全团队总是会陷入困境

安全计划中最重要的任务之一是响应警报，然而CISO及其团队人员表示，这项工作可能会让他们焦头烂额。安全公司Censornet在其最近的一项民意调查中发现，47%的安全从业人员对警报数量感到不知所措，在Sapio Research为安全软件制造商Vectra进行的一项调查中同样发现了，67%的安全运营中心无法管理每天收到的警报数量。

鸭溪科技公司的CISO Benjamin Dulieu对此表示：“每次触发事件后的安全警报都必须手动调整，这确实会让人筋疲力尽，仅仅这个调整的过程，就会有大量时间被消耗，而且通常情况下，这些警报都是假的，但我们又不得不处理此事，很多时候就会打乱当天的议程。这就像有人在不断地按门铃，不断地在恶作剧。”

因此，Dulieu与一家托管安全服务提供商（MSSP）签订了合同，他将“安全警报任务”从自己工作中彻底删除，他说：“现在我有一位能应付门铃的管家了。此举为安全团队腾出了大量时间，能让员工更加专注于计划内的工作。”

国外有安全专家指出，CISO有时会限制甚至阻止其他部门使用或访问相关技术，尽管对安全部门来说有非常充分的理由要求他人这么做，但这可能会给安全团队带来更多的工作和麻烦。

安全软件公司Expel的CISO Greg Notch表示：“如果你把时间花在告诉其他部门：‘不能在不考虑业务环境的情况下就擅自动用技术或系统。’其带来的结果是，其他人会‘绕过’你，最终在彼此之间形成敌对关系。坚持过于强硬的立场会耗尽安全团队的精力，因为没有任何部门愿意配合这样的安全立场。”

Notch根据自己的经验，指出了他在国家冰球联盟（NHL）任职期间出现过的一些情况，他曾在那里担任过多个职位，包括IT安全高级副总裁。“当营销部门想要建立NHL粉丝数据库时，我认为这是一个巨大的风险，他们在处理数据时会受到隐私和安全限制。很显然，对于这些数据的限制是非常严格的，有时甚至很难建立营销所需的技术，因此市场营销部门不断要求我们破例，而我们唯一能做的是，就是在这之后每周都花几个小时来处理这些查询，所以最后我们不得不专门为此雇佣额外的员工。”

Notch表示，安全团队如果在业务上施加了太多的摩擦，最后还是会为这种种安全措施买单，因此需要重置安全部门和其他部门的关系，尽可能去和业务目标保持超级一致，同时向其他部门更清楚地阐述业务风险，而不是安全问题，并创建企业可以遵循的“铺设道路”，以确保安全并实现其目标。

Dulieu在工作中发现，对员工时间的低效利用也是一种问题。“我们往往会将一些工作能力较强的员工，从计划或明确优先顺序的任务中借出来，而不去利用那些工作压力较小的员工，这种情况会降低工作人员的效率。”

Dulieu表示，总是使用这些现成的员工，虽然能让他们不断积累自己的从业知识，但对其他员工而言就缺少了学习机会，而这种种现状叠加，可能不利于留住劳动力，“旱的旱死，涝的涝死”，很可能一些人的负担过重，而还有部分人被低估了价值，失去了成长机会。

为了避免这些问题，更好地平衡团队时间，Dulieu创建了“特警队”，他为每个IT实施都分配了相应的特警，并让他们不断深入了解各部门职能，然后由这些特警成员负责回答有关安全的相关问题。“这样不但可以进行交叉训练，还可以创造出更多的替补力量。”

Dulieu指出，他的方法不是一蹴而就的，但在短期内，确实也带来了巨大的回报。他说，这种方法分散了从业知识，从而更好地平衡了每个人的工作，其提高了更多员工的技能和奖金，并有助于留住各种人才，同时对任期更长、效率更高的团队也是有着极大益处的。

Dulieu表示，研究、选择和实施新的安全技术会让CISO沉浸在审查和分析报告中，而忽略了实际的安全服务。因此，没有理由独自完成这项工作。

Dulieu与一家增值经销商（VAR）建立了牢固的工作关系，他常依靠该公司及其专家团队来做“跑腿工作”，经销商会根据调查结果向他提供建议。“他们带来了一定水平的从业知识，这也是‘增值’的最佳方式。他们会花一整天的时间评估供应商，而这在过去都是我一人在处理。”

Dulieu说，这种合作关系并没有将安全团队的所有工作都取代，比如在考虑新工具时，Dulieu仍然要负责监督所需的概念验证工作，但毫无疑问，这种合作关系给了他足够的时间。“据我估计，使用VAR可以为安全团队节省大约120个小时的工作时间，综合下来，就是将每次新工具的落实过程加快了六周。”

随着安全现已成为了董事会级别的问题，以及越来越多的法规也将安全当做焦点，如今的CISO会花费更多的时间来回答有关安全计划的问题。无论是需要相关信息以履行法律义务的内部合规团队，还是希望得到保障的外部业务合作伙伴，越来越多的关注点和回答，成为了现代安全部门的职责。然而，这也意味着更多的安全工作时间会被占用。

非营利从业协会电气与电子工程师协会（IEEE）的CISO Kayne McGladrey对此表示：“这是非常头疼的一件事，安全人员本来就忙，还要提供各种信息。不过有一些策略可以在不过分束缚安全团队的情况下，履行安全部门‘需要提供相关信息’的义务，比如自动化。简单举例，控制操作的证据应该是自动化的，有效性的证据也可以是自动化的。”

06

少些强制性安全培训

Equifax执行副总裁兼CISO Jamil Farshchi表示，尽管他的团队里都是安全从业人员，但依旧被要求必须参加公司强制性的年度安全培训，连他也不例外。“我想说，为何要浪费这些时间？”

为此，Farshchi和他的安全团队开发并实施了一个安全测试，他们精心制作了相关流程：从各种主题中随机选择50个安全问题提交给每位考生，如果员工得分足够高，意味着对安全实践有着全方位的掌控，那么他就可以选择不参加强制性培训。

Farshchi说，此测试得到了行政部门的支持。他还指出，他的安全团队创建了记分卡，可对工人和承包商的安全相关行为进行评分，这样他们就可以识别出哪些人需要额外或有针对性的培训。因此，Farshchi表示，自己有信心证明该测试方法不会增加公司的风险。“另一方面，测试为安全团队节省了数千个小时的工作时间。”

此外，Farshchi表示，他所在的公司有一个既定的流程，计划中的技术项目在实施前要经过一系列审批，由多人对计划进行评估。因此，他让安全团队深入研究，为什么这个过程会涉及多个团队，以及所有这些评估层是否都提供了价值。“之后我们发现，价值主张真的很低。这些没有价值的工作，对安全造成了能力限制，所以我消除了审批链中多余的环节。”

如今，更进一步，Farshchi自动化了安全控制，并创建了一个具备“快速通过”模式的程序。根据该程序，一贯遵守安全要求的开发团队只需在最终生产前进行安全评估就行。显然，这些变化在不增加新风险的情况下，为安全团队争取到了更多的时间。

大峡谷教育的CISO Mike Manrod表示，自己常在电子邮件方面遇到阻碍：“太多电子邮件了。分发列表、警报、报告和其他来源的电子邮件，每年安全团队要收到大约100万封，这个数字给安全团队和电子邮件系统带来了超大的时间负担和使用负担。我作为CISO，每年收到的电子邮件大约10万封，每周需要5到10个小时才能完成浏览。”

对此， Manrod的解决方案是实施全新的安全信息和事件管理（SIEM）系统。“SIEM减少了来自不同系统的警报总数，同时安全团队还能决定哪些信息可以显示在仪表板中，以及哪些信息应该作为警报去发送的规则，这又进一步减少了电子邮件数量。”据Manrod表示，这项方案使普通邮箱中的电子邮件数量降到了每年9.5万封。

09

不必要的交流要求

一些CISO会将交流需求列为必要任务，而这可能会花费更多的时间和精力来实现相应的价值。Manrod说，他对自己制作的报告越来越“挑剔”，他会继续撰写那些他认为至关重要的报告，比如需要提交给董事会或其他高管的报告，但Manrod放弃了其他报告，因为他觉得有些报告没有提供任何有价值的内容。“这就是不必要的交流要求，对自己过于严苛只会使自己的压力越来越大。”

另一方面，Farshchi会通过识别、使用那些善于交流和制作演示文稿的人，来提高交流效率。Farshchi说：“有才华的沟通者不仅可以更快地开发安全消息，而且通常还能生产出更高质量的产品。”

10

查看可疑电子邮件

Lexmark的安全团队有一种机制，会让员工报告他们认为可能是网络钓鱼的电子邮件，其CISO Bryan s.Willett对此表示，考虑到目前网络钓鱼攻击的普遍性和成功性，这是一个极其重要的安全功能。然而，Willett也看到了安全团队在这一过程中花费了多少时间，因此他创造了一种更有效的方式来审查可疑电子邮件。

Willett让一名工作人员去研究那些被标记为可疑的电子邮件，并识别“表明它们确实合法”的关键词是什么。之后，这名工作人员使用这些数据创建了自动工具，该工具可以审查有问题的邮件，然后告知最初的收件人，电子邮件是合法的还是虚假的。

Willett表示，审查过程的自动化对团队的带宽产生了真正的影响。“我的安全团队会继续对过滤器进行微调，以确保它们在不阻止合法电子邮件的情况下阻止恶意电子邮件。同时我们也正在实施一种新的人工智能商业工具，以取代基于规则的过滤器，希望这能提高电子邮件审查过程的效率。”

11

国内安全专家的建议

对于哪些安全任务会给安全团队带来负担，CISO又该如何应对，国内安全专家如此建议。

知乎相关专家“SifzX”表示，对安全人员来说，最困扰的是在没有问题或错误的情况下，提出优化流程、细化工作、体现工作量、进行KIP考核等等。

另外还有SLA的落实，数据体现工作，同时需要符合工作目标和客户现状。一份典型的SLA通常应该定义以下四个方面的活动。

而对于这些繁琐的任务，暂时没有更好的解决方法。

另一位知乎专家“安全第一”觉得，对安全人员来说最烦的一件事，没有之一，就是写各种报告、总结，而且报告里还要用数据说话，大多套话格式。

开头常见格式：“我们采取了X防X打、落实了X不X要，实现了安全漏洞零XX、安全事件XXX。”过程常见格式：“我们检测到XXXXXXXXXXXXXXX次攻击、拦截XXXXXXXXXXX，发现溯源线索XXXX，追溯攻击者XXX，向有关部门提交有效线索XX。”结尾常见格式：“经过一年的努力，我们的漏洞数量同比降低了XX%，事件处置时间缩短了XX%，人员持证上岗率上升了XX%。有效保证公司数字化转型建设。”

而某有限公司安全架构师孙瑜从研发安全的角度提出，研发安全需要解决的首要问题，依然是老生常谈的意识问题，随着层出不穷的攻击事件、越来越严格的监管要求、以及数额巨大的罚款和应用动辄被下架，大家的安全意识普遍在提高，但是安全的重要性依然比不过业务的进度，在发生冲突时，牺牲的还是安全，特别是在产品研发阶段，在功能、进度、性能、用户体验、安全等影响产品质量的几个要素中，安全大概率会被置为低优先级。

如果没有强制行政手段，在紧张的交付压力之下，研发安全就形同虚设，而安全意识离不开领导力，华为的产品之所以安全，和任正非在2019年发表的001号邮件《全面提升软件工程能力与实践，打造可信的高质量产品——致全体员工的一封信》中，将“安全和隐私作为公司的最高纲领”这一大方向分不开，其中明确提出“我们要把可信作为第一优先级，放在功能、特性和进度之上”。提升研发人员的安全意识，使他们主动认识到安全是产品的第一优先级品质要求，研发安全之路任重道远！

对此，孙瑜建议，网络安全的本质在于代码安全，如果以亡羊补牢做比喻，外围安全设备比作围栏，产品比作羊，那么围栏再牢固，被攻破只是时间问题，而问题的根源在于羊，提升羊的战斗力，即产品本身减少安全漏洞，攻击者即便绕过了防火墙等安全设备，依然无法利用产品漏洞发起攻击。

在开发代码之前，如需求阶段、设计阶段识别安全威胁并解决，才是以低成本解决代码安全问题的关键，需求阶段设定安全目标和安全范围，即安全可接受程度和可能存在安全风险的特性范围；设计阶段通过威胁建模和隐私风险评估，来识别设计方案中存在的安全和隐私风险并采取相应消减措施。

这样将安全风险在编写代码之前识别并消减，不仅减少了后期在开发完成以后解决安全漏洞的成本，如代码重构，重新测试、甚至集成编译发布等成本，而且可以从一开始就减少了产品中的安全漏洞，而不是采用产品“创可贴”打补丁的方式。

某金融行业安全经理姚俊先指出，在自己多年的网络安全工作中，遇到的一些痛点问题主要有向上管理，横向沟通协调和向下安全团队建设，其中包括如何向上体现安全工作价值，安全团队怎么样融入开发、运维等工作，其他还有安全人员容易流失，安全能力不容易稳定等问题。

对此，姚俊先觉得，安全团队人员能力决定了企业整体安全水平，也是企业安全建设最基础的一环，因此他建议企业要建立长期的“选、学、带、训、赛”安全团队储备和培养机制，形成安全人才梯队，以确定性的安全人员能力来面对企业不确定性的安全威胁风险。

而某安全咨询企业安全专家董永乐表示，对自己而言，第一个较为头疼的任务是安全工作的目标。

第二个是安全与业务的关系。董永乐表示，网络安全工作的使命是保障业务安全稳定地运行。在实际项目中，有时遇到一些客户会有意无意地避免谈论安全和业务的关系。而董永乐的看法是，安全团队应该定期学习公司业务战略，了解业务运营和发展情况，思考安全如何能够做到基本的保障业务运行安全稳定，并进一步思考安全怎样能够促进业务发展。

对任何企业而言，业务是整个企业的重心。对安全团队来说，最理想的是达到“安全与业务共生”的状态，并努力维持这种平衡。

作为咨询方，董永乐表示，安全团队在做好本职工作的基础上，建议优先考虑在三个层面改进沟通。

在安全检查/内部审计/自评估等过程中，安全团队宜抓住这种机会和业务团队、IT团队、后台支撑团队等，沟通了解大家对安全工作的看法、意见和建议，也借机明确安全的底线和原则，做到“横向对齐”。

安全团队宜把握好每次向管理层汇报的机会，说明企业的安全现状、目标和差距，听取管理层对安全工作的指导意见和疑问，借机陈述安全工作的挑战和机遇，做到“上下对齐”。

企业接受多方监管，也主动获取认证。在迎接监管检查或者认证审核的过程中，宜多请教，多记录，审慎汇报，事后复盘。在横向对齐和上下对齐的基础上，安全团队宜抓住迎检迎审的机会，做好“内外对齐”，做到主动合规。