非常感谢某公司给了我入职的机会,这段时间让我做了很多,也让我看清晰这家企业的安全究竟存在了什么问题。今儿想给大家伙来唠唠!
前段时间写下过【独家】我的企业安全推动|https://xianzhi.aliyun.com/forum/read/793.html这么一文章估计大家也看到了。现在似乎很多企业都开始配备安全研究人员可是他们在公司看来有就足够了并不需要再做太多事情,但是在安全人员眼中并不这么认为。那么我一个人的安全只能借用巡风的系统(或者一些资产管理系统,具体可以去微博 @泳少寻找下我发过的)那么这些系统紧紧帮助我做微不足道的事情,但这肯定远远不够的 
这些资产清点了只能自己看到,反馈上级领导肯定不懂你这是什么鬼东西了!
紧接着2017年3月份我参加了两个会议,1.先知白帽大会;2.补天白帽大会。参与两个会议让我悉知在企业安全过程前沿做的事情非常多,建立安全部门是一个非常漫长的过程,我也曾与我朋友聊过,后来让我深思熟虑的想到了自家企业的不足。
何为不足?最重要的有几点因素:1.部门沟通困难;2.一个人非常难推动整个集团;3.招人难!4.员工安全意识不足。先从第一点讲起吧,前面提及到与我朋友聊过,聊了什么?问的好,他也是一个人做整个企业的安全,可是他却有业务部门的数据支撑,比如掌握线上的一些用户数据(举个栗子:何时注册,从哪里注册,注册的ip来自来哪里,有没有重复ip注册的用户等等之类的)这样算是风控的内容可是我什么都没有,仅仅做的只是应用层上的安全这远远不够。线上究竟有没有被薅羊毛,哪个活动一直被刷,什么功能被利用。全部都无法获知。等哪天出事了,背锅的无疑是自己了。 
第二点,一个人实施艰难的安全推动。前者讲到巡风系统,当然了也能发现到不少的问题,把资产收集丢入然后建立任务让它定期进行检测。某天发现员工的机器搭建了某些服务,采用了第三方框架,搭建了CMS等 
你把它getshell了,给他们说某某机器上存在严重安全问题,请某某员工快点停止使用该服务或者升级,他们压根不鸟你,觉得老子在内网谁进来搞我机器。其实像这样的人可以实施一下
他若是不看重你安全。千万不要激动。先把他shell了。给他说。哥你电脑存在安全漏洞请快点修复吧,外界入侵内网了你电脑资料就被盗取了。他不该这时候就好办了。你给他执行个重启命令。等机器起来再给他说。他再不改。就来个死循环*10次的重启…………他回来肯定会求你说怎么修复的
这种话你可以当作我说的是段子,可是想深一层想要他们听你的话,只能来点强势的,让它知道真正的危险性!否则日后被外界入侵了资料窃取走,领导肯定会想:“老子每个月花多少多少钱请你回来做事情,到头来你给我整这出,我怎么像上级交代”
第三点招人难,若你负责招聘的事宜肯定会知道为什么这么说了。当然了这也有可能是因为现在整个行业的刚需导致的!我从15年11月左右就开始负责过招人的事情,那时候一直没有任何消息。后来到了新公司在2017年2月底左右告知需要配备多一个人手给我。我当时乐了好几天终于可以再招人了。可惜后来我非常失落了,招人并没有想象中的那么容易,加上可能地区问题,人员严重稀缺,每个月就从招聘站点上收到了仅仅几份简历,还得筛选,随后安排面试。直到写文章的现在还没有招到人进来,多因素的可能因为待遇太低为主了。那也不怪人家,安全思考的东西关于到整家公司的脉搏,为啥我会这么说?出现了简单的问题导致了数千万的资金损失,这个理由合理了吧~(上述仅仅是个人观点便罢了)
最后一点员工的安全意识明显的薄弱,他们会存在最多的问题,我觉得应该是密码设置弱口令、防范意识弱很容易导致被社工、信息泄露诸如把敏感信息上传到github等等。这几点应该最严重不过了,如何杜绝防范其实可以尝试定期的一些安全意识培训,让他们多参加了解到从中的危险性。 
有人说培训这个要怎么讲好呢?其实啊,可以试试利用讲故事去涉及安全的知识点。比如我曾经在某个沙龙上讲到的电商故事小明在那个情人节上跟小红开房去了,由于他的穷只能尝试寻找酒店的支付漏洞,把金额修改成1分钱从而进行开房。不过几天小明觉得自己惹了什么病,去医院看病发现还得网上预约无奈之下继续尝试寻找预约的安全漏洞后续再次发现1分钱进行预约专家会诊等等,这样不就涉及了很多事情在里面了吗?但由于我个人的懒惰觉得写PPT得非常耐心还得删删改改找资料,又要把它美化。像我这样的人对艺术有啥看重的?我也没有坚持做这样的事情!
一个人做的事情非常有限很容易被耗光精力的了。不说了啊。痛苦,我想去洗手间哭上几个小时,谁拦我都不好使。真的!
标题提及了写在最后,那么这段话肯定放在这里比较合适不过了。提离职当天跟leader谈了很多,说出了目前的不足,他也很想挽留我,让我留下当好这个安全负责人,带着新来的小伙伴,还说道日后会让我建立安全部门,多招几个人进来一起共事,但是后来我想了下我并不适合在这个年纪当上管理人员,也不会安排别人工作,攻防是对立的,三年安全之路前两年做了攻是再喜欢不过了,感觉成功突破某些点那感觉……很难去描述。但是防御这块我还没任何经验,我想再去试试看,试着是否防御也能找到这种荣誉感!没有为该公司安全做到最后。但未来很长,我希望总有适合我的事情干下去的~
等我哪天有能力创业了,我一定会想出法子来帮助企业真正彻底的解决内部的问题先。我卖的可能不是硬件产品,卖的可能会是在某家公司中他们安全非常难推动,我得需要帮助他一起解决这些事情,安全培训、安全开发、安全意识提高等等的一套方案,从人的根本原因解决。当然了,这个抉择可能会在十年后再会实现了。吹下牛逼又不会死。对吧~
Goodbye 
本文始发于微信公众号(逢人斗智斗勇):写在最后的企业安全推动与总结(下)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论