安全研究团队的价值

产品研发团队负责建设，安全研究团队负责赋能

这是我两年前写的一篇博客的“转帖”。那时，我刚开始在 Datadog 工作，着手组建安全研究团队。一开始，团队只有我一个人，现在已经发展到近 50 人，涵盖了安全研究人员、检测工程师、软件工程师和威胁猎手等多个角色。

我希望重新审视这篇文章，看看两年后的团队建设是否依然符合我的预期。令人惊讶的是，它与我最初设想的团队结构非常接近。所以，如果你想加入一个安全产品的安全研究团队，或者你是一个创始人，正在考虑建立一个安全产品，那么这篇文章会对你有所启发。

安全产品的真正挑战

设想你正在创办一家安全初创公司，它的目标是捕捉最新平台中的威胁，识别尚未被关注的漏洞，或者在风险影响之前通知客户。你可能拥有一个精美的用户界面、一长串的集成列表和一键式入门功能，但你真的能捕捉到“最新事物”吗？“最新”事物到底指什么？当最新的威胁或漏洞成为过去式时，你的产品是否仍能维持其价值？

许多安全产品营销公司声称他们能解决最新发生的问题。然而，为什么这些公司能比你或你的团队更早发现这些问题呢？

其中的原因之一是，与其他行业不同，网络安全行业的存在本质上依赖于“坏人”！网络安全业务的构建方式与军工联合体类似：我们面临着生存威胁，因此必须构建防御措施以应对它。这就需要依靠技术含量高的科学家、工程师和情报专家来了解各种威胁、它们的历史影响以及可能的发展趋势，从而调整防御策略。安全公司遵循着类似的模式。

如果坏人的行为完全可以预测，那我们所有人都将失业。

所以，回到你的创业公司：你能做什么来

1. 随时了解攻击者的最新动向
2. 确保你掌握了昨天的攻击者的所有行为特征

安全研究团队的价值

刚开始从事安全工作时，我被保护他人免受攻击的使命所吸引。与许多其他黑客一样，我也对技术难题充满兴趣，想了解威胁行为者是如何入侵公司，或者漏洞是如何被利用的。2010 年代初，公司开始寻找黑客来深入研究这些技术问题，这恰好满足了我的好奇心。

然而，我并未意识到，这些公司不仅需要研究人员来开发产品，还需要他们在营销和销售产品中发挥作用。而且，他们巧妙地调整了进入市场的策略，力求避免使用传统的、令人反感的销售手段，那些你在电影中看到的军火商或二手车销售员的形象。当你购买产品时，你可能会感到有些事情不太对劲。

我曾作为第一位安全研究员加入过两家初创公司。在不断攻破系统并发现坏人的过程中，我意识到，展示我们在产品内部和外部所做的工作，与发现产品本身同样重要。自那时起，我开始对产品公司内部的业务和营销产生兴趣，并将其视为一种类似于产品经理职能的角色。

产品管理职能的一种描述是：你是产品线的CEO。如果你具备足够的专业知识来定义和推动工程师的技术要求，同时有同理心来创建一个愉快的用户旅程，并善于通过精准的市场定位展示产品的价值，那么这一职能将非常适合你。

安全研究团队虽然与产品线的 CEO不 同，但你可以将他们视为产品线的 CTO。

工程： 企业需要安全研究团队的帮助，以便准确衡量和捕捉我们想要监测的安全威胁，并通过自动化和扩展研究团队的专业知识来提升效能。

设计： 安全研究有助于将复杂的技术问题转化为直观的用户体验。许多安全研究人员来自实际使用安全产品的公司，因此他们能够敏锐地识别并解决糟糕用户体验中的痛点。

营销： 在攻读 MBA 时，我阅读了数百篇商业案例研究。许多案例指出，营销团队在产品线中扮演专家的角色。虽然在消费品或制造业领域确实如此，但在安全行业却并非如此。威胁形势的细微差别和时效性对营销活动至关重要。安全研究人员正好能够弥补这一空白，成为“营销材料”的主题专家。

安全产品初创公司已经意识到这一职能的重要性。我收到过几封邮件和 LinkedIn 信息，内容是希望讨论如何展示安全研究团队在公司中的价值（尤其是在指标层面），并寻求以产品研究员身份进入这一领域的建议。

但这一职能并非仅限于 CTO。在一定程度上，它是企业应对威胁与漏洞的“耳朵和眼睛”。安全研究人员必须像坏人一样迅速敏捷。

安全研究推动能力落地

在与安全研究团队的负责人多次深入讨论之后，我意识到，尽管不同公司产品市场契合度、业务及威胁形势可能有所不同，但他们都扮演着重要的角色。将这一比喻用在公司中，就是，船是公司，船长是CEO，而安全研究人员则是了解外部威胁的向导，使用 Kano 模型来帮助他人理解这一概念非常有效。

Kano 模型是产品开发中的一个有趣工具，它将功能分为三类：超出预期的功能（绿色）、满足预期的功能（蓝色）和必备功能（红色）。安全研究职能的优势在于，它能迅速发现攻击者的动向，并推动产品做出相应的扩展，从而加速产品发展。以下是威胁检测产品的示例：

必备功能： 研究团队帮助构建核心规则集，并将这些规则映射到 MITRE ATT&CK。你可以向客户展示你的产品覆盖了 ATT&CK 框架，而你的研究团队则推动这些覆盖的实现。

满足预期的功能： 产品内新增规则通知和频繁的接触点能够满足客户需求。他们知道产品功能会定期整理规则，并在不与客户互动的情况下添加、更新或淘汰规则。

超出预期的功能： 研究团队发现了其他公司未曾注意到的新威胁行为者或漏洞，提前为客户提供了保护。这种领先的优势虽然短暂，但它能在行业中带来极大的竞争力。

总结

虽然安全研究在产品功能中的角色非常重要，但它远不止于此。在过去的五六年里，我看到这一职能得到了极大的发展。如果你在 LinkedIn 上搜索“security research director/vp/manager”，你会发现这些职位大多数都在产品团队中。你也许会认出其中的一些知名企业，而这些知名企业正是得益于安全研究团队的努力，输出了出色的产品和能力。

以上内容编译自 Zack